Ghi nhật ký kiểm tra cho tính năng Kiểm tra ứng dụng Firebase

Trang này mô tả nhật ký kiểm tra do Firebase tạo trong Nhật ký kiểm tra của Cloud.

Tổng quan

Các dịch vụ Firebase ghi nhật ký kiểm tra để giúp bạn trả lời các câu hỏi "Ai đã thực hiện cái gì, ở đâu và khi nào?". Đây là Nhật ký kiểm tra của Cloud, được cung cấp trong Dự án Google Cloud đã kết nối với Dự án Firebase.

Mỗi dự án Firebase của bạn chỉ chứa nhật ký kiểm tra cho các tài nguyên ngay bên trong dự án.

Để biết thông tin tổng quan chung về Nhật ký kiểm tra đám mây, vui lòng xem Tổng quan về Nhật ký kiểm tra của Cloud. Để hiểu rõ hơn về quy trình kiểm tra định dạng nhật ký, xem Tìm hiểu về nhật ký kiểm tra.

Nhật ký kiểm tra hiện có

Bạn có thể sử dụng các loại nhật ký kiểm tra sau đây cho tính năng Kiểm tra ứng dụng Firebase:

  • Nhật ký kiểm tra Hoạt động của quản trị viên

    Có quyền "quản trị viên ghi" các thao tác ghi siêu dữ liệu hoặc cấu hình của bạn.

    Bạn không thể tắt nhật ký kiểm tra Hoạt động của quản trị viên.

  • Nhật ký kiểm tra Quyền truy cập dữ liệu

    Bao gồm cả yêu cầu "quản trị viên đọc" những thao tác đọc siêu dữ liệu hoặc cấu hình của bạn. Bao gồm cả thông báo "đọc dữ liệu" và "ghi dữ liệu" các thao tác đọc hoặc ghi dữ liệu do người dùng cung cấp.

    Để nhận nhật ký kiểm tra Quyền truy cập dữ liệu, bạn phải cho phép các nhật ký đó một cách rõ ràng.

Để có mô tả đầy đủ hơn về các loại nhật ký kiểm tra, hãy xem Các loại nhật ký kiểm tra.

Hoạt động đã kiểm tra

Phần sau đây tóm tắt những hoạt động API tương ứng với từng nhật ký kiểm tra loại trong tính năng Kiểm tra ứng dụng Firebase:

