Informations relatives aux journaux d'audit
Ce document décrit la journalisation des audits pour Firestore compatible avec MongoDB.Les services Google Cloudgénèrent des journaux d'audit qui enregistrent les activités d'administration et d'accès dans vos ressources Google Cloud .
Pour en savoir plus sur Cloud Audit Logs, consultez les ressources suivantes :
- Types de journaux d'audit
- Structure des entrées des journaux d'audit
- Stocker et acheminer les journaux d'audit
- Synthèse des tarifs Cloud Logging
- Activer les journaux d'audit des accès aux données
Remarques
Lorsque vous configurez la journalisation d'audit, utilisez le nom de service datastore.googleapis.com pour configurer à la fois datastore.googleapis.com et firestore.googleapis.com.
Once configured, logs for the Firestore with MongoDB compatibility API include the service namefirestore.googleapis.com`.
Pour afficher le temps nécessaire au traitement d'une requête DATA_READ ou DATA_WRITE, consultez le champ processing_duration dans l'objet metadata d'un AuditLog.
Le champ processing_duration décrit le temps nécessaire à la base de données pour traiter une requête. Elle est inférieure à la latence de l'utilisateur final. En particulier, il n'inclut pas la surcharge réseau.
Nom du service
Les journaux d'audit Firestore utilisent le nom de service firestore.googleapis.com.
Filtrez les résultats pour ce service :
protoPayload.serviceName="firestore.googleapis.com"
Méthodes par type d'autorisation
Chaque autorisation IAM possède une propriété type, dont la valeur est une énumération. Il peut s'agir de l'une des quatre valeurs suivantes : ADMIN_READ, ADMIN_WRITE, DATA_READ ou DATA_WRITE. Lorsque vous appelez une méthode, Firestore génère un journal d'audit dont la catégorie dépend de la propriété type de l'autorisation requise pour exécuter la méthode.
Les méthodes nécessitant une autorisation IAM dont la valeur de la propriété type est DATA_READ, DATA_WRITE ou ADMIN_READ génèrent des journaux d'audit des accès aux données.
Les méthodes nécessitant une autorisation IAM avec la valeur de propriété type d'ADMIN_WRITE génèrent des journaux d'audit pour les activités d'administration.
| Type d'autorisation | Méthodes |
|---|---|
ADMIN_READ |
google.cloud.location.Locations.GetLocationgoogle.cloud.location.Locations.ListLocationsgoogle.firestore.admin.v1.FirestoreAdmin.GetBackupgoogle.firestore.admin.v1.FirestoreAdmin.GetBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.GetDatabasegoogle.firestore.admin.v1.FirestoreAdmin.GetFieldgoogle.firestore.admin.v1.FirestoreAdmin.GetIndexgoogle.firestore.admin.v1.FirestoreAdmin.ListBackupSchedulesgoogle.firestore.admin.v1.FirestoreAdmin.ListBackupsgoogle.firestore.admin.v1.FirestoreAdmin.ListDatabasesgoogle.firestore.admin.v1.FirestoreAdmin.ListFieldsgoogle.firestore.admin.v1.FirestoreAdmin.ListIndexesgoogle.firestore.admin.v1beta1.FirestoreAdmin.GetIndexgoogle.firestore.admin.v1.MongoDBCompatible.ListIndexesgoogle.firestore.admin.v1.MongoDBCompatible.ListDatabases
|
ADMIN_WRITE |
google.firestore.admin.v1.FirestoreAdmin.CreateBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.CreateDatabasegoogle.firestore.admin.v1.FirestoreAdmin.CreateIndexgoogle.firestore.admin.v1.FirestoreAdmin.DeleteBackupgoogle.firestore.admin.v1.FirestoreAdmin.DeleteBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.DeleteDatabasegoogle.firestore.admin.v1.FirestoreAdmin.DeleteIndexgoogle.firestore.admin.v1.FirestoreAdmin.RestoreDatabasegoogle.firestore.admin.v1.FirestoreAdmin.UpdateBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.UpdateDatabasegoogle.firestore.admin.v1.FirestoreAdmin.UpdateFieldgoogle.longrunning.Operations.CancelOperationgoogle.longrunning.Operations.DeleteOperation
|
DATA_READ |
google.firestore.v1.MongoDBCompatible.Findgoogle.firestore.v1.MongoDBCompatible.Aggregategoogle.firestore.v1.MongoDBCompatible.GetMoregoogle.firestore.v1.MongoDBCompatible.ListCollectionsgoogle.firestore.v1.MongoDBCompatible.Countgoogle.firestore.v1.MongoDBCompatible.Distinctgoogle.firestore.v1.MongoDBCompatible.CommitTransactiongoogle.firestore.v1.MongoDBCompatible.AbortTransactiongoogle.firestore.v1.MongoDBCompatible.EndSessionsgoogle.firestore.v1.MongoDBCompatible.KillCursors
|
DATA_WRITE |
google.firestore.v1.MongoDBCompatible.Insertgoogle.firestore.v1.MongoDBCompatible.Updategoogle.firestore.v1.MongoDBCompatible.Deletegoogle.firestore.v1.MongoDBCompatible.FindAndModifygoogle.firestore.v1.MongoDBCompatible.CreateCollection
|
Identifier les appelants de la requête
Les entrées du journal d'audit incluent des informations sur l'identité qui a effectué l'opération enregistrée. Pour identifier un appelant de requête, consultez les champs suivants dans un objet AuditLog :
L'identité de l'appelant est conservée dans le champ
AuthenticationInfo. Cela peut inclure l'principalEmailde l'utilisateur. Ces informations sont parfois masquées.Le champ
callerIpde l'objetrequestMetadatad'une entréeAuditLoginclut l'adresse IP de l'appelant.