यह पृष्ठ क्लाउड ऑडिट लॉग के हिस्से के रूप में फायरबेस द्वारा बनाए गए ऑडिट लॉग का वर्णन करता है।
अवलोकन
फायरबेस सेवाएँ आपको सवालों के जवाब देने में मदद करने के लिए ऑडिट लॉग लिखती हैं, "किसने क्या किया, कहाँ और कब किया?"। ये क्लाउड ऑडिट लॉग हैं, जो आपके फायरबेस प्रोजेक्ट से जुड़े Google क्लाउड प्लेटफ़ॉर्म प्रोजेक्ट के हिस्से के रूप में प्रदान किए गए हैं।
आपके प्रत्येक फायरबेस प्रोजेक्ट में केवल उन संसाधनों के ऑडिट लॉग होते हैं जो सीधे प्रोजेक्ट के भीतर होते हैं।
क्लाउड ऑडिट लॉग के सामान्य अवलोकन के लिए, क्लाउड ऑडिट लॉग अवलोकन देखें। ऑडिट लॉग प्रारूप की गहरी समझ के लिए, ऑडिट लॉग को समझें देखें।
उपलब्ध ऑडिट लॉग
फायरबेस नोटिफिकेशन कंसोल के लिए निम्नलिखित प्रकार के ऑडिट लॉग उपलब्ध हैं:
डेटा एक्सेस ऑडिट लॉग
इसमें "एडमिन रीड" ऑपरेशन शामिल हैं जो मेटाडेटा या कॉन्फ़िगरेशन जानकारी पढ़ते हैं। इसमें "डेटा रीड" और "डेटा राइट" ऑपरेशन भी शामिल हैं जो उपयोगकर्ता द्वारा प्रदत्त डेटा को पढ़ते या लिखते हैं।
डेटा एक्सेस ऑडिट लॉग प्राप्त करने के लिए, आपको उन्हें स्पष्ट रूप से सक्षम करना होगा।
ऑडिट लॉग प्रकारों के पूर्ण विवरण के लिए, ऑडिट लॉग के प्रकार देखें।
लेखापरीक्षित संचालन
निम्नलिखित संक्षेप में बताता है कि फायरबेस नोटिफिकेशन कंसोल में प्रत्येक ऑडिट लॉग प्रकार के अनुरूप कौन से एपीआई ऑपरेशन हैं:
ऑडिट लॉग श्रेणी | फायरबेस अधिसूचना कंसोल क्रियाएँ | नाम टाइप करें (लॉग के लिए यूआई पर खोज करने के लिए उपयोग किया जाता है) |
---|---|---|
डेटा एक्सेस लॉग (DATA_READ) | एक अभियान प्राप्त करें | अभियान प्राप्त करें |
डेटा एक्सेस लॉग (DATA_READ) | अभियानों की सूची बनाएं | सूची अभियान |
डेटा एक्सेस लॉग (DATA_READ) | एबीटी प्रयोग अधिसूचना से जानकारी प्राप्त करें | लिगेसीगेटरोलआउट |
डेटा एक्सेस लॉग (DATA_READ) | लक्ष्यीकरण संभावनाएं प्राप्त करें | दर्शक प्राप्त करें |
डेटा एक्सेस लॉग (DATA_READ) | एफसीएम आँकड़े प्राप्त करें (भेजा/खोला/वितरित/रूपांतरित गिनती) | GetFcmStats |
डेटा एक्सेस लॉग (DATA_READ) | दिनांक सीमा और प्रोजेक्ट के लिए एनालिटिक्स लेबल की सूची प्राप्त करें। | GetAnalyticsLabelList |
डेटा एक्सेस लॉग (DATA_WRITE) | एबीटी से रोलआउट बनाएं | लिगेसीक्रिएटरोलआउट |
ऑडिट लॉग प्रारूप
ऑडिट लॉग प्रविष्टियों में निम्नलिखित ऑब्जेक्ट शामिल हैं:
लॉग प्रविष्टि स्वयं, जो
LogEntry
प्रकार का एक ऑब्जेक्ट है। उपयोगी क्षेत्रों में निम्नलिखित शामिल हैं:-
logName
संसाधन आईडी और ऑडिट लॉग प्रकार शामिल है। -
resource
में ऑडिटेड ऑपरेशन का लक्ष्य शामिल है। -
timestamp
ऑडिट किए गए ऑपरेशन का समय शामिल है। -
protoPayload
में ऑडिट की गई जानकारी शामिल है।
-
ऑडिट लॉगिंग डेटा, जो लॉग प्रविष्टि के
