फायरबेस ऐप चेक के लिए ऑडिट लॉगिंग

यह पृष्ठ क्लाउड ऑडिट लॉग के हिस्से के रूप में फायरबेस द्वारा बनाए गए ऑडिट लॉग का वर्णन करता है।

अवलोकन

फायरबेस सेवाएँ आपको सवालों के जवाब देने में मदद करने के लिए ऑडिट लॉग लिखती हैं, "किसने क्या किया, कहाँ और कब किया?"। ये क्लाउड ऑडिट लॉग हैं, जो आपके फायरबेस प्रोजेक्ट से जुड़े Google क्लाउड प्रोजेक्ट के हिस्से के रूप में प्रदान किए गए हैं।

आपके प्रत्येक फायरबेस प्रोजेक्ट में केवल उन संसाधनों के ऑडिट लॉग होते हैं जो सीधे प्रोजेक्ट के भीतर होते हैं।

क्लाउड ऑडिट लॉग के सामान्य अवलोकन के लिए, क्लाउड ऑडिट लॉग अवलोकन देखें। ऑडिट लॉग प्रारूप की गहरी समझ के लिए, ऑडिट लॉग को समझें देखें।

उपलब्ध ऑडिट लॉग

फायरबेस ऐप चेक के लिए निम्नलिखित प्रकार के ऑडिट लॉग उपलब्ध हैं:

  • व्यवस्थापक गतिविधि ऑडिट लॉग

    इसमें "एडमिन राइट" ऑपरेशन शामिल हैं जो मेटाडेटा या कॉन्फ़िगरेशन जानकारी लिखते हैं।

    आप व्यवस्थापक गतिविधि ऑडिट लॉग अक्षम नहीं कर सकते.

  • डेटा एक्सेस ऑडिट लॉग

    इसमें "एडमिन रीड" ऑपरेशन शामिल हैं जो मेटाडेटा या कॉन्फ़िगरेशन जानकारी पढ़ते हैं। इसमें "डेटा रीड" और "डेटा राइट" ऑपरेशन भी शामिल हैं जो उपयोगकर्ता द्वारा प्रदत्त डेटा को पढ़ते या लिखते हैं।

    डेटा एक्सेस ऑडिट लॉग प्राप्त करने के लिए, आपको उन्हें स्पष्ट रूप से सक्षम करना होगा।

ऑडिट लॉग प्रकारों के पूर्ण विवरण के लिए, ऑडिट लॉग के प्रकार देखें।

लेखापरीक्षित संचालन

निम्नलिखित संक्षेप में बताता है कि फायरबेस ऐप चेक में प्रत्येक ऑडिट लॉग प्रकार के अनुरूप कौन से एपीआई ऑपरेशन हैं:

ऑडिट लॉग श्रेणी फायरबेस ऐप चेक ऑपरेशन
परियोजना संचालन
व्यवस्थापक गतिविधि अद्यतन सेवा
बैचअपडेटसेवाएँ
VerifyAppCheckToken
डेटा एक्सेस (ADMIN_READ) सेवा प्राप्त करें
सूचीसेवाएँ
ऐप संचालन
व्यवस्थापक गतिविधि अपडेटऐपअटेस्टकॉन्फिग
अपडेटडिवाइसचेककॉन्फिग
अद्यतनPlayIntegrityConfig
अद्यतनRecaptchaEnterpriseConfig
अद्यतनRecaptchaV3Config
अपडेटसेफ्टीनेटकॉन्फिग
डिबगटोकन बनाएं
अपडेटडिबगटोकन
DeleteDebugToken
डेटा एक्सेस (ADMIN_READ) GetAppAttestConfig
BatchGetAppAttestConfigs
GetDeviceCheckConfig
बैचगेटडिवाइसचेककॉन्फ़िग्स
GetPlayIntegrityConfig
BatchGetPlayIntegrityConfigs
GetRecaptchaEnterpriseConfig
BatchGetRecaptchaEnterpriseConfigs
GetRecaptchaV3Config
BatchGetRecaptchaV3Configs
GetSafetyNetConfig
बैचगेटसेफ्टीनेटकॉन्फ़िग्स
GetDebugToken
ListDebugTokens

ऑडिट लॉग प्रारूप

ऑडिट लॉग प्रविष्टियों में निम्नलिखित ऑब्जेक्ट शामिल हैं:

  • लॉग प्रविष्टि स्वयं, जो LogEntry प्रकार का एक ऑब्जेक्ट है। उपयोगी क्षेत्रों में निम्नलिखित शामिल हैं:

