Questo documento descrive l'audit logging per Cloud Firestore. I servizi Google Cloud generano audit log che registrano le attività amministrative e di accesso all'interno delle tue risorse Google Cloud.
Per ulteriori informazioni su Cloud Audit Logs, consulta quanto segue:
- Tipi di audit log
- Struttura della voce di audit log
- Archiviazione e routing degli audit log
- Riepilogo dei prezzi di Cloud Logging
- Abilita gli audit log di accesso ai dati
Note
Quando configuri la registrazione degli audit, utilizza il nome servizio datastore.googleapis.com
per configurare sia datastore.googleapis.com sia firestore.googleapis.com.
Once configured, logs for the Cloud Firestore API include the service namefirestore.googleapis.com`.
Per visualizzare il tempo impiegato per elaborare una richiesta DATA_READ o DATA_WRITE, consulta
il campo processing_duration all'interno dell'oggetto metadata di un AuditLog.
Il campo processing_duration descrive il tempo impiegato dal database per elaborare una richiesta. Questo valore è inferiore alla latenza dell'utente finale. In particolare, non include l'overhead di rete.
Nome servizio
Gli audit log di Cloud Firestore utilizzano il nome servizio firestore.googleapis.com.
Filtra per questo servizio:
protoPayload.serviceName="firestore.googleapis.com"
Metodi per tipo di autorizzazione
Ogni autorizzazione IAM ha una proprietà type, il cui valore è un enum che può essere uno dei quattro valori: ADMIN_READ, ADMIN_WRITE, DATA_READ o DATA_WRITE. Quando chiami un metodo, Cloud Firestore genera un audit log la cui categoria dipende dalla
proprietà type dell'autorizzazione richiesta per eseguire il metodo.
I metodi che richiedono un'autorizzazione IAM con il valore della proprietà type
DATA_READ, DATA_WRITE o ADMIN_READ generano
audit log degli accessi ai dati.
I metodi che richiedono un'autorizzazione IAM con il valore della proprietà type
ADMIN_WRITE generano
audit log delle Attività di amministrazione.
| Tipo di autorizzazione | Metodi |
|---|---|
ADMIN_READ |
google.cloud.location.Locations.GetLocationgoogle.cloud.location.Locations.ListLocationsgoogle.firestore.admin.v1.FirestoreAdmin.GetBackupgoogle.firestore.admin.v1.FirestoreAdmin.GetBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.GetDatabasegoogle.firestore.admin.v1.FirestoreAdmin.GetFieldgoogle.firestore.admin.v1.FirestoreAdmin.GetIndexgoogle.firestore.admin.v1.FirestoreAdmin.ListBackupSchedulesgoogle.firestore.admin.v1.FirestoreAdmin.ListBackupsgoogle.firestore.admin.v1.FirestoreAdmin.ListDatabasesgoogle.firestore.admin.v1.FirestoreAdmin.ListFieldsgoogle.firestore.admin.v1.FirestoreAdmin.ListIndexesgoogle.firestore.admin.v1beta1.FirestoreAdmin.GetIndexgoogle.firestore.admin.v1.MongoDBCompatible.ListIndexesgoogle.firestore.admin.v1.MongoDBCompatible.ListDatabases
|
ADMIN_WRITE |
google.firestore.admin.v1.FirestoreAdmin.CreateBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.CreateDatabasegoogle.firestore.admin.v1.FirestoreAdmin.CreateIndexgoogle.firestore.admin.v1.FirestoreAdmin.DeleteBackupgoogle.firestore.admin.v1.FirestoreAdmin.DeleteBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.DeleteDatabasegoogle.firestore.admin.v1.FirestoreAdmin.DeleteIndexgoogle.firestore.admin.v1.FirestoreAdmin.RestoreDatabasegoogle.firestore.admin.v1.FirestoreAdmin.UpdateBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.UpdateDatabasegoogle.firestore.admin.v1.FirestoreAdmin.UpdateFieldgoogle.longrunning.Operations.CancelOperationgoogle.longrunning.Operations.DeleteOperation
|
DATA_READ |
google.firestore.v1.MongoDBCompatible.Findgoogle.firestore.v1.MongoDBCompatible.Aggregategoogle.firestore.v1.MongoDBCompatible.GetMoregoogle.firestore.v1.MongoDBCompatible.ListCollectionsgoogle.firestore.v1.MongoDBCompatible.Countgoogle.firestore.v1.MongoDBCompatible.Distinctgoogle.firestore.v1.MongoDBCompatible.CommitTransactiongoogle.firestore.v1.MongoDBCompatible.AbortTransactiongoogle.firestore.v1.MongoDBCompatible.EndSessionsgoogle.firestore.v1.MongoDBCompatible.KillCursors
|
DATA_WRITE |
google.firestore.v1.MongoDBCompatible.Insertgoogle.firestore.v1.MongoDBCompatible.Updategoogle.firestore.v1.MongoDBCompatible.Deletegoogle.firestore.v1.MongoDBCompatible.FindAndModifygoogle.firestore.v1.MongoDBCompatible.CreateCollection
|
Identificare i chiamanti delle richieste
Le voci dell'audit log includono informazioni sull'identità che ha eseguito l'operazione registrata. Per identificare il chiamante di una richiesta, consulta i seguenti campi all'interno
di un oggetto AuditLog:
L'identità del chiamante è contenuta nel campo
AuthenticationInfo. Queste informazioni possono includere ilprincipalEmaildell'utente. Queste informazioni vengono talvolta oscurate.Il campo
callerIpall'interno dell'oggettorequestMetadatadi una voceAuditLoginclude l'indirizzo IP del chiamante.