רישום ביקורת עבור Firebase Cloud Messaging

דף זה מתאר את יומני הביקורת שנוצרו על ידי Firebase כחלק מיומני הביקורת בענן .

סקירה כללית

שירותי Firebase כותבים יומני ביקורת כדי לעזור לך לענות על השאלות, "מי עשה מה, איפה ומתי?". אלו הם יומני ביקורת בענן, המסופקים כחלק מפרויקט Google Cloud Platform המחובר לפרויקט Firebase שלך .

כל פרויקטי Firebase שלך ​​מכילים רק את יומני הביקורת עבור משאבים שנמצאים ישירות בתוך הפרויקט.

לסקירה כללית של יומני ביקורת בענן, ראה סקירה כללית של יומני ביקורת בענן . להבנה מעמיקה יותר של פורמט יומן הביקורת, ראה הבנת יומני ביקורת .

יומני ביקורת זמינים

הסוגים הבאים של יומני ביקורת זמינים עבור Firebase Notifications Console:

  • יומני ביקורת של גישה לנתונים

    כולל פעולות "קריאה של מנהל" הקוראות מטא נתונים או מידע תצורה. כולל גם פעולות "קריאת נתונים" ו"כתיבת נתונים" הקוראות או כותבות נתונים שסופקו על ידי המשתמש.

    כדי לקבל יומני ביקורת של Data Access, עליך להפעיל אותם במפורש.

לתיאורים מלאים יותר של סוגי יומני הביקורת, ראה סוגי יומני ביקורת .

פעולות מבוקרות

להלן מסכם אילו פעולות API מתאימות לכל סוג יומן ביקורת ב-Firebase Notifications Console:

קטגוריית יומני ביקורת פעולות מסוף ההתראות של Firebase הקלד שם (משמש לחיפוש בממשק המשתמש אחר יומנים)
יומני גישה לנתונים (DATA_READ) קבל קמפיין GetCampaign
יומני גישה לנתונים (DATA_READ) רשום מסעות פרסום מסע פרסום רשימה
יומני גישה לנתונים (DATA_READ) קבל מידע מהודעת ניסוי ABT LegacyGetRollout
יומני גישה לנתונים (DATA_READ) קבל אפשרויות מיקוד GetAudiences
יומני גישה לנתונים (DATA_READ) קבל סטטיסטיקות של fcm (ספירות שנשלחו/נפתחו/נמסרו/המרו) GetFcmStats
יומני גישה לנתונים (DATA_READ) קבל רשימה של תוויות ניתוח עבור טווח תאריכים ופרויקט. GetAnalyticsLabelList
יומני גישה לנתונים (DATA_WRITE) צור השקה מ-ABT LegacyCreateRollout

פורמט יומן ביקורת

ערכי יומן ביקורת כוללים את האובייקטים הבאים:

  • ערך היומן עצמו, שהוא אובייקט מסוג LogEntry . שדות שימושיים כוללים את הדברים הבאים:

    • ה- logName מכיל את מזהה המשאב ואת סוג יומן הביקורת.
    • resource מכיל את היעד של הפעולה המבוקרת.
    • timestamp מכילה את זמן הפעולה המבוקרת.
    • ה- protoPayload מכיל את המידע המבוקר.
  • נתוני רישום הביקורת, שהם אובייקט AuditLog המוחזק בשדה protoPayload של ערך היומן.

  • מידע ביקורת ספציפי לשירות אופציונלי, שהוא אובייקט ספציפי לשירות. עבור אינטגרציות ישנות יותר, אובייקט זה מוחזק בשדה serviceData של אובייקט AuditLog ; אינטגרציות חדשות יותר משתמשות בשדה metadata .

עבור שדות אחרים באובייקטים אלה, וכיצד לפרש אותם, עיין בהבנת יומני ביקורת .

שם יומן

שמות המשאבים של יומני הביקורת בענן מציינים את פרויקט Firebase או ישות GCP אחרת שבבעלותה יומני הביקורת, והאם היומן מכיל נתוני רישום ביומן של ביקורת ניהול, גישה לנתונים, מדיניות נדחתה או אירועי מערכת. לדוגמה, להלן שמות יומנים עבור יומני ביקורת של פעילות ניהול ברמת הפרויקט ויומני ביקורת של גישה לנתונים של ארגון. המשתנים מציינים מזהי פרויקט וארגון של Firebase.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

שם השירות

יומני ביקורת של Firebase Notifications Console משתמשים בשם השירות gcmcontextualcampaign-pa.googleapis.com .

