| Relevante apenas para a edição Enterprise do Cloud Firestore. |
Neste documento, descrevemos a geração de registros de auditoria do Cloud Firestore com compatibilidade com o MongoDB. Os serviços do Google Cloud geram registros de auditoria que registram atividades administrativas e de acesso nos recursos do Google Cloud.
Para mais informações sobre os Registros de auditoria do Cloud, consulte:
- Tipos de registros de auditoria
- Estrutura da entrada de registro de auditoria
- Como armazenar e rotear registros de auditoria
- Resumo de preços do Cloud Logging
- Ativar registros de auditoria de acesso a dados
Observações
Ao configurar o registro de auditoria, use o nome do serviço datastore.googleapis.com para configurar datastore.googleapis.com e firestore.googleapis.com.
Once configured, logs for the Cloud Firestore with MongoDB compatibility API include the service namefirestore.googleapis.com.
Para conferir o tempo necessário para processar uma solicitação DATA_READ ou DATA_WRITE, consulte o campo processing_duration no objeto metadata de um AuditLog.
O campo processing_duration descreve o tempo que o banco de dados levou para processar uma solicitação. Esse valor é menor que a latência do usuário final. Em particular, ele não inclui a sobrecarga de rede.
Nome do serviço
Os registros de auditoria do Cloud Firestore usam o nome de serviço firestore.googleapis.com.
Filtrar por este serviço:
protoPayload.serviceName="firestore.googleapis.com"
Métodos por tipo de permissão
Cada permissão do IAM tem uma propriedade type, com o valor de um tipo enumerado
que pode ser um dos quatro valores: ADMIN_READ, ADMIN_WRITE, DATA_READ ou
DATA_WRITE. Quando você chama um método, o Cloud Firestore gera um registro de auditoria com categoria dependente da
propriedade type da permissão necessária para executar o método.
Os métodos que exigem uma permissão do IAM com o valor da propriedade type de DATA_READ, DATA_WRITE ou ADMIN_READ geram registros de auditoria de acesso a dados.
Métodos que exigem uma permissão do IAM com o valor da propriedade type
de ADMIN_WRITE geram
registros de auditoria de atividade do administrador.
| Tipo de permissão | Métodos |
|---|---|
ADMIN_READ |
google.cloud.location.Locations.GetLocationgoogle.cloud.location.Locations.ListLocationsgoogle.firestore.admin.v1.FirestoreAdmin.GetBackupgoogle.firestore.admin.v1.FirestoreAdmin.GetBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.GetDatabasegoogle.firestore.admin.v1.FirestoreAdmin.GetFieldgoogle.firestore.admin.v1.FirestoreAdmin.GetIndexgoogle.firestore.admin.v1.FirestoreAdmin.ListBackupSchedulesgoogle.firestore.admin.v1.FirestoreAdmin.ListBackupsgoogle.firestore.admin.v1.FirestoreAdmin.ListDatabasesgoogle.firestore.admin.v1.FirestoreAdmin.ListFieldsgoogle.firestore.admin.v1.FirestoreAdmin.ListIndexesgoogle.firestore.admin.v1beta1.FirestoreAdmin.GetIndexgoogle.firestore.admin.v1.MongoDBCompatible.ListIndexesgoogle.firestore.admin.v1.MongoDBCompatible.ListDatabases
|
ADMIN_WRITE |
google.firestore.admin.v1.FirestoreAdmin.CreateBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.CreateDatabasegoogle.firestore.admin.v1.FirestoreAdmin.CreateIndexgoogle.firestore.admin.v1.FirestoreAdmin.DeleteBackupgoogle.firestore.admin.v1.FirestoreAdmin.DeleteBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.DeleteDatabasegoogle.firestore.admin.v1.FirestoreAdmin.DeleteIndexgoogle.firestore.admin.v1.FirestoreAdmin.RestoreDatabasegoogle.firestore.admin.v1.FirestoreAdmin.UpdateBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.UpdateDatabasegoogle.firestore.admin.v1.FirestoreAdmin.UpdateFieldgoogle.longrunning.Operations.CancelOperationgoogle.longrunning.Operations.DeleteOperation
|
DATA_READ |
google.firestore.v1.MongoDBCompatible.Findgoogle.firestore.v1.MongoDBCompatible.Aggregategoogle.firestore.v1.MongoDBCompatible.GetMoregoogle.firestore.v1.MongoDBCompatible.ListCollectionsgoogle.firestore.v1.MongoDBCompatible.Countgoogle.firestore.v1.MongoDBCompatible.Distinctgoogle.firestore.v1.MongoDBCompatible.CommitTransactiongoogle.firestore.v1.MongoDBCompatible.AbortTransactiongoogle.firestore.v1.MongoDBCompatible.EndSessionsgoogle.firestore.v1.MongoDBCompatible.KillCursors
|
DATA_WRITE |
google.firestore.v1.MongoDBCompatible.Insertgoogle.firestore.v1.MongoDBCompatible.Updategoogle.firestore.v1.MongoDBCompatible.Deletegoogle.firestore.v1.MongoDBCompatible.FindAndModifygoogle.firestore.v1.MongoDBCompatible.CreateCollection
|
Identificar chamadores de solicitação
As entradas de registro de auditoria incluem informações sobre a identidade que executou a
operação registrada. Para identificar um autor da chamada de solicitação, consulte os campos a seguir em um objeto AuditLog:
A identidade do autor da chamada é mantida no campo
AuthenticationInfo. Isso pode incluir oprincipalEmaildo usuário. Essas informações às vezes são encobertas.O campo
callerIpno objetorequestMetadatade uma entradaAuditLoginclui o endereço IP do autor da chamada.