    • logName संसाधन आईडी और ऑडिट लॉग प्रकार शामिल है।
    • resource में ऑडिटेड ऑपरेशन का लक्ष्य शामिल है।
    • timestamp ऑडिट किए गए ऑपरेशन का समय शामिल है।
    • protoPayload में ऑडिट की गई जानकारी शामिल है।

  • ऑडिट लॉगिंग डेटा, जो लॉग प्रविष्टि के protoPayload फ़ील्ड में रखा गया एक AuditLog ऑब्जेक्ट है।

  • वैकल्पिक सेवा-विशिष्ट ऑडिट जानकारी, जो एक सेवा-विशिष्ट वस्तु है। पुराने एकीकरणों के लिए, यह ऑब्जेक्ट AuditLog ऑब्जेक्ट के serviceData फ़ील्ड में रखा जाता है; नए एकीकरण metadata फ़ील्ड का उपयोग करते हैं।

इन ऑब्जेक्ट में अन्य फ़ील्ड के लिए, और उनकी व्याख्या कैसे करें, ऑडिट लॉग को समझें की समीक्षा करें।

लॉग नाम

क्लाउड ऑडिट लॉग संसाधन नाम फायरबेस प्रोजेक्ट या अन्य Google क्लाउड इकाई को दर्शाते हैं जो ऑडिट लॉग का मालिक है, और क्या लॉग में व्यवस्थापक गतिविधि, डेटा एक्सेस, नीति अस्वीकृत या सिस्टम इवेंट ऑडिट लॉगिंग डेटा शामिल है। उदाहरण के लिए, निम्नलिखित प्रोजेक्ट-स्तरीय व्यवस्थापक गतिविधि ऑडिट लॉग और संगठन के डेटा एक्सेस ऑडिट लॉग के लिए लॉग नाम दिखाता है। वेरिएबल फायरबेस प्रोजेक्ट और संगठन पहचानकर्ताओं को दर्शाते हैं।

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity

organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

सेवा का नाम

फायरबेस ऐप चेक ऑडिट लॉग सेवा नाम firebaseappcheck.googleapis.com का उपयोग करते हैं।

सभी क्लाउड लॉगिंग एपीआई सेवा नामों और उनके संबंधित मॉनिटर किए गए संसाधन प्रकार की पूरी सूची के लिए, संसाधनों के लिए मानचित्र सेवाएं देखें।

संसाधन प्रकार

फायरबेस ऐप चेक ऑडिट लॉग सभी ऑडिट लॉग के लिए संसाधन प्रकार audited_resource का उपयोग करते हैं।

सभी क्लाउड लॉगिंग मॉनिटर किए गए संसाधन प्रकारों और वर्णनात्मक जानकारी की सूची के लिए, मॉनिटर किए गए संसाधन प्रकार देखें।

ऑडिट लॉगिंग सक्षम करें

व्यवस्थापक गतिविधि ऑडिट लॉग हमेशा सक्षम होते हैं; आप उन्हें अक्षम नहीं कर सकते.

डेटा एक्सेस ऑडिट लॉग डिफ़ॉल्ट रूप से अक्षम होते हैं और स्पष्ट रूप से सक्षम होने तक लिखे नहीं जाते हैं (अपवाद BigQuery के लिए डेटा एक्सेस ऑडिट लॉग है, जिसे अक्षम नहीं किया जा सकता है)।

आपके कुछ या सभी डेटा एक्सेस ऑडिट लॉग को सक्षम करने के निर्देशों के लिए, डेटा एक्सेस लॉग कॉन्फ़िगर करें देखें।

अनुमतियाँ और भूमिकाएँ

क्लाउड IAM अनुमतियाँ और भूमिकाएँ Google क्लाउड संसाधनों में ऑडिट लॉग डेटा तक पहुँचने की आपकी क्षमता निर्धारित करती हैं।

यह तय करते समय कि आपके उपयोग के मामले में कौन सी लॉगिंग-विशिष्ट अनुमतियाँ और भूमिकाएँ लागू होती हैं, निम्नलिखित पर विचार करें:

  • लॉग्स व्यूअर भूमिका ( roles/logging.viewer ) आपको एडमिन एक्टिविटी, पॉलिसी अस्वीकृत और सिस्टम इवेंट ऑडिट लॉग तक केवल पढ़ने के लिए पहुंच प्रदान करती है। यदि आपकी बस यही भूमिका है, तो आप _Default बकेट में मौजूद डेटा एक्सेस ऑडिट लॉग नहीं देख सकते।

