| Nur für die Cloud Firestore Enterprise-Edition relevant. |
In diesem Dokument wird das Audit-Logging für Cloud Firestore mit MongoDB-Kompatibilität beschrieben. Google Cloud-Dienste generieren Audit-Logs, in denen Verwaltungs- und Zugriffsaktivitäten in Ihren Google Cloud-Ressourcen aufgezeichnet werden.
Weitere Informationen zu Cloud-Audit-Logs finden Sie unter den folgenden Links:
- Arten von Audit-Logs
- Struktur von Audit-Logeinträgen
- Audit-Logs speichern und weiterleiten
- Cloud Logging Zusammenfassung der Preise
- Audit-Logs zum Datenzugriff aktivieren
Hinweise
Verwenden Sie bei der Konfiguration der Audit-Logs den Dienstnamen datastore.googleapis.com, um sowohl datastore.googleapis.com als auch firestore.googleapis.com.
Once configured, logs for the Cloud Firestore with MongoDB compatibility API include the service namefirestore.googleapis.com` zu konfigurieren.
Die Zeit, die für die Verarbeitung einer DATA_READ- oder DATA_WRITE-Anfrage benötigt wurde, finden Sie im Feld processing_duration des metadata-Objekts einer AuditLog.
Das Feld processing_duration beschreibt die Zeit, die die Datenbank für die Verarbeitung einer Anfrage benötigt hat. Sie ist geringer als die Endnutzerlatenz. Insbesondere ist kein Netzwerk-Overhead enthalten.
Dienstname
Für Cloud Firestore-Audit-Logs wird der Dienstname firestore.googleapis.com verwendet.
Nach diesem Dienst filtern:
protoPayload.serviceName="firestore.googleapis.com"
Methoden nach Berechtigungstyp
Jede IAM-Berechtigung hat ein type-Attribut, dessen Wert „enum“ ist. Er kann einen der folgenden vier Werte haben: ADMIN_READ, ADMIN_WRITE, DATA_READ oder DATA_WRITE. Wenn Sie eine Methode aufrufen, generiert Cloud Firestore ein Audit-Log, dessen Kategorie vom Attribut type der Berechtigung abhängt, die für die Ausführung der Methode erforderlich ist.
Methoden, die eine IAM-Berechtigung mit dem type-Attributwert DATA_READ, DATA_WRITE oder ADMIN_READ erfordern, generieren Audit-Logs zum Datenzugriff.
Methoden, die eine IAM-Berechtigung mit dem type-Attributwert ADMIN_WRITE erfordern, generieren Audit-Logs zur Administratoraktivität.
| Berechtigungstyp | Methoden |
|---|---|
ADMIN_READ |
google.cloud.location.Locations.GetLocationgoogle.cloud.location.Locations.ListLocationsgoogle.firestore.admin.v1.FirestoreAdmin.GetBackupgoogle.firestore.admin.v1.FirestoreAdmin.GetBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.GetDatabasegoogle.firestore.admin.v1.FirestoreAdmin.GetFieldgoogle.firestore.admin.v1.FirestoreAdmin.GetIndexgoogle.firestore.admin.v1.FirestoreAdmin.ListBackupSchedulesgoogle.firestore.admin.v1.FirestoreAdmin.ListBackupsgoogle.firestore.admin.v1.FirestoreAdmin.ListDatabasesgoogle.firestore.admin.v1.FirestoreAdmin.ListFieldsgoogle.firestore.admin.v1.FirestoreAdmin.ListIndexesgoogle.firestore.admin.v1beta1.FirestoreAdmin.GetIndexgoogle.firestore.admin.v1.MongoDBCompatible.ListIndexesgoogle.firestore.admin.v1.MongoDBCompatible.ListDatabases
|
ADMIN_WRITE |
google.firestore.admin.v1.FirestoreAdmin.CreateBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.CreateDatabasegoogle.firestore.admin.v1.FirestoreAdmin.CreateIndexgoogle.firestore.admin.v1.FirestoreAdmin.DeleteBackupgoogle.firestore.admin.v1.FirestoreAdmin.DeleteBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.DeleteDatabasegoogle.firestore.admin.v1.FirestoreAdmin.DeleteIndexgoogle.firestore.admin.v1.FirestoreAdmin.RestoreDatabasegoogle.firestore.admin.v1.FirestoreAdmin.UpdateBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.UpdateDatabasegoogle.firestore.admin.v1.FirestoreAdmin.UpdateFieldgoogle.longrunning.Operations.CancelOperationgoogle.longrunning.Operations.DeleteOperation
|
DATA_READ |
google.firestore.v1.MongoDBCompatible.Findgoogle.firestore.v1.MongoDBCompatible.Aggregategoogle.firestore.v1.MongoDBCompatible.GetMoregoogle.firestore.v1.MongoDBCompatible.ListCollectionsgoogle.firestore.v1.MongoDBCompatible.Countgoogle.firestore.v1.MongoDBCompatible.Distinctgoogle.firestore.v1.MongoDBCompatible.CommitTransactiongoogle.firestore.v1.MongoDBCompatible.AbortTransactiongoogle.firestore.v1.MongoDBCompatible.EndSessionsgoogle.firestore.v1.MongoDBCompatible.KillCursors
|
DATA_WRITE |
google.firestore.v1.MongoDBCompatible.Insertgoogle.firestore.v1.MongoDBCompatible.Updategoogle.firestore.v1.MongoDBCompatible.Deletegoogle.firestore.v1.MongoDBCompatible.FindAndModifygoogle.firestore.v1.MongoDBCompatible.CreateCollection
|
Anrufer von Anfragen identifizieren
Audit-Logeinträge enthalten Informationen zur Identität des Nutzers, der den protokollierten Vorgang ausgeführt hat. Die folgenden Felder in einem AuditLog-Objekt geben Aufschluss darüber, wer eine Anfrage stellt:
Die Identität des Aufrufers wird im Feld
AuthenticationInfogespeichert. Dazu kann auch dieprincipalEmaildes Nutzers gehören. Diese Informationen werden manchmal entfernt.Das Feld
callerIpimrequestMetadata-Objekt einesAuditLog-Eintrags enthält die IP-Adresse des Anrufers.