Невозможно запустить журналы пробного аудита для политики очистки реестра Google Cloud Artifact
Следуя документации, доступной на GCP здесь: https://cloud.google.com/artifact-registry/docs/repositories/cleanup-policy
Я установил политику очистки в своем репозитории артефактов с включенной опцией пробного запуска, но не смог вывести журналы аудита с помощью этой команды.
gcloud logging read 'protoPayload.serviceName = "artifactregistry.googleapis.com" AND protoPayload.request.parent:"projects/gift-service-app-jm/locations/australia-southeast1/repositories/gcf-artifacts" AND protoPayload.request.validateOnly=true' \
--resource-names = "projects/gift-service-app-jm" \
--project=gift-service-app-jm
Мне удалось подтвердить, что политика установлена и опция пробного запуска включена с помощью команды gcloud artifacts repositories describe gcf-artifacts.
{
"cleanupPolicies": {
"Delete Previous Versions": {
"action": "DELETE",
"condition": {
"olderThan": "864000s",
"tagState": "UNTAGGED"
},
"id": "Delete Previous Versions"
}
},
"cleanupPolicyDryRun": true,
"createTime": "2023-09-27T05:07:31.256470Z",
"description": "This repository is created and used by Cloud Functions",
"format": "DOCKER",
"labels": {
"goog-managed-by": "cloudfunctions"
},
"mode": "STANDARD_REPOSITORY",
"name": "projects/gift-service-app-jm/locations/australia-southeast1/repositories/gcf-artifacts",
"updateTime": "2024-07-10T05:39:56.088672Z"
}
Была ли у кого-нибудь эта проблема раньше? У меня есть роль владельца, примененная к моему субъекту IAM, но я также пытался явно добавить роли средства просмотра журналов и просмотра частных журналов.
Ответы 1
Пожалуйста, перейдите по этой ссылке Google Cloud Community , где упоминается, что в реестре артефактов есть политики очистки. События удаления, вызванные этими политиками, по умолчанию не регистрируются в Cloud Logging. Также убедитесь, что вы включили Ведение журнала аудита для репозитория артефактов.
Однако вы можете дополнительно проверить результаты их политики очистки в журналах аудита доступа к данным реестра артефактов. Они могут дополнительно просматривать эти журналы, включив журналы аудита доступа к данным, следуя документации по фильтрации журналов, выполнив следующие действия:
Включает операции «административного чтения», которые читают метаданные или конфигурацию. информация. Также включает операции «чтение данных» и «запись данных». которые читают или записывают данные, предоставленные пользователем.
Чтобы получать журналы аудита доступа к данным, вы должны явно включить их.
Тип ресурса: «Реестр артефактов».
Имя журнала: «data_access»
Примечание. Найдите соответствующие ключевые слова: «УДАЛЕНИЕ», «очистка» или конкретные названия ваших политик очистки.
@josh, у тебя было время проверить мой ответ? Это помогло вам решить вашу проблему? Если ответ был полезен, отметьте его как принятый для большей наглядности для сообщества.