Puedes supervisar los intentos de conexión a instancias de máquina virtual (VM) que tienen Acceso al SO y autenticación de dos factores (2FA) de Acceso al SO habilitados para ver los registros de auditoría del Acceso al SO. Estos registros de auditoría siempre están habilitados y no se pueden inhabilitar mediante las configuraciones de acceso a los datos.
También puedes realizar un seguimiento de los eventos y las actividades relacionados con el Acceso al SO, como agregar, borrar o actualizar una clave SSH, o borrar información POSIX con el SDK de Admin de Google Workspace.
Antes de comenzar
-
Si aún no lo hiciste, configura la autenticación.
La autenticación es el proceso mediante el cual se verifica tu identidad para acceder a los servicios y las API de Google Cloud.
Para ejecutar código o muestras desde un entorno de desarrollo local, puedes autenticarte en Compute Engine seleccionando una de las siguientes opciones:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
En la consola de Google Cloud, ve a la página Explorador de registros.
En el campo Consulta, ingresa la siguiente consulta:
protoPayload.serviceName="oslogin.googleapis.com"
Si el evento que buscas ocurrió hace más de una hora, establece un período personalizado haciendo clic en el símbolo del reloj y, luego, ingresa un rango personalizado.
Haga clic en Run query. Los resultados se muestran en la sección Resultados de la búsqueda.
Haz clic en la flecha desplegable
junto a cada resultado para mostrar información detallada.Para obtener información sobre los tipos de registros de auditoría del Acceso al SO y lo que significan, continúa con la sección Revisa los registros de auditoría de Acceso al SO de este documento.
Visualiza los Registros de auditoría de Cloud con el comando
gcloud logging read
:gcloud logging read --freshness=TIME 'protoPayload.serviceName="oslogin.googleapis.com"'
Reemplaza
TIME
por la cantidad de tiempo que deseas consultar. Por ejemplo,1h
consulta las entradas de registro en la última hora. Para obtener más información sobre los formatos de fecha y hora, consulta gcloud topic datetimes.Se muestran los resultados.
Para obtener información sobre los tipos de registros de auditoría del Acceso al SO y lo que significan, continúa con la sección Revisa los registros de auditoría de Acceso al SO de este documento.
Expande la sección
protoPayload
a fin de ver el campomethodName
para el intento de conexión. Para obtener información sobre el significado de cada campomethodName
, consulta la siguiente tabla:Método Tipo de conexión Descripción google.cloud.oslogin.v1.OsLoginService.CheckPolicy
Todas las conexiones de Acceso al SO Indica un intento de conexión a una VM. En el caso de conexiones que no sean de 2FA, una respuesta correcta indica que el usuario se conectó a la VM. Para las conexiones de 2FA, una conexión correcta se indica mediante una llamada CheckPolicy
exitosa y una llamadaContinueSession
exitosa.google.cloud.oslogin.OsLoginService.v1.StartSession
Conexiones 2FA de Acceso al SO Indica una sesión de autenticación de 2FA nueva. En una llamada StartSession
, un cliente declara sus capacidades al servidor y obtiene información sobre los desafíos disponibles.google.cloud.oslogin.OsLoginService.v1.ContinueSession
Conexiones 2FA de Acceso al SO Indica una continuación de una sesión de autenticación. El cliente completa el desafío que propuso el servidor en la llamada o solicitudes
StartSession
anteriores y completa un tipo de verificación diferente. Luego, el métodoContinueSession
acepta la respuesta al desafío o método y autentica o rechaza el intento de autenticación.Expande la sección
authenticationInfo
para ver el campoprincipalEmail
. El campoprincipalEmail
muestra la dirección de correo electrónico del usuario que intentó conectarse a la VM.- Obtén más información sobre el lenguaje de consulta de Logging para personalizar las consultas de registro de auditoría de Acceso al SO.
- Obtén información sobre cómo funcionan las conexiones SSH a las VM de Linux en Compute Engine.
Ver los registros de auditoría de Acceso al SO
Para mostrar una lista de los intentos de conexión de Acceso al SO, consulta los registros de auditoría de Cloud.
