Esta página foi traduzida pela API Cloud Translation.

Vista geral dos registos de auditoria do Cloud

Este documento oferece uma vista geral conceptual dos registos de auditoria do Cloud.

Os serviços doGoogle Cloud Google Cloud Platform escrevem registos de auditoria que registam atividades administrativas e acessos nos seus Google Cloud recursos. Os registos de auditoria ajudam a responder à pergunta "quem fez o quê, onde e quando?" nos seus Google Cloud recursos com o mesmo nível de transparência que nos ambientes no local. A ativação dos registos de auditoria ajuda as suas entidades de segurança, auditoria e conformidade a monitorizar Google Cloud os dados e os sistemas para detetar possíveis vulnerabilidades ou utilização indevida de dados externos.

Google Cloud serviços que produzem registos de auditoria

Para ver uma lista dos Google Cloud serviços que fornecem registos de auditoria, consulte os Google Cloud serviços com registos de auditoria. Eventualmente, todos os serviços doGoogle Cloud vão fornecer registos de auditoria.

Para uma vista geral dos registos de auditoria do Google Workspace, consulte o artigo Registos de auditoria do Google Workspace.

Funções necessárias

Para ver os registos de auditoria, tem de ter as autorizações e as funções de gestão de identidade e de acesso (IAM) adequadas:

Para obter as autorizações de que precisa para ter acesso só de leitura à atividade de administrador, à política recusada e aos registos de auditoria de eventos do sistema, peça ao seu administrador que lhe conceda a função do IAM Visualizador de registos (roles/logging.viewer) no seu projeto.

Se tiver apenas a função Logs Viewer (roles/logging.viewer), não pode ver os registos de auditoria de acesso a dados que estão no contentor _Default.

Para receber as autorizações de que precisa para aceder a todos os registos nos contentores _Required e _Default, incluindo os registos de acesso aos dados, peça ao seu administrador que lhe conceda a função do IAM Visualizador de registos privados (roles/logging.privateLogViewer) no seu projeto.

A função Leitor de registos privados (roles/logging.privateLogViewer) inclui as autorizações contidas na função Leitor de registos (roles/logging.viewer) e as necessárias para ler os registos de auditoria de acesso aos dados no contentor _Default.

Para mais informações acerca das autorizações e funções da IAM que se aplicam aos dados dos registos de auditoria, consulte o artigo Controlo de acesso com a IAM.

Tipos de registos de auditoria

Os registos de auditoria do Cloud fornecem os seguintes registos de auditoria para cada Google Cloud projeto, pasta e organização:

Registos de auditoria da atividade do administrador
Registos de auditoria de acesso aos dados
Registos de auditoria de eventos do sistema
Registos de auditoria de políticas recusadas

Registos de auditoria de atividade do administrador

Os registos de auditoria da atividade de administrador são entradas de registo escritas por chamadas de API orientadas pelo utilizador ou outras ações que modificam a configuração ou os metadados dos recursos. Por exemplo, estes registos registam quando os utilizadores criam instâncias de VMs ou alteram as autorizações de gestão de identidades e acessos.

Os registos de auditoria da atividade do administrador são sempre escritos. Não é possível configurá-los, excluí-los nem desativá-los. Mesmo que desative a API Cloud Logging, os registos de auditoria da atividade do administrador continuam a ser gerados.

Para ver uma lista de serviços que escrevem registos de auditoria de atividade do administrador e informações detalhadas sobre as atividades que geram esses registos, consulte os Google Cloud serviços com registos de auditoria.

Registos de auditoria de acesso a dados

Os registos de auditoria de acesso a dados são entradas de registo escritas por chamadas API que leem a configuração ou os metadados dos recursos. Também são escritas por chamadas de API orientadas pelo utilizador que criam, modificam ou leem dados de recursos fornecidos pelos utilizadores.

Os recursos disponíveis publicamente que têm as políticas de gestão de identidade e de acesso allAuthenticatedUsers ou allUsers não geram registos de auditoria. Os recursos aos quais se pode aceder sem iniciar sessão numa conta do Google Cloud, Google Workspace, Cloud Identity ou Drive Enterprise não geram registos de auditoria. Isto ajuda a proteger as identidades e as informações dos utilizadores finais.

Os registos de auditoria de acesso a dados, exceto os registos de auditoria de acesso a dados do BigQuery, estão desativados por predefinição porque os registos de auditoria podem ser bastante grandes. Se quiser que os registos de auditoria de acesso a dados sejam escritos para Google Cloud serviços que não sejam o BigQuery, tem de os ativar explicitamente. A ativação dos registos pode resultar na cobrança ao seu projeto pela utilização dos registos adicionais. Google Cloud Para obter instruções sobre como ativar e configurar os registos de auditoria de acesso a dados, consulte o artigo Ative os registos de auditoria de acesso a dados.