Loại quyền Phương thức
ADMIN_READ google.firebase.appcheck.v1.ConfigService.BatchGetAppAttestConfigs
google.firebase.appcheck.v1.ConfigService.BatchGetDeviceCheckConfigs
google.firebase.appcheck.v1.ConfigService.BatchGetPlayIntegrityConfigs
google.firebase.appcheck.v1.ConfigService.BatchGetRecaptchaEnterpriseConfigs
google.firebase.appcheck.v1.ConfigService.BatchGetRecaptchaV3Configs
google.firebase.appcheck.v1.ConfigService.BatchGetSafetyNetConfigs
google.firebase.appcheck.v1.ConfigService.GetAppAttestConfig
google.firebase.appcheck.v1.ConfigService.GetDebugToken
google.firebase.appcheck.v1.ConfigService.GetDeviceCheckConfig
google.firebase.appcheck.v1.ConfigService.GetPlayIntegrityConfig
google.firebase.appcheck.v1.ConfigService.GetRecaptchaEnterpriseConfig
google.firebase.appcheck.v1.ConfigService.GetRecaptchaV3Config
google.firebase.appcheck.v1.ConfigService.GetSafetyNetConfig
google.firebase.appcheck.v1.ConfigService.GetService
google.firebase.appcheck.v1.ConfigService.ListDebugTokens
google.firebase.appcheck.v1.ConfigService.ListServices
google.firebase.appcheck.v1beta.ConfigService.BatchGetAppAttestConfigs
google.firebase.appcheck.v1beta.ConfigService.BatchGetDeviceCheckConfigs
google.firebase.appcheck.v1beta.ConfigService.BatchGetPlayIntegrityConfigs
google.firebase.appcheck.v1beta.ConfigService.BatchGetRecaptchaConfigs
google.firebase.appcheck.v1beta.ConfigService.BatchGetRecaptchaEnterpriseConfigs
google.firebase.appcheck.v1beta.ConfigService.BatchGetRecaptchaV3Configs
google.firebase.appcheck.v1beta.ConfigService.BatchGetSafetyNetConfigs
google.firebase.appcheck.v1beta.ConfigService.GetAppAttestConfig
google.firebase.appcheck.v1beta.ConfigService.GetDebugToken
google.firebase.appcheck.v1beta.ConfigService.GetDeviceCheckConfig
google.firebase.appcheck.v1beta.ConfigService.GetPlayIntegrityConfig
google.firebase.appcheck.v1beta.ConfigService.GetRecaptchaConfig
google.firebase.appcheck.v1beta.ConfigService.GetRecaptchaEnterpriseConfig
google.firebase.appcheck.v1beta.ConfigService.GetRecaptchaV3Config
google.firebase.appcheck.v1beta.ConfigService.GetResourcePolicy
google.firebase.appcheck.v1beta.ConfigService.GetSafetyNetConfig
google.firebase.appcheck.v1beta.ConfigService.GetService
google.firebase.appcheck.v1beta.ConfigService.ListDebugTokens
google.firebase.appcheck.v1beta.ConfigService.ListResourcePolicies
google.firebase.appcheck.v1beta.ConfigService.ListServices
ADMIN_WRITE google.firebase.appcheck.v1.ConfigService.BatchUpdateServices
google.firebase.appcheck.v1.ConfigService.CreateDebugToken
google.firebase.appcheck.v1.ConfigService.DeleteDebugToken
google.firebase.appcheck.v1.ConfigService.UpdateAppAttestConfig
google.firebase.appcheck.v1.ConfigService.UpdateDebugToken
google.firebase.appcheck.v1.ConfigService.UpdateDeviceCheckConfig
google.firebase.appcheck.v1.ConfigService.UpdatePlayIntegrityConfig
google.firebase.appcheck.v1.ConfigService.UpdateRecaptchaEnterpriseConfig
google.firebase.appcheck.v1.ConfigService.UpdateRecaptchaV3Config
google.firebase.appcheck.v1.ConfigService.UpdateSafetyNetConfig
google.firebase.appcheck.v1.ConfigService.UpdateService
google.firebase.appcheck.v1beta.ConfigService.BatchUpdateResourcePolicies
google.firebase.appcheck.v1beta.ConfigService.BatchUpdateServices
google.firebase.appcheck.v1beta.ConfigService.CreateDebugToken
google.firebase.appcheck.v1beta.ConfigService.CreateResourcePolicy
google.firebase.appcheck.v1beta.ConfigService.DeleteDebugToken
google.firebase.appcheck.v1beta.ConfigService.DeleteResourcePolicy
google.firebase.appcheck.v1beta.ConfigService.UpdateAppAttestConfig
google.firebase.appcheck.v1beta.ConfigService.UpdateDebugToken
google.firebase.appcheck.v1beta.ConfigService.UpdateDeviceCheckConfig
google.firebase.appcheck.v1beta.ConfigService.UpdatePlayIntegrityConfig
google.firebase.appcheck.v1beta.ConfigService.UpdateRecaptchaConfig
google.firebase.appcheck.v1beta.ConfigService.UpdateRecaptchaEnterpriseConfig
google.firebase.appcheck.v1beta.ConfigService.UpdateRecaptchaV3Config
google.firebase.appcheck.v1beta.ConfigService.UpdateResourcePolicy
google.firebase.appcheck.v1beta.ConfigService.UpdateSafetyNetConfig
google.firebase.appcheck.v1beta.ConfigService.UpdateService
google.firebase.appcheck.v1beta.TokenVerificationService.VerifyAppCheckToken

Định dạng nhật ký kiểm tra

Mục nhập nhật ký kiểm tra bao gồm các đối tượng sau:

  • Mục nhập nhật ký, là một đối tượng thuộc loại LogEntry. Sau đây là các trường hữu ích:

    • logName chứa mã nhận dạng tài nguyên và loại nhật ký kiểm tra.
    • resource chứa mục tiêu của hoạt động được kiểm tra.
    • timestamp chứa thời gian của hoạt động được kiểm tra.
    • protoPayload chứa thông tin đã được kiểm tra.

