फायरबेस ऐप चेक के लिए ऑडिट लॉगिंग

यह पेज Firebase द्वारा बनाए गए ऑडिट लॉग का क्लाउड ऑडिट लॉग के हिस्से के रूप में वर्णन करता है।

अवलोकन

Firebase सेवाएं, "किसने क्या किया, कहां और कब किया?" सवालों के जवाब देने में आपकी मदद करने के लिए ऑडिट लॉग लिखती हैं। ये क्लाउड ऑडिट लॉग हैं, जो आपके Firebase प्रोजेक्ट से जुड़े Google क्लाउड प्रोजेक्ट के हिस्से के रूप में दिए गए हैं।

आपके प्रत्येक Firebase प्रोजेक्ट में केवल उन संसाधनों के ऑडिट लॉग होते हैं जो सीधे प्रोजेक्ट के भीतर होते हैं।

क्लाउड ऑडिट लॉग के सामान्य अवलोकन के लिए, क्लाउड ऑडिट लॉग का अवलोकन देखें। ऑडिट लॉग प्रारूप की गहरी समझ के लिए, ऑडिट लॉग को समझें देखें।

उपलब्ध ऑडिट लॉग

फायरबेस ऐप चेक के लिए निम्न प्रकार के ऑडिट लॉग उपलब्ध हैं:

  • व्यवस्थापक गतिविधि ऑडिट लॉग

    मेटाडेटा या कॉन्फ़िगरेशन जानकारी लिखने वाले "व्यवस्थापक लेखन" संचालन शामिल हैं।

    आप व्यवस्थापक गतिविधि ऑडिट लॉग को अक्षम नहीं कर सकते।

  • डेटा एक्सेस ऑडिट लॉग

    इसमें "एडमिन रीड" ऑपरेशंस शामिल हैं जो मेटाडेटा या कॉन्फ़िगरेशन जानकारी पढ़ते हैं। इसमें "डेटा रीड" और "डेटा राइट" ऑपरेशन भी शामिल हैं जो उपयोगकर्ता द्वारा प्रदान किए गए डेटा को पढ़ते या लिखते हैं।

    डेटा एक्सेस ऑडिट लॉग प्राप्त करने के लिए, आपको उन्हें स्पष्ट रूप से सक्षम करना होगा।

ऑडिट लॉग प्रकारों के पूर्ण विवरण के लिए, ऑडिट लॉग के प्रकार देखें।

लेखापरीक्षित संचालन

निम्नलिखित सारांशित करता है कि फायरबेस ऐप चेक में कौन से एपीआई ऑपरेशन प्रत्येक ऑडिट लॉग प्रकार के अनुरूप हैं:

ऑडिट लॉग श्रेणी फायरबेस ऐप चेक ऑपरेशन
परियोजना संचालन
व्यवस्थापक गतिविधि अद्यतन सेवा
बैचअपडेट सेवाएं
डेटा एक्सेस (ADMIN_READ) सेवा प्राप्त करें
सूची सेवाएं
ऐप संचालन
व्यवस्थापक गतिविधि UpdateAppAttestConfig
UpdateDeviceCheckConfig
UpdatePlayIntegrityConfig
UpdateRecaptchaEnterpriseConfig
UpdateRecaptchaV3Config
UpdateSafetyNetConfig
डिबगटोकन बनाएं
अद्यतनडीबगटोकन
डिबगटोकन हटाएं
डेटा एक्सेस (ADMIN_READ) GetAppAttestConfig
BatchGetAppAttestConfigs
GetDeviceCheckConfig
बैचगेटडिवाइसचेककॉन्फिग्स
GetPlayIntegrityConfig
बैचगेटप्लेइंटीग्रिटीकॉन्फ़िग्स
GetRecaptchaEnterpriseConfig
बैचगेटरीकैप्चाएंटरप्राइजकॉन्फिग
GetRecaptchaV3Config
बैचगेटRecaptchaV3Configs
GetSafetyNetConfig
बैचगेट सेफ्टीनेट कॉन्फिग
GetDebugटोकन
सूचीडिबगटोकन

ऑडिट लॉग प्रारूप

ऑडिट लॉग प्रविष्टियों में निम्नलिखित ऑब्जेक्ट शामिल हैं:

  • लॉग प्रविष्टि ही, जो LogEntry प्रकार की एक वस्तु है। उपयोगी क्षेत्रों में निम्नलिखित शामिल हैं:

