इस पेज में उन ऑडिट लॉग के बारे में बताया गया है जो Firebase के बनाए गए हैं. ये लॉग, Cloud ऑडिट लॉग.
खास जानकारी
Firebase की सेवाएं, ऑडिट लॉग लिखती हैं. इससे आपको इन सवालों के जवाब देने में मदद मिलती है, "किसने किया कौनसा, कहां, और कब?". ये हैं क्लाउड ऑडिट लॉग, जिन्हें Google Cloud प्रोजेक्ट आपके Firebase प्रोजेक्ट.
आपके हर Firebase प्रोजेक्ट में सिर्फ़ ऐसे संसाधनों के ऑडिट लॉग शामिल होते हैं प्रोजेक्ट में सीधे तौर पर मौजूद हों.
क्लाउड ऑडिट लॉग की खास जानकारी के लिए, इसे देखें Cloud ऑडिट लॉग की खास जानकारी. ऑडिट की बेहतर समझ के लिए लॉग प्रारूप, देखें ऑडिट लॉग को समझना.
उपलब्ध ऑडिट लॉग
Firebase App Check के लिए, इस तरह के ऑडिट लॉग उपलब्ध हैं:
-
एडमिन गतिविधि के ऑडिट लॉग
"एडमिन राइटिंग" शामिल है ऐसी कार्रवाइयां जो मेटाडेटा या कॉन्फ़िगरेशन लिखते हैं जानकारी.
एडमिन गतिविधि के ऑडिट लॉग को बंद नहीं किया जा सकता.
-
डेटा ऐक्सेस करने वाले ऑडिट लॉग
"एडमिन रीड" शामिल है ऐसी कार्रवाइयां जो मेटाडेटा या कॉन्फ़िगरेशन को पढ़ती हैं जानकारी. "डेटा पढ़ा गया" भी शामिल है और "डेटा लिखना" की कार्रवाइयां उपयोगकर्ता से मिले डेटा को देखने या उसमें बदलाव करने की अनुमति देता है.
डेटा ऐक्सेस के ऑडिट लॉग पाने के लिए, आपको साफ़ तौर पर उन्हें चालू करना होगा.
ऑडिट लॉग टाइप के बारे में पूरी जानकारी पाने के लिए, यहां जाएं ऑडिट लॉग के टाइप.
ऑडिट की गई कार्रवाइयां
यहां इस बारे में खास जानकारी दी गई है कि हर ऑडिट लॉग से एपीआई से जुड़ी कौनसी कार्रवाइयां की जाती हैं Firebase ऐप्लिकेशन जांच में टाइप करें:
| अनुमति किस तरह की है | तरीके |
|---|---|
ADMIN_READ |
google.firebase.appcheck.v1.ConfigService.BatchGetAppAttestConfigsgoogle.firebase.appcheck.v1.ConfigService.BatchGetDeviceCheckConfigsgoogle.firebase.appcheck.v1.ConfigService.BatchGetPlayIntegrityConfigsgoogle.firebase.appcheck.v1.ConfigService.BatchGetRecaptchaEnterpriseConfigsgoogle.firebase.appcheck.v1.ConfigService.BatchGetRecaptchaV3Configsgoogle.firebase.appcheck.v1.ConfigService.BatchGetSafetyNetConfigsgoogle.firebase.appcheck.v1.ConfigService.GetAppAttestConfiggoogle.firebase.appcheck.v1.ConfigService.GetDebugTokengoogle.firebase.appcheck.v1.ConfigService.GetDeviceCheckConfiggoogle.firebase.appcheck.v1.ConfigService.GetPlayIntegrityConfiggoogle.firebase.appcheck.v1.ConfigService.GetRecaptchaEnterpriseConfiggoogle.firebase.appcheck.v1.ConfigService.GetRecaptchaV3Configgoogle.firebase.appcheck.v1.ConfigService.GetSafetyNetConfiggoogle.firebase.appcheck.v1.ConfigService.GetServicegoogle.firebase.appcheck.v1.ConfigService.ListDebugTokensgoogle.firebase.appcheck.v1.ConfigService.ListServicesgoogle.firebase.appcheck.v1beta.ConfigService.BatchGetAppAttestConfigsgoogle.firebase.appcheck.v1beta.ConfigService.BatchGetDeviceCheckConfigsgoogle.firebase.appcheck.v1beta.ConfigService.BatchGetPlayIntegrityConfigsgoogle.firebase.appcheck.v1beta.ConfigService.BatchGetRecaptchaConfigsgoogle.firebase.appcheck.v1beta.ConfigService.BatchGetRecaptchaEnterpriseConfigsgoogle.firebase.appcheck.v1beta.ConfigService.BatchGetRecaptchaV3Configsgoogle.firebase.appcheck.v1beta.ConfigService.BatchGetSafetyNetConfigsgoogle.firebase.appcheck.v1beta.ConfigService.GetAppAttestConfiggoogle.firebase.appcheck.v1beta.ConfigService.GetDebugTokengoogle.firebase.appcheck.v1beta.ConfigService.GetDeviceCheckConfiggoogle.firebase.appcheck.v1beta.ConfigService.GetPlayIntegrityConfiggoogle.firebase.appcheck.v1beta.ConfigService.GetRecaptchaConfiggoogle.firebase.appcheck.v1beta.ConfigService.GetRecaptchaEnterpriseConfiggoogle.firebase.appcheck.v1beta.ConfigService.GetRecaptchaV3Configgoogle.firebase.appcheck.v1beta.ConfigService.GetResourcePolicygoogle.firebase.appcheck.v1beta.ConfigService.GetSafetyNetConfiggoogle.firebase.appcheck.v1beta.ConfigService.GetServicegoogle.firebase.appcheck.v1beta.ConfigService.ListDebugTokensgoogle.firebase.appcheck.v1beta.ConfigService.ListResourcePoliciesgoogle.firebase.appcheck.v1beta.ConfigService.ListServices |
ADMIN_WRITE |
google.firebase.appcheck.v1.ConfigService.BatchUpdateServicesgoogle.firebase.appcheck.v1.ConfigService.CreateDebugTokengoogle.firebase.appcheck.v1.ConfigService.DeleteDebugTokengoogle.firebase.appcheck.v1.ConfigService.UpdateAppAttestConfiggoogle.firebase.appcheck.v1.ConfigService.UpdateDebugTokengoogle.firebase.appcheck.v1.ConfigService.UpdateDeviceCheckConfiggoogle.firebase.appcheck.v1.ConfigService.UpdatePlayIntegrityConfiggoogle.firebase.appcheck.v1.ConfigService.UpdateRecaptchaEnterpriseConfiggoogle.firebase.appcheck.v1.ConfigService.UpdateRecaptchaV3Configgoogle.firebase.appcheck.v1.ConfigService.UpdateSafetyNetConfiggoogle.firebase.appcheck.v1.ConfigService.UpdateServicegoogle.firebase.appcheck.v1beta.ConfigService.BatchUpdateResourcePoliciesgoogle.firebase.appcheck.v1beta.ConfigService.BatchUpdateServicesgoogle.firebase.appcheck.v1beta.ConfigService.CreateDebugTokengoogle.firebase.appcheck.v1beta.ConfigService.CreateResourcePolicygoogle.firebase.appcheck.v1beta.ConfigService.DeleteDebugTokengoogle.firebase.appcheck.v1beta.ConfigService.DeleteResourcePolicygoogle.firebase.appcheck.v1beta.ConfigService.UpdateAppAttestConfiggoogle.firebase.appcheck.v1beta.ConfigService.UpdateDebugTokengoogle.firebase.appcheck.v1beta.ConfigService.UpdateDeviceCheckConfiggoogle.firebase.appcheck.v1beta.ConfigService.UpdatePlayIntegrityConfiggoogle.firebase.appcheck.v1beta.ConfigService.UpdateRecaptchaConfiggoogle.firebase.appcheck.v1beta.ConfigService.UpdateRecaptchaEnterpriseConfiggoogle.firebase.appcheck.v1beta.ConfigService.UpdateRecaptchaV3Configgoogle.firebase.appcheck.v1beta.ConfigService.UpdateResourcePolicygoogle.firebase.appcheck.v1beta.ConfigService.UpdateSafetyNetConfiggoogle.firebase.appcheck.v1beta.ConfigService.UpdateServicegoogle.firebase.appcheck.v1beta.TokenVerificationService.VerifyAppCheckToken |
ऑडिट लॉग का फ़ॉर्मैट
ऑडिट लॉग एंट्री में ये ऑब्जेक्ट शामिल होते हैं:
लॉग एंट्री, जो
LogEntryटाइप का ऑब्जेक्ट है. काम के फ़ील्ड में ये जानकारी शामिल हैं:logNameमें, संसाधन आईडी और ऑडिट लॉग टाइप शामिल होता है.resourceमें ऑडिट की गई कार्रवाई का टारगेट शामिल है.timestampमें ऑडिट की गई कार्रवाई का समय शामिल होता है.protoPayloadमें ऑडिट की गई जानकारी शामिल है.
