将 Cloud Audit Logs 与 Cloud Storage 搭配使用

本页面提供有关将 Cloud Audit Logs 与 Cloud Storage 搭配使用的补充信息。使用 Cloud Audit Logs 为 Cloud Storage 中执行的 API 操作生成日志。如需设置 Cloud Audit Logs,请参阅配置数据访问日志

记录的信息

Cloud Audit Logs 中提供了两种类型的日志:

  • 管理员活动日志:包含的日志条目是关于修改项目、存储分区或对象的配置或元数据的操作。

  • 数据访问日志:包含的日志条目是关于修改对象或读取项目、存储分区或对象的操作。数据访问日志具有以下几种子类型:

    • ADMIN_READ:包含的日志条目是关于读取项目、存储分区或对象的配置或元数据的操作。

    • DATA_READ:包含的日志条目是关于读取对象的操作。

    • DATA_WRITE:包含的日志条目是关于创建或修改对象的操作。

下表汇总了属于每种日志类型的 Cloud Storage 操作:

日志条目类型 子类型 操作
管理员活动
  • 创建存储分区
  • 删除存储分区
  • 设置/更改 IAM 政策
  • 设置/更改对象 ACL
  • 更新存储分区元数据
数据访问 ADMIN_READ
  • 获取存储分区元数据
  • 获取 IAM 政策
  • 获取对象 ACL
  • 列出存储分区
DATA_READ
  • 获取对象数据
  • 获取对象元数据
  • 列出对象
  • 复制/组合对象1
DATA_WRITE
  • 创建对象
  • 删除对象2
  • 更新非 ACL 对象元数据2
  • 复制/组合对象1

1 复制和组合操作属于非原子化操作:这两种操作均会读取和写入数据,因此会生成两个日志条目。

2 Cloud Audit Logs 不会记录对象生命周期管理功能执行的操作。如需了解用于跟踪这些操作的替代方案,请参阅用于跟踪生命周期操作的选项

Cloud Storage 日志使用 AuditLog 对象,并遵循与其他 Cloud Audit Logs 日志相同的格式。日志包含以下信息:

  • 发出请求的用户(包括该用户的电子邮件地址)。
  • 请求所针对的资源名称。
  • 请求的结果。

日志设置

与 Cloud Storage 操作有关的日志由 storage.googleapis.com 服务生成。

默认情况下,系统会记录管理员活动日志。这些日志不计入您的日志提取配额

默认情况下,系统不会记录与 Cloud Storage 操作相关的数据访问日志。如需了解如何为数据访问型操作启用日志,请参阅配置数据访问日志。请注意,与管理员活动日志不同,数据访问日志会计入您的日志提取配额,并可能影响您需支付的 Stackdriver 日志费用

日志访问

以下用户可以查看管理员活动日志:

以下用户可以查看数据访问日志:

  • 项目 Owner。
  • 拥有 Private Logs Viewer IAM 角色的用户。
  • 拥有 logging.privateLogEntries.list IAM 权限的用户。

如需查看有关授予访问权限的说明,请参阅将 IAM 成员添加到项目中

查看日志

与 Cloud Storage 相关的日志被分类到 GCS bucket 资源类型。

您可以在 Google Cloud Platform Console 的活动流中查看项目的审核日志摘要。如需查看更详细的日志,请访问日志查看器

如需了解在日志查看器中过滤日志的说明,请参阅 Cloud Audit Logs 指南

日志命名

Cloud Audit Logs 会对所有审核日志使用标准日志名称。如需查看日志名称结构的相关信息以及将日志名称用作日志结果过滤器的示例,请参阅查看审核日志

限制

将 Cloud Audit Logs 与 Cloud Storage 结合使用时,存在以下限制:

后续步骤

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页
Cloud Storage
需要帮助?请访问我们的支持页面