Como ver registros de auditoria

Nesta página, há informações complementares sobre o uso do Cloud Audit Logging com o Compute Engine. Use o Cloud Audit Logging para gerar registros das operações da API realizadas no Google Compute Engine.

Os registros de auditoria não são iguais aos registros de atividades. Os registros de auditoria ajudam você a determinar quem fez o quê, onde e quando. Especificamente, os registros de auditoria controlam como seus recursos do Compute Engine são modificados e acessados nos seus projetos do Google Cloud Platform para fins de auditoria. Os registros de atividades permitem acompanhar determinados eventos que afetam seu projeto, incluindo chamadas à API que alteram o estado de um recurso e eventos do sistema, mas não retornam informações de autorização, informações sobre solicitações à API ou respostas de API. Os registros de atividades também não incluem operações somente leitura.

Informações registradas

O Cloud Audit Logging retorna três tipos de registros:

  • Registros de atividades do administrador: contêm entradas de registros de operações que modificam a configuração ou os metadados de um recurso do Compute Engine. Esta categoria abrange qualquer chamada de API que modifique um recurso, como criação, exclusão, atualização ou modificação de um recurso usando um verbo personalizado.

  • Registros de eventos do sistema: contém entradas de registro de operações de manutenção do sistema nos recursos do Compute Engine.

  • Registros de acesso a dados: contêm entradas de registros de operações somente leitura que não modificam dados, como métodos get, list e list agregado. Ao contrário dos registros de auditoria de outros serviços, o Compute Engine só tem registros de acesso a dados ADMIN_READ e não costuma oferecer registros DATA_READ e DATA_WRITE. Isso ocorre porque os registros DATA_READ e DATA_WRITE são usados apenas para serviços que armazenam e gerenciam dados do usuário, como o Google Cloud Storage, o Google Cloud Spanner e o Google Cloud SQL, o que não se aplica ao Compute Engine. Existe uma exceção a essa regra: o instance.getSerialPortOutput gera um registro DATA_READ porque o método lê dados diretamente da instância de VM.

A tabela a seguir resume quais operações do Compute Engine se enquadram em cada tipo de registro:

Tipo de entrada de registro Subtipo Operações
Atividade do administrador N/D
  • criação de recursos
  • atualização/correção de recursos
  • definição/alteração de metadados
  • definição/alteração de tags
  • definição/alteração de etiquetas
  • definição/alteração de permissões
  • definição/alteração de quaisquer propriedades de um recurso (incluindo verbos personalizados)
Evento do sistema N/D
  • na manutenção do host
  • preempção de instância
  • reinicialização automática
  • redefinição da instância
  • conexão/desconexão de porta serial
Acesso a dados ADMIN_READ
  • recebimento de informações sobre um recurso
  • listagem de recursos
  • listagem de recursos em todo o escopo (solicitações de lista agregada)
DATA_READ Acessar o conteúdo do console da porta serial

Os registros do Compute Engine usam um objeto AuditLog e seguem o mesmo formato que outros registros do Cloud Audit Logging. Os registros contêm informações como:

  • o usuário que fez a solicitação, incluindo endereço de e-mail dele;
  • o nome do recurso em que a solicitação foi feita;
  • o resultado da solicitação.

Configurações de registro

Os registros de atividades do administrador e eventos do sistema são gravados por padrão. Eles não são contabilizados na sua cota de processamento de registros.

Os registros de acesso a dados não são gravados por padrão. Esses registros afetam sua cota de processamento de registros. Para saber como ativar os registros para operações do tipo acesso a dados, consulte Como configurar registros de acesso a dados.

Acesso aos registros

Os usuários a seguir podem visualizar os registros de atividades do administrador e eventos do sistema:

Os usuários a seguir podem ver registros de acesso a dados:

Consulte Como adicionar membros do IAM a um projeto para instruções sobre como conceder acesso.

Como ver registros

Você pode ver um resumo dos registros de auditoria do seu projeto no Stream de atividades no Console do Google Cloud Platform. Uma versão mais detalhada dos registros pode ser encontrada no Visualizador de registros.

Para instruções sobre como filtrar registros no Visualizador de registros, consulte o Guia do Cloud Audit Logging.

Edição de dados nos registros de auditoria

Os registros de auditoria registram os dados de solicitações e respostas das ações da API que foram realizadas. No entanto, nas circunstâncias a seguir, as informações de solicitações ou respostas estão indisponíveis ou editadas:

  • Para as solicitações à API instance.setMetadata e project.setCommonInstanceMetadata, a parte de metadados do corpo da solicitação é editada para evitar o registro de informações confidenciais enviadas nos metadados.
  • Campos confidenciais são editados nas solicitações, como chaves privadas para certificados SSL e chaves de criptografia fornecidas pelo cliente para discos.
  • Para respostas get e list, o corpo de resposta é editado para evitar o registro de informações privadas.

Próximas etapas

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Compute Engine