Informatie over controlelogboeken in Trace

Deze pagina beschrijft de controlelogboeken die door Trace zijn gemaakt als onderdeel van Cloud Audit Logging.

Overzicht

Google Cloud Platform-services schrijven controlelogboeken om u te helpen de volgende vragen te beantwoorden: "Wie deed wat, waar en wanneer?"Uw GCP-projecten bevatten elk alleen de controlelogboeken voor resources die direct binnen het project vallen. Andere entiteiten, zoals mappen, organisaties en factureringsaccounts, bevatten elk de controlelogboeken voor de entiteit zelf.

Indien dit expliciet wordt gevraagd, schrijft Trace controlelogboeken voor Gegevenstoegang, waarin de API-aanroepen worden geregistreerd die door de gebruiker aangeleverde gegevens maken, wijzigen of lezen. Zie Logboeken voor gegevenstoegang configureren voor meer informatie over het aanvragen van logboeken.

Controlelogboeken voor gegevenstoegang zijn onderverdeeld in verschillende categorieën:

  • Gegevenstoegang (ADMIN_READ): bewerkingen die de configuratie of metadata van een resource lezen.

    Trace biedt standaard geen Admin Read-informatie.

  • Gegevenstoegang (DATA_READ): bewerkingen die door de gebruiker verstrekte gegevens van een resource lezen.

    Trace biedt standaard geen Data Read-informatie.

  • Gegevenstoegang (DATA_WRITE): bewerkingen die door de gebruiker verstrekte gegevens naar een resource schrijven.

    Trace biedt standaard geen Data Write-informatie.

Logboeken voor beheerdersactiviteit zijn niet beschikbaar voor Trace.

Gecontroleerde bewerkingen

De volgende tabel geeft een overzicht van de API-bewerkingen die horen bij elk type controlelogboek in Trace:

Categorie controlelogboeken Bewerkingen
DATA_READ cloudtrace.traces.get
cloudtrace.traces.list

Indeling van controlelogboeken

Controlelogboekitems - die kunnen worden bekeken in Stackdriver Logging met behulp van de logboekviewer, de API, of de SDK-opdracht gcloud logging - omvatten de volgende objecten:

  • Het logboekitem zelf, een object van het type LogEntry. Nuttige velden zijn onder meer:

    • logName bevat de projectidentificatie en het controlelogboektype
    • resource bevat het doel van de gecontroleerde bewerking
    • timeStamp bevat het tijdstip van de gecontroleerde bewerking
    • protoPayload bevat de gecontroleerde informatie
  • De controle-informatie, een AuditLog-object in het veld protoPayload van het logboekitem.

  • Optionele servicespecifieke controle-informatie, een servicespecifiek object dat wordt bewaard in het veld serviceData van het AuditLog-object. Zie Servicespecifieke controlegegevens voor meer informatie.

Zie Gegevenstypen van controlelogboeken voor andere velden in deze objecten, voorbeelden van content in deze objecten en voorbeeldquery's voor informatie in de objecten.

Logboeknaam

Namen van Cloud Audit Logging-logboeken geven het project of een andere entiteit weer die eigenaar is van de controlelogboeken, en of het logboek informatie bevat over beheerdersactiviteit of gegevenstoegang. Het voorbeeld hieronder toont de logboeknamen voor de beheerdersactiviteitslogboeken van een project en de logboeken voor de gegevenstoegang van een organisatie.

projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

Servicenaam

Controlelogboeken van Trace maken gebruik van de servicenaam cloudaudit.googleapis.com.

Zie Services toewijzen aan resources voor meer informatie over logboekregistratieservices.

Resourcetypen

Controlelogboeken van Trace maken gebruik van het resourcetype audited_resource voor alle controlelogboeken.

Zie Gecontroleerde resourcetypen voor een volledige lijst.

Controlelogboekregistratie inschakelen

De meeste controlelogboeken voor gegevenstoegang zijn standaard uitgeschakeld. Een uitzondering hierop vormen de controlelogboeken voor gegevenstoegang voor BigQuery, die standaard zijn ingeschakeld en niet kunnen worden uitgeschakeld. BigQuery-logboeken voor gegevenstoegang tellen niet mee voor de logboekregistratiequota van uw project.

