En esta página, se proporciona información complementaria para usar Cloud Audit Logs con Compute Engine. Usa Cloud Audit Logs para generar registros de las operaciones de la API realizadas en Compute Engine.
Los registros de auditoría no son lo mismo que los registros de actividad heredados. Los registros de auditoría ayudan a determinar quién hizo qué, dónde y cuándo. Específicamente, rastrean cómo se modifican tus recursos de Compute Engine y cómo se accede a ellos dentro de tus proyectos de Google Cloud con fines de auditoría. Los registros de actividad heredados contienen un subconjunto de esa información y quedarán obsoletos. Si usas registros de actividad, consulta esta página sobre cómo migrar de registros de actividad a registros de auditoría.
Información registrada
Cloud Audit Logs muestra tres tipos de registros:
Registros de actividad del administrador: contienen entradas de registro para operaciones que modifican la configuración o los metadatos de un recurso de Compute Engine. Esta categoría incluye cualquier llamada a una API que modifique un recurso (por ejemplo, crear un recurso, borrarlo, actualizarlo o modificarlo un verbo personalizado).
Registros de eventos del sistema: contienen entradas de registro para las operaciones de mantenimiento del sistema en los recursos de Compute Engine.
Registros de acceso a datos: contienen entradas de operaciones de solo lectura que no modifican ningún dato, como los métodos “get”, “list” y “aggregated list”. A diferencia de los registros de auditoría para otros servicios, Compute Engine solo tiene registros de acceso a datos
ADMIN_READ
y, por lo general, no ofrece registrosDATA_READ
yDATA_WRITE
. Esto se debe a que los registrosDATA_READ
yDATA_WRITE
solo se usan para servicios que almacenan y administran datos del usuario, como Cloud Storage, Cloud Spanner y Cloud SQL y esto no aplica a Compute Engine. Hay una excepción a esta regla:instance.getSerialPortOutput
genera un registroDATA_READ
porque el método lee los datos de forma directa de la instancia de VM.
En la siguiente tabla, se resumen las operaciones de Compute Engine que están incluidas en cada tipo de registro:
Tipo de entrada de registro | Subtipo | Operaciones |
---|---|---|
Actividad del administrador | No aplica |
|
Evento del sistema | No aplica |
|
Acceso a los datos | ADMIN_READ |
|
DATA_READ |
Obtener el contenido de la consola del puerto en serie |
Los registros de Compute Engine usan un objeto AuditLog
y siguen el mismo formato que otros registros de auditoría de Cloud. Este es el tipo de información que contienen los registros:
- El usuario que realizó la solicitud, incluida su dirección de correo electrónico
- El nombre de recurso en el cual se realizó la solicitud
- El resultado de la solicitud
Configuración de registros
La actividad del administrador y los registros de eventos del sistema se guardan de forma predeterminada. Estos registros no son parte de la cuota de transferencia de registros.
Los registros de acceso a datos no se guardan de manera predeterminada. Estos registros forman parte de la cuota de transferencia de registros. Si quieres obtener información sobre cómo habilitar los registros para las operaciones de acceso a datos, consulta Configura registros de acceso a los datos.
Acceso a registros
Los siguientes usuarios pueden ver la actividad del administrador y los registros de eventos del sistema:
- Propietarios, editores y lectores del proyecto
- Usuarios con la función de IAM de visor de registros.
- Usuarios con el permiso de IAM
logging.logEntries.list
.
Los siguientes usuarios pueden ver los registros de acceso a los datos:
- Propietarios del proyecto
- Usuarios con la función de IAM de visor de registros privados.
- Usuarios con el permiso de IAM
logging.privateLogEntries.list
Consulta esta página sobre cómo agregar miembros de IAM a un proyecto a fin de obtener instrucciones para otorgar acceso.
Visualizar registros
Puedes ver un resumen de los registros de auditoría de tu proyecto en el flujo de actividad de Google Cloud Console. Hay una versión más detallada de ellos en el visor de registros.
Para obtener instrucciones sobre cómo filtrar registros en el visor de registros, consulta la guía de Cloud Logging.
Ocultamiento de datos en los registros de auditoría
Los registros de auditoría registran los datos de solicitud y respuesta de las acciones de la API que se realizaron. Sin embargo, en las siguientes ocasiones, la información de solicitud o respuesta no está disponible o está oculta:
- Para las solicitudes
instance.setMetadata
yproject.setCommonInstanceMetadata
a la API, la parte de los metadatos del cuerpo de la solicitud se oculta a fin de evitar el registro de información sensible enviada en los metadatos. - Los campos sensibles se ocultan en las solicitudes, como las claves privadas para los certificados SSL y las claves de encriptación proporcionadas por el cliente para los discos.
- Para obtener y enumerar respuestas, el cuerpo de la respuesta se oculta a fin de evitar el registro de información privada.
¿Qué sigue?
- Obtén más información sobre Cloud Logging.
- Obtén información sobre cómo migrar de los registros de actividad heredados a los registros de auditoría.