Ghi nhật ký kiểm tra cho Firebase Data Connect

Trang này mô tả nhật ký kiểm tra do Firebase tạo trong Nhật ký kiểm tra trên Cloud.

Tổng quan

Các dịch vụ Firebase ghi nhật ký kiểm tra để giúp bạn trả lời các câu hỏi "Ai đã làm gì, ở đâu và khi nào?". Đây là Nhật ký kiểm tra trên đám mây, được cung cấp trong dự án Google Cloud được kết nối với dự án Firebase của bạn.

Mỗi dự án Firebase chỉ chứa nhật ký kiểm tra cho các tài nguyên trực tiếp trong dự án.

Để biết thông tin tổng quan chung về Nhật ký kiểm tra trên Cloud, hãy xem bài viết Tổng quan về Nhật ký kiểm tra trên Cloud. Để hiểu rõ hơn về định dạng nhật ký kiểm tra, hãy xem bài viết Tìm hiểu về nhật ký kiểm tra.

Các nhật ký kiểm tra hiện có

Có các loại nhật ký kiểm tra sau đây cho Firebase Data Connect:

  • Nhật ký kiểm tra Hoạt động của quản trị viên

    Bao gồm các thao tác "viết quản trị" để ghi siêu dữ liệu hoặc thông tin cấu hình.

    Bạn không thể tắt nhật ký kiểm tra Hoạt động của quản trị viên.

  • Nhật ký kiểm tra quyền truy cập dữ liệu

    Bao gồm các thao tác "đọc quyền quản trị" đọc siêu dữ liệu hoặc thông tin cấu hình. Ngoài ra, còn bao gồm các thao tác "đọc dữ liệu" và "ghi dữ liệu" giúp đọc hoặc ghi dữ liệu do người dùng cung cấp.

    Để nhận nhật ký kiểm tra quyền truy cập dữ liệu, bạn phải bật nhật ký này một cách rõ ràng.

Để biết nội dung mô tả đầy đủ hơn về các loại nhật ký kiểm tra, hãy xem bài viết Các loại nhật ký kiểm tra.

Hoạt động đã kiểm tra

Phần sau đây tóm tắt những thao tác API tương ứng với từng loại nhật ký kiểm tra trong Firebase Data Connect:

Loại quyền Phương thức
ADMIN_READ google.firebase.dataconnect.v1alpha.FirebaseDataConnect.GetConnector
google.firebase.dataconnect.v1alpha.FirebaseDataConnect.GetSchema
google.firebase.dataconnect.v1alpha.FirebaseDataConnect.GetService
google.firebase.dataconnect.v1alpha.FirebaseDataConnect.ListConnectors
google.firebase.dataconnect.v1alpha.FirebaseDataConnect.ListSchemas
google.firebase.dataconnect.v1alpha.FirebaseDataConnect.ListServices
ADMIN_WRITE google.firebase.dataconnect.v1alpha.FirebaseDataConnect.CreateConnector
google.firebase.dataconnect.v1alpha.FirebaseDataConnect.CreateSchema
google.firebase.dataconnect.v1alpha.FirebaseDataConnect.CreateService
google.firebase.dataconnect.v1alpha.FirebaseDataConnect.DeleteConnector
google.firebase.dataconnect.v1alpha.FirebaseDataConnect.DeleteSchema
google.firebase.dataconnect.v1alpha.FirebaseDataConnect.DeleteService
google.firebase.dataconnect.v1alpha.FirebaseDataConnect.UpdateConnector
google.firebase.dataconnect.v1alpha.FirebaseDataConnect.UpdateSchema
google.firebase.dataconnect.v1alpha.FirebaseDataConnect.UpdateService

Định dạng nhật ký kiểm tra

Mục nhập nhật ký kiểm tra bao gồm các đối tượng sau:

  • Bản thân mục nhập nhật ký là một đối tượng thuộc loại LogEntry. Sau đây là một số trường hữu ích:

    • logName chứa mã nhận dạng tài nguyên và loại nhật ký kiểm tra.
    • resource chứa mục tiêu của thao tác được kiểm tra.
    • timestamp chứa thời gian của thao tác được kiểm tra.
    • protoPayload chứa thông tin được kiểm tra.
  • Dữ liệu nhật ký kiểm tra, là một đối tượng AuditLog được lưu giữ trong trường protoPayload của mục nhập nhật ký.

  • Thông tin kiểm tra không bắt buộc theo dịch vụ, là một đối tượng theo dịch vụ. Đối với các chế độ tích hợp cũ, đối tượng này được lưu giữ trong trường serviceData của đối tượng AuditLog; các chế độ tích hợp mới hơn sử dụng trường metadata.

Để biết các trường khác trong các đối tượng này và cách diễn giải các trường đó, hãy xem bài viết Tìm hiểu nhật ký kiểm tra.

