Ce document décrit la journalisation d'audit pour Cloud Firestore. Google Cloud services génèrent des journaux d'audit qui enregistrent les activités d'administration et d'accès dans vos ressources Google Cloud.
Pour en savoir plus sur Cloud Audit Logs, consultez les ressources suivantes :
- Types de journaux d'audit
- Structure des entrées des journaux d'audit
- Stocker et acheminer les journaux d'audit
- Cloud Logging récapitulatif des tarifs
- Activer les journaux d'audit des accès aux données
Remarques
Lorsque vous configurez la journalisation d'audit, utilisez le nom de service datastore.googleapis.com
pour configurer datastore.googleapis.com et firestore.googleapis.com.
Once configured, logs for the Cloud Firestore API include the service namefirestore.googleapis.com`.
Pour afficher le temps nécessaire au traitement d'une requête DATA_READ ou DATA_WRITE, consultez le champ processing_duration dans l'objet metadata d'un AuditLog.
Le champ processing_duration décrit le temps nécessaire à la base de données pour traiter une requête. Il est inférieur à la latence de l'utilisateur final. En particulier, il n'inclut pas la surcharge réseau.
Nom du service
Cloud Firestore journaux d'audit utilisent le nom de service firestore.googleapis.com.
Filtrez les résultats pour ce service :
protoPayload.serviceName="firestore.googleapis.com"
Méthodes par type d'autorisation
Chaque autorisation IAM possède une propriété type, dont la valeur est une énumération. Il peut s'agir de l'une des quatre valeurs suivantes : ADMIN_READ, ADMIN_WRITE, DATA_READ ou DATA_WRITE. Lorsque vous appelez une méthode, Cloud Firestore génère un journal d'audit dont la catégorie dépend de la
type propriété de l'autorisation requise pour exécuter la méthode.
Les méthodes nécessitant une autorisation IAM avec la propriété type
valeur définie sur DATA_READ, DATA_WRITE ou ADMIN_READ génèrent
des journaux d'audit des accès aux données.
Les méthodes nécessitant une autorisation IAM avec la propriété type
dont la valeur est ADMIN_WRITE génèrent
des journaux d'audit pour les activités d'administration.
| Type d'autorisation | Méthodes |
|---|---|
ADMIN_READ |
google.cloud.location.Locations.GetLocationgoogle.cloud.location.Locations.ListLocationsgoogle.firestore.admin.v1.FirestoreAdmin.GetBackupgoogle.firestore.admin.v1.FirestoreAdmin.GetBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.GetDatabasegoogle.firestore.admin.v1.FirestoreAdmin.GetFieldgoogle.firestore.admin.v1.FirestoreAdmin.GetIndexgoogle.firestore.admin.v1.FirestoreAdmin.ListBackupSchedulesgoogle.firestore.admin.v1.FirestoreAdmin.ListBackupsgoogle.firestore.admin.v1.FirestoreAdmin.ListDatabasesgoogle.firestore.admin.v1.FirestoreAdmin.ListFieldsgoogle.firestore.admin.v1.FirestoreAdmin.ListIndexesgoogle.firestore.admin.v1beta1.FirestoreAdmin.GetIndexgoogle.firestore.admin.v1.MongoDBCompatible.ListIndexesgoogle.firestore.admin.v1.MongoDBCompatible.ListDatabases
|
ADMIN_WRITE |
google.firestore.admin.v1.FirestoreAdmin.CreateBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.CreateDatabasegoogle.firestore.admin.v1.FirestoreAdmin.CreateIndexgoogle.firestore.admin.v1.FirestoreAdmin.DeleteBackupgoogle.firestore.admin.v1.FirestoreAdmin.DeleteBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.DeleteDatabasegoogle.firestore.admin.v1.FirestoreAdmin.DeleteIndexgoogle.firestore.admin.v1.FirestoreAdmin.RestoreDatabasegoogle.firestore.admin.v1.FirestoreAdmin.UpdateBackupSchedulegoogle.firestore.admin.v1.FirestoreAdmin.UpdateDatabasegoogle.firestore.admin.v1.FirestoreAdmin.UpdateFieldgoogle.longrunning.Operations.CancelOperationgoogle.longrunning.Operations.DeleteOperation
|
DATA_READ |
google.firestore.v1.MongoDBCompatible.Findgoogle.firestore.v1.MongoDBCompatible.Aggregategoogle.firestore.v1.MongoDBCompatible.GetMoregoogle.firestore.v1.MongoDBCompatible.ListCollectionsgoogle.firestore.v1.MongoDBCompatible.Countgoogle.firestore.v1.MongoDBCompatible.Distinctgoogle.firestore.v1.MongoDBCompatible.CommitTransactiongoogle.firestore.v1.MongoDBCompatible.AbortTransactiongoogle.firestore.v1.MongoDBCompatible.EndSessionsgoogle.firestore.v1.MongoDBCompatible.KillCursors
|
DATA_WRITE |
google.firestore.v1.MongoDBCompatible.Insertgoogle.firestore.v1.MongoDBCompatible.Updategoogle.firestore.v1.MongoDBCompatible.Deletegoogle.firestore.v1.MongoDBCompatible.FindAndModifygoogle.firestore.v1.MongoDBCompatible.CreateCollection
|
Identifier les appelants de requêtes
Les entrées des journaux d'audit incluent des informations sur l'identité qui a effectué l'opération enregistrée. Pour identifier un appelant de requête, consultez les champs suivants dans
un AuditLog objet :
L'identité de l'appelant est conservée dans le
AuthenticationInfochamp. Cela peut inclure leprincipalEmailde l'utilisateur. Ces informations sont parfois expurgées.Le champ
callerIpde l'objetrequestMetadatad'une entréeAuditLoginclut l'adresse IP de l'appelant.