Zie Logboeken voor gegevenstoegang configureren om sommige of alle logboeken voor gegevenstoegang in te schakelen.

De logboeken voor gegevenstoegang die u configureert, kunnen de prijsstelling van uw logboeken in Stackdriver beïnvloeden. Zie het gedeelte Prijs op deze pagina.

Logboeken voor beheerdersactiviteit zijn niet beschikbaar voor Trace.

Rechten voor controlelogboeken

De rechten en rollen voor Cloud Identity en toegangsbeheer bepalen welke controlelogboeken u kunt bekijken of exporteren. Logboeken bevinden zich in projecten en in een aantal andere entiteiten, waaronder organisaties, mappen en factureringsaccounts. Zie Rollen begrijpen voor meer informatie.

Wanneer u de logboeken voor beheerdersactiviteit wilt bekijken, moet u een van de volgende Cloud IAM-rollen hebben in het project dat uw controlelogboeken bevat:

Wanneer u de logboeken voor gegevenstoegang wilt bekijken, moet u een van de volgende rollen hebben in het project dat uw controlelogboeken bevat:

Als u controlelogboeken van een entiteit die geen project is gebruikt, zoals een organisatie, wijzigt u de Projectrollen in geschikte organisatierollen.

Logboeken bekijken

Voer een van de volgende handelingen uit om controlelogboeken voor een van uw projecten te bekijken:

Zie de volgende opties voor meer informatie:

Basisviewer

U kunt de basisinterface van de logboekviewer gebruiken om uw controlelogboekitems op te halen door het volgende te doen:

  1. Selecteer in het eerste menu het resourcetype waarvan u de controlelogboeken wilt zien. Selecteer een specifieke resource of selecteer alle resources.
  2. Selecteer in het tweede menu de naam van het logboek dat u wilt zien: activity voor controlelogboeken voor beheerdersactiviteit en data_access voor controlelogboeken voor gegevenstoegang. Als u een of beide opties niet ziet, zijn er geen controlelogboeken van dat type beschikbaar.

Geavanceerde viewer

  1. Schakel over naar de geavanceerde filterinterface in de logboekviewer.
  2. Maak een filter met de gewenste resourcetype(n) en logboeknamen. Zie Controlelogboeken ophalen voor meer informatie.

API

Zie entries.list voor het lezen van uw logboekitems via de Logging Api.

SDK

Wanneer u uw logboekitems met behulp van de Cloud SDK-opdrachtregeltool gcloud wilt lezen, raadpleegt u Logboekitems lezen.

Controlelogboeken exporteren

U kunt controlelogboeken op dezelfde manier exporteren als u met andere soorten logboeken doet. Zie Logboeken exporteren voor meer informatie over het exporteren van uw logboeken. Hier zijn enkele toepassingen van het exporteren van controlelogboeken:

  • Om controlelogboeken langer te bewaren of om krachtigere zoekmogelijkheden te gebruiken, kunt u kopieën van uw controlelogboeken exporteren naar Cloud Storage, BigQuery of Cloud Pub/Sub. Met Cloud Pub/Sub kunt u exporteren naar andere apps, andere opslagplaatsen en naar derden.

  • Als u de controlelogboeken in uw hele organisatie wilt beheren, kunt u geaggregeerde exportlogboeklocaties maken die logboeken van alle projecten in de organisatie kunnen exporteren.

  • Als uw ingeschakelde logboeken voor gegevenstoegang ervoor zorgen dat uw projecten de toegewezen hoeveelheid logboeken overschrijden, kunt u de logboeken voor gegevenstoegang exporteren en uitsluiten in Logging. Zie Logboeken uitsluiten voor meer informatie.

Prijzen

Stackdriver Logging brengt geen kosten in rekening voor controlelogboeken die standaard zijn ingeschakeld, inclusief alle logboeken voor beheerdersactiviteiten.

Stackdriver Logging brengt kosten in rekening voor gegevenstoeganglogboeken die u expliciet aanvraagt.

Zie Prijzen van Stackdriver voor meer informatie over prijzen van logboeken, inclusief prijzen van controlelogboeken.