protoPayload
फ़ील्ड में रखा गया एकAuditLog
ऑब्जेक्ट है।वैकल्पिक सेवा-विशिष्ट ऑडिट जानकारी, जो एक सेवा-विशिष्ट वस्तु है। पुराने एकीकरणों के लिए, यह ऑब्जेक्ट
AuditLog
ऑब्जेक्ट केserviceData
फ़ील्ड में रखा जाता है; नए एकीकरणmetadata
फ़ील्ड का उपयोग करते हैं।
इन ऑब्जेक्ट में अन्य फ़ील्ड के लिए, और उनकी व्याख्या कैसे करें, ऑडिट लॉग को समझें की समीक्षा करें।
लॉग नाम
क्लाउड ऑडिट लॉग संसाधन नाम फायरबेस प्रोजेक्ट या अन्य जीसीपी इकाई को दर्शाते हैं जो ऑडिट लॉग का मालिक है, और क्या लॉग में व्यवस्थापक गतिविधि, डेटा एक्सेस, पॉलिसी अस्वीकृत या सिस्टम इवेंट ऑडिट लॉगिंग डेटा शामिल है। उदाहरण के लिए, निम्नलिखित प्रोजेक्ट-स्तरीय व्यवस्थापक गतिविधि ऑडिट लॉग और संगठन के डेटा एक्सेस ऑडिट लॉग के लिए लॉग नाम दिखाता है। वेरिएबल फायरबेस प्रोजेक्ट और संगठन पहचानकर्ताओं को दर्शाते हैं।
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
सेवा का नाम
फायरबेस नोटिफिकेशन कंसोल ऑडिट लॉग सेवा नाम gcmcontextualcampaign-pa.googleapis.com
का उपयोग करते हैं।
सभी स्टैकड्राइवर लॉगिंग एपीआई सेवा नामों और उनके संबंधित मॉनिटर किए गए संसाधन प्रकार की पूरी सूची के लिए, संसाधनों के लिए मैप सेवाएं देखें।
संसाधन प्रकार
फायरबेस नोटिफिकेशन कंसोल ऑडिट लॉग सभी ऑडिट लॉग के लिए संसाधन प्रकार audited_resource
का उपयोग करते हैं।
सभी स्टैकड्राइवर लॉगिंग मॉनिटर किए गए संसाधन प्रकारों और वर्णनात्मक जानकारी की सूची के लिए, मॉनिटर किए गए संसाधन प्रकार देखें।
ऑडिट लॉगिंग सक्षम करें
डेटा एक्सेस ऑडिट लॉग डिफ़ॉल्ट रूप से अक्षम होते हैं और स्पष्ट रूप से सक्षम होने तक लिखे नहीं जाते हैं (अपवाद BigQuery के लिए डेटा एक्सेस ऑडिट लॉग है, जिसे अक्षम नहीं किया जा सकता है)।
आपके कुछ या सभी डेटा एक्सेस ऑडिट लॉग को सक्षम करने के निर्देशों के लिए, डेटा एक्सेस लॉग कॉन्फ़िगर करें देखें।
अनुमतियाँ और भूमिकाएँ
क्लाउड IAM अनुमतियाँ और भूमिकाएँ GCP संसाधनों में ऑडिट लॉग डेटा तक पहुँचने की आपकी क्षमता निर्धारित करती हैं।
यह तय करते समय कि आपके उपयोग के मामले में कौन सी लॉगिंग-विशिष्ट अनुमतियाँ और भूमिकाएँ लागू होती हैं, निम्नलिखित पर विचार करें:
लॉग्स व्यूअर भूमिका (
roles/logging.viewer
) आपको एडमिन एक्टिविटी, पॉलिसी अस्वीकृत और सिस्टम इवेंट ऑडिट लॉग तक केवल पढ़ने के लिए पहुंच प्रदान करती है। यदि आपकी बस यही भूमिका है, तो आप_Default
बकेट में मौजूद डेटा एक्सेस ऑडिट लॉग नहीं देख सकते।प्राइवेट लॉग्स व्यूअर भूमिका
(roles/logging.privateLogViewer
) मेंroles/logging.viewer
में निहित अनुमतियाँ, साथ ही_Default