Para ver uma lista de serviços que escrevem registos de auditoria de acesso aos dados e informações detalhadas sobre as atividades que geram esses registos, consulte os Google Cloud serviços com registos de auditoria.

Os registos de auditoria de acesso a dados são armazenados no contentor de registos _Default, a menos que os tenha encaminhado para outro local. Para mais informações, consulte a secção Armazenar e encaminhar registos de auditoria desta página.

Registos de auditoria de eventos do sistema

Os registos de auditoria de eventos do sistema são entradas de registo escritas por Google Cloud sistemas que modificam a configuração dos recursos. Os registos de auditoria de eventos do sistema não são acionados por ações diretas do utilizador. Por exemplo, é escrito um registo de auditoria de eventos do sistema quando as VMs são adicionadas ou removidas automaticamente de grupos de instâncias geridos (MIGs) devido ao dimensionamento automático.

Os registos de auditoria de eventos do sistema são sempre escritos. Não pode configurá-los, excluí-los nem desativá-los.

Para ver uma lista de serviços que escrevem registos de auditoria de eventos do sistema e informações detalhadas sobre as atividades que geram esses registos, consulte os Google Cloud serviços com registos de auditoria.

Registos de auditoria de políticas recusadas

Os registos de auditoria de políticas recusadas são entradas de registo escritas quando um Google Cloud serviço recusa o acesso a um utilizador ou a uma conta de serviço devido a uma violação da política de segurança.

Os registos de auditoria de acesso negado são gerados por predefinição e o seu Google Cloud projeto é cobrado pelo armazenamento dos registos. Não pode desativar os registos de auditoria Policy Denied, mas pode usar filtros de exclusão para impedir que os registos de auditoria Policy Denied sejam armazenados no Cloud Logging.

Para ver uma lista de serviços que escrevem registos de auditoria de política recusada e informações detalhadas sobre as atividades que geram esses registos, consulte os Google Cloud serviços com registos de auditoria.

Estrutura da entrada do registo de auditoria

Cada entrada do registo de auditoria no Cloud Logging é um objeto do tipo LogEntry. O que distingue uma entrada do registo de auditoria de outras entradas do registo é o campo protoPayload. Este campo contém um objeto AuditLog que armazena os dados do registo de auditoria.

Para compreender como ler e interpretar as entradas do registo de auditoria, e para ver um exemplo de uma entrada do registo de auditoria, consulte o artigo Compreender os registos de auditoria.

Nome de registo

Os nomes dos registos dos registos de auditoria do Cloud incluem o seguinte:

Identificadores de recursos que indicam o Google Cloud projeto ou outra Google Cloud entidade proprietária dos registos de auditoria.
A string cloudaudit.googleapis.com.
Uma string que indica se o registo contém dados de registo de auditoria de atividade do administrador, acesso aos dados, política recusada ou evento do sistema.

Seguem-se os nomes dos registos de auditoria, incluindo variáveis para os identificadores de recursos:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Identidades do autor da chamada nos registos de auditoria

Os registos de auditoria registam a identidade que executou as operações registadas no recursoGoogle Cloud . A identidade do autor da chamada é mantida no campo AuthenticationInfo dos objetos AuditLog.

O registo de auditoria não oculta o endereço de email principal do autor da chamada para qualquer acesso bem-sucedido nem para qualquer operação de escrita.

Para operações só de leitura que falham com um erro "permission denied" (autorização recusada), o registo de auditoria pode ocultar o endereço de email principal do autor da chamada, a menos que o autor da chamada seja uma conta de serviço.

Além das condições indicadas acima, o seguinte aplica-se a determinados Google Cloud serviços:

API App Engine antiga: as identidades não são recolhidas.

BigQuery: as identidades do autor da chamada e os endereços IP, bem como alguns nomes de recursos, são ocultados nos registos de auditoria, a menos que sejam cumpridas determinadas condições.
Cloud Storage: quando os registos de utilização do Cloud Storage estão ativados, o Cloud Storage escreve dados de utilização no contentor do Cloud Storage, o que gera registos de auditoria de acesso aos dados para o contentor. A identidade do autor da chamada do registo de auditoria de acesso a dados gerado é ocultada.

Firestore: se foi usado um símbolo da Web JSON (JWT) para a autenticação de terceiros, o campo thirdPartyPrincipal inclui o cabeçalho e o payload do símbolo. Por exemplo, os registos de auditoria de pedidos autenticados com a Firebase Authentication incluem o token de autenticação desse pedido.

VPC Service Controls: para os registos de auditoria de políticas recusadas, ocorre a seguinte ocultação:
- Partes dos endereços de email do autor da chamada podem ser ocultadas e substituídas por três carateres de ponto ....
- Alguns endereços de email de autores de chamadas pertencentes ao domínio google.com são ocultados e substituídos por google-internal.

