Consultar registros de auditoría

En esta página, se proporciona información complementaria para usar Cloud Audit Logs con Compute Engine. Usa Cloud Audit Logs para generar registros de las operaciones de la API realizadas en Compute Engine.

Los registros de auditoría no son lo mismo que los registros de actividad heredados. Los registros de auditoría ayudan a determinar quién hizo qué, dónde y cuándo. Específicamente, rastrean cómo se modifican tus recursos de Compute Engine y cómo se accede a ellos dentro de tus proyectos de Google Cloud con fines de auditoría. Los registros de actividad heredados contienen un subconjunto de esa información y quedarán obsoletos. Si usas registros de actividad, consulta esta página sobre cómo migrar de registros de actividad a registros de auditoría.

Información registrada

Cloud Audit Logs muestra tres tipos de registros:

  • Registros de actividad del administrador: contienen entradas de registro para operaciones que modifican la configuración o los metadatos de un recurso de Compute Engine. Esta categoría incluye cualquier llamada a una API que modifique un recurso (por ejemplo, crear un recurso, borrarlo, actualizarlo o modificarlo un verbo personalizado).

  • Registros de eventos del sistema: contienen entradas de registro para las operaciones de mantenimiento del sistema en los recursos de Compute Engine.

  • Registros de acceso a datos: contienen entradas de operaciones de solo lectura que no modifican ningún dato, como los métodos “get”, “list” y “aggregated list”. A diferencia de los registros de auditoría para otros servicios, Compute Engine solo tiene registros de acceso a datos ADMIN_READ y, por lo general, no ofrece registros DATA_READ y DATA_WRITE. Esto se debe a que los registros DATA_READ y DATA_WRITE solo se usan para servicios que almacenan y administran datos del usuario, como Cloud Storage, Cloud Spanner y Cloud SQL y esto no aplica a Compute Engine. Hay una excepción a esta regla: instance.getSerialPortOutput genera un registro DATA_READ porque el método lee los datos de forma directa de la instancia de VM.

En la siguiente tabla, se resumen las operaciones de Compute Engine que están incluidas en cada tipo de registro:

Tipo de entrada de registro Subtipo Operaciones
Actividad del administrador No aplica
  • Crear recursos
  • Actualizar o aplicar parches a recursos
  • Establecer o cambiar metadatos
  • Establecer o cambiar rótulos identificadores
  • Establecer o cambiar etiquetas
  • Establecer o cambiar permisos
  • Establecer o cambiar las propiedades de un recurso (incluidos los verbos personalizados)
Evento del sistema No aplica
  • Mantenimiento en el host
  • Interrupción de la instancia
  • Reinicio automático
  • Restablecimiento de la instancia
  • Conexión o desconexión del puerto en serie
Acceso a los datos ADMIN_READ
  • Obtener información sobre un recurso
  • Hacer una lista de recursos
  • Hacer una lista de recursos dentro del alcance (solicitudes de enumeración agregada)
DATA_READ Obtener el contenido de la consola del puerto en serie

Los registros de Compute Engine usan un objeto AuditLog y siguen el mismo formato que otros registros de auditoría de Cloud. Este es el tipo de información que contienen los registros:

  • El usuario que realizó la solicitud, incluida su dirección de correo electrónico
  • El nombre de recurso en el cual se realizó la solicitud
  • El resultado de la solicitud

Configuración de registros

La actividad del administrador y los registros de eventos del sistema se guardan de forma predeterminada. Estos registros no son parte de la cuota de transferencia de registros.

Los registros de acceso a datos no se guardan de manera predeterminada. Estos registros forman parte de la cuota de transferencia de registros. Si quieres obtener información sobre cómo habilitar los registros para las operaciones de acceso a datos, consulta Configura registros de acceso a los datos.

Acceso a registros

Los siguientes usuarios pueden ver la actividad del administrador y los registros de eventos del sistema:

Los siguientes usuarios pueden ver los registros de acceso a los datos:

  • Propietarios del proyecto
  • Usuarios con la función de IAM de visor de registros privados.
  • Usuarios con el permiso de IAM logging.privateLogEntries.list

Consulta esta página sobre cómo agregar miembros de IAM a un proyecto a fin de obtener instrucciones para otorgar acceso.

Visualizar registros

Puedes ver un resumen de los registros de auditoría de tu proyecto en el flujo de actividad de Google Cloud Console. Hay una versión más detallada de ellos en el visor de registros.

Para obtener instrucciones sobre cómo filtrar registros en el visor de registros, consulta la guía de Cloud Logging.

Ocultamiento de datos en los registros de auditoría

Los registros de auditoría registran los datos de solicitud y respuesta de las acciones de la API que se realizaron. Sin embargo, en las siguientes ocasiones, la información de solicitud o respuesta no está disponible o está oculta:

  • Para las solicitudes instance.setMetadata y project.setCommonInstanceMetadata a la API, la parte de los metadatos del cuerpo de la solicitud se oculta a fin de evitar el registro de información sensible enviada en los metadatos.
  • Los campos sensibles se ocultan en las solicitudes, como las claves privadas para los certificados SSL y las claves de encriptación proporcionadas por el cliente para los discos.
  • Para obtener y enumerar respuestas, el cuerpo de la respuesta se oculta a fin de evitar el registro de información privada.

¿Qué sigue?