  • Dữ liệu ghi nhật ký kiểm tra, là đối tượng AuditLog được giữ trong trường protoPayload của mục nhập nhật ký.

  • Thông tin kiểm tra tuỳ chọn dành riêng cho từng dịch vụ, là thông tin kiểm tra dành riêng cho từng dịch vụ . Đối với các công cụ tích hợp cũ, đối tượng này được giữ trong serviceData trường của đối tượng AuditLog; các công cụ tích hợp mới hơn sử dụng trường metadata.

Để xem các trường khác trong các đối tượng này và cách diễn giải các trường đó, hãy xem lại Tìm hiểu về nhật ký kiểm tra.

Tên nhật ký

Tên tài nguyên của Nhật ký kiểm tra Cloud cho biết dự án Firebase hoặc Thực thể Google Cloud sở hữu nhật ký kiểm tra và liệu nhật ký đó có chứa Dữ liệu ghi nhật ký kiểm tra Sự kiện hệ thống, Hoạt động của quản trị viên, Quyền truy cập dữ liệu, Chính sách bị từ chối hoặc dữ liệu ghi nhật ký kiểm tra Sự kiện hệ thống. Ví dụ: nội dung sau đây hiển thị tên nhật ký cho Hoạt động của quản trị viên ở cấp dự án nhật ký kiểm tra và nhật ký kiểm tra Quyền truy cập dữ liệu của tổ chức. Các biến biểu thị Mã nhận dạng tổ chức và dự án Firebase.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity

organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Tên dịch vụ

Nhật ký kiểm tra tính năng Kiểm tra ứng dụng Firebase sử dụng tên dịch vụ firebaseappcheck.googleapis.com.

Để xem danh sách đầy đủ tất cả tên dịch vụ Cloud Logging API và tên dịch vụ tương ứng loại tài nguyên được theo dõi, xem Ánh xạ dịch vụ tới tài nguyên.

Loại tài nguyên

Sử dụng nhật ký kiểm tra của tính năng Kiểm tra ứng dụng Firebase loại tài nguyên audited_resource cho tất cả nhật ký kiểm tra.

Để xem danh sách tất cả các loại tài nguyên được theo dõi của tính năng Ghi nhật ký trên đám mây, cũng như thông tin, xem Các loại tài nguyên được giám sát.

Bật tính năng ghi nhật ký kiểm tra

Nhật ký kiểm tra Hoạt động của quản trị viên luôn được bật; bạn không thể tắt chúng.

Nhật ký kiểm tra Quyền truy cập dữ liệu bị tắt theo mặc định và không được ghi trừ khi được bật rõ ràng (ngoại lệ là nhật ký kiểm tra Quyền truy cập dữ liệu cho BigQuery, không thể tắt được).

Để biết hướng dẫn về cách bật một số hoặc tất cả nhật ký kiểm tra Quyền truy cập dữ liệu của bạn, hãy xem Định cấu hình nhật ký Quyền truy cập dữ liệu.

Quyền và vai trò

Các quyền và vai trò trong Cloud IAM xác định khả năng truy cập nhật ký kiểm tra của bạn dữ liệu trong các tài nguyên Google Cloud.

