تسجيل التدقيق لفحص تطبيق Firebase

تصف هذه الصفحة سجلات التدقيق التي تم إنشاؤها بواسطة Firebase كجزء من Cloud Audit Logs .

ملخص

تكتب خدمات Firebase سجلات تدقيق لمساعدتك في الإجابة عن الأسئلة ، "من فعل ماذا وأين ومتى؟". هذه هي سجلات Cloud Audit ، المقدمة كجزء من مشروع Google Cloud المتصل بمشروع Firebase .

تحتوي كل مشاريع Firebase الخاصة بك فقط على سجلات تدقيق الموارد الموجودة مباشرة داخل المشروع.

للحصول على نظرة عامة على Cloud Audit Logs ، راجع نظرة عامة على Cloud Audit Logs. للحصول على فهم أعمق لتنسيق سجل التدقيق ، راجع فهم سجلات التدقيق .

سجلات التدقيق المتاحة

الأنواع التالية من سجلات التدقيق متاحة للتحقق من تطبيق Firebase:

  • سجلات تدقيق نشاط المسؤول

    يتضمن عمليات "كتابة المسؤول" التي تكتب البيانات الوصفية أو معلومات التكوين.

    لا يمكنك تعطيل سجلات تدقيق نشاط المسؤول.

  • سجلات تدقيق الوصول إلى البيانات

    يتضمن عمليات "قراءة المسؤول" التي تقرأ البيانات الوصفية أو معلومات التكوين. يتضمن أيضًا عمليات "قراءة البيانات" و "كتابة البيانات" التي تقرأ أو تكتب البيانات المقدمة من المستخدم.

    لتلقي سجلات تدقيق الوصول إلى البيانات ، يجب تمكينها بشكل صريح .

للحصول على أوصاف أكمل لأنواع سجلات التدقيق ، راجع أنواع سجلات التدقيق .

العمليات المدققة

يلخص ما يلي عمليات واجهة برمجة التطبيقات التي تتوافق مع كل نوع من أنواع سجلات التدقيق في Firebase App Check:

فئة سجلات التدقيق عمليات فحص تطبيق Firebase
عمليات المشروع
نشاط المسؤول تحديث الخدمة
BatchUpdateServices
الوصول إلى البيانات (ADMIN_READ) احصل على خدمة
خدمات القائمة
عمليات التطبيق
نشاط المسؤول UpdateAppAttestConfig
UpdateDeviceCheckConfig
UpdatePlayIntegrityConfig
UpdateRecaptchaEnterpriseConfig
تحديث ريكابتشا V3Config
UpdateSafetyNetConfig
CreateDebugToken
UpdateDebugToken
DeleteDebugToken
الوصول إلى البيانات (ADMIN_READ) GetAppAttestConfig
BatchGetAppAttestConfigs
GetDeviceCheckConfig
BatchGetDeviceCheckConfigs
GetPlayIntegrityConfig
BatchGetPlayIntegrityConfigs
GetRecaptchaEnterpriseConfig
BatchGetRecaptchaEnterpriseConfigs
GetRecaptchaV3Config
BatchGetRecaptchaV3Configs
GetSafetyNetConfig
BatchGetSafetyNetConfigs
GetDebugToken
ListDebugTokens

تنسيق سجل التدقيق

تتضمن إدخالات سجل التدقيق العناصر التالية:

  • إدخال السجل نفسه ، وهو كائن من النوع LogEntry . تشمل الحقول المفيدة ما يلي:

    • يحتوي logName على معرف المورد ونوع سجل التدقيق.
    • يحتوي resource على الهدف من العملية التي تم تدقيقها.
    • يحتوي timeStamp الزمني على وقت العملية التي تم تدقيقها.
    • يحتوي protoPayload على المعلومات التي تم تدقيقها.
  • بيانات تسجيل التدقيق ، وهي كائن AuditLog يتم الاحتفاظ به في حقل protoPayload من إدخال السجل.

  • معلومات تدقيق اختيارية خاصة بالخدمة ، وهي كائن خاص بالخدمة. لعمليات التكامل الأقدم ، يتم الاحتفاظ بهذا الكائن في حقل serviceData الخاص بكائن AuditLog ؛ تستخدم عمليات الدمج الأحدث حقل metadata .

بالنسبة للحقول الأخرى في هذه الكائنات ، وكيفية تفسيرها ، راجع فهم سجلات التدقيق .