ऑडिट लॉगिंग डेटा, जो कि एक
AuditLogऑब्जेक्ट है लॉग एंट्री काprotoPayloadफ़ील्ड.वैकल्पिक सेवा के हिसाब से ऑडिट जानकारी, जो कि सेवा के हिसाब से होती है ऑब्जेक्ट है. पुराने इंटिग्रेशन के लिए, यह ऑब्जेक्ट
serviceDataमें रहता हैAuditLogऑब्जेक्ट का फ़ील्ड; नए इंटिग्रेशन,metadataफ़ील्ड का इस्तेमाल करते हैं.
इन ऑब्जेक्ट में मौजूद अन्य फ़ील्ड और उन्हें समझने के तरीकों के बारे में जानने के लिए, ऑडिट लॉग को समझना.
लॉग का नाम
क्लाउड ऑडिट लॉग संसाधन नाम Firebase प्रोजेक्ट या Google Cloud इकाई, जिसके पास ऑडिट लॉग का मालिकाना हक है. साथ ही, यह भी बताएं कि लॉग में ये चीज़ें शामिल हैं या नहीं एडमिन की गतिविधि, डेटा ऐक्सेस, अस्वीकार की गई नीति या सिस्टम इवेंट का ऑडिट लॉगिंग डेटा. उदाहरण के लिए, प्रोजेक्ट-लेवल की एडमिन गतिविधि के लिए लॉग के नाम नीचे दिखाए गए हैं ऑडिट लॉग और किसी संगठन के डेटा ऐक्सेस वाले ऑडिट लॉग. वैरिएबल दिखाते हैं Firebase प्रोजेक्ट और संगठन के आइडेंटिफ़ायर.
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
सेवा का नाम
'Firebase ऐप्लिकेशन की जांच' के ऑडिट लॉग में सेवा का नाम इस्तेमाल किया जाता है
firebaseappcheck.googleapis.com.
Cloud Logging API की सभी सेवाओं के नाम और उनसे जुड़ी पूरी सूची देखने के लिए मॉनिटर किया गया संसाधन टाइप, देखें सेवाओं को संसाधनों के साथ मैप करें.
संसाधन के टाइप
Firebase के ऐप्लिकेशन की जांच वाले ऑडिट लॉग का इस्तेमाल
सभी ऑडिट लॉग के लिए, संसाधन टाइप audited_resource.
क्लाउड लॉगिंग के ज़रिए मॉनिटर किए गए सभी संसाधनों की सूची और पूरी जानकारी देने के लिए जानकारी, देखें मॉनिटर किए गए संसाधन टाइप.
ऑडिट में लॉग इन करने की सुविधा चालू करें
एडमिन गतिविधि ऑडिट लॉग हमेशा चालू रहते हैं; आपके पास इन्हें बंद करने का विकल्प नहीं है.
डेटा ऐक्सेस करने की सुविधा वाले ऑडिट लॉग डिफ़ॉल्ट रूप से बंद होते हैं. इन्हें जब तक स्पष्ट रूप से सक्षम न किया गया हो (अपवाद के लिए डेटा ऐक्सेस ऑडिट लॉग BigQuery). इसे बंद नहीं किया जा सकता.
डेटा ऐक्सेस के अपने कुछ या सभी ऑडिट लॉग को चालू करने से जुड़े निर्देशों के लिए, यहां देखें डेटा ऐक्सेस लॉग कॉन्फ़िगर करें.
अनुमतियां और भूमिकाएं
Cloud IAM की अनुमतियों और भूमिकाओं से यह तय होता है कि आप ऑडिट लॉग को ऐक्सेस कर पाएंगे या नहीं Google Cloud संसाधनों में डेटा.