Khi quyết định xem Quyền và vai trò cụ thể của tính năng ghi nhật ký áp dụng cho trường hợp sử dụng của bạn, hãy cân nhắc những điều sau:

  • Vai trò Người xem nhật ký (roles/logging.viewer) cấp cho bạn quyền chỉ có thể đọc vào Hoạt động của quản trị viên, Chính sách bị từ chối và nhật ký kiểm tra Sự kiện hệ thống. Nếu bạn vừa với vai trò này, bạn không thể xem nhật ký kiểm tra Quyền truy cập dữ liệu trong _Default bộ chứa.

  • Vai trò Người xem nhật ký riêng tư(roles/logging.privateLogViewer) bao gồm quyền có trong roles/logging.viewer, cộng với khả năng đọc Nhật ký kiểm tra Quyền truy cập dữ liệu trong bộ chứa _Default.

    Xin lưu ý rằng nếu các nhật ký riêng tư này được lưu trữ trong bộ chứa do người dùng xác định, thì bất kỳ có quyền đọc nhật ký trong những bộ chứa đó có thể đọc các tệp nhật ký. Để biết thêm thông tin về bộ chứa nhật ký, hãy xem Tổng quan về định tuyến và lưu trữ.

Để biết thêm thông tin về các quyền và vai trò trong Cloud IAM để kiểm tra dữ liệu nhật ký, hãy xem phần Kiểm soát quyền truy cập.

Xem nhật ký

Để tìm và xem nhật ký kiểm tra, bạn cần biết giá trị nhận dạng của Dự án, thư mục hoặc tổ chức Firebase mà bạn muốn xem kiểm tra thông tin ghi nhật ký. Bạn có thể chỉ định thêm các URL khác được lập chỉ mục Các trường LogEntry, như resource.type; để biết chi tiết, xem lại Nhanh chóng tìm thấy các mục nhật ký.

Sau đây là tên nhật ký kiểm tra; chúng bao gồm các biến cho giá trị nhận dạng của dự án, thư mục hoặc tổ chức Firebase:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Bạn có thể xem nhật ký kiểm tra trong Cloud Logging bằng Bảng điều khiển Google Cloud, công cụ dòng lệnh gcloud hoặc API Ghi nhật ký.

Bảng điều khiển

Bạn có thể sử dụng Trình khám phá nhật ký trong bảng điều khiển Google Cloud để truy xuất các mục nhập nhật ký kiểm tra cho thư mục, dự án Firebase của bạn hoặc tổ chức:

  1. Trong bảng điều khiển Google Cloud, hãy chuyển đến Ghi nhật ký > Trình khám phá nhật ký.

    Truy cập trang Trình khám phá nhật ký

  2. Trên trang Logs Explorer (Trình khám phá nhật ký), hãy chọn một tệp Tổ chức, thư mục hoặc dự án Firebase.

  3. Trong ngăn Trình tạo truy vấn, hãy làm như sau:

    • Trong phần Loại tài nguyên, hãy chọn tài nguyên Google Cloud có nhật ký kiểm tra bạn muốn xem.

    • Trong phần Tên nhật ký, hãy chọn loại nhật ký kiểm tra mà bạn muốn xem:

      • Đối với nhật ký kiểm tra Hoạt động dành cho quản trị viên, hãy chọn hoạt động.
      • Đối với nhật ký kiểm tra Quyền truy cập dữ liệu, hãy chọn data_access.
      • Đối với nhật ký kiểm tra Sự kiện hệ thống, hãy chọn system_event.
      • Đối với nhật ký kiểm tra Chính sách bị từ chối, hãy chọn chính sách.

    Nếu bạn không thấy các tùy chọn này thì tức là không có nhật ký kiểm tra nào loại có sẵn trong dự án, thư mục Firebase hoặc tổ chức.

    Để biết thêm thông tin chi tiết về việc truy vấn bằng Trình khám phá nhật ký, hãy xem Tạo truy vấn nhật ký.

Google Cloud

Công cụ dòng lệnh gcloud cung cấp giao diện dòng lệnh để Cloud Logging API. Hãy cung cấp một giá trị hợp lệ PROJECT_ID, FOLDER_ID hoặc ORGANIZATION_ID trong mỗi tên nhật ký.

