Google berkomitmen untuk mendorong terwujudnya keadilan ras bagi komunitas Kulit Hitam. Lihat caranya.

Logging audit untuk Firebase Management

Halaman ini menjelaskan log audit yang dibuat oleh Firebase sebagai bagian dari Cloud Audit Logs.

Ringkasan

Layanan Firebase menulis log audit untuk membantu Anda menjawab pertanyaan, "Siapa yang melakukan apa, di mana, dan kapan?" Layanan tersebut adalah Cloud Audit Logs, yang disediakan sebagai bagian dari project Google Cloud yang terhubung ke project Firebase Anda. Setiap project Firebase Anda hanya berisi log audit untuk resource yang berada langsung dalam project.

Untuk membaca ringkasan umum tentang Cloud Audit Logs, buka Cloud Audit Logs. Agar dapat lebih memahami Cloud Audit Logs, pelajari Memahami log audit.

Cloud Audit Logs menyimpan tiga log audit untuk setiap project, folder, dan organisasi Google Cloud:

  • Log audit Aktivitas Admin
  • Log audit Akses Data
  • Log audit Peristiwa Sistem

Firebase Management menulis log audit Aktivitas Admin, yang merekam operasi yang mengubah konfigurasi atau metadata resource. Anda tidak dapat menonaktifkan log audit Aktivitas Admin.

Jika diaktifkan secara eksplisit, Firebase Management akan menulis log audit Akses Data. Log audit Akses Data berisi panggilan API yang membaca konfigurasi atau metadata resource, serta panggilan API yang dilakukan pengguna untuk membuat, mengubah, atau membaca data resource yang diberikan pengguna. Log audit Akses Data tidak merekam operasi akses data di resource yang digunakan bersama secara publik (tersedia untuk Semua Pengguna atau Semua Pengguna Terautentikasi) atau yang dapat diakses tanpa login ke Google Cloud.

Firebase Management tidak menulis log audit Peristiwa Sistem.

Operasi yang diaudit

Tabel berikut merangkum operasi API yang sesuai untuk setiap jenis log audit di Firebase Management:

Kategori log auditOperasi Firebase Management
Operasi project
Aktivitas Admin AddFirebase
UpdateFirebaseProject
FinalizeDefaultLocation
Akses Data (ADMIN_READ) GetFirebaseProject
ListAvailableLocations
GetAdminSdkConfig
SearchFirebaseApps
Operasi Aplikasi iOS
Aktivitas Admin CreateIosApp
UpdateIosApp
Akses Data (ADMIN_READ) GetIosApp
ListIosApps
GetIosAppConfig
Operasi Aplikasi Android
Aktivitas Admin CreateAndroidApp
UpdateAndroidApp
CreateShaCertificate
DeleteShaCertificate
Akses Data (ADMIN_READ) GetAndroidApp
ListAndroidApps
GetAndroidAppConfig
ListShaCertificates
Operasi Aplikasi Web
Aktivitas Admin CreateWebApp
UpdateWebApp
Akses Data (ADMIN_READ) GetWebApp
ListWebApps
GetWebAppConfig

Format log audit

Entri log audit, yang dapat dilihat di Stackdriver Logging menggunakan Logs Viewer, Stackdriver Logging API, atau Cloud SDK, mencakup objek berikut:

  • Entri log itu sendiri, yang merupakan objek dengan jenis LogEntry. Kolom berguna yang meliputi hal berikut ini:

    • logName berisi identifikasi project dan jenis log audit
    • resource berisi target operasi yang diaudit
    • timeStamp berisi waktu operasi yang diaudit
    • protoPayload berisi informasi yang diaudit
  • Data logging audit, yang merupakan objek AuditLog yang disimpan di kolom protoPayload entri log.

  • Informasi audit khusus layanan opsional, yang merupakan objek khusus layanan yang disimpan di kolom serviceData dari objek AuditLog. Untuk mengetahui detailnya, buka Data audit khusus layanan.

Untuk kolom lain dalam objek ini, serta cara menafsirkannya, pelajari Memahami log audit.

Nama log

Nama resource Cloud Audit Logs menunjukkan project atau entity lain yang memiliki log audit, dan apakah log berisi data log audit Aktivitas Admin, Akses Data, atau Peristiwa Sistem. Misalnya, string berikut menunjukkan nama log untuk log audit Aktivitas Admin di project dan log audit Akses Data suatu organisasi:

projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

Nama layanan

Log audit Firebase Management menggunakan nama layanan firebase.googleapis.com.

Untuk mengetahui detail selengkapnya mengenai layanan logging, buka Memetakan layanan ke resource.

Jenis resource

Log audit Firebase Management menggunakan jenis resource audited_resource untuk semua log audit.

Untuk melihat daftar lengkapnya, buka Jenis resource yang dimonitor.

Mengaktifkan logging audit

Log audit Aktivitas Admin selalu diaktifkan; Anda tidak dapat menonaktifkannya.

Log audit Akses Data dinonaktifkan secara default dan tidak ditulis kecuali diaktifkan secara eksplisit (dengan pengecualian log audit Akses Data untuk BigQuery, yang tidak dapat dinonaktifkan).

Untuk melihat petunjuk cara mengaktifkan sebagian atau semua log audit Akses Data Anda, buka Mengonfigurasi Log akses data.

Log audit Akses Data yang Anda konfigurasikan dapat memengaruhi harga log di Stackdriver. Pelajari bagian Harga di halaman ini.