यह तय करते समय कि लॉग इन करने से जुड़ी खास अनुमतियां और भूमिकाएं इन पर लागू होती हैं तो इन बातों का ध्यान रखें:
लॉग व्यूअर की भूमिका (
roles/logging.viewer) से आपको इनका रीड ओनली ऐक्सेस मिलता है एडमिन की गतिविधि, अस्वीकार की गई नीति, और सिस्टम इवेंट के ऑडिट लॉग. अगर आपके पास इस भूमिका में, डेटा ऐक्सेस के ऐसे ऑडिट लॉग नहीं देखे जा सकते जो_Defaultमें मौजूद हैं बकेट.निजी लॉग व्यूअर की भूमिका
(roles/logging.privateLogViewer) मेंroles/logging.viewerमें शामिल अनुमतियां और पढ़ने की क्षमता_Defaultबकेट में, डेटा ऐक्सेस के ऑडिट लॉग.ध्यान रखें कि अगर इन निजी लॉग को उपयोगकर्ता के तय किए गए बकेट में स्टोर किया जाता है, तो जिन उपयोगकर्ताओं को उन बकेट में लॉग पढ़ने की अनुमति है, वे निजी लॉग. लॉग बकेट के बारे में ज़्यादा जानकारी के लिए, देखें रूटिंग और स्टोरेज की खास जानकारी.
क्लाउड आईएएम की अनुमतियों और लागू होने वाली भूमिकाओं के बारे में ज़्यादा जानकारी पाने के लिए लॉग डेटा को ऑडिट करने के लिए, ऐक्सेस कंट्रोल देखें.
लॉग देखें
ऑडिट लॉग ढूंढने और देखने के लिए, आपको
वह Firebase प्रोजेक्ट, फ़ोल्डर या संगठन जिसके लिए आपको डेटा देखना है
ऑडिट लॉगिंग की जानकारी. इस पेज पर, इंडेक्स की गई
LogEntry फ़ील्ड, जैसे कि resource.type; जानकारी के लिए, समीक्षा करें
लॉग एंट्री फटाफट ढूंढें.
ऑडिट लॉग के नाम ये हैं; इनमें वैरिएबल के लिए वैरिएबल Firebase प्रोजेक्ट, फ़ोल्डर या संगठन के आइडेंटिफ़ायर:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
क्लाउड लॉगिंग में ऑडिट लॉग देखने के लिए इसका उपयोग करें:
Google Cloud console, gcloud कमांड-लाइन टूल या Logging API.
कंसोल
Google Cloud कंसोल में लॉग एक्सप्लोरर का इस्तेमाल किया जा सकता है की मदद से, अपने Firebase प्रोजेक्ट, फ़ोल्डर, या संगठन:
Google Cloud Console में, यहां जाएं लॉग करना > लॉग एक्सप्लोरर पेज.
लॉग एक्सप्लोरर पेज पर, किसी मौजूदा लॉग को चुनें Firebase प्रोजेक्ट, फ़ोल्डर या संगठन.
क्वेरी बिल्डर पैनल में, ये काम करें:
संसाधन टाइप में, वह Google Cloud संसाधन चुनें जिसका जिन्हें आपको देखना है.
लॉग नाम में, वह ऑडिट लॉग टाइप चुनें जिसे आपको देखना है:
- एडमिन गतिविधि के ऑडिट लॉग के लिए, गतिविधि चुनें.
- डेटा ऐक्सेस के ऑडिट लॉग के लिए, data_access चुनें.
- सिस्टम इवेंट के ऑडिट लॉग के लिए, system_event चुनें.
- अस्वीकार की गई नीति के ऑडिट लॉग के लिए, नीति चुनें.
अगर आपको ये विकल्प नहीं दिखते हैं, तो इसका मतलब है कि जो Firebase प्रोजेक्ट, फ़ोल्डर या संगठन.
लॉग एक्सप्लोरर का इस्तेमाल करके क्वेरी करने के बारे में ज़्यादा जानकारी के लिए, देखें लॉग क्वेरी बनाना.
Gcloud
gcloud कमांड-लाइन टूल,
क्लाउड लॉगिंग API. कोई मान्य वैल्यू दें
PROJECT_ID, FOLDER_ID,
या ORGANIZATION_ID को शामिल करें.
