资源类型属于单项服务，但一项服务可以有多种资源类型。如需查看服务和资源列表，请参阅将服务映射到资源。

类型为 protoPayload 的载荷。每个审核日志条目的载荷都是类型为 AuditLog 的对象，该对象了定义一组专用于 Cloud Audit Logs 记录的字段，例如 serviceName 和 authenticationInfo。它还包含一个可选字段 serviceData，某些 Google Cloud 服务会使用该字段在审核日志条目中列出服务专属信息。如需查看使用该字段的 Google Cloud 服务的列表，请参阅服务专属审核数据。

日志名称:审核日志条目属于项目、文件夹和组织内的日志。日志名称如下所示:

在一个项目、文件夹或组织内，这些日志名称通常缩写为 activity、data_access、system_event 和 policy。

审核日志条目示例

本部分通过一个审核日志条目示例，介绍了如何查找审核日志条目中最重要的信息。

以下示例是 App Engine 写入的管理员活动审核日志条目，用于记录对具有 PROJECT_ID my-gcp-project-id 的 Identity and Access Management (IAM) 政策的更改。为简便起见，此示例省略了日志条目的某些部分，并突出显示了某些字段:

解读示例审核日志条目

在上述审核日志条目示例中，显示的 protoPayload、insertId、resource、timestamp、severity 和 logName 字段是 LogEntry 对象的一部分。protoPayload 字段的值为 AuditLog 对象。此对象用于封装审核日志数据。

在查看上述审核日志条目示例时，您可能有以下疑问:

这是审核日志条目吗?是的，您可通过以下两种方式来辨认:

protoPayload.@type 字段为 type.googleapis.com/google.cloud.audit.AuditLog。

logName 字段包含网域 cloudaudit.googleapis.com。

哪项服务写入了这条审核日志?这条日志由 App Engine 写入。审核日志条目的 protoPayload.serviceName 字段中列出了此信息。

审核的是哪项操作?审核的是 SetIamPolicy，如 protoPayload.methodName 字段中所示。protoPayload.serviceData 中的 AuditData 对象列出了有关所审核操作的详细信息。

审核的是哪项资源?审核的是在 App Engine 中运行且与 Google Cloud 项目 my-gcp-project-id 相关联的应用。您可以通过 resource 字段确定此信息，该字段指定了资源类型 gae_app 和项目标识符 my-gcp-project-id。在此示例中，您可以在受监控的资源类型列表中找到有关资源类型的详细信息。

如需了解详情，请参阅 LogEntry 类型、AuditLog 类型和 IAM AuditData 类型。

大型审核日志条目或长时间运行的操作的审核日志条目

如果某项操作会异步运行或生成大型 AuditLog 记录，则该操作的审核日志会拆分成多个日志条目。当同一操作涉及多个日志条目时，LogEntry 对象将包含一个 operation 字段，并且同一操作的各个条目具有相同的 LogEntry.operation.id 值和 LogEntry.operation.producer 值。

在前面的审核日志条目示例中，operation 字段不存在，这意味着所有审核信息都包含在单个日志条目中。

服务专属审核数据

某些服务会将补充性的数据结构放入审核日志的 serviceData 字段中，以此扩充其 AuditLog 中存储的信息。下表列出了使用 serviceData 字段的服务，并提供了指向其 AuditData 类型的链接。

查看审核日志

如需查询审核日志，您需要知道审核日志名称，其中包含您要查看其审核日志记录信息的 Cloud 项目、文件夹、结算帐号或组织的资源标识符。在查询中，您可以进一步指定其他已编入索引的 LogEntry 字段，例如 resource.type。如需详细了解如何查询，请参阅在日志浏览器中构建查询。

您可以使用 Google Cloud Console、Google Cloud CLI 或 Logging API 在 Cloud Logging 中查看审核日志。