Journalisation des activités

Ce document explique comment utiliser Cloud Logging pour la journalisation des activités avec Identity Platform.

Activer la journalisation d'activité

La journalisation d'activité est désactivée par défaut. Vous pouvez activer la journalisation des activités via la console Google Cloud ou à l'aide de l'API REST:

Console

  1. Accédez à la page Paramètres de la console Google Cloud.
    Accéder aux paramètres

  2. Sous Journalisation des activités des utilisateurs, sélectionnez Activer.

  3. Cliquez sur Enregistrer.

REST

curl -d "{'monitoring':{'requestLogging':{'enabled':true}}}" \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -X PATCH -H 'Content-Type: application/json' \
  https://identitytoolkit.googleapis.com/admin/v2/projects/PROJECT_ID/config?updateMask=monitoring.requestLogging.enabled

Remplacez PROJECT_ID par l'ID du projet.

L'activation de la journalisation d'activité peut avoir un impact sur la facturation. Pour en savoir plus, consultez les tarifs de Google Cloud Observability.

Activer la journalisation des activités pour les projets de locataire

La journalisation des activités pour les projets de locataires est désactivée par défaut. Vous pouvez activer la journalisation des activités pour les projets de locataire à l'aide de l'API REST en exécutant la commande suivante:

curl -d "{'monitoring':{'requestLogging':{'enabled':true}}}" \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -X PATCH -H 'Content-Type: application/json' \
  https://identitytoolkit.googleapis.com/v2/projects/PROJECT_ID/tenants/TENANT_ID?updateMask=monitoring.requestLogging.enabled

Remplacez les éléments suivants :

  • PROJECT_ID : ID du projet.
  • TENANT_ID: ID du locataire.

L'activation de la journalisation d'activité peut avoir un impact sur la facturation. Pour en savoir plus, consultez la section Tarifs de Google Cloud Observability.

Afficher les journaux d'activité

Lorsque Logging est activé, une entrée de journal est générée pour chaque requête utilisateur. Chaque entrée de journal inclut les champs suivants :

Champ Description
logName projects/PROJECT_ID/logs/identitytoolkit.googleapis.com/requests
resource identitytoolkit_project or identitytoolkit_tenant
serviceName identitytoolkit.googleapis.com
protoPayload Requête ou réponse enregistrée.

Vous pouvez afficher les journaux d'activité de votre projet ou locataire à l'aide de l'explorateur de journaux. Pour afficher les journaux :

  1. Dans Google Cloud Console, accédez à la page Explorateur de journaux.

    Accéder à la page "Explorateur de journaux"

  2. Sélectionnez Projet Identity Toolkit ou Locataire Identity Toolkit dans la liste déroulante des ressources. Si vous utilisez l'architecture mutualisée, vous pouvez afficher tous les locataires, ou filtrer la liste pour un locataire spécifique.

Opérations journalisées

Le tableau suivant répertorie les opérations d'API pouvant générer des journaux d'activité :

Service Méthode
google.cloud.identitytoolkit.v1.AccountManagementService DeleteAccount
GetAccountInfo
GetOobCode
ResetPassword
SetAccountInfo
google.cloud.identitytoolkit.v1.AuthenticationService CreateAuthUri
GetRecaptchaParam
SendVerificationCode
SignInWithCustomToken
SignInWithEmailLink
SignInWithGameCenter
SignInWithIdp
SignInWithPassword
SignInWithPhoneNumber
SignUp
VerifyIosClient
google.cloud.identitytoolkit.v1.ProjectConfigService GetProjectConfig

Exclure des opérations

Logging vous fournit les outils permettant de désactiver l'ingestion des journaux ou d'exclure les entrées de journal dont vous ne voulez pas. Pour en savoir plus sur l'exclusion de certains journaux, consultez la page Exclusions de journaux.

L'exemple suivant montre comment exclure les journaux des méthodes GetAccountInfo() et GetProjectConfig() en lecture seule :

resource.type="identitytoolkit_project"
(
 jsonPayload.methodName="google.cloud.identitytoolkit.v1.AccountManagementService.GetAccountInfo"
 OR
 jsonPayload.methodName="google.cloud.identitytoolkit.v1.ProjectConfigService.GetProjectConfig"
)