اسم السجل

تشير أسماء موارد Cloud Audit Logs إلى مشروع Firebase أو كيان Google Cloud آخر يمتلك سجلات التدقيق ، وما إذا كان السجل يحتوي على بيانات تسجيل تدقيق نشاط المسؤول أو الوصول إلى البيانات أو السياسة المرفوضة أو أحداث النظام. على سبيل المثال ، يعرض ما يلي أسماء السجلات لسجلات تدقيق نشاط المسؤول على مستوى المشروع وسجلات تدقيق الوصول إلى البيانات الخاصة بالمؤسسة. تشير المتغيرات إلى مشروع Firebase ومعرفات المؤسسة.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

اسم الخدمة

تستخدم سجلات تدقيق Firebase App Check اسم الخدمة firebaseappcheck.googleapis.com .

للحصول على قائمة كاملة بجميع أسماء خدمة Cloud Logging API ونوع المورد المقابل الذي يخضع للمراقبة ، راجع تعيين الخدمات إلى الموارد .

أنواع الموارد

تستخدم سجلات تدقيق Firebase App Check نوع المورد audited_resource لجميع سجلات التدقيق.

للحصول على قائمة بجميع أنواع الموارد الخاضعة للمراقبة في Cloud Logging والمعلومات الوصفية ، راجع أنواع الموارد المراقبة .

تمكين تسجيل التدقيق

يتم دائمًا تمكين سجلات تدقيق نشاط المسؤول ؛ لا يمكنك تعطيلها.

يتم تعطيل سجلات تدقيق الوصول إلى البيانات افتراضيًا ولا تتم كتابتها ما لم يتم تمكينها صراحةً (الاستثناء هو سجلات تدقيق الوصول إلى البيانات لـ BigQuery ، والتي لا يمكن تعطيلها).

للحصول على إرشادات حول تمكين بعض أو كل سجلات تدقيق الوصول إلى البيانات ، راجع تكوين سجلات الوصول إلى البيانات .

الأذونات والأدوار

تحدد أذونات وأدوار Cloud IAM قدرتك على الوصول إلى بيانات سجلات التدقيق في موارد Google Cloud.

عند تحديد الأذونات والأدوار الخاصة بالتسجيل التي تنطبق على حالة الاستخدام الخاصة بك ، ضع في اعتبارك ما يلي:

  • يمنحك دور عارض السجلات ( roles/logging.viewer ) وصولاً للقراءة فقط إلى سجلات تدقيق نشاط المسؤول والسياسة المرفوضة وأحداث النظام. إذا كان لديك هذا الدور فقط ، فلا يمكنك عرض سجلات تدقيق Data Access الموجودة في _Default .

  • يتضمن دور عارض السجلات الخاصة (roles/logging.privateLogViewer ) الأذونات المضمنة في roles/logging.viewer ، بالإضافة إلى القدرة على قراءة سجلات تدقيق الوصول إلى البيانات في الحاوية _Default .

    لاحظ أنه إذا تم تخزين هذه السجلات الخاصة في مستودعات يحددها المستخدم ، فيمكن لأي مستخدم لديه أذونات لقراءة السجلات في تلك المجموعات قراءة السجلات الخاصة. لمزيد من المعلومات حول حاويات السجل ، راجع نظرة عامة على التوجيه والتخزين .

لمزيد من المعلومات حول أذونات Cloud IAM والأدوار التي تنطبق على بيانات سجلات التدقيق ، راجع التحكم في الوصول .

عرض السجلات

للعثور على سجلات التدقيق وعرضها ، تحتاج إلى معرفة معرف مشروع Firebase أو المجلد أو المؤسسة التي تريد عرض معلومات تسجيل التدقيق الخاصة بها. يمكنك أيضًا تحديد حقول LogEntry المفهرسة resource.type ، مثل Resource.type ؛ للحصول على التفاصيل ، راجع البحث عن إدخالات السجل بسرعة .

فيما يلي أسماء سجل التدقيق ؛ تتضمن متغيرات لمعرفات مشروع أو مجلد أو مؤسسة Firebase:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

يمكنك عرض سجلات التدقيق في Cloud Logging باستخدام وحدة تحكم GCP أو أداة سطر أوامر gcloud أو واجهة برمجة تطبيقات التسجيل.

وحدة التحكم

يمكنك استخدام مستكشف السجلات في وحدة تحكم GCP لاسترداد إدخالات سجل التدقيق لمشروعك أو مجلدك أو مؤسستك في Firebase:

  1. في وحدة تحكم GCP ، انتقل إلى صفحة التسجيل> مستكشف السجلات .

    انتقل إلى صفحة مستكشف السجلات

  2. في صفحة " مستكشف السجلات " ، حدد مشروعًا أو مجلدًا أو مؤسسة موجودة في Firebase.

  3. في جزء منشئ الاستعلام ، قم بما يلي:

    • في نوع المورد ، حدد مورد Google Cloud الذي تريد الاطلاع على سجلات تدقيقه.

