Cloud Storage에서 Cloud 감사 로그 사용

이 페이지에서는 Cloud Storage에서 Cloud 감사 로그를 사용하는 방법을 보충 설명합니다. Cloud 감사 로그를 사용하면 Cloud Storage에서 수행된 API 작업의 로그를 생성할 수 있습니다. Cloud 감사 로그를 설정하려면 데이터 액세스 로그 구성을 참조하세요.

로깅되는 정보

Cloud 감사 로그에는 다음과 같은 두 가지 유형의 로그가 있습니다.

  • 관리자 활동 로그: 프로젝트, 버킷 또는 객체의 구성이나 메타데이터를 수정하는 작업의 항목입니다.

  • 데이터 액세스 로그: 객체를 수정하거나 프로젝트, 버킷 또는 객체를 읽는 작업의 항목입니다. 데이터 액세스 로그에는 다음과 같은 여러 가지 하위 유형이 있습니다.

    • ADMIN_READ: 프로젝트, 버킷 또는 객체의 구성이나 메타데이터를 읽는 작업에 대한 항목입니다.

    • DATA_READ: 객체를 읽는 작업에 대한 항목입니다.

    • DATA_WRITE: 객체를 만들거나 수정하는 작업에 대한 항목입니다.

다음 표에는 각 로그 유형에 속하는 Cloud Storage 작업이 요약되어 있습니다.

로그 항목 유형 하위 유형 작업
관리자 활동
  • 버킷 만들기
  • 버킷 삭제
  • IAM 정책 설정/변경
  • 객체 ACL 설정/변경
  • 버킷 메타데이터 업데이트
데이터 액세스 ADMIN_READ
  • 버킷 메타데이터 가져오기
  • IAM 정책 가져오기
  • 객체 ACL 가져오기
  • 버킷 나열
DATA_READ
  • 객체 데이터 가져오기
  • 객체 메타데이터 가져오기
  • 객체 나열
  • 객체 복사/작성1
DATA_WRITE
  • 객체 만들기
  • 객체 삭제2
  • 비 ACL 객체 메타데이터 업데이트2
  • 객체 복사/작성1

1 복사 및 작성은 비원자적 수준에서 수행됩니다. 즉, 각각 데이터를 읽고 씁니다. 따라서 로그 항목이 두 개 생성됩니다.

2 Cloud 감사 로그는 객체 수명 주기 관리 기능에서 수행된 작업을 로깅하지 않습니다. 이러한 작업을 추적하는 대안은 수명 주기 작업 추적 옵션을 참조하세요.

Cloud Storage 로그는 AuditLog 객체를 사용하고 다른 Cloud 감사 로그와 동일한 형식을 따릅니다. 로그에 포함되는 정보는 다음과 같습니다.

  • 요청을 한 사용자(해당 사용자의 이메일 주소 포함)
  • 요청이 수행된 리소스의 이름
  • 요청 결과

로그 설정

Cloud Storage 작업과 관련된 로그는 storage.googleapis.com 서비스에서 생성됩니다.

관리자 활동 로그는 기본적으로 기록됩니다. 이 로그는 로그 내부 데이터화 할당량에 포함되지 않습니다.

Cloud Storage 작업과 관련된 데이터 액세스 로그는 기본적으로 기록되지 않습니다. 데이터 액세스 유형 작업에 대해 로그를 사용 설정하는 방법은 데이터 액세스 로그 구성을 참조하세요. 관리자 활동 로그와 달리 데이터 액세스 로그는 로그 내부 데이터화 할당량에 포함되며 Stackdriver의 로그 요금에 영향을 미칠 수 있습니다.

로그 액세스

관리자 활동 로그를 볼 수 있는 사용자는 다음과 같습니다.

데이터 액세스 로그를 볼 수 있는 사용자는 다음과 같습니다.

  • 프로젝트 소유자
  • 개인 로그 뷰어 IAM 역할을 가진 사용자
  • logging.privateLogEntries.list IAM 권한을 가진 사용자

액세스 권한 부여 방법은 프로젝트에 IAM 구성원 추가를 참조하세요.

로그 보기

Cloud Storage와 관련된 로그는 리소스 유형 GCS bucket 아래의 카테고리로 지정됩니다.

Google Cloud Platform 콘솔의 활동 스트림에서 프로젝트의 감사 로그 요약을 볼 수 있습니다. 로그 뷰어에서 자세한 로그를 확인할 수 있습니다.

로그 뷰어에서 로그 필터링은 Cloud 감사 로그 가이드를 참조하세요.

로그 이름 지정

Cloud 감사 로그는 모든 감사 로그에 표준 로그 이름을 사용합니다. 로그 이름 구조 정보와 로그 이름을 로그 결과 필터로 사용하는 예에 대한 자세한 내용은 감사 로그 보기를 참조하세요.

제한사항

Cloud Storage에서 Cloud 감사 로그를 사용하면 다음과 같은 제한 사항이 적용됩니다.

  • Cloud 감사 로그는 공개 객체에 대한 액세스를 추적하지 않습니다.
  • Cloud 감사 로그는 객체 수명 주기 관리 기능에 의한 변경사항을 추적하지 않습니다.
  • Cloud 감사 로그 데이터 액세스 로그가 객체가 포함된 버킷에 사용 설정된 경우, 인증된 브라우저 다운로드를 사용하여 객체에 액세스할 수 없습니다.

다음 단계

이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

도움이 필요하시나요? 지원 페이지를 방문하세요.