לרשימה מלאה של כל שמות השירות של Stackdriver Logging API וסוג המשאב המנוטר המתאים להם, ראה מיפוי שירותים למשאבים .

סוגי משאבים

יומני ביקורת של Firebase Notifications Console משתמשים בסוג המשאב audited_resource עבור כל יומני הביקורת.

לרשימה של כל סוגי המשאבים המנוטרים של Stackdriver Logging ומידע תיאורי, ראה סוגי משאבים מנוטרים .

אפשר רישום ביקורת

יומני ביקורת של Data Access מושבתים כברירת מחדל ואינם נכתבים אלא אם הם מופעלים במפורש (החריג הוא יומני ביקורת של Data Access עבור BigQuery, שלא ניתן להשבית).

להנחיות להפעלת חלק מיומני הביקורת של גישה לנתונים, ראה הגדרת יומני גישה לנתונים .

הרשאות ותפקידים

הרשאות ותפקידים של Cloud IAM קובעים את היכולת שלך לגשת לנתוני יומני ביקורת במשאבי GCP.

כשאתה מחליט אילו הרשאות ותפקידים ספציפיים ל-Loging חלים על מקרה השימוש שלך, שקול את הדברים הבאים:

  • תפקיד מציג היומנים ( roles/logging.viewer ) מעניק לך גישת קריאה בלבד לפעילות מנהל, מדיניות נדחתה ויומני ביקורת של אירועי מערכת. אם יש לך רק תפקיד זה, לא תוכל להציג יומני ביקורת של Data Access שנמצאים ב _Default bucket.

  • התפקיד Private Logs Viewer (roles/logging.privateLogViewer ) כולל את ההרשאות הכלולות ב- roles/logging.viewer , בנוסף את היכולת לקרוא יומני ביקורת של Data Access ב- _Default bucket.

    שים לב שאם היומנים הפרטיים האלה מאוחסנים בדליים המוגדרים על ידי המשתמש, אז כל משתמש שיש לו הרשאות לקרוא יומנים בדליים האלה יכול לקרוא את היומנים הפרטיים. למידע נוסף על דליים של יומנים, ראה סקירת ניתוב ואחסון .

למידע נוסף על ההרשאות והתפקידים של Cloud IAM החלים על נתוני יומני ביקורת, ראה בקרת גישה .

הצגת יומנים

כדי למצוא ולהציג יומני ביקורת, עליך לדעת את המזהה של הפרויקט, התיקיה או הארגון של Firebase שעבורם ברצונך להציג מידע על רישום ביקורת. אתה יכול לציין עוד שדות LogEntry שנוספו לאינדקס, כמו resource.type ; לפרטים, עיין בחיפוש רשומות יומן במהירות .

להלן שמות יומן הביקורת; הם כוללים משתנים עבור המזהים של הפרויקט, התיקיה או הארגון של Firebase:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

אתה יכול להציג יומני ביקורת ב-Stackdriver Logging באמצעות מסוף GCP, כלי שורת הפקודה gcloud או ממשק API של Logging.

לְנַחֵם

אתה יכול להשתמש בסייר היומנים שבמסוף GCP כדי לאחזר את ערכי יומן הביקורת שלך עבור הפרויקט, התיקיה או הארגון שלך ב-Firebase:

  1. ב-GCP Console, עבור אל הדף רישום > יומנים סייר .

    עבור לדף Logs Explorer

  2. בדף Logs Explorer , בחר פרויקט, תיקיה או ארגון קיים של Firebase.

  3. בחלונית בונה שאילתות , בצע את הפעולות הבאות:

    • בסוג משאב , בחר את משאב ה-GCP שאת יומני הביקורת שלו ברצונך לראות.

