בדף הזה מתוארים יומני הביקורת שנוצרים על ידי Firebase כחלק מיומני הביקורת של Cloud.
סקירה כללית
יומני הביקורת של שירותי Firebase מיועדים לענות על השאלות 'מי עשה מה, איפה ומתי?'. אלה יומני ביקורת של Cloud, שסופקו כחלק מ הפרויקט Google Cloud שמקושר לפרויקט Firebase.
כל אחד מהפרויקטים ב-Firebase כולל רק את יומני הביקורת של המשאבים שמשויכים ישירות לפרויקט.
לפרטים נוספים, ראו סקירה כללית על יומני הביקורת של Cloud. להבנה עמוקה יותר של הפורמט של יומני הביקורת, קראו את המאמר הסבר על יומני הביקורת.
יומני הביקורת הזמינים
אלה סוגי יומני הביקורת שזמינים ב-Firebase App Hosting:
-
יומני הביקורת Admin Activity
כוללים רישום של פעולות במסגרת הרשאת admin write, שבהן נכתב מידע במטא-נתונים או ההגדרות.
לא ניתן להשבית את יומני הביקורת Admin Activity.
-
יומני הביקורת Data Access
כוללים רישום של פעולות במסגרת הרשאת admin read, שבהן נקרא מידע ממטא-נתונים או מהגדרות. היומנים כוללים גם פעולות במסגרת ההרשאות data read ו-data write, שבהן נקראים או נכתבים נתונים שהמשתמשים סיפקו.
כדי לקבל את יומני הביקורת Data Access, אתם צריכים להפעיל אותם באופן מפורש.
לתיאורים מלאים של סוגי יומני הביקורת, קראו את המאמר סוגים של יומני ביקורת.
פעולות מבוקרות
הטבלה הבאה מסכמת אילו פעולות API מתאימות לכל סוג של רישום ביומן הביקורת ב-Firebase App Hosting:
סוג ההרשאה | Methods |
---|---|
ADMIN_READ |
google.firebase.apphosting.v1alpha.AppHosting.GetBackend google.firebase.apphosting.v1alpha.AppHosting.GetBuild google.firebase.apphosting.v1alpha.AppHosting.GetRollout google.firebase.apphosting.v1alpha.AppHosting.GetTraffic google.firebase.apphosting.v1alpha.AppHosting.ListBackends google.firebase.apphosting.v1alpha.AppHosting.ListBuilds google.firebase.apphosting.v1alpha.AppHosting.ListDomains google.firebase.apphosting.v1alpha.AppHosting.ListRollouts google.firebase.apphosting.v1beta.AppHosting.GetBackend google.firebase.apphosting.v1beta.AppHosting.GetBuild google.firebase.apphosting.v1beta.AppHosting.GetDomain google.firebase.apphosting.v1beta.AppHosting.GetTraffic google.firebase.apphosting.v1beta.AppHosting.ListBackends google.firebase.apphosting.v1beta.AppHosting.ListBuilds google.firebase.apphosting.v1beta.AppHosting.ListDomains google.firebase.apphosting.v1beta.AppHosting.ListRollouts |
ADMIN_WRITE |
google.firebase.apphosting.v1alpha.AppHosting.CreateBackend google.firebase.apphosting.v1alpha.AppHosting.CreateBuild google.firebase.apphosting.v1alpha.AppHosting.CreateDomain google.firebase.apphosting.v1alpha.AppHosting.CreateRollout google.firebase.apphosting.v1alpha.AppHosting.DeleteBackend google.firebase.apphosting.v1alpha.AppHosting.DeleteBuild google.firebase.apphosting.v1alpha.AppHosting.DeleteDomain google.firebase.apphosting.v1alpha.AppHosting.UpdateBuild google.firebase.apphosting.v1alpha.AppHosting.UpdateTraffic google.firebase.apphosting.v1beta.AppHosting.CreateBackend google.firebase.apphosting.v1beta.AppHosting.CreateBuild google.firebase.apphosting.v1beta.AppHosting.CreateDomain google.firebase.apphosting.v1beta.AppHosting.CreateRollout google.firebase.apphosting.v1beta.AppHosting.DeleteBackend google.firebase.apphosting.v1beta.AppHosting.DeleteBuild google.firebase.apphosting.v1beta.AppHosting.DeleteDomain google.firebase.apphosting.v1beta.AppHosting.UpdateBackend google.firebase.apphosting.v1beta.AppHosting.UpdateDomain google.firebase.apphosting.v1beta.AppHosting.UpdateTraffic |
הפורמט של יומן הביקורת
הרשומות ביומן הביקורת כוללות את האובייקטים הבאים:
הרשומה עצמה, שהיא אובייקט מסוג
LogEntry
. אלה כמה מהשדות השימושיים ברשומה:- השדה
logName
מכיל את מזהה המשאב ואת סוג יומן הביקורת. - השדה
resource
מכיל את היעד של הפעולה המבוקרת. - השדה
timestamp
מכיל את השעה של הפעולה המבוקרת. - השדה
protoPayload
מכיל את המידע המבוקר.
