Google cam kết thúc đẩy công bằng chủng tộc cho Cộng đồng người da đen. Xem cách thực hiện.

Ghi nhật ký kiểm tra cho Kiểm tra ứng dụng Firebase

Trang này mô tả nhật ký kiểm tra do Firebase tạo như một phần của Nhật ký kiểm tra đám mây .

Tổng quat

Các dịch vụ của Firebase viết nhật ký kiểm tra để giúp bạn trả lời các câu hỏi, "Ai đã làm gì, ở đâu và khi nào?". Đây là Nhật ký kiểm tra đám mây, được cung cấp như một phần của dự án Google Cloud được kết nối với dự án Firebase của bạn .

Mỗi dự án Firebase của bạn chỉ chứa nhật ký kiểm tra cho các tài nguyên trực tiếp trong dự án.

Để biết tổng quan chung về Nhật ký kiểm tra đám mây, hãy xem tổng quan về Nhật ký kiểm tra đám mây . Để hiểu sâu hơn về định dạng nhật ký kiểm tra, hãy xem Hiểu nhật ký kiểm tra .

Nhật ký kiểm tra có sẵn

Các loại nhật ký kiểm tra sau có sẵn cho Kiểm tra ứng dụng Firebase:

  • Nhật ký kiểm tra Hoạt động của quản trị viên

    Bao gồm các thao tác "ghi quản trị" ghi siêu dữ liệu hoặc thông tin cấu hình.

    Bạn không thể tắt nhật ký kiểm tra Hoạt động của quản trị viên.

  • Nhật ký kiểm tra Quyền truy cập dữ liệu

    Bao gồm các thao tác "đọc quản trị" để đọc siêu dữ liệu hoặc thông tin cấu hình. Cũng bao gồm các thao tác "đọc dữ liệu" và "ghi dữ liệu" để đọc hoặc ghi dữ liệu do người dùng cung cấp.

    Để nhận nhật ký kiểm tra Quyền truy cập dữ liệu, bạn phải bật chúng một cách rõ ràng .

Để có mô tả đầy đủ hơn về các loại nhật ký đánh giá, hãy xem Các loại nhật ký đánh giá.

Các hoạt động được kiểm toán

Phần sau đây tóm tắt các hoạt động API nào tương ứng với từng loại nhật ký kiểm tra trong Kiểm tra ứng dụng Firebase:

Danh mục nhật ký kiểm tra Hoạt động Kiểm tra ứng dụng Firebase
Hoạt động dự án
Hoạt động của quản trị viên UpdateService
BatchUpdateServices
Quyền truy cập dữ liệu (ADMIN_READ) GetService
ListServices
Hoạt động ứng dụng
Hoạt động của quản trị viên UpdateAppAttestConfig
UpdateDeviceCheckConfig
UpdatePlayIntegrityConfig
UpdateRecaptchaEnterpriseConfig
UpdateRecaptchaV3Config
UpdateSafetyNetConfig
CreateDebugToken
UpdateDebugToken
DeleteDebugToken
Quyền truy cập dữ liệu (ADMIN_READ) GetAppAttestConfig
BatchGetAppAttestConfigs
GetDeviceCheckConfig
BatchGetDeviceCheckConfigs
GetPlayIntegrityConfig
BatchGetPlayIntegrityConfigs
GetRecaptchaEnterpriseConfig
BatchGetRecaptchaEnterpriseConfigs
GetRecaptchaV3Config
BatchGetRecaptchaV3Configs
GetSafetyNetConfig
BatchGetSafetyNetConfigs
GetDebugToken
ListDebugTokens

Định dạng nhật ký kiểm tra

Các mục nhập nhật ký kiểm tra bao gồm các đối tượng sau:

  • Bản thân mục nhập nhật ký, là một đối tượng kiểu LogEntry . Các trường hữu ích bao gồm:

    • logName chứa ID tài nguyên và loại nhật ký kiểm tra.
    • Nguồn resource chứa mục tiêu của hoạt động được kiểm toán.
    • timeStamp chứa thời gian của hoạt động được kiểm toán.
    • protoPayload chứa thông tin đã được kiểm toán.
  • Dữ liệu ghi nhật ký kiểm tra, là một đối tượng AuditLog được giữ trong trường protoPayload của mục nhập nhật ký.

  • Thông tin kiểm toán dịch vụ cụ thể tùy chọn, là một đối tượng cụ thể của dịch vụ. Đối với các tích hợp cũ hơn, đối tượng này được giữ trong trường serviceData của đối tượng AuditLog ; tích hợp mới hơn sử dụng trường metadata .

Đối với các trường khác trong các đối tượng này và cách diễn giải chúng, hãy xem lại Hiểu nhật ký kiểm tra .