Izin log audit

Izin dan peran pada Cloud Identity and Access Management menentukan log audit mana yang dapat Anda lihat atau ekspor. Log berada di dalam project dan dalam beberapa entity lain termasuk organisasi, folder, dan akun penagihan. Untuk informasi lebih lanjut, buka Memahami peran.

Untuk melihat log audit Aktivitas Admin, Anda harus memiliki salah satu peran Cloud IAM berikut dalam project yang berisi log audit Anda:

Untuk melihat log audit Akses Data, Anda harus memiliki salah satu peran berikut dalam project yang berisi log audit Anda:

Jika Anda menggunakan log audit dari entity non-project, seperti organisasi, ubah peran Project ke peran organisasi yang sesuai.

Melihat log

Anda memiliki beberapa opsi untuk melihat entri log audit Anda:

Viewer Dasar

Anda dapat menggunakan antarmuka dasar Logs Viewer di GCP Console untuk mengambil entri log audit Anda. Lakukan hal berikut:

  1. Buka Stackdriver Logging > halaman Log (Logs Viewer) di GCP Console:

    Buka halaman Logs Viewer

  2. Pilih project Google Cloud yang ada di bagian atas halaman, atau buat project baru.

  3. Di menu drop-down pertama, pilih jenis resource yang ingin Anda lihat log auditnya. Anda dapat memilih resource tertentu atau Global untuk semua resource.

  4. Di menu drop-down kedua, pilih jenis log yang ingin dilihat: activity untuk log audit Aktivitas Admin, data_access untuk log audit Akses Data, dan system_events untuk log audit Peristiwa Sistem.

    Jika opsi tersebut tidak ditampilkan, tidak ada log audit dengan jenis tersebut yang tersedia dalam project.

Viewer Lanjutan

Anda dapat menggunakan antarmuka lanjutan Logs Viewer di GCP Console untuk mengambil entri log audit Anda. Lakukan hal berikut:

  1. Buka Stackdriver Logging > halaman Log (Logs Viewer) di GCP Console:

    Buka halaman Logs Viewer

  2. Pilih project Google Cloud yang ada di bagian atas halaman, atau buat project baru.

  3. Di menu drop-down pertama, pilih jenis resource yang ingin Anda lihat log auditnya. Anda dapat memilih resource tertentu atau Global untuk semua resource.

  4. Klik panah drop-down (▾) di bagian paling kanan kotak filter penelusuran, lalu pilih Konversikan ke filter lanjutan.

  5. Buat filter yang lebih lanjut menentukan entri log yang ingin Anda lihat. Untuk mengambil semua log audit di project Anda, tambahkan filter berikut. Berikan [PROJECT_ID] yang valid di tiap nama log.

      logName = ("projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" OR
          OR "projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events"
          OR "projects/[PROJECT_ID]logs/cloudaudit.googleapis.com%2Fdata_access")
    

    Untuk detail lebih lanjut tentang filter, buka Filter log lanjutan.

API

Untuk melihat entri log audit Anda menggunakan Stackdriver Logging API:

  1. Buka bagian Coba API ini dalam dokumentasi untuk metode entries.list.

  2. Masukkan string berikut ke dalam bagian Isi permintaan di formulir Coba API ini. Mengklik formulir yang telah diisi sebelumnya ini akan otomatis mengisi bagian permintaan, tetapi Anda harus memberikan [PROJECT_ID] yang valid di setiap nama log.

      {
        "resourceNames": [
          "projects/[PROJECT_ID]"
        ],
        "pageSize": 5,
        "filter": "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)"
      }
    
  3. Klik Jalankan.

Untuk detail lebih lanjut tentang kueri, buka Kueri log lanjutan.

SDK

Untuk membaca entri log Anda menggunakan Cloud SDK, jalankan perintah berikut. Berikan [PROJECT_ID] yang valid di tiap nama log.

gcloud logging read "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)"

Buka Membaca entri log untuk mendapatkan informasi lebih lanjut cara menggunakan Cloud SDK.

Untuk mendapatkan contoh entri log audit dan cara mencari informasi yang paling penting di dalamnya, buka Memahami log audit.

Mengekspor log audit

Anda dapat mengekspor log audit dengan cara yang sama seperti saat mengekspor jenis log lainnya. Untuk mengetahui cara mengekspor log Anda, buka Mengekspor log. Berikut adalah beberapa penerapan dari ekspor log audit:

  • Untuk menyimpan log audit dalam jangka waktu yang lebih lama atau menggunakan kemampuan penelusuran yang lebih andal, Anda dapat mengekspor salinan log audit Anda ke Google Cloud Storage, BigQuery, atau Google Cloud Pub/Sub. Dengan Cloud Pub/Sub, Anda dapat mengekspor ke aplikasi lain, repositori lain, dan ke pihak ketiga.

  • Untuk mengelola log audit di seluruh organisasi, Anda dapat membuat sink ekspor gabungan yang dapat mengekspor log dari satu atau semua project di organisasi.

  • Jika log audit Akses Data yang diaktifkan membuat project Anda melebihi alokasi log-nya, Anda dapat mengekspor dan mengecualikan log audit Akses Data dari Logging. Untuk mengetahui detailnya, buka Mengecualikan log.

Harga

Stackdriver Logging tidak mengenakan biaya kepada Anda untuk log audit log yang tidak dapat dinonaktifkan, termasuk semua log audit Aktivitas Admin. Stackdriver Logging mengenakan biaya kepada Anda untuk log audit Akses Data yang secara jelas Anda minta.

Untuk mengetahui informasi selengkapnya mengenai harga log audit, pelajari harga Stackdriver.