Để đọc các mục nhật ký kiểm tra cấp dự án Firebase, hãy chạy lệnh sau:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID

Để đọc các mục nhập nhật ký kiểm tra ở cấp thư mục, hãy chạy lệnh sau:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID

Để đọc các mục nhập nhật ký kiểm tra ở cấp tổ chức, hãy chạy lệnh sau:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID

Để biết thêm thông tin về cách sử dụng công cụ gcloud, hãy xem Đọc các mục nhập nhật ký.

API

Khi tạo truy vấn, hãy thay thế biến bằng các giá trị hợp lệ, thay thế cấp dự án, cấp thư mục, hoặc tên hoặc giá trị nhận dạng của nhật ký kiểm tra cấp tổ chức như được nêu trong nhật ký kiểm tra tên. Ví dụ: nếu truy vấn của bạn bao gồm PROJECT_ID, thì thuộc tính mã nhận dạng dự án mà bạn cung cấp phải tham chiếu đến mã nhận dạng hiện được chọn Dự án Firebase.

Để sử dụng API ghi nhật ký để xem các mục nhập nhật ký kiểm tra của bạn, hãy thực hiện sau:

  1. Chuyển đến phần Dùng thử API này trong tài liệu về phần entries.list .

  2. Đặt nội dung sau vào phần Nội dung yêu cầu của mục Thử cách này API. Nhấp vào biểu mẫu điền sẵn này tự động điền nội dung yêu cầu, nhưng bạn cần cung cấp một PROJECT_ID hợp lệ trong mỗi nhật ký tên.

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}

  3. Nhấp vào Thực thi.

Để biết thêm thông tin chi tiết về truy vấn, hãy xem Ngôn ngữ truy vấn ghi nhật ký.

Ví dụ về mục nhập nhật ký kiểm tra và cách tìm thông tin quan trọng nhất thông tin trong đó, xem Mục nhập nhật ký kiểm tra mẫu.

Nhật ký kiểm tra tuyến đường

Bạn có thể gửi nhật ký kiểm tra đến trang được hỗ trợ đích đến giống như cách bạn có thể định tuyến các loại nhật ký khác. Sau đây là một số lý do mà bạn có thể muốn chuyển nhật ký kiểm tra của mình:

  • Để lưu giữ nhật ký kiểm tra trong khoảng thời gian dài hơn hoặc để sử dụng những công cụ mạnh mẽ hơn tìm kiếm khác, bạn có thể chuyển bản sao nhật ký kiểm tra đến Google Cloud Storage, BigQuery hoặc Google Cloud Pub/Sub. Sử dụng Cloud Pub/Sub, bạn có thể định tuyến tới các ứng dụng khác, và bên thứ ba.

  • Để quản lý nhật ký kiểm tra trong toàn bộ tổ chức, bạn có thể tạo số lượng bồn lưu trữ dữ liệu tổng hợp có thể định tuyến nhật ký từ bất kỳ hoặc tất cả các dự án Firebase trong tổ chức.

  • Nếu nhật ký kiểm tra Quyền truy cập dữ liệu mà bạn đã bật đang đẩy Dự án Firebase dựa trên phân bổ nhật ký của bạn, bạn có thể tạo các bồn lưu trữ dữ liệu loại trừ nhật ký kiểm tra Quyền truy cập dữ liệu khỏi Ghi nhật ký.

Để biết hướng dẫn về cách định tuyến nhật ký, hãy xem Định cấu hình bồn lưu trữ dữ liệu.

Giá

Nhật ký kiểm tra Hoạt động dành cho quản trị viênNhật ký kiểm tra Sự kiện hệ thống là không tốn phí.

Nhật ký kiểm tra Quyền truy cập dữ liệu và Bạn có thể tính phí nhật ký kiểm tra bị từ chối do vi phạm chính sách.

Để biết thêm thông tin về giá của tính năng Ghi nhật ký trên đám mây, hãy xem Giá của bộ công cụ vận hành của Google Cloud: Cloud Logging.