Tên nhật ký

Tên tài nguyên của Nhật ký kiểm tra đám mây cho biết dự án Firebase hoặc pháp nhân Google Cloud khác sở hữu nhật ký kiểm tra và liệu nhật ký có chứa dữ liệu ghi nhật ký kiểm tra Hoạt động quản trị, Quyền truy cập dữ liệu, Chính sách bị từ chối hoặc Sự kiện hệ thống hay không. Ví dụ: phần sau hiển thị tên nhật ký cho nhật ký kiểm tra Hoạt động quản trị cấp dự án và nhật ký kiểm tra Quyền truy cập dữ liệu của một tổ chức. Các biến biểu thị số nhận dạng tổ chức và dự án Firebase.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Tên dịch vụ

Nhật ký kiểm tra Kiểm tra ứng dụng Firebase sử dụng tên dịch vụ firebaseappcheck.googleapis.com .

Để có danh sách đầy đủ tất cả các tên dịch vụ API ghi nhật ký đám mây và loại tài nguyên được giám sát tương ứng của chúng, hãy xem Bản đồ dịch vụ với tài nguyên .

Các loại tài nguyên

Nhật ký kiểm tra Kiểm tra ứng dụng Firebase sử dụng loại tài nguyên audited_resource cho tất cả các nhật ký kiểm tra.

Để biết danh sách tất cả các loại tài nguyên được giám sát của Cloud Logging và thông tin mô tả, hãy xem Các loại tài nguyên được giám sát .

Bật ghi nhật ký kiểm tra

Nhật ký kiểm tra Hoạt động của quản trị viên luôn được bật; bạn không thể tắt chúng.

Nhật ký kiểm tra Quyền truy cập dữ liệu bị tắt theo mặc định và không được viết trừ khi được bật rõ ràng (ngoại lệ là nhật ký kiểm tra Quyền truy cập dữ liệu cho BigQuery, không thể bị vô hiệu hóa).

Để biết hướng dẫn về cách bật một số hoặc tất cả nhật ký kiểm tra Quyền truy cập dữ liệu của bạn, hãy xem Định cấu hình nhật ký Truy cập dữ liệu .

Quyền và vai trò

Các quyền và vai trò của Cloud IAM xác định khả năng bạn truy cập vào dữ liệu nhật ký kiểm tra trong tài nguyên của Google Cloud.

Khi quyết định các quyền và vai trò dành riêng cho Ghi nhật ký áp dụng cho trường hợp sử dụng của bạn, hãy xem xét những điều sau:

  • Vai trò của Trình xem nhật ký ( roles/logging.viewer ) cung cấp cho bạn quyền truy cập chỉ đọc vào nhật ký kiểm tra Hoạt động quản trị, Chính sách bị từ chối và Sự kiện hệ thống. Nếu bạn chỉ có vai trò này, bạn không thể xem nhật ký kiểm tra Quyền truy cập dữ liệu nằm trong nhóm _Default .

  • Vai trò của Trình xem nhật ký riêng tư (roles/logging.privateLogViewer ) bao gồm các quyền có trong roles/logging.viewer , cộng với khả năng đọc nhật ký kiểm tra Truy cập dữ liệu trong nhóm _Default .

    Lưu ý rằng nếu các nhật ký riêng tư này được lưu trữ trong các nhóm do người dùng xác định, thì bất kỳ người dùng nào có quyền đọc nhật ký trong các nhóm đó đều có thể đọc các nhật ký riêng tư. Để biết thêm thông tin về nhóm nhật ký, hãy xem Tổng quan về định tuyến và lưu trữ .

Để biết thêm thông tin về các quyền và vai trò của Cloud IAM áp dụng cho dữ liệu nhật ký kiểm tra, hãy xem Kiểm soát quyền truy cập .

Xem các bản ghi

Để tìm và xem nhật ký kiểm tra, bạn cần biết số nhận dạng của dự án Firebase, thư mục hoặc tổ chức mà bạn muốn xem thông tin nhật ký kiểm tra. Bạn có thể chỉ định thêm các trường LogEntry được lập chỉ mục khác, như resource.type ; để biết chi tiết, hãy xem lại Tìm mục nhập nhật ký một cách nhanh chóng .

Sau đây là tên nhật ký kiểm toán; chúng bao gồm các biến cho số nhận dạng của dự án Firebase, thư mục hoặc tổ chức:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Bạn có thể xem nhật ký kiểm tra trong Ghi nhật ký đám mây bằng Bảng điều khiển GCP, công cụ dòng lệnh gcloud hoặc API ghi nhật ký.

Bảng điều khiển

Bạn có thể sử dụng Trình khám phá nhật ký trong Bảng điều khiển GCP để truy xuất các mục nhập nhật ký kiểm tra cho dự án Firebase, thư mục hoặc tổ chức của bạn:

  1. Trong Bảng điều khiển GCP, đi tới trang Ghi nhật ký> Khám phá nhật ký .

    Đi tới trang Trình khám phá nhật ký

  2. Trên trang Trình khám phá nhật ký , hãy chọn dự án, thư mục hoặc tổ chức Firebase hiện có.

  3. Trong ngăn Trình tạo truy vấn , hãy làm như sau:

    • Trong Loại tài nguyên , hãy chọn tài nguyên Google Cloud có nhật ký kiểm tra bạn muốn xem.

