Logging für Model Armor konfigurieren

In diesem Dokument wird beschrieben, wie Sie Model Armor so konfigurieren, dass die folgenden Vorgänge protokolliert werden:

  • Vorgänge zum Erstellen, Aktualisieren oder Löschen einer Vorlage
  • Vorgänge, die einen Nutzer-Prompt oder eine Modellantwort bereinigen

Model Armor verwendet Audit-Logs, um Verwaltungs- und Ressourcenverwaltungsaktivitäten aufzuzeichnen. Weitere Informationen finden Sie unter Übersicht zum Audit-Logging von Model Armor.

Hinweise

Führen Sie diese Aufgaben aus, bevor Sie die verbleibenden Aufgaben auf dieser Seite erledigen.

Erforderliche Berechtigungen erhalten

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Model Armor Admin (roles/modelarmor.admin) für die Model Armor-Vorlage zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren der Protokollierung für Model Armor benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

APIs aktivieren

Sie müssen die Model Armor APIs aktivieren, bevor Sie Model Armor verwenden können.

Console

  1. Enable the Model Armor API.

    Enable the API

  2. Wählen Sie das Projekt aus, für das Sie Model Armor aktivieren möchten.

gcloud

Führen Sie die folgenden Schritte mit der Google Cloud CLI und der Model Armor API aus, bevor Sie beginnen:

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Führen Sie den folgenden Befehl aus, um den API-Endpunkt für den Model Armor-Dienst festzulegen.

    gcloud config set api_endpoint_overrides/modelarmor "https://modelarmor.LOCATION.rep.googleapis.com/"

    Ersetzen Sie LOCATION durch die Region, in der Sie Model Armor verwenden möchten.

    3. Führen Sie den folgenden Befehl aus, um Model Armor zu aktivieren.

      gcloud services enable modelarmor.googleapis.com --project=PROJECT_ID

    Ersetzen Sie PROJECT_ID durch die ID des Projekts.

    Logging in Vorlagen konfigurieren

    In Vorlagen werden die Filter und Grenzwerte für verschiedene Sicherheitskategorien definiert. Wenn Sie eine Model Armor-Vorlage erstellen oder aktualisieren, können Sie angeben, ob Model Armor bestimmte Vorgänge protokollieren soll. Verwenden Sie die folgenden Flags in den Vorlagenmetadaten:

    • log_template_operations: Ein boolescher Wert, der die Protokollierung der Vorgänge zum Erstellen, Aktualisieren, Lesen und Löschen von Vorlagen aktiviert.

    • log_sanitize_operations: Ein boolescher Wert, der das Logging der Bereinigungsoperationen aktiviert. Die Protokolle enthalten den Prompt und die Antwort, die Bewertungsergebnisse von Model Armor und zusätzliche Metadatenfelder.

    Console

    1. Rufen Sie in der Google Cloud Console die Seite Model Armor auf.

      Zu Model Armor

    2. Prüfen Sie, ob Sie das Projekt aufrufen, für das Sie Model Armor aktiviert haben.

    3. Klicken Sie auf der Seite Model Armor auf Vorlage erstellen. Weitere Informationen zum Erstellen von Vorlagen finden Sie unter Model Armor-Vorlage erstellen.

    4. Wählen Sie im Abschnitt Logging konfigurieren die Vorgänge aus, für die Sie das Logging konfigurieren möchten.

    5. Klicken Sie auf Erstellen.

    REST 

      curl -X POST \
      -d '{ "filterConfig": {}, "templateMetadata": { "logTemplateOperations": true, "logSanitizeOperations": true } }' \
      -H "Content-Type: application/json" \
      -H "Authorization: Bearer $(gcloud auth print-access-token)" \
      "https://modelarmor.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/templates?template_id=TEMPLATE_ID"

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die ID des Projekts, zu dem die Vorlage gehört.
    • LOCATION: der Speicherort der Vorlage.
    • TEMPLATE_ID: die ID der Vorlage.