बकेट में डेटा एक्सेस ऑडिट लॉग पढ़ने की क्षमता शामिल है।ध्यान दें कि यदि ये निजी लॉग उपयोगकर्ता द्वारा परिभाषित बकेट में संग्रहीत हैं, तो कोई भी उपयोगकर्ता जिसके पास उन बकेट में लॉग पढ़ने की अनुमति है, निजी लॉग पढ़ सकता है। लॉग बकेट पर अधिक जानकारी के लिए, रूटिंग और स्टोरेज अवलोकन देखें।
ऑडिट लॉग डेटा पर लागू होने वाली क्लाउड IAM अनुमतियों और भूमिकाओं के बारे में अधिक जानकारी के लिए, एक्सेस कंट्रोल देखें।
लॉग्स को देखें
ऑडिट लॉग ढूंढने और देखने के लिए, आपको फायरबेस प्रोजेक्ट, फ़ोल्डर या संगठन के पहचानकर्ता को जानना होगा जिसके लिए आप ऑडिट लॉगिंग जानकारी देखना चाहते हैं। आप आगे अन्य अनुक्रमित LogEntry
फ़ील्ड निर्दिष्ट कर सकते हैं, जैसे कि resource.type
; विवरण के लिए, लॉग प्रविष्टियाँ शीघ्रता से ढूँढें की समीक्षा करें।
ऑडिट लॉग नाम निम्नलिखित हैं; उनमें फायरबेस प्रोजेक्ट, फ़ोल्डर या संगठन के पहचानकर्ताओं के लिए चर शामिल हैं:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
आप जीसीपी कंसोल, gcloud
कमांड-लाइन टूल या लॉगिंग एपीआई का उपयोग करके स्टैकड्राइवर लॉगिंग में ऑडिट लॉग देख सकते हैं।
सांत्वना देना
आप अपने फ़ायरबेस प्रोजेक्ट, फ़ोल्डर या संगठन के लिए अपनी ऑडिट लॉग प्रविष्टियाँ पुनर्प्राप्त करने के लिए GCP कंसोल में लॉग एक्सप्लोरर का उपयोग कर सकते हैं:
GCP कंसोल में, लॉगिंग > लॉग एक्सप्लोरर पृष्ठ पर जाएँ।
लॉग एक्सप्लोरर पेज पर, मौजूदा फायरबेस प्रोजेक्ट, फ़ोल्डर या संगठन का चयन करें।
क्वेरी बिल्डर फलक में, निम्न कार्य करें:
संसाधन प्रकार में, उस GCP संसाधन का चयन करें जिसके ऑडिट लॉग आप देखना चाहते हैं।
लॉग नाम में, उस ऑडिट लॉग प्रकार का चयन करें जिसे आप देखना चाहते हैं:
- व्यवस्थापक गतिविधि ऑडिट लॉग के लिए, गतिविधि का चयन करें।
- डेटा एक्सेस ऑडिट लॉग के लिए, data_access चुनें।
- सिस्टम इवेंट ऑडिट लॉग के लिए, system_event चुनें।
- पॉलिसी अस्वीकृत ऑडिट लॉग के लिए, पॉलिसी का चयन करें।
यदि आपको ये विकल्प दिखाई नहीं देते हैं, तो फ़ायरबेस प्रोजेक्ट, फ़ोल्डर या संगठन में उस प्रकार का कोई ऑडिट लॉग उपलब्ध नहीं है।
लॉग्स एक्सप्लोरर का उपयोग करके क्वेरी करने के बारे में अधिक जानकारी के लिए, लॉग क्वेरीज़ बनाएं देखें।
gcloud
gcloud
कमांड-लाइन टूल स्टैकड्राइवर लॉगिंग एपीआई को एक कमांड-लाइन इंटरफ़ेस प्रदान करता है। प्रत्येक लॉग नाम में एक वैध PROJECT_ID
, FOLDER_ID
, या ORGANIZATION_ID
प्रदान करें।
अपने फायरबेस प्रोजेक्ट-स्तरीय ऑडिट लॉग प्रविष्टियों को पढ़ने के लिए, निम्नलिखित कमांड चलाएँ:
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID
अपनी फ़ोल्डर-स्तरीय ऑडिट लॉग प्रविष्टियाँ पढ़ने के लिए, निम्न आदेश चलाएँ:
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID
अपने संगठन-स्तरीय ऑडिट लॉग प्रविष्टियों को पढ़ने के लिए, निम्न आदेश चलाएँ:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID
