将 Cloud Audit Logs 与 Cloud Storage 结合使用

本页面提供有关将 Cloud Audit Logs 与 Cloud Storage 结合使用的补充信息。使用 Cloud Audit Logs 为 Cloud Storage 中执行的 API 操作生成日志。要设置 Cloud Audit Logs,请参阅配置数据访问日志

记录的信息

Cloud Audit Logs 中提供了两种类型的日志:

  • 管理员活动日志:与修改项目、存储分区或对象的配置或元数据的操作对应的条目。

  • 数据访问日志:与修改对象的操作或读取项目、存储分区或对象的操作对应的条目。数据访问日志的几种子类型如下:

    • ADMIN_READ:与读取项目、存储分区或对象的配置或元数据的操作对应的条目。

    • DATA_READ:与读取对象的操作对应的条目。

    • DATA_WRITE:与创建或修改对象的操作对应的条目。

下表汇总了划归于每种日志类型的 Cloud Storage 操作:

日志条目类型 子类型 操作
管理员活动
  • 创建存储分区
  • 删除存储分区
  • 设置/更改 IAM 政策
  • 设置/更改对象 ACL
  • 更新存储分区元数据
数据访问 ADMIN_READ
  • 获取存储分区元数据
  • 获取 IAM 政策
  • 获取对象 ACL
  • 列出存储分区
DATA_READ
  • 获取对象数据
  • 获取对象元数据
  • 列出对象
  • 复制/编写对象1
DATA_WRITE
  • 创建对象
  • 删除对象2
  • 更新非 ACL 对象元数据2
  • 复制/编写对象1

1 复制和编写属于非原子化操作:这两种操作均会读取和写入数据。因此,它们会生成两个日志条目。

2 Cloud Audit Logs 不会记录对象生命周期管理功能执行的操作。如需了解用于跟踪这些操作的替代方案,请参阅用于跟踪生命周期操作的选项

Cloud Storage 日志使用 AuditLog 对象并采用与其他 Cloud Audit Logs 日志相同的格式。日志包含以下信息:

  • 发出请求的用户(包括该用户的电子邮件地址)。
  • 请求所针对的资源名称。
  • 请求的结果。

日志设置

与 Cloud Storage 操作相关的日志由服务 storage.googleapis.com 生成。

默认情况下,系统会记录管理员活动日志。这些日志不计入您的日志提取配额

默认情况下,系统不会记录与 Cloud Storage 操作相关的数据访问日志。要了解如何为数据访问型操作启用日志,请参阅配置数据访问日志。请注意,与管理员活动日志不同,数据访问日志会计入您的日志提取配额,并可能影响您在 Stackdriver 中的日志费用

日志访问

以下用户可以查看管理员活动日志:

以下用户可以查看数据访问日志:

  • 项目所有者。
  • 拥有私密日志查看者 IAM 角色的用户。
  • 具有 logging.privateLogEntries.list IAM 权限的用户。

有关授予访问权限的说明,请参阅将 IAM 成员添加到项目中

查看日志

与 Cloud Storage 相关的日志被分类到资源类型 GCS bucket 下。

您可以在 Google Cloud Platform Console 的活动流中查看项目的审核日志摘要。要查看更详细的日志,请访问日志查看器

如需了解在日志查看器中过滤日志的说明,请参阅 Cloud Audit Logs 指南

日志命名

Cloud Audit Logs 为所有审核日志使用标准日志名称。如需查看日志名称结构的相关信息以及将日志名称用作日志结果过滤器的示例,请参阅查看审核日志

限制

将 Cloud Audit Logs 与 Cloud Storage 结合使用要受以下限制的约束:

后续步骤

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页
Cloud Storage
需要帮助?请访问我们的支持页面