יומני ביקורת ל-Firebase App Hosting

בדף הזה מתוארים יומני הביקורת שנוצרים על ידי Firebase כחלק מיומני הביקורת של Cloud.

סקירה כללית

יומני הביקורת של שירותי Firebase מיועדים לענות על השאלות 'מי עשה מה, איפה ומתי?'. אלה יומני ביקורת של Cloud, שסופקו כחלק מ הפרויקט Google Cloud שמקושר לפרויקט Firebase.

כל אחד מהפרויקטים ב-Firebase כולל רק את יומני הביקורת של המשאבים שמשויכים ישירות לפרויקט.

לפרטים נוספים, ראו סקירה כללית על יומני הביקורת של Cloud. להבנה עמוקה יותר של הפורמט של יומני הביקורת, קראו את המאמר הסבר על יומני הביקורת.

יומני הביקורת הזמינים

אלה סוגי יומני הביקורת שזמינים ב-Firebase App Hosting:

  • יומני הביקורת Admin Activity

    כוללים רישום של פעולות במסגרת הרשאת admin write, שבהן נכתב מידע במטא-נתונים או ההגדרות.

    לא ניתן להשבית את יומני הביקורת Admin Activity.

  • יומני הביקורת Data Access

    כוללים רישום של פעולות במסגרת הרשאת admin read, שבהן נקרא מידע ממטא-נתונים או מהגדרות. היומנים כוללים גם פעולות במסגרת ההרשאות data read ו-data write, שבהן נקראים או נכתבים נתונים שהמשתמשים סיפקו.

    כדי לקבל את יומני הביקורת Data Access, אתם צריכים להפעיל אותם באופן מפורש.

לתיאורים מלאים של סוגי יומני הביקורת, קראו את המאמר סוגים של יומני ביקורת.

פעולות מבוקרות

הטבלה הבאה מסכמת אילו פעולות API מתאימות לכל סוג של רישום ביומן הביקורת ב-Firebase App Hosting:

סוג ההרשאה Methods
ADMIN_READ google.firebase.apphosting.v1alpha.AppHosting.GetBackend
google.firebase.apphosting.v1alpha.AppHosting.GetBuild
google.firebase.apphosting.v1alpha.AppHosting.GetRollout
google.firebase.apphosting.v1alpha.AppHosting.GetTraffic
google.firebase.apphosting.v1alpha.AppHosting.ListBackends
google.firebase.apphosting.v1alpha.AppHosting.ListBuilds
google.firebase.apphosting.v1alpha.AppHosting.ListDomains
google.firebase.apphosting.v1alpha.AppHosting.ListRollouts
google.firebase.apphosting.v1beta.AppHosting.GetBackend
google.firebase.apphosting.v1beta.AppHosting.GetBuild
google.firebase.apphosting.v1beta.AppHosting.GetDomain
google.firebase.apphosting.v1beta.AppHosting.GetTraffic
google.firebase.apphosting.v1beta.AppHosting.ListBackends
google.firebase.apphosting.v1beta.AppHosting.ListBuilds
google.firebase.apphosting.v1beta.AppHosting.ListDomains
google.firebase.apphosting.v1beta.AppHosting.ListRollouts
ADMIN_WRITE google.firebase.apphosting.v1alpha.AppHosting.CreateBackend
google.firebase.apphosting.v1alpha.AppHosting.CreateBuild
google.firebase.apphosting.v1alpha.AppHosting.CreateDomain
google.firebase.apphosting.v1alpha.AppHosting.CreateRollout
google.firebase.apphosting.v1alpha.AppHosting.DeleteBackend
google.firebase.apphosting.v1alpha.AppHosting.DeleteBuild
google.firebase.apphosting.v1alpha.AppHosting.DeleteDomain
google.firebase.apphosting.v1alpha.AppHosting.UpdateBuild
google.firebase.apphosting.v1alpha.AppHosting.UpdateTraffic
google.firebase.apphosting.v1beta.AppHosting.CreateBackend
google.firebase.apphosting.v1beta.AppHosting.CreateBuild
google.firebase.apphosting.v1beta.AppHosting.CreateDomain
google.firebase.apphosting.v1beta.AppHosting.CreateRollout
google.firebase.apphosting.v1beta.AppHosting.DeleteBackend
google.firebase.apphosting.v1beta.AppHosting.DeleteBuild
google.firebase.apphosting.v1beta.AppHosting.DeleteDomain
google.firebase.apphosting.v1beta.AppHosting.UpdateBackend
google.firebase.apphosting.v1beta.AppHosting.UpdateDomain
google.firebase.apphosting.v1beta.AppHosting.UpdateTraffic

הפורמט של יומן הביקורת

הרשומות ביומן הביקורת כוללות את האובייקטים הבאים:

  • הרשומה עצמה, שהיא אובייקט מסוג LogEntry. אלה כמה מהשדות השימושיים ברשומה:

    • השדה logName מכיל את מזהה המשאב ואת סוג יומן הביקורת.
    • השדה resource מכיל את היעד של הפעולה המבוקרת.
    • השדה timestamp מכיל את השעה של הפעולה המבוקרת.
    • השדה protoPayload מכיל את המידע המבוקר.
  • אובייקט מסוג AuditLog ששמור בשדה protoPayload של הרשומה ביומן, ומכיל את הנתונים של יומני הביקורת.