    Python 

       request = modelarmor_v1.CreateTemplateRequest(
     parent="projects/PROJECT_ID/locations/LOCATION",
     template_id="TEMPLATE_ID",
     template={
        "name": "projects/PROJECT_ID/locations/LOCATION/templates/TEMPLATE_ID",
        "filter_config": {},
        "template_metadata": {
           "log_template_operations": True,
           "log_sanitize_operations": True
        }
     }
   )
   response = client.create_template(request=request)

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die ID des Projekts, zu dem die Vorlage gehört.
    • LOCATION: der Speicherort der Vorlage.
    • TEMPLATE_ID: die ID der Vorlage.

    Logs ansehen

    Sie können mit dem Log-Explorer in Cloud Logging auf Model Armor-Logs zugreifen. Weitere Informationen finden Sie unter Logs mit dem Log-Explorer aufrufen. Filtern Sie nach dem Dienstnamen modelarmor.googleapis.com. Suchen Sie nach Einträgen, die sich auf die Vorgänge beziehen, die Sie in Ihrer Vorlage aktiviert haben. Eine Liste aller Dienstnamen und überwachten Ressourcentypen finden Sie unter Überwachte Ressourcen und Dienste.

    Model Armor-Logs filtern

    Verwenden Sie Loglabels, um die Model Armor-Logs nach Bereinigungsoperationen und Vorlagenprotokollierung zu filtern.

    Führen Sie die folgende Abfrage im Log-Explorer aus, um die Logs für Bereinigungsoperationen zu filtern.

    jsonPayload.@type="type.googleapis.com/google.cloud.modelarmor.logging.v1.SanitizeOperationLogEntry"

    Wenn Sie die Logs des Bereinigungsvorgangs weiter eingrenzen möchten, können Sie in der Abfrage eine Projekt-ID, einen Clientnamen oder eine Korrelations-ID angeben.

    • Projekt-ID verwenden:

      jsonPayload.@type="type.googleapis.com%2Fgoogle.cloud.modelarmor.logging.v1.SanitizeOperationLogEntry";project=PROJECT_ID

    • Clientname verwenden:

      jsonPayload.@type="type.googleapis.com/google.cloud.modelarmor.logging.v1.SanitizeOperationLogEntry"
labels."modelarmor.googleapis.com/client_name"="CLIENT_NAME"

    • Korrelations-ID verwenden:

      labels."modelarmor.googleapis.com/client_correlation_id"="CORRELATION_ID"

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die Google Cloud Projekt-ID.
    • CLIENT_NAME: Der Name Ihres Clients.
    • CORRELATION_ID: Die eindeutige Kennung, die Sie für eine bestimmte Anfrage generieren.

    Logs und zugehörige Ereignisse korrelieren

    Um Logs und Ereignisse im Zusammenhang mit dieser bestimmten Interaktion zu korrelieren, benötigen Sie eine Client-Korrelations-ID. Es handelt sich um eine eindeutige Kennung, die Sie generieren (z. B. eine UUID), um eine bestimmte Anfrage in Ihrem System nachzuverfolgen. Wenn Sie eine Client-Korrelations-ID in einem curl-Header festlegen möchten, verwenden Sie die Option -H, um einen benutzerdefinierten Header in Ihre Anfrage aufzunehmen. Hier ist das Beispielformat:

    curl -X POST -d  '{"userPromptData": { "text": 'USER_PROMPT' } }' \
    -H "Content-Type: application/json" \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "MA-Client-Correlation-Id: $uuid" \
    "https://modelarmor.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/templates/TEMPLATE_ID:sanitizeUserPrompt"

curl -X POST \
    -d  '{"modelResponseData": { "text": 'MODEL_RESPONSE' }, "userPrompt": 'USER_PROMPT' }' \
    -H "Content-Type: application/json" \
    -H "MA-Client-Correlation-Id: $uuid" \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    "https://modelarmor.LOCATION.rep.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/templates/TEMPLATE_ID:sanitizeModelResponse"

    Ersetzen Sie Folgendes:

    • PROJECT_ID: die ID des Projekts, zu dem die Vorlage gehört.
    • LOCATION: der Speicherort der Vorlage.
    • TEMPLATE_ID: die ID der Vorlage.
    • USER_PROMPT: Der Prompt, der dem Modell bereitgestellt wurde.
    • MODEL_RESPONSE: Die vom Modell empfangene Antwort.