| Ne concerne que l'édition Cloud Firestore Enterprise. |
Ce document décrit les journaux d'audit pour Cloud Firestore compatible avec MongoDB. Les services Google Cloud génèrent des journaux d'audit qui enregistrent les activités d'administration et d'accès dans vos ressources Google Cloud.
Pour en savoir plus sur Cloud Audit Logs, consultez les ressources suivantes :
- Types de journaux d'audit
- Structure des entrées des journaux d'audit
- Stocker et acheminer les journaux d'audit
- Récapitulatif des tarifs Cloud Logging
- Activer les journaux d'audit des accès aux données
Remarques
Lorsque vous configurez la journalisation d'audit, utilisez le nom de service datastore.googleapis.com pour configurer à la fois datastore.googleapis.com et firestore.googleapis.com.
Once configured, logs for the Cloud Firestore with MongoDB compatibility API include the service namefirestore.googleapis.com`.
Pour afficher le temps nécessaire au traitement d'une requête DATA_READ ou DATA_WRITE, consultez le champ processing_duration dans l'objet metadata d'un AuditLog.
Le champ processing_duration décrit le temps nécessaire à la base de données pour traiter une requête. Elle est inférieure à la latence de l'utilisateur final. En particulier, il n'inclut pas la surcharge réseau.
Nom du service
Les journaux d'audit Cloud Firestore utilisent le nom de service firestore.googleapis.com.
Filtrez les résultats pour ce service :
protoPayload.serviceName="firestore.googleapis.com"
Méthodes par type d'autorisation
Chaque autorisation IAM possède une propriété type, dont la valeur est une énumération. Il peut s'agir de l'une des quatre valeurs suivantes : ADMIN_READ, ADMIN_WRITE, DATA_READ ou DATA_WRITE. Lorsque vous appelez une méthode, Cloud Firestore génère un journal d'audit dont la catégorie dépend de la propriété type de l'autorisation requise pour exécuter la méthode.
Les méthodes nécessitant une autorisation IAM avec la valeur de la propriété type de DATA_READ, DATA_WRITE ou ADMIN_READ génèrent des journaux d'audit d'accès aux données.
Les méthodes nécessitant une autorisation IAM avec la valeur de propriété type d'ADMIN_WRITE génèrent des journaux d'audit pour les activités d'administration.
| Type d'autorisation | Méthodes |
|---|---|
ADMIN_READ |
google.cloud.location.Locations.GetLocationgoogle.cloud.location.Locations.ListLocationsgoogle.firestore.admin.v1.FirestoreAdmin.GetBackupgoogle.firestore.admin.v1.FirestoreAdmin.GetBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.GetDatabasegoogle.firestore.admin.v1.FirestoreAdmin.GetFieldgoogle.firestore.admin.v1.FirestoreAdmin.GetIndexgoogle.firestore.admin.v1.FirestoreAdmin.ListBackupSchedulesgoogle.firestore.admin.v1.FirestoreAdmin.ListBackupsgoogle.firestore.admin.v1.FirestoreAdmin.ListDatabasesgoogle.firestore.admin.v1.FirestoreAdmin.ListFieldsgoogle.firestore.admin.v1.FirestoreAdmin.ListIndexesgoogle.firestore.admin.v1beta1.FirestoreAdmin.GetIndexgoogle.firestore.admin.v1.MongoDBCompatible.ListIndexesgoogle.firestore.admin.v1.MongoDBCompatible.ListDatabases
|
ADMIN_WRITE |
google.firestore.admin.v1.FirestoreAdmin.CreateBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.CreateDatabasegoogle.firestore.admin.v1.FirestoreAdmin.CreateIndexgoogle.firestore.admin.v1.FirestoreAdmin.DeleteBackupgoogle.firestore.admin.v1.FirestoreAdmin.DeleteBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.DeleteDatabasegoogle.firestore.admin.v1.FirestoreAdmin.DeleteIndexgoogle.firestore.admin.v1.FirestoreAdmin.RestoreDatabasegoogle.firestore.admin.v1.FirestoreAdmin.UpdateBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.UpdateDatabasegoogle.firestore.admin.v1.FirestoreAdmin.UpdateFieldgoogle.longrunning.Operations.CancelOperationgoogle.longrunning.Operations.DeleteOperation
|
DATA_READ |
google.firestore.v1.MongoDBCompatible.Findgoogle.firestore.v1.MongoDBCompatible.Aggregategoogle.firestore.v1.MongoDBCompatible.GetMoregoogle.firestore.v1.MongoDBCompatible.ListCollectionsgoogle.firestore.v1.MongoDBCompatible.Countgoogle.firestore.v1.MongoDBCompatible.Distinctgoogle.firestore.v1.MongoDBCompatible.CommitTransactiongoogle.firestore.v1.MongoDBCompatible.AbortTransactiongoogle.firestore.v1.MongoDBCompatible.EndSessionsgoogle.firestore.v1.MongoDBCompatible.KillCursors
|
DATA_WRITE |
google.firestore.v1.MongoDBCompatible.Insertgoogle.firestore.v1.MongoDBCompatible.Updategoogle.firestore.v1.MongoDBCompatible.Deletegoogle.firestore.v1.MongoDBCompatible.FindAndModifygoogle.firestore.v1.MongoDBCompatible.CreateCollection
|
Identifier les appelants de la requête
Les entrées du journal d'audit incluent des informations sur l'identité qui a effectué l'opération enregistrée. Pour identifier un appelant de requête, consultez les champs suivants dans un objet AuditLog :
L'identité de l'appelant est conservée dans le champ
AuthenticationInfo. Cela peut inclure l'principalEmailde l'utilisateur. Ces informations sont parfois masquées.Le champ
callerIpde l'objetrequestMetadatad'une entréeAuditLoginclut l'adresse IP de l'appelant.