Console
gcloud
Revisa los registros de auditoría de Acceso al SO
Revisa los campos
methodName
yprincipalEmail
de los registros de auditoría para obtener información sobre los tipos de intentos de conexión a las VM que tienen habilitado Acceso al SO y los usuarios que iniciaron esos intentos de conexión.Propiedades del registro de auditoría de Acceso al SO
En las siguientes secciones, se describen las propiedades de los registros de auditoría. Algunas propiedades son comunes en todos los registros de auditoría y otras son específicas de los métodos
CheckPolicy
,StartSession
yContinueSession
.Propiedades comunes del registro de auditoría de Acceso al SO
Las propiedades que se enumeran en la siguiente tabla son comunes a todos los registros de auditoría de Acceso al SO.
Propiedad Valor serviceName
oslogin.googleapis.com
resourceName
Una string que contiene el número de proyecto que indica a qué solicitud de acceso pertenece el registro de auditoría. Por ejemplo, projects/myproject12345
.severity
El nivel de gravedad del mensaje de registro. Por ejemplo, INFO
oWARNING
. Para obtener más información sobre los niveles de gravedad, consulta LogSeverity.authenticationInfo.principalEmail
La dirección de correo electrónico del usuario que autentica el método. request.numericProjectId
El número de proyecto del proyecto de Google Cloud. CheckPolicy
propiedades de registro de auditoríaLas propiedades que se enumeran en la siguiente tabla se aplican a los registros de auditoría
CheckPolicy
.Propiedad Valor methodName
google.cloud.oslogin.v1.OsLoginService.CheckPolicy
request.@type
type.googleapis.com/google.cloud.oslogin.v1.CheckPolicyRequest
request.policy
El permiso que se verifica. LOGIN
, que verifica si el usuario está autorizado para acceder a la VM, oADMIN_LOGIN
, que verifica si el usuario está autorizado a tener acceso de administrador en la VM.response.success
El resultado de la verificación LOGIN
oADMIN_LOGIN
request.policy
.true
ofalse
, según si el usuario está autorizado para la política especificada.StartSession
propiedades de registro de auditoríaLas propiedades que se enumeran en la siguiente tabla se aplican a los registros de auditoría
StartSession
, para las VM que tienen habilitada la 2FA de Acceso al SO.Propiedad Valor methodName
google.cloud.oslogin.OsLoginService.v1.StartSession
request.@type
type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.StartSessionRequest
request.supportedChallengeTypes
La lista de tipos de desafío o métodos de 2FA entre los que puedes elegir. response.authenticationStatus
Estado de la sesión. Una de Authenticated
,Challenge required
oChallenge pending
.response.sessionId
Una string de ID que identifica la sesión de forma exclusiva. Este ID de sesión se pasa a la llamada ContinueSession
en la secuencia.response.challenges
El conjunto de verificaciones que puedes intentar para pasar en esta ronda de autenticación. Como máximo, se inicia una de estas verificaciones con un estado de READY
. Las otras se dan como opciones que el usuario puede especificar como alternativa a la verificación principal propuesta.ContinueSession
propiedades de registro de auditoríaLas propiedades que se enumeran en la siguiente tabla se aplican a los registros de auditoría
ContinueSession
, para las VM que tienen habilitada la 2FA de Acceso al SO.Propiedad Valor methodName
google.cloud.oslogin.OsLoginService.v1.ContinueSession
request.sessionId
Una string de ID que identifica de forma exclusiva la sesión anterior. Este ID de sesión se pasa desde la llamada StartSession
.request.@type
type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.ContinueSessionRequest
request.challengeId
Una string de ID que identifica qué desafío iniciar o ejecutar. Este ID debe pertenecer a un tipo de verificación que muestra la llamada response.challenges
en la respuestaStartSession
.request.action
La acción que se debe realizar para completar el desafío. response.authenticationStatus
Estado de la sesión. Por ejemplo, Authenticated
,Challenge required
oChallenge pending
.response.challenges.status
SUCCESS
indica que un usuario se conectó correctamente a la VM.response.challenges
El conjunto de verificaciones que puedes intentar para pasar en esta ronda de autenticación. Como máximo, se inicia una de estas verificaciones con un estado de READY
. Las otras se dan como opciones que el usuario puede especificar como alternativa a la verificación principal propuesta.Próximos pasos
Salvo que se indique lo contrario, el contenido de esta página está sujeto a la licencia Atribución 4.0 de Creative Commons, y los ejemplos de código están sujetos a la licencia Apache 2.0. Para obtener más información, consulta las políticas del sitio de Google Developers. Java es una marca registrada de Oracle o sus afiliados.
Última actualización: 2024-12-22 (UTC)
-