  • אובייקט ספציפי לשירות שמכיל מידע אופציונלי על ביקורת ספציפית לשירות. בשילובים ישנים יותר, האובייקט הזה נשמר בשדה serviceData של האובייקט AuditLog. בשילובים חדשים יותר נעשה שימוש בשדה metadata.

למידע על שדות אחרים באובייקטים האלה, ואיך לפרש אותם, קראו את המאמר הסבר על יומני הביקורת.

שם יומן הביקורת

השמות של המשאבים ביומני הביקורת ב-Cloud מציינים את הפרויקט ב-Firebase או ישות אחרתGoogle Cloud שיומני הביקורת בבעלותם. בנוסף, הם מציינים אם היומן מכיל נתוני ביקורת מסוג Admin Activity,‏ Data Access‏, Policy Denied או System Event. לדוגמה, בהמשך מוצגים שמות של יומני ביקורת ברמת הפרויקט של פעילות אדמין ויומני ביקורת של גישה לנתונים ברמת הארגון. המשתנים מייצגים את המזהים של הפרויקט והארגון ב-Firebase.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

שם השירות

יומני הביקורת של Firebase App Hosting משתמשים בשם השירות firebaseapphosting.googleapis.com.

במאמר מיפוי השירותים למשאבים תוכלו למצוא רשימה מלאה של כל שמות השירותים של Cloud Logging API וסוגי המשאבים במעקב שתואמים להם.

סוגי המשאבים

יומני הביקורת של Firebase App Hosting משתמשים בסוג המשאב audited_resource בכל יומני הביקורת.

במאמר סוגי המשאבים במעקב תוכלו למצוא רשימה של כל סוגי המשאבים במעקב ב-Cloud Logging ותיאור שלהם.

הפעלת רישום ביומן ביקורת

יומני הביקורת Admin Activity תמיד מופעלים, ולא ניתן להשבית אותם.

יומני הביקורת Data Access מושבתים כברירת מחדל, ולא מתעדכנים אלא אם כן מפעילים אותם בצורה מפורשת (למעט יומני Data Access של BigQuery, שלא ניתן להשבית אותם).

להוראות להפעלת חלק מיומני הביקורת Data Access או את כולם, ראו הגדרת יומני Data Access.

הרשאות ותפקידים

ההרשאות והתפקידים ב-Cloud IAM קובעים את אפשרויות הגישה שלכם לנתוני יומני הביקורת במשאבי Google Cloud.

כשמחליטים אילו הרשאות ותפקידים ספציפיים לרישום ביומן יחולו על התרחיש לדוגמה שלכם, מומלץ להביא בחשבון את הנקודות הבאות:

  • התפקיד 'צפייה ביומנים' (roles/logging.viewer) נותן הרשאת קריאה בלבד ביומני הביקורת Admin Activity,‏ Policy Denied ו-System Event. משתמשים שהוקצה להם רק התפקיד הזה לא יכולים לצפות ביומני הביקורת Data Access שנמצאים בקטגוריה _Default.

  • התפקיד 'צפייה ביומנים פרטיים' ((roles/logging.privateLogViewer) כולל את ההרשאות שכלולות בתפקיד roles/logging.viewer, וגם את האפשרות לקרוא את יומני הביקורת Data Access בקטגוריה _Default.

    חשוב לזכור שאם היומנים הפרטיים האלה מאוחסנים בקטגוריות שהוגדרו על ידי משתמשים, כל משתמש שיש לו הרשאה לקרוא את היומנים בקטגוריות האלה יוכל לקרוא את היומנים הפרטיים. מידע נוסף על קטגוריות ביומן מופיע במאמר סקירה כללית על ניתוב ואחסון.

במאמר בקרת גישה תוכלו לקרוא מידע נוסף על ההרשאות והתפקידים ב-Cloud IAM שחלים על הנתונים של יומני הביקורת.

צפייה ביומנים

כדי למצוא ולצפות ביומני ביקורת, עליכם לדעת את המזהה של הפרויקט, התיקייה או הארגון ב-Firebase שעבורם רוצים להציג את המידע של יומני הביקורת. תוכלו להוסיף עוד שדות מסוג LogEntry שנוספו לאינדקס, כמו resource.type. פרטים נוספים זמינים במאמר חיפוש מהיר של רשומות ביומן.

אלה השמות של יומני הביקורת, עם משתנים שיוחלפו במזהי הפרויקט, התיקייה או הארגון ב-Firebase:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

אתם יכולים לצפות ביומני ביקורת ב-Cloud Logging באמצעות מסוף Google Cloud, כלי שורת הפקודה gcloud או Logging API.

המסוף

במסוף Google Cloud, תוכלו להשתמש ב-Logs Explorer כדי לאחזר את הרשומות ביומן הביקורת של הפרויקט, התיקייה או הארגון ב-Firebase:

  1. נכנסים לדף Logging > Logs Explorer במסוף Google Cloud.