    • logName में संसाधन आईडी और ऑडिट लॉग प्रकार होता है।
    • resource में ऑडिट किए गए ऑपरेशन का लक्ष्य होता है।
    • timeStamp में ऑडिट किए गए ऑपरेशन का समय होता है।
    • protoPayload में लेखापरीक्षित जानकारी होती है।
  • ऑडिट लॉगिंग डेटा, जो एक AuditLog ऑब्जेक्ट है जो लॉग एंट्री के protoPayload फ़ील्ड में रखा जाता है।

  • वैकल्पिक सेवा-विशिष्ट ऑडिट जानकारी, जो एक सेवा-विशिष्ट वस्तु है। पुराने एकीकरण के लिए, यह ऑब्जेक्ट AuditLog ऑब्जेक्ट के serviceData फ़ील्ड में रखा जाता है; नए एकीकरण metadata फ़ील्ड का उपयोग करते हैं।

इन ऑब्जेक्ट में अन्य फ़ील्ड के लिए, और उनकी व्याख्या कैसे करें, ऑडिट लॉग को समझें की समीक्षा करें।

लॉग नाम

क्लाउड ऑडिट लॉग संसाधन नाम फायरबेस प्रोजेक्ट या अन्य Google क्लाउड इकाई को इंगित करते हैं जो ऑडिट लॉग का मालिक है, और क्या लॉग में व्यवस्थापक गतिविधि, डेटा एक्सेस, नीति अस्वीकृत, या सिस्टम इवेंट ऑडिट लॉगिंग डेटा है। उदाहरण के लिए, निम्न प्रोजेक्ट-स्तरीय व्यवस्थापक गतिविधि ऑडिट लॉग और किसी संगठन के डेटा एक्सेस ऑडिट लॉग के लिए लॉग नाम दिखाता है। वेरिएबल Firebase प्रोजेक्ट और संगठन पहचानकर्ताओं को दर्शाते हैं।

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

सेवा का नाम

फायरबेस ऐप चेक ऑडिट लॉग सेवा नाम firebaseappcheck.googleapis.com का उपयोग करते हैं।

सभी क्लाउड लॉगिंग एपीआई सेवा नामों और उनके संबंधित मॉनिटर किए गए संसाधन प्रकार की पूरी सूची के लिए, संसाधनों के लिए मानचित्र सेवाएं देखें।

संसाधन प्रकार

फायरबेस ऐप चेक ऑडिट लॉग सभी ऑडिट लॉग के लिए संसाधन प्रकार audited_resource का उपयोग करते हैं।

सभी क्लाउड लॉगिंग मॉनिटर किए गए संसाधन प्रकारों और वर्णनात्मक जानकारी की सूची के लिए, मॉनिटर किए गए संसाधन प्रकार देखें।

ऑडिट लॉगिंग सक्षम करें

व्यवस्थापक गतिविधि ऑडिट लॉग हमेशा सक्षम होते हैं; आप उन्हें अक्षम नहीं कर सकते।

डेटा एक्सेस ऑडिट लॉग डिफ़ॉल्ट रूप से अक्षम होते हैं और तब तक लिखे नहीं जाते जब तक कि स्पष्ट रूप से सक्षम नहीं किया जाता है (बिगक्वेरी के लिए डेटा एक्सेस ऑडिट लॉग अपवाद हैं, जिन्हें अक्षम नहीं किया जा सकता है)।

अपने कुछ या सभी डेटा एक्सेस ऑडिट लॉग को सक्षम करने के निर्देशों के लिए, डेटा एक्सेस लॉग कॉन्फ़िगर करें देखें।

अनुमतियां और भूमिकाएं

क्लाउड IAM अनुमतियां और भूमिकाएं Google क्लाउड संसाधनों में ऑडिट लॉग डेटा तक पहुंचने की आपकी क्षमता को निर्धारित करती हैं।

यह तय करते समय कि आपके उपयोग के मामले में कौन सी लॉगिंग-विशिष्ट अनुमतियाँ और भूमिकाएँ लागू होती हैं, निम्नलिखित पर विचार करें:

  • लॉग्स व्यूअर भूमिका ( role roles/logging.viewer ) आपको एडमिन एक्टिविटी, पॉलिसी अस्वीकृत और सिस्टम इवेंट ऑडिट लॉग तक केवल पढ़ने के लिए एक्सेस देती है। यदि आपकी केवल यही भूमिका है, तो आप डेटा एक्सेस ऑडिट लॉग नहीं देख सकते हैं जो _Default बकेट में हैं।

