Google berkomitmen untuk mendorong terwujudnya keadilan ras bagi komunitas Kulit Hitam. Lihat caranya.

Logging audit untuk Firebase Management

Halaman ini menjelaskan log audit yang dibuat oleh Firebase sebagai bagian dari Log Audit Cloud.

Ringkasan

Layanan Firebase menulis log audit untuk membantu Anda menjawab pertanyaan, "Siapa yang melakukan apa, di mana, dan kapan?" Data tersebut adalah Log Audit Cloud, yang disediakan sebagai bagian dari project GCP yang terhubung dengan project Firebase Anda. Setiap project Firebase Anda hanya berisi log audit untuk resource yang berada dalam project secara langsung.

Untuk ringkasan umum tentang Log Audit Cloud, buka Log Audit Cloud. Untuk mendapatkan pemahaman yang lebih mendalam tentang Log Audit Cloud, pelajari Memahami log audit.

Log Audit Cloud mempertahankan tiga log audit untuk tiap project, folder, dan organisasi GCP:

  • Log audit Aktivitas Audit
  • Log audit Akses Data
  • Log audit Peristiwa Sistem

Firebase Management menulis log audit Aktivitas Admin, yang merekam operasi yang mengubah konfigurasi atau metadata resource. Anda tidak dapat menonaktifkan log audit Aktivitas Admin.

Jika diaktifkan secara eksplisit, Firebase Management akan menulis log audit Akses Data. Log audit Akses Data berisi panggilan API yang membaca konfigurasi atau metadata resource, serta panggilan API yang dilakukan pengguna untuk membuat, mengubah, atau membaca data resource yang diberikan pengguna. Log audit Akses Data tidak merekam operasi akses data di resource yang digunakan bersama secara publik (tersedia untuk Semua Pengguna atau Semua Pengguna Terautentikasi) atau yang dapat diakses tanpa login ke GCP.

Firebase Management tidak menulis log audit Peristiwa Sistem.

Operasi yang diaudit

Tabel berikut merangkum operasi API yang sesuai untuk setiap jenis log audit di Firebase Management:

Kategori log auditOperasi Firebase Management
Operasi project
Aktivitas Admin AddFirebase
UpdateFirebaseProject
FinalizeDefaultLocation
Akses Data (ADMIN_READ) GetFirebaseProject
ListAvailableLocations
GetAdminSdkConfig
SearchFirebaseApps
Operasi Aplikasi iOS
Aktivitas Admin CreateIosApp
UpdateIosApp
Akses Data (ADMIN_READ) GetIosApp
ListIosApps
GetIosAppConfig
Operasi Aplikasi Android
Aktivitas Admin CreateAndroidApp
UpdateAndroidAppdsds
CreateShaCertificate
DeleteShaCertificate
Akses Data (ADMIN_READ) GetAndroidApp
ListAndroidApps
GetAndroidAppConfig
ListShaCertificates
Operasi Apl Web
Aktivitas Admin CreateWebApp
UpdateWebApp
Akses Data (ADMIN_READ) GetWebApp
ListWebApps
GetWebAppConfig

Format log audit

Entri log audit, yang dapat dilihat di Stackdriver Logging menggunakan Logs Viewer, Stackdriver Logging API, atau Cloud SDK, mencakup objek berikut:

  • Entri log itu sendiri, yang merupakan objek jenis LogEntry. Kolom yang berguna meliputi berikut ini:

    • logName berisi identifikasi project dan jenis log audit
    • resource berisi target operasi yang diaudit
    • timeStamp berisi waktu operasi yang diaudit
    • protoPayload berisi informasi yang diaudit
  • Data log audit, yang berupa objek AuditLog dan disimpan di kolom protoPayload dari entri log.

  • Informasi audit khusus layanan opsional, yang berupa objek khusus layanan dan disimpan di kolom serviceData dari objek AuditLog. Untuk mengetahui detailnya, buka Data audit khusus layanan.

Untuk kolom lain dalam objek ini, serta cara menafsirkannya, pelajari Memahami log audit.

Nama log

Nama resource Log Audit Cloud menunjukkan project atau entity lain yang memiliki log audit, dan apakah log berisi data log audit Aktivitas Admin, Akses Data, atau Peristiwa Sistem. Misalnya, string berikut menunjukkan nama log untuk log audit Aktivitas Admin di project dan log audit Akses Data suatu organisasi:

projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

Nama layanan

Log audit Firebase Management menggunakan nama layanan firebase.googleapis.com.

Untuk detail lebih lanjut tentang layanan logging, buka Layanan pemetaan untuk resource.

Jenis resource

Log audit Firebase Management menggunakan jenis resource audited_resource untuk semua log audit.

Untuk melihat daftar lengkapnya, buka Jenis resource yang dimonitor.

Mengaktifkan logging audit

Log audit Aktivitas Admin selalu diaktifkan; Anda tidak dapat menonaktifkannya.

Log audit Akses Data dinonaktifkan secara default dan tidak ditulis kecuali diaktifkan secara eksplisit (dengan pengecualian log audit Akses Data untuk BigQuery, yang tidak dapat dinonaktifkan).

Untuk melihat petunjuk mengaktifkan sebagian atau semua log audit Akses Data Anda, buka Mengonfigurasi Log akses data.

Log audit Akses Data yang Anda konfigurasi dapat memengaruhi harga log di stackdriver_name_short. Pelajari bagian Harga pada halaman ini.