    כניסה לדף Logs Explorer

  2. בדף Logs Explorer, בוחרים פרויקט, תיקייה או ארגון קיימים ב-Firebase.

  3. בחלונית Query builder:

    • בקטע Resource type, בוחרים את המשאב Google Cloud שרוצים לראות את יומני הביקורת שלו.

    • בקטע Log name, בוחרים את סוג יומן הביקורת שרוצים לראות:

      • ליומני הביקורת Admin Activity בוחרים באפשרות activity.
      • ליומני הביקורת Data Access בוחרים באפשרות data_access.
      • ליומני הביקורת System Event בוחרים באפשרות system_event.
      • ליומני הביקורת Policy Denied בוחרים באפשרות policy.

    אם האפשרויות האלה לא מוצגות, המשמעות היא שאין יומני ביקורת מאותו סוג בפרויקט, בתיקייה או בארגון ב-Firebase.

    מידע נוסף על שליחת שאילתות באמצעות Logs Explorer זמין במאמר יצירת שאילתות ביומן.

gcloud

כלי שורת הפקודה gcloud מספק ממשק שורת פקודה ל-Cloud Logging API. חשוב לציין PROJECT_ID,‏ FOLDER_ID או ORGANIZATION_ID תקין בכל אחד משמות היומנים.

כדי לקרוא את הרשומות ביומן הביקורת ברמת הפרויקט ב-Firebase, מריצים את הפקודה הבאה:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID

כדי לקרוא את הרשומות ביומן הביקורת ברמת התיקייה, מריצים את הפקודה הבאה:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID

כדי לקרוא את הרשומות ביומן הביקורת ברמת הארגון, מריצים את הפקודה הבאה:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID

למידע נוסף על השימוש בכלי gcloud, ראו קריאת רשומות ביומן.

API

כשיוצרים את השאילתות, מחליפים את המשתנים בערכים תקינים, מחליפים את השם או המזהים המתאימים של יומן הביקורת ברמת הפרויקט, התיקייה או הארגון, כפי שמפורטים בשמות של יומני הביקורת. לדוגמה, אם שאילתה כוללת את השדה PROJECT_ID, מזהה הפרויקט שאתם מציינים חייב להתייחס לפרויקט ב-Firebase שבחרתם.

כדי להשתמש ב-Logging API כדי לבדוק את הרשומות ביומן הביקורת:

  1. עוברים לקטע Try this API במאמרי העזרה של ה-method entries.list.

  2. מזינים את הפרטים הבאים בקטע Request body בטופס Try this API. אם לוחצים על הטופס למילוי פרטים אוטומטי, גוף הבקשה יאוכלס בפרטים באופן אוטומטי אבל תצטרכו לציין PROJECT_ID תקין בכל אחד משמות יומני הביקורת.

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
  3. לוחצים על Execute.

פרטים נוספים על שליחת שאילתות זמינים במאמר שפת השאילתות של Cloud Logging.

בדוגמה הבאה מופיעה רשומה ביומן הביקורת, ומוסבר איך למצוא את המידע החשוב ביותר בה. תוכלו לקרוא את המאמר דוגמה לרשומה ביומן ביקורת.

ניתוב של יומני ביקורת

אתם יכולים לנתב יומני ביקורת ליעדים נתמכים באותו אופן שבו אתם יכולים לנתב סוגים אחרים של יומנים. כמה סיבות לניתוב יומני הביקורת:

  • אתם יכולים לנתב עותקים של יומני הביקורת ל-Google Cloud Storage, ל-BigQuery או ל-Google Cloud Pub/Sub, כדי לשמור את יומני הביקורת לפרק זמן ארוך יותר ולהשתמש ביכולות חיפוש מתקדמות יותר. באמצעות Cloud Pub/Sub אתם יכולים לנתב יומני ביקורת לאפליקציות אחרות, למאגרים אחרים ולצדדים שלישיים.

  • כדי לנהל את יומני הביקורת בארגון כולו, אתם יכולים ליצור אובייקטים נצברים מסוג sink שיכולים לנתב יומנים מכל הפרויקטים ב-Firebase, או מחלקם.

  • אם הכתיבה שמופעלת ביומני הביקורת Data Access גורמת לחריגה ממכסת הרישומים שלכם ביומן בפרויקטים ב-Firebase, אתם יכולים ליצור אובייקטים מסוג sink שיחריגו את הכתיבה ליומני Data Access מ-Firebase Logging.

להוראות לגבי ניתוב יומנים קראו את המאמר הגדרה של אובייקטים מסוג sink.

תמחור

יומני הביקורת Admin Activity ויומני הביקורת System Event זמינים ללא תשלום.

יומני ביקורת של גישה לנתונים ויומני ביקורת של דחיית בקשות בהתאם למדיניות כפופים לחיוב.

למידע נוסף על התמחור של Cloud Logging, ראו תמחור חבילת התפעול של Google Cloud: ‏Cloud Logging.