    • ב שם יומן , בחר את סוג יומן הביקורת שברצונך לראות:

      • עבור יומני ביקורת של פעילות מנהל מערכת, בחר פעילות .
      • עבור יומני ביקורת של Data Access, בחר data_access .
      • עבור יומני ביקורת של אירועי מערכת, בחר system_event .
      • עבור יומני ביקורת של דחיית מדיניות, בחר מדיניות .

    אם אינך רואה את האפשרויות הללו, אין יומני ביקורת מסוג זה זמינים בפרויקט, בתיקייה או הארגון של Firebase.

    לפרטים נוספים על ביצוע שאילתות באמצעות סייר היומנים, ראה בניית שאילתות יומן .

gcloud

כלי שורת הפקודה gcloud מספק ממשק שורת פקודה לממשק ה-API של Stackdriver Logging. ספק PROJECT_ID , FOLDER_ID או ORGANIZATION_ID חוקי בכל אחד משמות היומן.

כדי לקרוא את ערכי יומן הביקורת ברמת הפרויקט של Firebase, הפעל את הפקודה הבאה:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID

כדי לקרוא את ערכי יומן הביקורת ברמת התיקיה, הפעל את הפקודה הבאה:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID

כדי לקרוא את ערכי יומן הביקורת ברמת הארגון, הפעל את הפקודה הבאה:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID

למידע נוסף על השימוש בכלי gcloud , ראה קריאת רשומות יומן .

ממשק API

בעת בניית השאילתות שלך, החלף את המשתנים בערכים חוקיים, החלף את שם יומן הביקורת המתאים ברמת הפרויקט, ברמת התיקיה או ברמת הארגון, כפי שמופיעים בשמות יומן הביקורת. לדוגמה, אם השאילתה שלך כוללת PROJECT_ID , מזהה הפרויקט שאתה מספק חייב להתייחס לפרויקט Firebase שנבחר כעת.

כדי להשתמש בממשק ה-API של Logging כדי להסתכל על ערכי יומן הביקורת שלך, בצע את הפעולות הבאות:

  1. עבור לקטע נסה את ה-API הזה בתיעוד של שיטת entries.list .

  2. הכנס את הדברים הבאים לגוף הבקשה בטופס נסה את ה-API הזה . לחיצה על הטופס המאוכלס מראש ממלאת אוטומטית את גוף הבקשה, אך עליך לספק PROJECT_ID חוקי בכל אחד משמות היומן.

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
    
  3. לחץ על בצע .

לפרטים נוספים על שאילתות, ראה שפת שאילתות רישום .

לדוגמא של ערך יומן ביקורת וכיצד למצוא את המידע החשוב ביותר בו, ראה דוגמה לכניסה ליומן ביקורת .

נתב יומני ביקורת

אתה יכול לנתב יומני ביקורת ליעדים נתמכים באותו אופן שבו אתה יכול לנתב סוגים אחרים של יומנים. הנה כמה סיבות שאולי תרצה לנתב את יומני הביקורת שלך:

  • כדי לשמור על יומני ביקורת לפרק זמן ארוך יותר או להשתמש ביכולות חיפוש חזקות יותר, תוכל לנתב עותקים של יומני הביקורת שלך ל-Google Cloud Storage, BigQuery או Google Cloud Pub/Sub. באמצעות Cloud Pub/Sub, אתה יכול לנתב ליישומים אחרים, מאגרים אחרים ולצדדים שלישיים.

  • כדי לנהל את יומני הביקורת שלך בארגון שלם, אתה יכול ליצור כיורים מצטברים שיכולים לנתב יומנים מכל פרויקט Firebase בארגון או מכל הפרויקטים.

  • אם יומני הביקורת המופעלים שלך ב-Data Access דוחפים את פרויקטי Firebase שלך ​​מעל הקצאות היומן שלך, אתה יכול ליצור כיורים שלא כוללים את יומני הביקורת של Data Access מרישום.

להוראות על ניתוב יומני, ראה הגדרת כיורים .

תמחור

יומני ביקורת של פעילות מנהל ויומני ביקורת של אירועי מערכת הם ללא עלות.

יומני ביקורת של גישה לנתונים ויומני ביקורת דחויים של מדיניות כרוכים בתשלום.

למידע נוסף על תמחור Stackdriver Logging, ראה תמחור חבילת התפעול של Google Cloud: Stackdriver Logging .