Política da organização: partes dos endereços de email do autor da chamada podem ser ocultadas e substituídas por três carateres de ponto ....

Endereço IP do autor da chamada nos registos de auditoria

O endereço IP do autor da chamada está no campo RequestMetadata.callerIp do objeto AuditLog:

Para um autor da chamada da Internet, o endereço é um endereço IPv4 ou IPv6 público.
Para chamadas feitas a partir da rede de produção interna de um serviço para outro, o callerIp é ocultado como "privado".Google Cloud
Para um autor da chamada de uma VM do Compute Engine com um endereço IP externo, o elemento callerIp é o endereço externo da VM.
Para um autor da chamada de uma VM do Compute Engine sem um endereço IP externo, se a VM estiver na mesma organização ou projeto que o recurso acedido, então callerIp é o endereço IPv4 interno da VM. Caso contrário, o callerIp é ocultado como "gce-internal-ip". Para mais informações, consulte o artigo Vista geral da rede VPC.

Ver registos de auditoria

Pode consultar todos os registos de auditoria ou consultar os registos pelo respetivo nome do registo de auditoria. O nome do registo de auditoria inclui o identificador do recurso do Google Cloud projeto, da pasta, da conta de faturação ou da organização para a qual quer ver as informações de registo de auditoria. As suas consultas podem especificar campos LogEntry indexados. Para mais informações sobre como consultar os seus registos, consulte o artigo Crie consultas no Explorador de registos

O Explorador de registos permite-lhe ver entradas de registo individuais filtradas. Se quiser usar SQL para analisar grupos de entradas de registo, use a página Log Analytics. Para mais informações, consulte:

A maioria dos registos de auditoria pode ser vista no Cloud Logging através da Google Cloud consola, da CLI do Google Cloud ou da API Logging. No entanto, para registos de auditoria relacionados com a faturação, só pode usar a CLI do Google Cloud ou a API Logging.

Consola

Na Google Cloud consola, pode usar o Explorador de registos para obter as entradas do registo de auditoria do seu Google Cloud projeto, pasta ou organização:

Na Google Cloud consola, aceda à página Explorador de registos:
Aceda ao Explorador de registos

Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.
Selecione um Google Cloud projeto, uma pasta ou uma organização existente.
Para apresentar todos os registos de auditoria, introduza uma das seguintes consultas no campo do editor de consultas e, de seguida, clique em Executar consulta:
```
logName:"cloudaudit.googleapis.com"
```
```
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
```
Para apresentar os registos de auditoria de um recurso específico e um tipo de registo de auditoria, no painel Criador de consultas, faça o seguinte:
- Em Tipo de recurso, selecione o Google Cloud recurso cujos registos de auditoria quer ver.
- Em Nome do registo, selecione o tipo de registo de auditoria que quer ver:
  - Para os registos de auditoria da atividade do administrador, selecione atividade.
  - Para os registos de auditoria de acesso a dados, selecione data_access.
  - Para os registos de auditoria de eventos do sistema, selecione system_event.
  - Para registos de auditoria de recusa de políticas, selecione política.
- Clique em Executar consulta.
Se não vir estas opções, significa que não existem registos de auditoria desse tipo disponíveis no projeto, na pasta ou na organização. Google Cloud

Se estiver a ter problemas ao tentar ver registos no Explorador de registos, consulte as informações de resolução de problemas.

Para mais informações sobre como consultar através do Explorador de registos, consulte o artigo Crie consultas no Explorador de registos.

gcloud

A CLI do Google Cloud fornece uma interface de linhas de comando para a API Logging. Forneça um identificador de recurso válido em cada um dos nomes dos registos. Por exemplo, se a sua consulta incluir um PROJECT_ID, o identificador do projeto que fornecer tem de se referir ao projetoGoogle Cloud atualmente selecionado.

Para ler as entradas do registo de auditoria ao nível do projeto, execute o seguinte comando: Google Cloud

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Para ler as entradas do registo de auditoria ao nível da pasta, execute o seguinte comando:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Para ler as entradas do registo de auditoria ao nível da organização, execute o seguinte comando:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Para ler as entradas do registo de auditoria ao nível da conta do Cloud Billing, execute o seguinte comando:

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

Adicione a flag --freshness ao seu comando para ler registos com mais de 1 dia.

Para mais informações sobre a utilização da CLI gcloud, consulte gcloud logging read.

REST

Quando criar as consultas, forneça um identificador de recurso válido em cada um dos nomes dos registos. Por exemplo, se a sua consulta incluir um PROJECT_ID, o identificador do projeto que fornecer tem de se referir ao projetoGoogle Cloud atualmente selecionado.