    • في اسم السجل ، حدد نوع سجل التدقيق الذي تريد رؤيته:

      • بالنسبة لسجلات تدقيق نشاط المسؤول ، حدد النشاط .
      • بالنسبة لسجلات تدقيق الوصول إلى البيانات ، حدد data_access .
      • بالنسبة لسجلات تدقيق أحداث النظام ، حدد حدث النظام.
      • بالنسبة لسجلات تدقيق السياسة المرفوضة ، حدد السياسة .

    إذا كنت لا ترى هذه الخيارات ، فلا توجد أي سجلات تدقيق من هذا النوع متوفرة في مشروع Firebase أو المجلد أو المؤسسة.

    لمزيد من التفاصيل حول الاستعلام باستخدام مستكشف السجلات ، راجع إنشاء استعلامات السجل .

gcloud

توفر أداة سطر أوامر gcloud واجهة سطر أوامر إلى Cloud Logging API. PROJECT_ID PROJECT_ID أو FOLDER_ID أو ORGANIZATION_ID صالح في كل من أسماء السجلات.

لقراءة إدخالات سجل تدقيق Firebase على مستوى المشروع ، قم بتشغيل الأمر التالي:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID

لقراءة إدخالات سجل التدقيق على مستوى المجلد ، قم بتشغيل الأمر التالي:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID

لقراءة إدخالات سجل التدقيق على مستوى المؤسسة ، قم بتشغيل الأمر التالي:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID

لمزيد من المعلومات حول استخدام أداة gcloud ، راجع قراءة إدخالات السجل .

API

عند إنشاء استعلاماتك ، استبدل المتغيرات بقيم صالحة ، واستبدل اسم أو معرفات سجل التدقيق المناسب على مستوى المشروع أو على مستوى المجلد أو على مستوى المؤسسة كما هو مدرج في أسماء سجل التدقيق. على سبيل المثال ، إذا كان استعلامك يتضمن PROJECT_ID ، فيجب أن يشير معرف المشروع الذي توفره إلى مشروع Firebase المحدد حاليًا.

لاستخدام Logging API للنظر في إدخالات سجل التدقيق ، قم بما يلي:

  1. انتقل إلى قسم جرب واجهة برمجة التطبيقات هذه في الوثائق الخاصة بأسلوب قائمة entries.list .

  2. ضع ما يلي في جزء نص الطلب من نموذج جرب واجهة برمجة التطبيقات هذه . يؤدي النقر فوق هذا النموذج المعبأ مسبقًا إلى ملء نص الطلب تلقائيًا ، ولكنك تحتاج إلى توفير PROJECT_ID صالح في كل من أسماء السجلات.

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
    
  3. انقر فوق تنفيذ .

لمزيد من التفاصيل حول الاستعلام ، راجع تسجيل لغة الاستعلام .

للحصول على مثال لإدخال سجل التدقيق وكيفية العثور على المعلومات الأكثر أهمية فيه ، راجع نموذج إدخال سجل التدقيق .

سجلات تدقيق المسار

يمكنك توجيه سجلات التدقيق إلى الوجهات المدعومة بنفس الطريقة التي يمكنك بها توجيه أنواع أخرى من السجلات. فيما يلي بعض الأسباب التي قد تدفعك إلى توجيه سجلات التدقيق الخاصة بك:

  • للاحتفاظ بسجلات التدقيق لفترة زمنية أطول أو لاستخدام إمكانات بحث أكثر قوة ، يمكنك توجيه نسخ من سجلات التدقيق إلى Google Cloud Storage أو BigQuery أو Google Cloud Pub / Sub. باستخدام Cloud Pub / Sub ، يمكنك التوجيه إلى التطبيقات الأخرى والمستودعات الأخرى والجهات الخارجية.

  • لإدارة سجلات التدقيق عبر مؤسسة بأكملها ، يمكنك إنشاء أحواض مجمعة يمكنها توجيه السجلات من أي أو جميع مشاريع Firebase في المؤسسة.

  • إذا كانت سجلات تدقيق الوصول إلى البيانات التي تم تمكينها تدفع مشاريع Firebase الخاصة بك على تخصيصات السجلات ، فيمكنك إنشاء أحواض تستبعد سجلات تدقيق الوصول إلى البيانات من التسجيل.

للحصول على إرشادات حول سجلات التوجيه ، راجع تكوين المصارف .

التسعير

سجلات تدقيق نشاط المسؤول وسجلات تدقيق أحداث النظام بلا تكلفة.

يتم تحميل رسوم على سجلات تدقيق الوصول إلى البيانات وسجلات تدقيق السياسة المرفوضة .

لمزيد من المعلومات حول تسعير Cloud Logging ، راجع تسعير مجموعة عمليات Google Cloud: التسجيل في السحاب .