Tên nhật ký

Tên tài nguyên Nhật ký kiểm tra trên Cloud cho biết dự án Firebase hoặc thực thể Google Cloud khác sở hữu nhật ký kiểm tra, cũng như liệu nhật ký có chứa dữ liệu nhật ký kiểm tra Hoạt động của quản trị viên, Quyền truy cập dữ liệu, Bị từ chối theo chính sách hoặc Sự kiện hệ thống hay không. Ví dụ: phần sau đây cho thấy tên nhật ký cho nhật ký kiểm tra Hoạt động của quản trị viên cấp dự án và nhật ký kiểm tra Quyền truy cập dữ liệu của tổ chức. Các biến này biểu thị giá trị nhận dạng dự án và tổ chức Firebase.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Tên dịch vụ

Nhật ký kiểm tra Firebase Data Connect sử dụng tên dịch vụ firebasedataconnect.googleapis.com.

Để biết danh sách đầy đủ tất cả tên dịch vụ API Cloud Logging và loại tài nguyên được giám sát tương ứng, hãy xem phần Liên kết dịch vụ với tài nguyên.

Loại tài nguyên

Nhật ký kiểm tra Firebase Data Connect sử dụng loại tài nguyên audited_resource cho tất cả nhật ký kiểm tra.

Để biết danh sách tất cả các loại tài nguyên được theo dõi bằng tính năng Nhật ký trên đám mây và thông tin mô tả, hãy xem phần Các loại tài nguyên được theo dõi.

Bật tính năng ghi nhật ký kiểm tra

Nhật ký kiểm tra Hoạt động của quản trị viên luôn bật; bạn không thể tắt nhật ký này.

Nhật ký kiểm tra quyền truy cập dữ liệu bị tắt theo mặc định và không được ghi trừ khi được bật rõ ràng (ngoại lệ là nhật ký kiểm tra quyền truy cập dữ liệu cho BigQuery, không thể tắt).

Để biết hướng dẫn bật một số hoặc tất cả nhật ký kiểm tra Quyền truy cập dữ liệu, hãy xem phần Định cấu hình nhật ký Quyền truy cập dữ liệu.

Quyền và vai trò

Các quyền và vai trò Cloud IAM xác định khả năng bạn truy cập vào dữ liệu trong nhật ký kiểm tra của tài nguyên Google Cloud.

Khi quyết định quyền và vai trò dành riêng cho tính năng Ghi nhật ký nào áp dụng cho trường hợp sử dụng của bạn, hãy cân nhắc những điều sau:

  • Vai trò Người xem nhật ký (roles/logging.viewer) cấp cho bạn quyền chỉ có thể đọc đối với các nhật ký kiểm tra Hoạt động của quản trị viên, Chính sách bị từ chối và Sự kiện hệ thống. Nếu chỉ có vai trò này, bạn sẽ không thể xem nhật ký kiểm tra Quyền truy cập dữ liệu trong bộ chứa _Default.

  • Vai trò Người xem nhật ký riêng tư(roles/logging.privateLogViewer) bao gồm các quyền có trong roles/logging.viewer, cùng với khả năng đọc các nhật ký kiểm tra Quyền truy cập dữ liệu trong bộ chứa _Default.

    Xin lưu ý rằng nếu các nhật ký riêng tư này được lưu trữ trong các bộ chứa do người dùng xác định, thì mọi người dùng có quyền đọc nhật ký trong các bộ chứa đó đều có thể đọc nhật ký riêng tư. Để biết thêm thông tin về bộ chứa nhật ký, hãy xem bài viết Tổng quan về việc định tuyến và lưu trữ.

Để biết thêm thông tin về các quyền và vai trò của Cloud IAM áp dụng cho dữ liệu nhật ký kiểm tra, hãy xem phần Kiểm soát quyền truy cập.

Xem nhật ký

Để tìm và xem nhật ký kiểm tra, bạn cần biết giá trị nhận dạng của dự án, thư mục hoặc tổ chức Firebase mà bạn muốn xem thông tin nhật ký kiểm tra. Bạn có thể chỉ định thêm các trường LogEntry được lập chỉ mục khác, chẳng hạn như resource.type; để biết thông tin chi tiết, hãy xem phần Tìm nhanh các mục nhập nhật ký.

Sau đây là tên nhật ký kiểm tra; các tên này bao gồm các biến cho giá trị nhận dạng của dự án, thư mục hoặc tổ chức Firebase:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Bạn có thể xem nhật ký kiểm tra trong Cloud Logging bằng Google Cloud Console, công cụ dòng lệnh gcloud hoặc API Logging.

Bảng điều khiển

Bạn có thể sử dụng Trình khám phá nhật ký trong Google Cloud Console để truy xuất các mục nhật ký kiểm tra cho dự án, thư mục hoặc tổ chức Firebase:

  1. Trong Google Cloud Console, hãy chuyển đến trang Logging > Logs Explorer (Ghi nhật ký > Trình khám phá nhật ký).

    Chuyển đến trang Trình khám phá nhật ký

  2. Trên trang Trình khám phá nhật ký, hãy chọn một dự án, thư mục hoặc tổ chức Firebase hiện có.

  3. Trong ngăn Trình tạo truy vấn, hãy làm như sau:

    • Trong mục Loại tài nguyên, hãy chọn tài nguyên Google Cloud có nhật ký kiểm tra mà bạn muốn xem.

