Google bigquery 如何查找删除日志中表的用户

我有一个数据集ID，创建了表。这些都被删除了。我需要检查谁删除了它们以及何时删除。

您需要启用导出

有多种类型的删除：

• 从UI/API中删除
• 使用查询删除（覆盖为目标表）
• 通过创建或替换语法删除
• 自动删除通过过期完成

此处解释了常见的删除类型：

类型1：您发出了表删除查询/API调用等。

然后可以运行如下查询：

SELECT * FROM `dataset.cloudaudit_googleapis_com_activity_20190919` 
where resource.type='bigquery_resource' 
and protopayload_auditlog.methodName='tableservice.delete'

您会得到一个无法作为精美图像发布在此处的图标，但作为简化的JSON，它位于此处：

[
  {
    "logName": "projects/editedname/logs/cloudaudit.googleapis.com%2Factivity",
    "resource": {
      "type": "bigquery_resource",
      "labels": {
        "project_id": "editedname",
      }
    },
    "protopayload_auditlog": {
      "serviceName": "bigquery.googleapis.com",
      "methodName": "tableservice.delete",
      "resourceName": "projects/editedname/datasets/dataset/tables/industry2",
      "authenticationInfo": {
        "principalEmail": "something@domain.com",
        "authoritySelector": null,
        "serviceAccountKeyName": null,
        "serviceAccountDelegationInfo": []
      },
      "authorizationInfo": [
        {
          "resource": "projects/editedname/datasets/dataset/tables/industry2",
          "permission": "bigquery.tables.delete",
          "granted": "true",
          "resourceAttributes": null
        }
      ],
      "requestMetadata": {
        "callerIp": "1.2.3.4",
        "callerSuppliedUserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.75 Safari/537.36,gzip(gfe)",
        "callerNetwork": null,
        "requestAttributes": null,
        "destinationAttributes": null
      },
    },
    "timestamp": "2019-09-19 08:47:00.381 UTC",
    "receiveTimestamp": "2019-09-19 08:47:00.590316 UTC",
    "severity": "NOTICE",
  }
]

如您所见，您有已删除的表，例如：在我的示例中，

industry2

，还有用户或服务帐户的电子邮件地址，以及日期，甚至IP调用方的

元数据

，以及userAgent

有关可用信息的更多信息

类型2：您发出了表覆盖查询或

创建或替换

语法

对于此类“删除”，您将找不到单独的已删除条目。但是您可以在

metadataJson

您需要启用导出

有多种类型的删除：

• 从UI/API中删除
• 使用查询删除（覆盖为目标表）
• 通过创建或替换语法删除
• 自动删除通过过期完成

此处解释了常见的删除类型：

类型1：您发出了表删除查询/API调用等。

然后可以运行如下查询：

SELECT * FROM `dataset.cloudaudit_googleapis_com_activity_20190919` 
where resource.type='bigquery_resource' 
and protopayload_auditlog.methodName='tableservice.delete'

您会得到一个无法作为精美图像发布在此处的图标，但作为简化的JSON，它位于此处：

[
  {
    "logName": "projects/editedname/logs/cloudaudit.googleapis.com%2Factivity",
    "resource": {
      "type": "bigquery_resource",
      "labels": {
        "project_id": "editedname",
      }
    },
    "protopayload_auditlog": {
      "serviceName": "bigquery.googleapis.com",
      "methodName": "tableservice.delete",
      "resourceName": "projects/editedname/datasets/dataset/tables/industry2",
      "authenticationInfo": {
        "principalEmail": "something@domain.com",
        "authoritySelector": null,
        "serviceAccountKeyName": null,
        "serviceAccountDelegationInfo": []
      },
      "authorizationInfo": [
        {
          "resource": "projects/editedname/datasets/dataset/tables/industry2",
          "permission": "bigquery.tables.delete",
          "granted": "true",
          "resourceAttributes": null
        }
      ],
      "requestMetadata": {
        "callerIp": "1.2.3.4",
        "callerSuppliedUserAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.75 Safari/537.36,gzip(gfe)",
        "callerNetwork": null,
        "requestAttributes": null,
        "destinationAttributes": null
      },
    },
    "timestamp": "2019-09-19 08:47:00.381 UTC",
    "receiveTimestamp": "2019-09-19 08:47:00.590316 UTC",
    "severity": "NOTICE",
  }
]

如您所见，您有已删除的表，例如：在我的示例中，

industry2

，还有用户或服务帐户的电子邮件地址，以及日期，甚至IP调用方的

元数据

，以及userAgent

有关可用信息的更多信息

类型2：您发出了表覆盖查询或

创建或替换

语法

对于此类“删除”，您将找不到单独的已删除条目。但是您可以在

metadataJson

---

最简单的方法是在GCP控制台中单击“活动”选项卡，按“大查询”筛选“资源类型”并查找“删除表”条目。如果单击条目，它将展开并显示有关删除的信息，以及执行删除的帐户。

最简单的方法是在GCP控制台中单击“活动”选项卡，按“大查询”筛选“资源类型”，然后查找“删除表”条目。如果单击条目，它将展开并显示有关删除的信息，以及执行删除的帐户