Izin log audit

Izin dan peran pada Cloud Identity and Access Management menentukan log audit mana yang dapat Anda lihat atau ekspor. Log berada di dalam project dan dalam beberapa entity lain termasuk organisasi, folder, dan akun penagihan. Untuk informasi lebih lanjut, buka Memahami peran.

Untuk melihat log audit Aktivitas Admin, Anda harus memiliki salah satu peran Cloud IAM berikut dalam project yang berisi log audit Anda:

Untuk melihat log audit Akses Data, Anda harus memiliki salah satu dari peran berikut dalam project yang berisi log audit Anda:

Jika Anda menggunakan log audit dari entity non-project, seperti organisasi, ubah peran Project ke peran organisasi yang sesuai.

Lihat log

Anda memiliki beberapa opsi untuk melihat entri log audit Anda:

Viewer Dasar

Anda dapat menggunakan antarmuka dasar Logs Viewer di GCP Console untuk mengambil entri log audit Anda. Lakukan hal berikut:

  1. Buka Stackdriver Logging > halaman Log (Logs Viewer) di GCP Console:

    Buka halaman Logs Viewer

  2. Pilih project GCP yang sudah ada di bagian atas halaman, atau buat project baru.

  3. Di menu drop-down pertama, pilih jenis resource yang ingin Anda lihat log auditnya. Anda dapat memilih resource tertentu atau Global untuk semua resource.

  4. Di menu drop-down kedua, pilih jenis log yang ingin Anda lihat: activity untuk log audit Aktivitas Admin, data_access untuk log audit Akses Data, dan system_events untuk log audit Peristiwa Sistem.

    Jika opsi tersebut tidak ditampilkan, maka tidak ada log audit dengan jenis tersebut yang tersedia dalam project.

Viewer Lanjutan

Anda dapat menggunakan antarmuka lanjutan Logs Viewer di GCP Console untuk mengambil entri log audit Anda. Lakukan hal berikut:

  1. Buka Stackdriver Logging > halaman Log (Logs Viewer) di GCP Console:

    Buka halaman Logs Viewer

  2. Pilih project GCP yang sudah ada di bagian atas halaman, atau buat project baru.

  3. Di menu drop-down pertama, pilih jenis resource yang ingin Anda lihat log auditnya. Anda dapat memilih resource tertentu atau Global untuk semua resources.

  4. Klik panah drop-down (▾) di bagian paling kanan kotak filter penelusuran, lalu pilih Konversi ke filter lanjutan.

  5. Buat filter yang menentukan lebih lanjut entri log yang ingin Anda lihat. Untuk mengambil semua log audit di project Anda, tambahkan filter berikut. Berikan [PROJECT_ID] yang valid di tiap nama log.

      logName = ("projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" OR
          OR "projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events"
          OR "projects/[PROJECT_ID]logs/cloudaudit.googleapis.com%2Fdata_access")
    

    Untuk detail lebih lanjut tentang filter, buka Filter log lanjutan.

API

Untuk melihat entri log audit Anda menggunakan Stackdriver Logging API:

  1. Buka bagian Coba API ini di dokumentasi untuk metode entries.list.

  2. Masukkan string berikut ke dalam bagian Isi permintaan dari formulir Coba API ini. Mengklik formulir yang telah diisi sebelumnya ini akan otomatis mengisi bagian permintaan, tetapi Anda harus memberikan [PROJECT_ID] yang valid di tiap nama log.

      {
        "resourceNames": [
          "projects/[PROJECT_ID]"
        ],
        "pageSize": 5,
        "filter": "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)"
      }
    
  3. Klik Lakukan.

Untuk detail lebih lanjut tentang kueri, buka Kueri log lanjutan.

SDK

Untuk membaca entri log Anda menggunakan Cloud SDK, jalankan perintah berikut. Berikan [PROJECT_ID] yang valid di tiap nama log.

gcloud logging read "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)"

Buka Membaca entri log untuk mendapatkan informasi lebih lanjut tentang menggunakan Cloud SDK.

Untuk sampel entri log audit dan cara mencari informasi yang paling penting di dalamnya, buka Memahami log audit.

Mengekspor log audit

Anda dapat mengekspor log audit dengan cara yang sama seperti saat mengekspor jenis log lainnya. Untuk melihat detail tentang cara mengekspor log Anda, buka Mengekspor log. Berikut adalah beberapa penerapan dari ekspor log audit:

  • Untuk menyimpan log audit untuk jangka waktu yang lebih lama atau menggunakan kemampuan penelusuran yang lebih andal, Anda dapat mengekspor salinan log audit Anda ke Google Cloud Storage, BigQuery, atau Google Cloud Pub/Sub. Dengan Cloud Pub/Sub, Anda dapat mengekspor ke aplikasi lain, repositori lain, dan ke pihak ketiga.

  • Untuk mengelola log audit di seluruh organisasi, Anda dapat membuat sink ekspor gabungan yang dapat mengekspor log dari satu atau semua project di organisasi.

  • Jika log audit Akses Data yang diaktifkan membuat project Anda melebihi alokasi log-nya, Anda dapat mengekspor dan mengecualikan log audit Akses Data dari Logging. Untuk mengetahui detailnya, buka Mengecualikan log.

Harga

Stackdriver Logging tidak mengenakan biaya kepada Anda untuk log audit log yang tidak dapat dinonaktifkan, termasuk semua log audit Aktivitas Admin. Stackdriver Logging mengenakan biaya kepada Anda untuk log audit Akses Data yang secara jelas Anda minta.

Untuk informasi selengkapnya tentang harga log audit, pelajari harga Stackdriver.