Como ver registros de auditoria

Nesta página, há informações complementares sobre o uso de registros de auditoria do Cloud com o Compute Engine. Use os registros de auditoria do Cloud para gerar registros das operações da API realizadas no Compute Engine.

Os registros de auditoria não são iguais aos registros de atividades. Os registros de auditoria ajudam você a determinar quem fez o quê, onde e quando. Especificamente, os registros de auditoria controlam como seus recursos do Compute Engine são modificados e acessados nos seus projetos do Google Cloud Platform para fins de auditoria. Os registros de atividades legadas têm um subconjunto de informações assim e serão removidos. Caso você esteja usando registros, consulte Como migrar de registros de atividades para registros de auditoria.

Informação registrada

Há três tipos de registros de auditoria do Cloud:

  • Registros de atividade do administrador: contêm entradas de registros de operações que modificam a configuração ou os metadados de um recurso do Compute Engine. Esta categoria abrange qualquer chamada de API que modifique um recurso, como criação, exclusão, atualização ou modificação de um recurso usando um verbo personalizado.

  • Registros de eventos do sistema: contém entradas de registro de operações de manutenção do sistema nos recursos do Compute Engine.

  • Registros de acesso a dados: contêm entradas de registros de operações somente leitura que não modificam dados, como métodos get, list e list agregado. Ao contrário dos registros de auditoria de outros serviços, o Compute Engine tem apenas registros de acesso a dados ADMIN_READ e geralmente não oferece registros DATA_READ nem DATA_WRITE. Isso acontece porque os registros DATA_READ e DATA_WRITE são usados apenas para serviços que armazenam e gerenciam dados do usuário, como Cloud Storage, Cloud Spanner e Cloud SQL, e isso não se aplica ao Compute Engine. Há uma exceção a essa regra: o instance.getSerialPortOutput gera um registro DATA_READ porque o método lê dados diretamente da instância de VM.

A tabela a seguir resume as operações do Compute Engine que se enquadram em cada tipo de registro:

Tipo de entrada de registro Subtipo Operações
Atividade do administrador N/D
  • Como criar recursos
  • atualização/correção de recursos
  • definição/alteração de metadados
  • definição/alteração de tags
  • definição/alteração de etiquetas
  • definição/alteração de permissões
  • definição/alteração de quaisquer propriedades de um recurso (incluindo verbos personalizados)
Evento do sistema N/D
  • na manutenção do host
  • preempção de instância
  • reinicialização automática
  • redefinição da instância
  • conexão/desconexão de porta serial
Acesso a dados ADMIN_READ
  • Como receber informações sobre um recurso
  • listagem de recursos
  • listagem de recursos em todo o escopo (solicitações de lista agregada)
DATA_READ Acessar o conteúdo do console da porta serial

Os registros do Cloud Engine usam um objeto AuditLog e seguem o mesmo formato de outros registros de auditoria do Cloud. Os registros contêm informações como:

  • o usuário que fez a solicitação, incluindo endereço de e-mail dele;
  • o nome do recurso em que a solicitação foi feita;
  • o resultado da solicitação.

Configurações de registro

Os registros de atividades do administrador e eventos do sistema são gravados por padrão. Eles não são contabilizados na sua cota de processamento de registros.

Por padrão, os registros de acesso não são gravados. Esses registros afetam sua cota de processamento de registros. Para saber como ativar os registros para operações do tipo acesso a dados, consulte Como configurar registros de acesso a dados.

Acesso ao registro

Os usuários a seguir podem visualizar os registros de atividades do administrador e eventos do sistema:

Os usuários a seguir podem ver registros de acesso a dados:

Consulte Como adicionar membros do IAM a um projeto para instruções sobre como conceder acesso.

Como visualizar registros

Há um resumo dos registros de auditoria do projeto no Stream de atividades (em inglês) no Console do Google Cloud Platform. Uma versão mais detalhada dos registros pode ser encontrada no visualizador de registros (em inglês).

Para mais instruções sobre como filtrar os registros no visualizador, consulte o guia do Stackdriver Logging.

Edição de dados nos registros de auditoria

Os registros de auditoria registram os dados de solicitações e respostas das ações da API que foram realizadas. No entanto, nas circunstâncias a seguir, as informações de solicitações ou respostas estão indisponíveis ou editadas:

  • Para solicitações instance.setMetadata e project.setCommonInstanceMetadata de API, a seção de metadados do corpo de resposta é editado para evitar o registro de informações confidenciais enviadas nos metadados.
  • Campos confidenciais são editados nas solicitações, como chaves privadas para certificados SSL e chaves de criptografia fornecidas pelo cliente para discos.
  • Para respostas get e list, o corpo de resposta é editado para evitar o registro de informações privadas.

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Compute Engine