Migra de registros de actividad a registros de auditoría

Si usas registros de actividad heredados, lee esta guía para comprender cómo encontrar tus entradas de registro usando registro de auditoría en su lugar.

Los registros de actividad heredada quedarán obsoletos en una versión futura. Algunas entradas del registro de actividad se suspenderán el 1 de marzo de 2020.

Los registros de auditoría contienen la misma información que está disponible a través de los registros de actividad heredados y mucho más. Sin embargo, los registros de auditoría presentan la información de manera diferente en comparación con los registros de actividad.

Si quieres usar registros de auditoría en lugar de registros de actividad, debes ajustar tus consultas para que filtren de acuerdo con:

Distingue entre las entradas del registro de actividad y las entradas del registro de auditoría

Cada uno de los registros de auditoría y los registros de actividad heredados contienen objetos de entrada de registro. Pero sus contenidos son diferentes. Cuando emites consultas para ver entradas de registro, ten en cuenta estas diferencias mientras migras los registros de actividad a los registros de auditoría.

Puede distinguir los registros de auditoría de los registros de actividad heredados con la examinación del contenido de sus entradas de registro: tienen diferentes nombres de registro y diferentes cargas útiles.

Ejemplo de entrada de registro
Registro de actividad heredada

{
  insertId:  "1x3bbhjg2wwvz1x"
  jsonPayload: {…}
  labels: {…}
  logName:  "projects/[PROJECT_ID]/logs/compute.googleapis.com%2Factivity_log"
  receiveTimestamp:  "2019-08-26T12:22:44.602794616Z"
  ...
}
Registro de auditoría

{
  insertId:  "-w6o499e22fwk"
  logName:  "projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
  protoPayload: {…}
  receiveTimestamp:  "2019-08-26T12:22:46.881198276Z"
  ...
}

Lee la sección sobre cómo asignar campos de entrada de registros para aprender a asignar campos de registro de actividad heredados a campos de registro de auditoría.

Asigna los campos de entrada de registro de los registros de actividad a los registros de auditoría

Los registros de auditoría contienen la misma información que los registros de actividad. Pero los nombres de los campos de entrada de registro pueden ser diferentes. Los valores también pueden ser diferentes.

Nombres de campos

Usa la siguiente tabla para asignar nombres de campo de registro de actividad heredados a nombres de campo de registro de auditoría. Por ejemplo, si tu consulta de registro de actividad heredada contenía un filtro basado en jsonPayload.resource.type, tu nueva consulta de registro de auditoría debería filtrarse en resource.type en su lugar.

Nombre del campo de registro de actividad heredado Nombre del campo del registro de auditoría
insertId insertId
jsonPayload.actor.user protoPayload.authenticationInfo.principalEmail
jsonPayload.event_subtype protoPayload.methodName
jsonPayload.event_timestamp_us resource.timestamp
jsonPayload.request protoPayload.request
jsonPayload.operation operation
jsonPayload.resource.id resource.lablels.instance_id
jsonPayload.resource.name protoPayload.resourceName
jsonPayload.resource.type resource.type
jsonPayload.resource.zone resource.labels.zone
jsonPayload.trace_id operation.id
jsonPayload.user_agent protoPayload.requestMetadata.callerSuppliedUserAgent
labels.compute.googleapis.com/resource_id resource.labels.[RESOURCE_TYPE]_id
labels.compute.googleapis.com/resource_name protoPayload.resourceName
labels.compute.googleapis.com/resource_type resource.type
labels.compute.googleapis.com/resource_zone Uno de:
  • resource.labels.zone
  • resource.labels.region
  • resource.labels.location
logName logName
receiveTimestamp receiveTimestamp
resource.labels resource.labels
severity severity
timestamp timestamp

Valores de campo

En comparación con los registros de actividad, los registros de auditoría tienen diferentes nombres de registro y diferentes cargas útiles, y proporcionan diferentes versiones de nombres de métodos.

Nombres de registro

Un registro de auditoría tiene un logName que incluye cloudaudit.googleapis.com.

Nombre del registroContenidos del registro
Registro de actividad heredadaprojects/[PROJECT_ID]/logs/compute.googleapis.com%2Factivity_logActividad del administrador y eventos del sistema
Registro de auditoríaprojects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2FactivityActividad del administrador
projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_eventEventos del sistema
projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_accessAcceso a los datos

Cargas útiles

Un registro de auditoría tiene un protoPayload en lugar de un jsonPayload.

Tipo de carga útilEjemplo de carga útil
Registro de actividad heredadajsonPayload

    jsonPayload: {
      actor: {…}
      event_subtype:  "compute.instances.start"
      event_timestamp_us:  "1566404493487248"
      event_type:  "GCE_API_CALL"
      ip_address:  ""
      operation: {…}
      request: {…}
      resource: {…}
      trace_id:  "operation-1566404491560-590a2f74b4705-a1ae0686-d896d772"
      user_agent:  "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36"
      version:  "1.2"
    }
Registro de auditoríaprotoPayload

    protoPayload: {
      @type:  "type.googleapis.com/google.cloud.audit.AuditLog"
      authenticationInfo: {…}
      methodName:  "v1.compute.instances.start"
      request: {…}
      requestMetadata: {…}
      resourceName:  "projects/[PROJECT_ID]/zones/us-central1-a/instances/alert"
      serviceName:  "compute.googleapis.com"
    }

Para saber cómo se relacionan estas cargas útiles entre sí y cómo asignar los campos de registro de actividad heredados a los campos de registro de auditoría, lee la sección sobre cómo asignar campos de entrada de registro.

Nombres de métodos

En los registros de auditoría, los nombres de los métodos API (en el campo protoPayload.methodName) tienen el prefijo de su versión, como: v1.compute.instances.delete.

CampoValorEjemplo de consulta
Registro de actividad heredadajsonPayload.event_subtype[RESOURCE].[METHOD]jsonPayload.event_subtype=compute.instances.delete
Registro de auditoríaprotoPayload.methodName[API_VERSION].[RESOURCE].[METHOD]protoPayload.methodName=v1.compute.instances.delete
o
protoPayload.methodName=beta.compute.instances.delete
o
protoPayload.methodName:compute.instances.delete

Si usas nombres de métodos de API no versionados en tus consultas de registro de actividad heredada, puedes seguir usándolos, pero asegúrate de usar un operador “tiene” (:) en tu consulta, en lugar de un operador “igual” (=). Por ejemplo, protoPayload.methodName:compute.instances.delete, muestra todas las instancias borradas de llamada a la API, sin importar la versión. Para obtener más información sobre los operadores, consulta comparaciones.

Ejemplos de consultas

Esta sección contiene algunas consultas de muestra para ayudarte a usar el registro de auditoría en lugar de los registros de actividad. Consulta Visualiza los registros para obtener más información sobre consultas básicas y avanzadas.

Consulta las entradas del registro de actividad reciente del administrador

Ejemplo de consulta
Registro de actividad heredadalogName="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Factivity_log"
Registro de auditoríalogName="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"

Consulta las entradas de registro de creación de instancias recientes

Ejemplo de consulta
Registro de actividad heredadalogName="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Factivity_log"
jsonPayload.event_subtype=compute.instances.insert
Registro de auditoríalogName="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload.methodName:compute.instances.insert

Qué sigue

¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…

Documentación de Compute Engine