- השדה
אובייקט מסוג
AuditLog
ששמור בשדהprotoPayload
של הרשומה ביומן, ומכיל את הנתונים של יומני הביקורת.אובייקט ספציפי לשירות שמכיל מידע אופציונלי על ביקורת ספציפית לשירות. בשילובים ישנים יותר, האובייקט הזה נשמר בשדה
serviceData
של האובייקטAuditLog
. בשילובים חדשים יותר נעשה שימוש בשדהmetadata
.
למידע על שדות אחרים באובייקטים האלה, ואיך לפרש אותם, קראו את המאמר הסבר על יומני הביקורת.
שם יומן הביקורת
השמות של המשאבים ביומני הביקורת ב-Cloud מציינים את הפרויקט ב-Firebase או ישות אחרתGoogle Cloud שיומני הביקורת בבעלותם. בנוסף, הם מציינים אם היומן מכיל נתוני ביקורת מסוג Admin Activity, Data Access, Policy Denied או System Event. לדוגמה, בהמשך מוצגים שמות של יומני ביקורת ברמת הפרויקט של פעילות אדמין ויומני ביקורת של גישה לנתונים ברמת הארגון. המשתנים מייצגים את המזהים של הפרויקט והארגון ב-Firebase.
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
שם השירות
יומני הביקורת של Firebase App Hosting משתמשים בשם השירות
firebaseapphosting.googleapis.com
.
במאמר מיפוי השירותים למשאבים תוכלו למצוא רשימה מלאה של כל שמות השירותים של Cloud Logging API וסוגי המשאבים במעקב שתואמים להם.
סוגי המשאבים
יומני הביקורת של Firebase App Hosting משתמשים בסוג המשאב audited_resource
בכל יומני הביקורת.
במאמר סוגי המשאבים במעקב תוכלו למצוא רשימה של כל סוגי המשאבים במעקב ב-Cloud Logging ותיאור שלהם.
הפעלת רישום ביומן ביקורת
יומני הביקורת Admin Activity תמיד מופעלים, ולא ניתן להשבית אותם.
יומני הביקורת Data Access מושבתים כברירת מחדל, ולא מתעדכנים אלא אם כן מפעילים אותם בצורה מפורשת (למעט יומני Data Access של BigQuery, שלא ניתן להשבית אותם).
להוראות להפעלת חלק מיומני הביקורת Data Access או את כולם, ראו הגדרת יומני Data Access.
הרשאות ותפקידים
ההרשאות והתפקידים ב-Cloud IAM קובעים את אפשרויות הגישה שלכם לנתוני יומני הביקורת במשאבי Google Cloud.
כשמחליטים אילו הרשאות ותפקידים ספציפיים לרישום ביומן יחולו על התרחיש לדוגמה שלכם, מומלץ להביא בחשבון את הנקודות הבאות:
התפקיד 'צפייה ביומנים' (
roles/logging.viewer
) נותן הרשאת קריאה בלבד ביומני הביקורת Admin Activity, Policy Denied ו-System Event. משתמשים שהוקצה להם רק התפקיד הזה לא יכולים לצפות ביומני הביקורת Data Access שנמצאים בקטגוריה_Default
.התפקיד 'צפייה ביומנים פרטיים' (
(roles/logging.privateLogViewer
) כולל את ההרשאות שכלולות בתפקידroles/logging.viewer
, וגם את האפשרות לקרוא את יומני הביקורת Data Access בקטגוריה_Default
.חשוב לזכור שאם היומנים הפרטיים האלה מאוחסנים בקטגוריות שהוגדרו על ידי משתמשים, כל משתמש שיש לו הרשאה לקרוא את היומנים בקטגוריות האלה יוכל לקרוא את היומנים הפרטיים. מידע נוסף על קטגוריות ביומן מופיע במאמר סקירה כללית על ניתוב ואחסון.
במאמר בקרת גישה תוכלו לקרוא מידע נוסף על ההרשאות והתפקידים ב-Cloud IAM שחלים על הנתונים של יומני הביקורת.
צפייה ביומנים
כדי למצוא ולצפות ביומני ביקורת, עליכם לדעת את המזהה של הפרויקט, התיקייה או הארגון ב-Firebase שעבורם רוצים להציג את המידע של יומני הביקורת. תוכלו להוסיף עוד שדות מסוג LogEntry
שנוספו לאינדקס, כמו resource.type
. פרטים נוספים זמינים במאמר חיפוש מהיר של רשומות ביומן.
אלה השמות של יומני הביקורת, עם משתנים שיוחלפו במזהי הפרויקט, התיקייה או הארגון ב-Firebase:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
אתם יכולים לצפות ביומני ביקורת ב-Cloud Logging באמצעות מסוף Google Cloud, כלי שורת הפקודה gcloud
או Logging API.
