Este documento descreve o registo de auditoria para a autoridade de certificação pública.Os serviços Google Cloud geram registos de auditoria que registam as atividades administrativas e de acesso nos seus recursos Google Cloud . Para mais informações sobre os registos de auditoria do Cloud, consulte o seguinte:
- Tipos de registos de auditoria
- Estrutura da entrada do registo de auditoria
- Armazenar e encaminhar registos de auditoria
- Resumo dos preços do Cloud Logging
- Ative os registos de auditoria de acesso a dados
Nome do serviço
Os registos de auditoria da Public Certificate Authority usam o nome do serviço publicca.googleapis.com.
Filtrar por este serviço:
protoPayload.serviceName="publicca.googleapis.com"
Métodos por tipo de autorização
Cada autorização de IAM tem uma propriedade type, cujo valor é uma enumeração que pode ter um de quatro valores: ADMIN_READ, ADMIN_WRITE, DATA_READ ou DATA_WRITE. Quando chama um método, a autoridade de certificação pública gera um registo de auditoria cuja categoria depende da propriedade type da autorização necessária para executar o método.
Os métodos que requerem uma autorização da IAM com o valor da propriedade type de DATA_READ, DATA_WRITE ou ADMIN_READ geram registos de auditoria de acesso aos dados.
Os métodos que requerem uma autorização do IAM com o valor da propriedade type de ADMIN_WRITE generate
Admin Activity registam auditorias.
| Tipo de autorização | Métodos |
|---|---|
DATA_WRITE |
google.cloud.security.publicca.v1.PublicCertificateAuthorityService.CreateExternalAccountKeygoogle.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService.CreateExternalAccountKeygoogle.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService.CreateExternalAccountKey |
Registos de auditoria da interface da API
Para ver informações sobre como e que autorizações são avaliadas para cada método, consulte a documentação de gestão de identidades e acessos para a autoridade de certificação pública.
google.cloud.security.publicca.v1.PublicCertificateAuthorityService
Os seguintes registos de auditoria estão associados a métodos pertencentes a
google.cloud.security.publicca.v1.PublicCertificateAuthorityService.
CreateExternalAccountKey
- Método:
google.cloud.security.publicca.v1.PublicCertificateAuthorityService.CreateExternalAccountKey - Tipo de registo de auditoria: Acesso a dados
- Autorizações:
publicca.externalAccountKeys.create - DATA_WRITE
- O método é uma operação de longa duração ou de streaming:
Não.
- Filtre por este método:
protoPayload.methodName="google.cloud.security.publicca.v1.PublicCertificateAuthorityService.CreateExternalAccountKey"
google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService
Os seguintes registos de auditoria estão associados a métodos pertencentes a
google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService.
CreateExternalAccountKey
- Método:
google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService.CreateExternalAccountKey - Tipo de registo de auditoria: Acesso a dados
- Autorizações:
publicca.externalAccountKeys.create - DATA_WRITE
- O método é uma operação de longa duração ou de streaming:
Não.
- Filtre por este método:
protoPayload.methodName="google.cloud.security.publicca.v1alpha1.PublicCertificateAuthorityService.CreateExternalAccountKey"
google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService
Os seguintes registos de auditoria estão associados a métodos pertencentes a
google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService.
CreateExternalAccountKey
- Método:
google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService.CreateExternalAccountKey - Tipo de registo de auditoria: Acesso a dados
- Autorizações:
publicca.externalAccountKeys.create - DATA_WRITE
- O método é uma operação de longa duração ou de streaming:
Não.
- Filtre por este método:
protoPayload.methodName="google.cloud.security.publicca.v1beta1.PublicCertificateAuthorityService.CreateExternalAccountKey"
Registos de auditoria disponíveis
Os seguintes tipos de registos de auditoria estão disponíveis para a autoridade de certificação pública:
-
Registos de auditoria de acesso a dados
Inclui "data write" que escreve dados fornecidos pelos utilizadores.
Para receber registos de auditoria de acesso a dados, tem de os ativar explicitamente.
Para ver descrições mais completas dos tipos de registos de auditoria, consulte o artigo Tipos de registos de auditoria.
Formato do registo de auditoria
As entradas do registo de auditoria incluem os seguintes objetos:
A própria entrada do registo, que é um objeto do tipo
LogEntry. Os campos úteis incluem o seguinte:- O elemento
logNamecontém o ID do recurso e o tipo de registo de auditoria. - O elemento
resourcecontém o destino da operação auditada. - O
timeStampcontém a hora da operação auditada. - O
protoPayloadcontém as informações auditadas.
- O elemento
Os dados de registo de auditoria, que são um objeto
AuditLogcontido no campoprotoPayloadda entrada do registo.Informações de auditoria opcionais específicas do serviço, que são um objeto específico do serviço. Para integrações anteriores, este objeto é mantido no campo
serviceDatado objetoAuditLog. As integrações posteriores usam o campometadata.
Para outros campos nestes objetos e como os interpretar, reveja o artigo Compreenda os registos de auditoria.