  • निजी लॉग्स व्यूअर भूमिका (roles/logging.privateLogViewer व्यूअर) में roles/logging.viewer में निहित अनुमतियां, साथ ही _Default बकेट में डेटा एक्सेस ऑडिट लॉग पढ़ने की क्षमता शामिल है।

    ध्यान दें कि यदि ये निजी लॉग उपयोगकर्ता-परिभाषित बकेट में संग्रहीत हैं, तो कोई भी उपयोगकर्ता जिसके पास उन बकेट में लॉग पढ़ने की अनुमति है, वह निजी लॉग पढ़ सकता है। लॉग बकेट के बारे में अधिक जानकारी के लिए, रूटिंग और स्टोरेज ओवरव्यू देखें।

क्लाउड IAM अनुमतियों और ऑडिट लॉग डेटा पर लागू होने वाली भूमिकाओं के बारे में अधिक जानकारी के लिए, एक्सेस नियंत्रण देखें।

लॉग्स को देखें

ऑडिट लॉग ढूंढने और देखने के लिए, आपको फायरबेस प्रोजेक्ट, फ़ोल्डर या संगठन के पहचानकर्ता को जानना होगा जिसके लिए आप ऑडिट लॉगिंग जानकारी देखना चाहते हैं। आप आगे अन्य अनुक्रमित LogEntry फ़ील्ड निर्दिष्ट कर सकते हैं, जैसे resource.type ; विवरण के लिए, लॉग प्रविष्टियों को शीघ्रता से खोजें की समीक्षा करें।

लेखापरीक्षा लॉग नाम निम्नलिखित हैं; उनमें Firebase प्रोजेक्ट, फ़ोल्डर या संगठन के पहचानकर्ताओं के लिए वैरिएबल शामिल हैं:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

आप GCP कंसोल, gcloud कमांड-लाइन टूल या लॉगिंग API का उपयोग करके क्लाउड लॉगिंग में ऑडिट लॉग देख सकते हैं।

सांत्वना देना

आप अपने Firebase प्रोजेक्ट, फ़ोल्डर या संगठन के लिए अपनी ऑडिट लॉग प्रविष्टियां पुनर्प्राप्त करने के लिए GCP कंसोल में लॉग एक्सप्लोरर का उपयोग कर सकते हैं:

  1. GCP कंसोल में, लॉगिंग > लॉग्स एक्सप्लोरर पेज पर जाएं।

    लॉग्स एक्सप्लोरर पेज पर जाएं

  2. लॉग एक्सप्लोरर पेज पर, मौजूदा फायरबेस प्रोजेक्ट, फ़ोल्डर या संगठन का चयन करें।

  3. क्वेरी बिल्डर फलक में, निम्न कार्य करें:

    • संसाधन प्रकार में, उस Google क्लाउड संसाधन का चयन करें जिसका ऑडिट लॉग आप देखना चाहते हैं।

    • लॉग नाम में, ऑडिट लॉग प्रकार चुनें जिसे आप देखना चाहते हैं:

      • व्यवस्थापक गतिविधि ऑडिट लॉग के लिए, गतिविधि चुनें।
      • डेटा एक्सेस ऑडिट लॉग के लिए, data_access चुनें.
      • सिस्टम इवेंट ऑडिट लॉग के लिए, system_event चुनें।
      • नीति अस्वीकृत ऑडिट लॉग के लिए, नीति चुनें।

    अगर आपको ये विकल्प दिखाई नहीं देते हैं, तो उस प्रकार का कोई भी ऑडिट लॉग Firebase प्रोजेक्ट, फ़ोल्डर या संगठन में उपलब्ध नहीं है।

    लॉग एक्सप्लोरर का उपयोग करके क्वेरी करने के बारे में अधिक जानकारी के लिए, लॉग क्वेरी बनाएँ देखें।

gcloud

gcloud कमांड-लाइन टूल क्लाउड लॉगिंग API को कमांड-लाइन इंटरफ़ेस प्रदान करता है। प्रत्येक लॉग नाम में एक मान्य PROJECT_ID , FOLDER_ID , या ORGANIZATION_ID प्रदान करें।

अपने Firebase प्रोजेक्ट-स्तरीय ऑडिट लॉग प्रविष्टियों को पढ़ने के लिए, निम्न आदेश चलाएँ:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID

अपने फ़ोल्डर-स्तरीय ऑडिट लॉग प्रविष्टियों को पढ़ने के लिए, निम्न आदेश चलाएँ:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID

अपने संगठन-स्तरीय ऑडिट लॉग प्रविष्टियों को पढ़ने के लिए, निम्न आदेश चलाएँ:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID

gcloud टूल का उपयोग करने के बारे में अधिक जानकारी के लिए, लॉग प्रविष्टियाँ पढ़ें देखें।

एपीआई

अपने प्रश्नों का निर्माण करते समय, चर को मान्य मानों से बदलें, उपयुक्त प्रोजेक्ट-स्तर, फ़ोल्डर-स्तर, या संगठन-स्तरीय ऑडिट लॉग नाम या पहचानकर्ता को ऑडिट लॉग नामों में सूचीबद्ध करें। उदाहरण के लिए, यदि आपकी क्वेरी में PROJECT_ID शामिल है, तो आपके द्वारा आपूर्ति किए जाने वाले प्रोजेक्ट पहचानकर्ता को वर्तमान में चयनित Firebase प्रोजेक्ट को संदर्भित करना चाहिए।

अपनी ऑडिट लॉग प्रविष्टियों को देखने के लिए लॉगिंग एपीआई का उपयोग करने के लिए, निम्न कार्य करें:

  1. entries.list पद्धति के दस्तावेज़ीकरण में इस एपीआई को आजमाएं अनुभाग पर जाएं।

  2. इस एपीआई फॉर्म को आजमाएं के अनुरोध के मुख्य भाग में निम्नलिखित डालें। इस प्रीपॉप्युलेटेड फॉर्म पर क्लिक करने से अनुरोध बॉडी अपने आप भर जाती है, लेकिन आपको प्रत्येक लॉग नाम में एक मान्य PROJECT_ID की आपूर्ति करनी होगी।

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
    
  3. निष्पादित करें पर क्लिक करें।

क्वेरी करने के बारे में अधिक जानकारी के लिए, लॉगिंग क्वेरी भाषा देखें।

ऑडिट लॉग प्रविष्टि के उदाहरण के लिए और उसमें सबसे महत्वपूर्ण जानकारी कैसे प्राप्त करें, नमूना ऑडिट लॉग प्रविष्टि देखें।

रूट ऑडिट लॉग

आप ऑडिट लॉग को समर्थित गंतव्यों पर उसी तरह रूट कर सकते हैं जैसे आप अन्य प्रकार के लॉग को रूट कर सकते हैं। यहां कुछ कारण दिए गए हैं जिन्हें आप अपने ऑडिट लॉग को रूट करना चाहते हैं:

  • ऑडिट लॉग को लंबे समय तक रखने या अधिक शक्तिशाली खोज क्षमताओं का उपयोग करने के लिए, आप अपने ऑडिट लॉग की प्रतियों को Google क्लाउड स्टोरेज, BigQuery, या Google क्लाउड पब/सब पर रूट कर सकते हैं। क्लाउड पब/सब का उपयोग करके, आप अन्य एप्लिकेशन, अन्य रिपॉजिटरी और तृतीय पक्षों को रूट कर सकते हैं।

  • पूरे संगठन में अपने ऑडिट लॉग को प्रबंधित करने के लिए, आप समेकित सिंक बना सकते हैं जो संगठन में किसी भी या सभी Firebase प्रोजेक्ट से लॉग रूट कर सकते हैं।

  • यदि आपके सक्षम डेटा एक्सेस ऑडिट लॉग आपके फायरबेस प्रोजेक्ट्स को आपके लॉग आवंटन पर धकेल रहे हैं, तो आप ऐसे सिंक बना सकते हैं जो लॉगिंग से डेटा एक्सेस ऑडिट लॉग को बाहर कर देते हैं।

लॉग को रूट करने के निर्देशों के लिए, सिंक कॉन्फ़िगर करें देखें।

मूल्य निर्धारण

व्यवस्थापक गतिविधि ऑडिट लॉग और सिस्टम इवेंट ऑडिट लॉग बिना किसी लागत के हैं।

डेटा एक्सेस ऑडिट लॉग और पॉलिसी अस्वीकृत ऑडिट लॉग प्रभार्य हैं।

क्लाउड लॉगिंग मूल्य निर्धारण के बारे में अधिक जानकारी के लिए, Google क्लाउड का संचालन सूट मूल्य निर्धारण देखें: क्लाउड लॉगिंग