Por exemplo, para usar a API Logging para ver as entradas do registo de auditoria ao nível do projeto, faça o seguinte:

Aceda à secção Experimentar esta API na documentação do método entries.list.
Coloque o seguinte na parte Corpo do pedido do formulário Experimentar esta API. Se clicar neste formulário pré-preenchido, o corpo do pedido é preenchido automaticamente, mas tem de fornecer um PROJECT_ID válido em cada um dos nomes dos registos.
```
{
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
```
Clique em Executar.

Armazenamento e encaminhamento de registos de auditoria

O Cloud Logging usa contentores de registos como contentores que armazenam e organizam os seus dados de registos. Para cada conta de faturação, Google Cloud projeto, pasta e organização, o Logging cria automaticamente dois contentores de registos, _Required e _Default, e destinos com os nomes correspondentes.

Os contentores do Cloud Logging armazenam registos de auditoria da atividade do administrador e registos de auditoria de eventos do sistema._Required Não é possível impedir o armazenamento dos registos de auditoria da Atividade de administrador ou do Evento do sistema. Também não pode configurar o destino que encaminha as entradas de registo para os contentores _Required.

Os registos de auditoria da atividade do administrador e os registos de auditoria de eventos do sistema são sempre armazenados no contentor _Required no projeto onde os registos foram gerados.

Se encaminhar os registos de auditoria de atividade do administrador e os registos de auditoria de eventos do sistema para um projeto diferente, esses registos não passam pelo coletor _Default ou _Required do projeto de destino. Por conseguinte, estes registos não são armazenados no contentor de registos _Default nem no contentor de registos _Required do projeto de destino. Para armazenar estes registos, crie um destino de registos no projeto de destino. Para mais informações, consulte o artigo Encaminhe registos para destinos suportados.

Por predefinição, os contentores _Default armazenam todos os registos de auditoria de acesso aos dados ativados, bem como os registos de auditoria de política recusada. Para impedir que os registos de auditoria de acesso aos dados sejam armazenados nos contentores do _Default, pode desativá-los. Para impedir que os registos de auditoria de políticas recusadas sejam armazenados nos contentores _Default, pode excluí-los modificando os filtros dos respetivos destinos.

Também pode encaminhar as entradas do registo de auditoria para contentores do Cloud Logging definidos pelo utilizador ao nível do projeto ou para destinos suportados fora do Logging através de destinos. Google Cloud Para ver instruções sobre o encaminhamento de registos, consulte o artigo Encaminhe registos para destinos suportados.

Quando configurar os filtros dos destinos de registos, tem de especificar os tipos de registos de auditoria que quer encaminhar. Para ver exemplos de filtragem, consulte Consultas de registo de segurança.

Se quiser encaminhar entradas do registo de auditoria para uma Google Cloud organização, uma pasta ou uma conta de faturação, e para os respetivos filhos, consulte a vista geral dos destinos agregados.

Retenção de registos de auditoria

Para ver detalhes sobre durante quanto tempo as entradas de registo são retidas pelo Logging, consulte as informações de retenção em Quotas e limites: períodos de retenção de registos.

Controlo de acesso

As autorizações e as funções da IAM determinam a sua capacidade de aceder aos dados dos registos de auditoria na API Logging, no Explorador de registos e na CLI Google Cloud.

Para informações detalhadas sobre as autorizações e as funções da IAM de que pode precisar, consulte o artigo Controlo de acesso com a IAM.

Quotas e limites

Para ver detalhes sobre os limites de utilização de registos, incluindo os tamanhos máximos dos registos de auditoria, consulte Quotas e limites.

Preços

O Cloud Logging não cobra o encaminhamento de registos para um destino suportado. No entanto, o destino pode aplicar cobranças. Com exceção do contentor de registos _Required, o Cloud Logging cobra taxas para transmitir registos para contentores de registos e para armazenamento durante um período superior ao período de retenção predefinido do contentor de registos.

O Cloud Logging não cobra pela cópia de registos, pela criação de âmbitos de registo ou vistas de estatísticas, nem por consultas emitidas através das páginas do Explorador de registos ou Log Analytics.

Para mais informações, consulte os seguintes documentos:

As secções do Cloud Logging na página de preços da observabilidade do Google Cloud.
Custos quando encaminha dados de registo de encaminhamento para outros Google Cloud serviços:
As taxas de geração de registos de fluxo da VPC aplicam-se quando envia e, em seguida, exclui os registos de fluxo da nuvem virtual privada do Cloud Logging.

O que se segue?

Saiba como ler e compreender os registos de auditoria.
Saiba como ativar os registos de auditoria de acesso aos dados.
Reveja as práticas recomendadas para os registos de auditoria do Cloud.

Saiba mais sobre a Transparência de acesso, que fornece registos de ações realizadas pelos Google Cloud funcionários durante o acesso ao seu Google Cloud conteúdo.