    • Trong Tên nhật ký , chọn loại nhật ký kiểm tra mà bạn muốn xem:

      • Đối với nhật ký kiểm tra Hoạt động của quản trị viên, hãy chọn hoạt động .
      • Đối với nhật ký kiểm tra Quyền truy cập dữ liệu, hãy chọn truy cập dữ liệu.
      • Đối với nhật ký kiểm tra Sự kiện Hệ thống, hãy chọn system_event .
      • Đối với nhật ký kiểm tra bị Từ chối Chính sách, hãy chọn chính sách .

    Nếu bạn không thấy các tùy chọn này, thì không có bất kỳ nhật ký kiểm tra nào thuộc loại đó khả dụng trong dự án, thư mục hoặc tổ chức Firebase.

    Để biết thêm chi tiết về truy vấn bằng Trình khám phá nhật ký, hãy xem Xây dựng truy vấn nhật ký .

gcloud

Công cụ dòng lệnh gcloud cung cấp giao diện dòng lệnh cho API ghi nhật ký đám mây. Cung cấp PROJECT_ID , FOLDER_ID hoặc ORGANIZATION_ID hợp lệ trong mỗi tên nhật ký.

Để đọc các mục nhập nhật ký kiểm tra cấp dự án Firebase của bạn, hãy chạy lệnh sau:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID

Để đọc các mục nhập nhật ký kiểm tra cấp thư mục của bạn, hãy chạy lệnh sau:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID

Để đọc các mục nhập nhật ký kiểm tra cấp tổ chức của bạn, hãy chạy lệnh sau:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID

Để biết thêm thông tin về cách sử dụng công cụ gcloud , hãy xem mục Đọc nhật ký .

API

Khi xây dựng các truy vấn của bạn, hãy thay thế các biến bằng các giá trị hợp lệ, thay thế tên nhật ký kiểm tra cấp dự án, cấp thư mục hoặc cấp tổ chức thích hợp như được liệt kê trong tên nhật ký kiểm tra. Ví dụ: nếu truy vấn của bạn bao gồm PROJECT_ID , thì mã định danh dự án bạn cung cấp phải tham chiếu đến dự án Firebase hiện được chọn.

Để sử dụng API ghi nhật ký để xem các mục nhập nhật ký kiểm tra của bạn, hãy làm như sau:

  1. Đi tới phần Thử API này trong tài liệu cho phương thức entries.list .

  2. Đặt nội dung sau vào phần nội dung Yêu cầu của biểu mẫu Thử API này . Nhấp vào biểu mẫu được điền sẵn này sẽ tự động điền vào nội dung yêu cầu, nhưng bạn cần cung cấp PROJECT_ID hợp lệ trong mỗi tên nhật ký.

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
    
  3. Nhấp vào Thực thi .

Để biết thêm chi tiết về truy vấn, hãy xem Ngôn ngữ truy vấn ghi nhật ký .

Để biết ví dụ về mục nhập nhật ký đánh giá và cách tìm thông tin quan trọng nhất trong đó, hãy xem Mục nhập nhật ký đánh giá mẫu .

Nhật ký kiểm tra tuyến đường

Bạn có thể định tuyến nhật ký kiểm tra đến các điểm đến được hỗ trợ giống như cách bạn có thể định tuyến các loại nhật ký khác. Dưới đây là một số lý do bạn có thể muốn định tuyến nhật ký kiểm tra của mình:

  • Để giữ nhật ký kiểm tra trong thời gian dài hơn hoặc để sử dụng các khả năng tìm kiếm mạnh mẽ hơn, bạn có thể định tuyến các bản sao của nhật ký kiểm tra của mình tới Google Cloud Storage, BigQuery hoặc Google Cloud Pub / Sub. Sử dụng Cloud Pub / Sub, bạn có thể định tuyến đến các ứng dụng khác, kho lưu trữ khác và đến các bên thứ ba.

  • Để quản lý nhật ký kiểm tra của bạn trong toàn bộ tổ chức, bạn có thể tạo các phần chìm tổng hợp có thể định tuyến nhật ký từ bất kỳ hoặc tất cả các dự án Firebase trong tổ chức.

  • Nếu nhật ký kiểm tra Quyền truy cập dữ liệu được bật của bạn đang đẩy các dự án Firebase của bạn qua các phân bổ nhật ký, bạn có thể tạo các phần chìm loại trừ các nhật ký kiểm tra Quyền truy cập dữ liệu khỏi Ghi nhật ký.

Để biết hướng dẫn về nhật ký định tuyến, hãy xem Định cấu hình phần chìm .

Định giá

Nhật ký kiểm tra Hoạt động của quản trị viên và nhật ký kiểm tra Sự kiện hệ thống là miễn phí.

Nhật ký kiểm tra Truy cập Dữ liệu và Nhật ký kiểm tra Bị Từ chối Chính sách có thể tính phí.

Để biết thêm thông tin về giá của Cloud Logging, hãy xem giá bộ hoạt động của Google Cloud: Cloud Logging .