    • Trong mục Tên nhật ký, hãy chọn loại nhật ký kiểm tra mà bạn muốn xem:

      • Đối với nhật ký kiểm tra Hoạt động của quản trị viên, hãy chọn hoạt động.
      • Đối với nhật ký kiểm tra Quyền truy cập dữ liệu, hãy chọn data_access.
      • Đối với nhật ký kiểm tra Sự kiện hệ thống, hãy chọn system_event.
      • Đối với nhật ký kiểm tra bị từ chối do chính sách, hãy chọn chính sách.

    Nếu bạn không thấy các tuỳ chọn này, thì tức là không có nhật ký kiểm tra thuộc loại đó trong dự án, thư mục hoặc tổ chức Firebase.

    Để biết thêm thông tin chi tiết về cách truy vấn bằng Trình khám phá nhật ký, hãy xem phần Tạo truy vấn nhật ký.

gcloud

Công cụ dòng lệnh gcloud cung cấp giao diện dòng lệnh cho API ghi nhật ký trên đám mây. Cung cấp PROJECT_ID, FOLDER_ID hoặc ORGANIZATION_ID hợp lệ trong mỗi tên nhật ký.

Để đọc các mục nhật ký kiểm tra cấp dự án Firebase, hãy chạy lệnh sau:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID

Để đọc các mục nhập nhật ký kiểm tra ở cấp thư mục, hãy chạy lệnh sau:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID

Để đọc các mục nhập nhật ký kiểm tra ở cấp tổ chức, hãy chạy lệnh sau:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID

Để biết thêm thông tin về cách sử dụng công cụ gcloud, hãy xem phần Đọc mục nhập nhật ký.

API

Khi tạo truy vấn, hãy thay thế các biến bằng các giá trị hợp lệ, thay thế tên hoặc giá trị nhận dạng nhật ký kiểm tra cấp dự án, cấp thư mục hoặc cấp tổ chức thích hợp như được liệt kê trong tên nhật ký kiểm tra. Ví dụ: nếu truy vấn của bạn bao gồm PROJECT_ID, thì mã nhận dạng dự án mà bạn cung cấp phải tham chiếu đến dự án Firebase đang được chọn.

Để sử dụng API Ghi nhật ký nhằm xem các mục trong nhật ký kiểm tra, hãy làm như sau:

  1. Chuyển đến phần Thử API này trong tài liệu về phương thức entries.list.

  2. Đặt nội dung sau vào phần Nội dung yêu cầu của biểu mẫu Thử API này. Khi nhấp vào biểu mẫu được điền sẵn này, phần nội dung yêu cầu sẽ tự động được điền, nhưng bạn cần cung cấp một PROJECT_ID hợp lệ trong mỗi tên nhật ký.

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
    
  3. Nhấp vào Thực thi.

Để biết thêm thông tin chi tiết về việc truy vấn, hãy xem phần Ngôn ngữ truy vấn ghi nhật ký.

Để xem ví dụ về mục nhập nhật ký kiểm tra và cách tìm thông tin quan trọng nhất trong đó, hãy xem phần Mẫu mục nhập nhật ký kiểm tra.

Chuyển hướng nhật ký kiểm tra

Bạn có thể định tuyến nhật ký kiểm tra đến các đích đến được hỗ trợ theo cách tương tự như cách bạn có thể định tuyến các loại nhật ký khác. Dưới đây là một số lý do khiến bạn nên định tuyến nhật ký kiểm tra:

  • Để lưu giữ nhật ký kiểm tra trong thời gian dài hơn hoặc sử dụng các chức năng tìm kiếm mạnh mẽ hơn, bạn có thể chuyển các bản sao nhật ký kiểm tra sang Google Cloud Storage, BigQuery hoặc Google Cloud Pub/Sub. Khi sử dụng Cloud Pub/Sub, bạn có thể định tuyến đến các ứng dụng, kho lưu trữ khác và đến các bên thứ ba.

  • Để quản lý nhật ký kiểm tra trên toàn bộ tổ chức, bạn có thể tạo công cụ tổng hợp lưu trữ có thể định tuyến nhật ký từ bất kỳ hoặc tất cả dự án Firebase trong tổ chức.

  • Nếu nhật ký kiểm tra quyền truy cập dữ liệu đã bật đang đẩy các dự án Firebase của bạn vượt quá hạn mức nhật ký, bạn có thể tạo các bồn lưu trữ loại trừ nhật ký kiểm tra quyền truy cập dữ liệu khỏi tính năng Ghi nhật ký.

Để biết hướng dẫn về cách định tuyến nhật ký, hãy xem phần Định cấu hình bồn lưu trữ.

Giá

Nhật ký kiểm tra Hoạt động của quản trị viênNhật ký kiểm tra Sự kiện hệ thống là miễn phí.

Bạn sẽ phải trả phí để xem Nhật ký kiểm tra quyền truy cập dữ liệuNhật ký kiểm tra trường hợp bị từ chối theo chính sách.

Để biết thêm thông tin về giá của Cloud Logging, hãy xem bài viết Giá của bộ công cụ hoạt động của Google Cloud: Cloud Logging.