Firebase प्रोजेक्ट-लेवल के ऑडिट लॉग की एंट्री पढ़ने के लिए, ये निर्देश देंगे:
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID
फ़ोल्डर-लेवल के ऑडिट लॉग की एंट्री पढ़ने के लिए, यह निर्देश चलाएं:
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID
अपने संगठन-लेवल के ऑडिट लॉग की एंट्री पढ़ने के लिए, यह निर्देश चलाएं:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID
gcloud टूल का इस्तेमाल करने के बारे में ज़्यादा जानने के लिए, यहां जाएं
लॉग एंट्री पढ़ना.
एपीआई
अपनी क्वेरी बनाते समय, वैरिएबल को मान्य वैल्यू से बदलें, प्रोजेक्ट-लेवल, फ़ोल्डर-लेवल या संगठन-लेवल के ऑडिट लॉग में दिए गए नाम या आइडेंटिफ़ायर की जानकारी नाम. उदाहरण के लिए, अगर आपकी क्वेरी में PROJECT_ID शामिल है, तो आपने जो प्रोजेक्ट आइडेंटिफ़ायर दिया है वह चुने गए मौजूदा प्रोजेक्ट आइडेंटिफ़ायर से जुड़ा होना चाहिए Firebase प्रोजेक्ट.
ऑडिट लॉग एंट्री देखने के लिए, Logging API का इस्तेमाल करने के लिए, यह करें फ़ॉलो किया जा रहा है:
दस्तावेज़ में इस एपीआई को आज़माएं सेक्शन पर जाएं
entries.listतरीका.इसे अनुरोध के मुख्य भाग में को आज़माएं API फ़ॉर्म का इस्तेमाल करें. पहले से भरे गए इस फ़ॉर्म पर क्लिक करना अनुरोध के मुख्य हिस्से को अपने-आप भर देता है, लेकिन आपको हर लॉग में एक मान्य
PROJECT_IDदें नाम.{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }लागू करें पर क्लिक करें.
क्वेरी करने के बारे में ज़्यादा जानकारी के लिए, देखें क्वेरी की भाषा लॉग करना.
ऑडिट लॉग एंट्री के उदाहरण और सबसे ज़रूरी ईमेल ढूंढने का तरीका तो उसमें दी गई जानकारी देखें, ऑडिट लॉग की एंट्री का सैंपल.
ऑडिट लॉग रूट करें
ऑडिट लॉग को, AdMob के साथ काम करने वाले वर्शन के लिए भेजा जा सकता है की तरह ही अन्य लॉग को रूट किया जा सकता है. यहां दी गई हैं ऑडिट लॉग को रूट करने की कुछ वजहें हो सकती हैं:
ऑडिट लॉग को लंबे समय तक रखने या ज़्यादा बेहतर तरीके से काम करने के लिए खोज क्षमताओं, आप अपने ऑडिट लॉग की कॉपी को Google Cloud Storage, BigQuery या Google Cloud Pub/Sub. इसका इस्तेमाल किया जा रहा है Cloud Pub/Sub, अन्य ऐप्लिकेशन पर रूट किया जा सकता है या अन्य डेटा स्टोर करने की जगह पर और तीसरे पक्षों को भेजा जा सकता है.
पूरे संगठन में अपने ऑडिट लॉग मैनेज करने के लिए, एग्रीगेट किए गए सिंक जो संगठन के किसी भी या सभी Firebase प्रोजेक्ट के रूट लॉग.
- अगर आपका चालू किया गया डेटा ऐक्सेस ऑडिट लॉग आपकी Firebase प्रोजेक्ट, आपके लॉग अलाटमेंट पर प्रोजेक्ट करते हैं, तो आप ऐसे सिंक बना सकते हैं डेटा ऐक्सेस के ऑडिट लॉग को लॉग करने से बाहर रखें.
लॉग को रूट करने के बारे में निर्देशों के लिए, इसे देखें सिंक कॉन्फ़िगर करना.
कीमत
एडमिन गतिविधि के ऑडिट लॉग और सिस्टम इवेंट के ऑडिट लॉग बिना किसी शुल्क के उपलब्ध हैं.
डेटा ऐक्सेस के ऑडिट लॉग और नीति के उल्लंघन की वजह से अस्वीकार किए गए ऑडिट लॉग के लिए शुल्क देना होता है.
Cloud Logging के बारे में ज़्यादा जानने के लिए, यह देखें Google Cloud के ऑपरेशंस सुइट की कीमत: क्लाउड लॉगिंग.