המסוף
במסוף Google Cloud, תוכלו להשתמש ב-Logs Explorer כדי לאחזר את הרשומות ביומן הביקורת של הפרויקט, התיקייה או הארגון ב-Firebase:
נכנסים לדף Logging > Logs Explorer במסוף Google Cloud.
בדף Logs Explorer, בוחרים פרויקט, תיקייה או ארגון קיימים ב-Firebase.
בחלונית Query builder:
בקטע Resource type, בוחרים את המשאב Google Cloud שרוצים לראות את יומני הביקורת שלו.
בקטע Log name, בוחרים את סוג יומן הביקורת שרוצים לראות:
- ליומני הביקורת Admin Activity בוחרים באפשרות activity.
- ליומני הביקורת Data Access בוחרים באפשרות data_access.
- ליומני הביקורת System Event בוחרים באפשרות system_event.
- ליומני הביקורת Policy Denied בוחרים באפשרות policy.
אם האפשרויות האלה לא מוצגות, המשמעות היא שאין יומני ביקורת מאותו סוג בפרויקט, בתיקייה או בארגון ב-Firebase.
מידע נוסף על שליחת שאילתות באמצעות Logs Explorer זמין במאמר יצירת שאילתות ביומן.
gcloud
כלי שורת הפקודה gcloud
מספק ממשק שורת פקודה ל-Cloud Logging API. חשוב לציין PROJECT_ID
, FOLDER_ID
או ORGANIZATION_ID
תקין בכל אחד משמות היומנים.
כדי לקרוא את הרשומות ביומן הביקורת ברמת הפרויקט ב-Firebase, מריצים את הפקודה הבאה:
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID
כדי לקרוא את הרשומות ביומן הביקורת ברמת התיקייה, מריצים את הפקודה הבאה:
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID
כדי לקרוא את הרשומות ביומן הביקורת ברמת הארגון, מריצים את הפקודה הבאה:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID
למידע נוסף על השימוש בכלי gcloud
, ראו קריאת רשומות ביומן.
API
כשיוצרים את השאילתות, מחליפים את המשתנים בערכים תקינים, מחליפים את השם או המזהים המתאימים של יומן הביקורת ברמת הפרויקט, התיקייה או הארגון, כפי שמפורטים בשמות של יומני הביקורת. לדוגמה, אם שאילתה כוללת את השדה PROJECT_ID, מזהה הפרויקט שאתם מציינים חייב להתייחס לפרויקט ב-Firebase שבחרתם.
כדי להשתמש ב-Logging API כדי לבדוק את הרשומות ביומן הביקורת:
עוברים לקטע Try this API במאמרי העזרה של ה-method
entries.list
.מזינים את הפרטים הבאים בקטע Request body בטופס Try this API. אם לוחצים על הטופס למילוי פרטים אוטומטי, גוף הבקשה יאוכלס בפרטים באופן אוטומטי אבל תצטרכו לציין
PROJECT_ID
תקין בכל אחד משמות יומני הביקורת.{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }
לוחצים על Execute.
פרטים נוספים על שליחת שאילתות זמינים במאמר שפת השאילתות של Cloud Logging.
בדוגמה הבאה מופיעה רשומה ביומן הביקורת, ומוסבר איך למצוא את המידע החשוב ביותר בה. תוכלו לקרוא את המאמר דוגמה לרשומה ביומן ביקורת.
ניתוב של יומני ביקורת
אתם יכולים לנתב יומני ביקורת ליעדים נתמכים באותו אופן שבו אתם יכולים לנתב סוגים אחרים של יומנים. כמה סיבות לניתוב יומני הביקורת:
אתם יכולים לנתב עותקים של יומני הביקורת ל-Google Cloud Storage, ל-BigQuery או ל-Google Cloud Pub/Sub, כדי לשמור את יומני הביקורת לפרק זמן ארוך יותר ולהשתמש ביכולות חיפוש מתקדמות יותר. באמצעות Cloud Pub/Sub אתם יכולים לנתב יומני ביקורת לאפליקציות אחרות, למאגרים אחרים ולצדדים שלישיים.
כדי לנהל את יומני הביקורת בארגון כולו, אתם יכולים ליצור אובייקטים נצברים מסוג sink שיכולים לנתב יומנים מכל הפרויקטים ב-Firebase, או מחלקם.
- אם הכתיבה שמופעלת ביומני הביקורת Data Access גורמת לחריגה ממכסת הרישומים שלכם ביומן בפרויקטים ב-Firebase, אתם יכולים ליצור אובייקטים מסוג sink שיחריגו את הכתיבה ליומני Data Access מ-Firebase Logging.
להוראות לגבי ניתוב יומנים קראו את המאמר הגדרה של אובייקטים מסוג sink.
תמחור
יומני הביקורת Admin Activity ויומני הביקורת System Event זמינים ללא תשלום.
יומני ביקורת של גישה לנתונים ויומני ביקורת של דחיית בקשות בהתאם למדיניות כפופים לחיוב.
למידע נוסף על התמחור של Cloud Logging, ראו תמחור חבילת התפעול של Google Cloud: Cloud Logging.