  • प्राइवेट लॉग्स व्यूअर भूमिका (roles/logging.privateLogViewer ) में roles/logging.viewer में निहित अनुमतियाँ, साथ ही _Default बकेट में डेटा एक्सेस ऑडिट लॉग पढ़ने की क्षमता शामिल है।

    ध्यान दें कि यदि ये निजी लॉग उपयोगकर्ता द्वारा परिभाषित बकेट में संग्रहीत हैं, तो कोई भी उपयोगकर्ता जिसके पास उन बकेट में लॉग पढ़ने की अनुमति है, निजी लॉग पढ़ सकता है। लॉग बकेट पर अधिक जानकारी के लिए, रूटिंग और स्टोरेज अवलोकन देखें।

ऑडिट लॉग डेटा पर लागू होने वाली क्लाउड IAM अनुमतियों और भूमिकाओं के बारे में अधिक जानकारी के लिए, एक्सेस कंट्रोल देखें।

लॉग्स को देखें

ऑडिट लॉग ढूंढने और देखने के लिए, आपको फायरबेस प्रोजेक्ट, फ़ोल्डर या संगठन के पहचानकर्ता को जानना होगा जिसके लिए आप ऑडिट लॉगिंग जानकारी देखना चाहते हैं। आप आगे अन्य अनुक्रमित LogEntry फ़ील्ड निर्दिष्ट कर सकते हैं, जैसे कि resource.type ; विवरण के लिए, लॉग प्रविष्टियाँ शीघ्रता से ढूँढें की समीक्षा करें।

ऑडिट लॉग नाम निम्नलिखित हैं; उनमें फायरबेस प्रोजेक्ट, फ़ोल्डर या संगठन के पहचानकर्ताओं के लिए चर शामिल हैं:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

आप GCP कंसोल, gcloud कमांड-लाइन टूल या लॉगिंग API का उपयोग करके क्लाउड लॉगिंग में ऑडिट लॉग देख सकते हैं।

सांत्वना देना

आप अपने फ़ायरबेस प्रोजेक्ट, फ़ोल्डर या संगठन के लिए अपनी ऑडिट लॉग प्रविष्टियाँ पुनर्प्राप्त करने के लिए GCP कंसोल में लॉग एक्सप्लोरर का उपयोग कर सकते हैं:

  1. GCP कंसोल में, लॉगिंग > लॉग एक्सप्लोरर पृष्ठ पर जाएँ।

    लॉग्स एक्सप्लोरर पेज पर जाएं

  2. लॉग एक्सप्लोरर पेज पर, मौजूदा फायरबेस प्रोजेक्ट, फ़ोल्डर या संगठन का चयन करें।

  3. क्वेरी बिल्डर फलक में, निम्न कार्य करें:

    • संसाधन प्रकार में, उस Google क्लाउड संसाधन का चयन करें जिसके ऑडिट लॉग आप देखना चाहते हैं।

    • लॉग नाम में, उस ऑडिट लॉग प्रकार का चयन करें जिसे आप देखना चाहते हैं:

      • व्यवस्थापक गतिविधि ऑडिट लॉग के लिए, गतिविधि का चयन करें।
      • डेटा एक्सेस ऑडिट लॉग के लिए, data_access चुनें।
      • सिस्टम इवेंट ऑडिट लॉग के लिए, system_event चुनें।
      • पॉलिसी अस्वीकृत ऑडिट लॉग के लिए, पॉलिसी का चयन करें।

    यदि आपको ये विकल्प दिखाई नहीं देते हैं, तो फ़ायरबेस प्रोजेक्ट, फ़ोल्डर या संगठन में उस प्रकार का कोई ऑडिट लॉग उपलब्ध नहीं है।

    लॉग्स एक्सप्लोरर का उपयोग करके क्वेरी करने के बारे में अधिक जानकारी के लिए, लॉग क्वेरीज़ बनाएं देखें।

gcloud

gcloud कमांड-लाइन टूल क्लाउड लॉगिंग एपीआई को एक कमांड-लाइन इंटरफ़ेस प्रदान करता है। प्रत्येक लॉग नाम में एक वैध PROJECT_ID , FOLDER_ID , या ORGANIZATION_ID प्रदान करें।

अपने फायरबेस प्रोजेक्ट-स्तरीय ऑडिट लॉग प्रविष्टियों को पढ़ने के लिए, निम्नलिखित कमांड चलाएँ:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID

अपनी फ़ोल्डर-स्तरीय ऑडिट लॉग प्रविष्टियाँ पढ़ने के लिए, निम्न आदेश चलाएँ:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID

अपने संगठन-स्तरीय ऑडिट लॉग प्रविष्टियों को पढ़ने के लिए, निम्न आदेश चलाएँ:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID

gcloud टूल का उपयोग करने के बारे में अधिक जानकारी के लिए, लॉग प्रविष्टियाँ पढ़ें देखें।

एपीआई

अपनी क्वेरीज़ बनाते समय, वेरिएबल्स को मान्य मानों से बदलें, ऑडिट लॉग नामों में सूचीबद्ध उचित प्रोजेक्ट-स्तर, फ़ोल्डर-स्तर, या संगठन-स्तरीय ऑडिट लॉग नाम या पहचानकर्ताओं को प्रतिस्थापित करें। उदाहरण के लिए, यदि आपकी क्वेरी में PROJECT_ID शामिल है, तो आपके द्वारा प्रदान किया जाने वाला प्रोजेक्ट पहचानकर्ता वर्तमान में चयनित फायरबेस प्रोजेक्ट को संदर्भित करना चाहिए।

अपनी ऑडिट लॉग प्रविष्टियों को देखने के लिए लॉगिंग एपीआई का उपयोग करने के लिए, निम्नलिखित कार्य करें:

  1. entries.list पद्धति के लिए दस्तावेज़ में इस API को आज़माएँ अनुभाग पर जाएँ।

  2. इस एपीआई फॉर्म को आज़माएं के अनुरोध मुख्य भाग में निम्नलिखित डालें। इस पूर्व-पॉप्युलेटेड फॉर्म पर क्लिक करने से अनुरोध का मुख्य भाग स्वचालित रूप से भर जाता है, लेकिन आपको प्रत्येक लॉग नाम में एक वैध PROJECT_ID प्रदान करने की आवश्यकता होती है।

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}

  3. निष्पादित करें पर क्लिक करें.

क्वेरी करने के बारे में अधिक जानकारी के लिए, लॉगिंग क्वेरी भाषा देखें।

ऑडिट लॉग प्रविष्टि के उदाहरण के लिए और इसमें सबसे महत्वपूर्ण जानकारी कैसे प्राप्त करें, नमूना ऑडिट लॉग प्रविष्टि देखें।

रूट ऑडिट लॉग

आप ऑडिट लॉग को समर्थित गंतव्यों पर उसी तरह रूट कर सकते हैं जैसे आप अन्य प्रकार के लॉग को रूट कर सकते हैं। यहां कुछ कारण दिए गए हैं जिनसे आप अपने ऑडिट लॉग को रूट करना चाहेंगे:

  • ऑडिट लॉग को लंबे समय तक रखने या अधिक शक्तिशाली खोज क्षमताओं का उपयोग करने के लिए, आप अपने ऑडिट लॉग की प्रतियों को Google क्लाउड स्टोरेज, बिगक्वेरी, या Google क्लाउड पब/सब पर रूट कर सकते हैं। क्लाउड पब/सब का उपयोग करके, आप अन्य एप्लिकेशन, अन्य रिपॉजिटरी और तीसरे पक्ष तक रूट कर सकते हैं।

  • पूरे संगठन में अपने ऑडिट लॉग को प्रबंधित करने के लिए, आप एकत्रित सिंक बना सकते हैं जो संगठन में किसी भी या सभी फायरबेस प्रोजेक्ट से लॉग को रूट कर सकते हैं।

  • यदि आपके सक्षम डेटा एक्सेस ऑडिट लॉग आपके लॉग आवंटन पर आपके फायरबेस प्रोजेक्ट्स को आगे बढ़ा रहे हैं, तो आप ऐसे सिंक बना सकते हैं जो लॉगिंग से डेटा एक्सेस ऑडिट लॉग को बाहर कर देते हैं।

रूटिंग लॉग पर निर्देशों के लिए, सिंक कॉन्फ़िगर करें देखें।

मूल्य निर्धारण

व्यवस्थापक गतिविधि ऑडिट लॉग और सिस्टम इवेंट ऑडिट लॉग निःशुल्क हैं।

डेटा एक्सेस ऑडिट लॉग और पॉलिसी अस्वीकृत ऑडिट लॉग प्रभार्य हैं।

क्लाउड लॉगिंग मूल्य निर्धारण के बारे में अधिक जानकारी के लिए, Google क्लाउड के संचालन सुइट मूल्य निर्धारण देखें: क्लाउड लॉगिंग