Nome de registo
Os nomes dos registos do Cloud Audit Logs incluem identificadores de recursos que indicam a entidadeGoogle Cloud projeto ou outra Google Cloud que detém os registos de auditoria e se o registo contém dados de registo de auditoria de atividade do administrador, acesso aos dados, política recusada ou evento do sistema.
Seguem-se os nomes dos registos de auditoria, incluindo variáveis para os identificadores de recursos:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
Ative o registo de auditoria
Os registos de auditoria da atividade do administrador estão sempre ativados e não é possível desativá-los.
Os registos de auditoria de acesso a dados estão desativados por predefinição e não são escritos, a menos que sejam ativados explicitamente (a exceção são os registos de auditoria de acesso a dados do BigQuery, que não podem ser desativados).
Para obter informações sobre como ativar alguns ou todos os seus registos de auditoria de acesso a dados, consulte o artigo Ative os registos de auditoria de acesso a dados.
Ver registos de auditoria
Pode consultar todos os registos de auditoria ou consultar os registos pelo respetivo
nome do registo de auditoria. O nome do registo de auditoria inclui o
identificador do recurso
do Google Cloud projeto, da pasta, da conta de faturação ou da
organização para a qual quer ver as informações de registo de auditoria.
As suas consultas podem especificar campos LogEntry indexados e, se usar a página Log Analytics, que suporta consultas SQL, pode ver os resultados da consulta como um gráfico.
Para mais informações sobre como consultar os seus registos, consulte as seguintes páginas:
- Crie consultas no Explorador de registos.
- Consultar e ver registos no Log Analytics.
- Consultas de exemplo para estatísticas de segurança.
Pode ver os registos de auditoria no Cloud Logging através da Google Cloud consola, da CLI do Google Cloud ou da API Logging.
Consola
Na Google Cloud consola, pode usar o Explorador de registos para obter as entradas do registo de auditoria do seu Google Cloud projeto, pasta ou organização:
-
Na Google Cloud consola, aceda à página Explorador de registos:
Aceda ao Explorador de registos
Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.
Selecione um Google Cloud projeto, uma pasta ou uma organização existente.
Para apresentar todos os registos de auditoria, introduza uma das seguintes consultas no campo do editor de consultas e, de seguida, clique em Executar consulta:
logName:"cloudaudit.googleapis.com"
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
Para apresentar os registos de auditoria de um recurso específico e um tipo de registo de auditoria, no painel Criador de consultas, faça o seguinte:
Em Tipo de recurso, selecione o Google Cloud recurso cujos registos de auditoria quer ver.
Em Nome do registo, selecione o tipo de registo de auditoria que quer ver:
- Para os registos de auditoria da atividade do administrador, selecione atividade.
- Para os registos de auditoria de acesso a dados, selecione data_access.
- Para os registos de auditoria de eventos do sistema, selecione system_event.
- Para registos de auditoria de recusa de políticas, selecione política.
Clique em Executar consulta.
Se não vir estas opções, significa que não existem registos de auditoria desse tipo disponíveis no projeto, na pasta ou na organização. Google Cloud
Se estiver a ter problemas ao tentar ver registos no Explorador de registos, consulte as informações de resolução de problemas.
Para mais informações sobre como consultar através do Explorador de registos, consulte o artigo Crie consultas no Explorador de registos. Para obter informações sobre como resumir entradas de registo no Explorador de registos com o Gemini, consulte o artigo Resuma entradas de registo com a ajuda do Gemini.
gcloud
A CLI do Google Cloud fornece uma interface de linhas de comando para a API Logging. Forneça um identificador de recurso válido em cada um dos nomes dos registos. Por exemplo, se a sua consulta incluir um PROJECT_ID, o identificador do projeto que fornecer tem de se referir ao projetoGoogle Cloud atualmente selecionado.
Para ler as entradas do registo de auditoria ao nível do projeto, execute o seguinte comando: Google Cloud
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
--project=PROJECT_ID
Para ler as entradas do registo de auditoria ao nível da pasta, execute o seguinte comando:
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
--folder=FOLDER_ID
Para ler as entradas do registo de auditoria ao nível da organização, execute o seguinte comando:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
--organization=ORGANIZATION_ID
Para ler as entradas do registo de auditoria ao nível da conta do Cloud Billing, execute o seguinte comando:
gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
--billing-account=BILLING_ACCOUNT_ID
Adicione a flag --freshness
ao seu comando para ler registos com mais de 1 dia.
Para mais informações sobre a utilização da CLI gcloud, consulte
gcloud logging read.
API
Quando criar as consultas, forneça um identificador de recurso válido em cada um dos nomes dos registos. Por exemplo, se a sua consulta incluir um PROJECT_ID, o identificador do projeto que fornecer tem de se referir ao projetoGoogle Cloud atualmente selecionado.
Por exemplo, para usar a API Logging para ver as entradas do registo de auditoria ao nível do projeto, faça o seguinte:
Aceda à secção Experimentar esta API na documentação do método
entries.list.Coloque o seguinte na parte Corpo do pedido do formulário Experimentar esta API. Se clicar neste formulário pré-preenchido, o corpo do pedido é preenchido automaticamente, mas tem de fornecer um PROJECT_ID válido em cada um dos nomes dos registos.
{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }Clique em Executar.