gcloud
टूल का उपयोग करने के बारे में अधिक जानकारी के लिए, लॉग प्रविष्टियाँ पढ़ें देखें।
एपीआई
अपनी क्वेरीज़ बनाते समय, वेरिएबल्स को मान्य मानों से बदलें, ऑडिट लॉग नामों में सूचीबद्ध उचित प्रोजेक्ट-स्तर, फ़ोल्डर-स्तर, या संगठन-स्तरीय ऑडिट लॉग नाम या पहचानकर्ताओं को प्रतिस्थापित करें। उदाहरण के लिए, यदि आपकी क्वेरी में PROJECT_ID शामिल है, तो आपके द्वारा प्रदान किया जाने वाला प्रोजेक्ट पहचानकर्ता वर्तमान में चयनित फायरबेस प्रोजेक्ट को संदर्भित करना चाहिए।
अपनी ऑडिट लॉग प्रविष्टियों को देखने के लिए लॉगिंग एपीआई का उपयोग करने के लिए, निम्नलिखित कार्य करें:
entries.list
पद्धति के लिए दस्तावेज़ में इस API को आज़माएँ अनुभाग पर जाएँ।इस एपीआई फॉर्म को आज़माएं के अनुरोध मुख्य भाग में निम्नलिखित डालें। इस पूर्व-पॉप्युलेटेड फॉर्म पर क्लिक करने से अनुरोध का मुख्य भाग स्वचालित रूप से भर जाता है, लेकिन आपको प्रत्येक लॉग नाम में एक वैध
PROJECT_ID
प्रदान करने की आवश्यकता होती है।{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }
निष्पादित करें पर क्लिक करें.
क्वेरी करने के बारे में अधिक जानकारी के लिए, लॉगिंग क्वेरी भाषा देखें।
ऑडिट लॉग प्रविष्टि के उदाहरण के लिए और इसमें सबसे महत्वपूर्ण जानकारी कैसे प्राप्त करें, नमूना ऑडिट लॉग प्रविष्टि देखें।
रूट ऑडिट लॉग
आप ऑडिट लॉग को समर्थित गंतव्यों पर उसी तरह रूट कर सकते हैं जैसे आप अन्य प्रकार के लॉग को रूट कर सकते हैं। यहां कुछ कारण दिए गए हैं जिनसे आप अपने ऑडिट लॉग को रूट करना चाहेंगे:
ऑडिट लॉग को लंबे समय तक रखने या अधिक शक्तिशाली खोज क्षमताओं का उपयोग करने के लिए, आप अपने ऑडिट लॉग की प्रतियों को Google क्लाउड स्टोरेज, बिगक्वेरी, या Google क्लाउड पब/सब पर रूट कर सकते हैं। क्लाउड पब/सब का उपयोग करके, आप अन्य एप्लिकेशन, अन्य रिपॉजिटरी और तीसरे पक्ष तक रूट कर सकते हैं।
पूरे संगठन में अपने ऑडिट लॉग को प्रबंधित करने के लिए, आप एकत्रित सिंक बना सकते हैं जो संगठन में किसी भी या सभी फायरबेस प्रोजेक्ट से लॉग को रूट कर सकते हैं।
- यदि आपके सक्षम डेटा एक्सेस ऑडिट लॉग आपके लॉग आवंटन पर आपके फायरबेस प्रोजेक्ट्स को आगे बढ़ा रहे हैं, तो आप ऐसे सिंक बना सकते हैं जो लॉगिंग से डेटा एक्सेस ऑडिट लॉग को बाहर कर देते हैं।
रूटिंग लॉग पर निर्देशों के लिए, सिंक कॉन्फ़िगर करें देखें।
मूल्य निर्धारण
व्यवस्थापक गतिविधि ऑडिट लॉग और सिस्टम इवेंट ऑडिट लॉग निःशुल्क हैं।
डेटा एक्सेस ऑडिट लॉग और पॉलिसी अस्वीकृत ऑडिट लॉग प्रभार्य हैं।
स्टैकड्राइवर लॉगिंग मूल्य निर्धारण के बारे में अधिक जानकारी के लिए, Google क्लाउड के ऑपरेशंस सुइट मूल्य निर्धारण देखें: स्टैकड्राइवर लॉगिंग ।