Puedes supervisar los intentos de conexión a instancias de máquina virtual (VM) que tienen Acceso al SO y autenticación de dos factores (2FA) de Acceso al SO habilitados para ver los registros de auditoría del Acceso al SO. Estos registros de auditoría siempre están habilitados y no se pueden inhabilitar mediante las configuraciones de acceso a los datos.
También puedes realizar un seguimiento de los eventos y las actividades relacionados con el Acceso al SO, como agregar, borrar o actualizar una clave SSH, o borrar información POSIX con el SDK de Admin de Google Workspace.
Antes de comenzar
-
Configura la autenticación si aún no lo hiciste.
La autenticación es el proceso mediante el cual se verifica tu identidad para acceder a los servicios y las API de Google Cloud.
Para ejecutar un código o muestras desde un entorno de desarrollo local, puedes autenticarte en Compute Engine de la siguiente manera.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init - Set a default region and zone.
En la consola de Google Cloud, ve a la página Explorador de registros.
En el campo Consulta, ingresa la siguiente consulta:
protoPayload.serviceName="oslogin.googleapis.com"
Si el evento que buscas ocurrió hace más de una hora, establece un período personalizado haciendo clic en el símbolo del reloj y, luego, ingresa un rango personalizado.
Haga clic en Run query. Los resultados se muestran en la sección Resultados de la búsqueda.
Haz clic en la flecha desplegable junto a cada resultado para mostrar información detallada.
Para obtener información sobre los tipos de registros de auditoría del Acceso al SO y lo que significan, continúa con la sección Revisa los registros de auditoría de Acceso al SO de este documento.
Visualiza los Registros de auditoría de Cloud con el comando
gcloud logging read:gcloud logging read --freshness=TIME 'protoPayload.serviceName="oslogin.googleapis.com"'
Reemplaza
TIMEpor la cantidad de tiempo que deseas consultar. Por ejemplo,1hconsulta las entradas de registro en la última hora. Para obtener más información sobre los formatos de fecha y hora, consulta gcloud topic datetimes.Se muestran los resultados.
Para obtener información sobre los tipos de registros de auditoría del Acceso al SO y lo que significan, continúa con la sección Revisa los registros de auditoría de Acceso al SO de este documento.
Expande la sección
protoPayloada fin de ver el campomethodNamepara el intento de conexión. Para obtener información sobre el significado de cada campomethodName, consulta la siguiente tabla:Método Tipo de conexión Descripción google.cloud.oslogin.v1.OsLoginService.CheckPolicyTodas las conexiones de Acceso al SO Indica un intento de conexión a una VM. En el caso de conexiones que no sean de 2FA, una respuesta correcta indica que el usuario se conectó a la VM. Para las conexiones de 2FA, una conexión correcta se indica mediante una llamada CheckPolicyexitosa y una llamadaContinueSessionexitosa.google.cloud.oslogin.OsLoginService.v1.StartSessionConexiones 2FA de Acceso al SO Indica una sesión de autenticación de 2FA nueva. En una llamada StartSession, un cliente declara sus capacidades al servidor y obtiene información sobre los desafíos disponibles.google.cloud.oslogin.OsLoginService.v1.ContinueSessionConexiones 2FA de Acceso al SO Indica una continuación de una sesión de autenticación. El cliente completa el desafío que propuso el servidor en la llamada o solicitudes
StartSessionanteriores y completa un tipo de verificación diferente. Luego, el métodoContinueSessionacepta la respuesta al desafío o método y autentica o rechaza el intento de autenticación.Expande la sección
authenticationInfopara ver el campoprincipalEmail. El campoprincipalEmailmuestra la dirección de correo electrónico del usuario que intentó conectarse a la VM.- Obtén más información sobre el lenguaje de consulta de Logging para personalizar las consultas de registro de auditoría de Acceso al SO.
- Obtén información sobre cómo funcionan las conexiones SSH a las VM de Linux en Compute Engine.
Ver los registros de auditoría de Acceso al SO
Para mostrar una lista de los intentos de conexión de Acceso al SO, consulta los registros de auditoría de Cloud.
Console
gcloud
Revisa los registros de auditoría de Acceso al SO
Revisa los campos
methodNameyprincipalEmailde los registros de auditoría para obtener información sobre los tipos de intentos de conexión a las VM que tienen habilitado Acceso al SO y los usuarios que iniciaron esos intentos de conexión.Propiedades del registro de auditoría de Acceso al SO
En las siguientes secciones, se describen las propiedades de los registros de auditoría. Algunas propiedades son comunes en todos los registros de auditoría y otras son específicas de los métodos
CheckPolicy,StartSessionyContinueSession.Propiedades comunes del registro de auditoría de Acceso al SO
Las propiedades que se enumeran en la siguiente tabla son comunes a todos los registros de auditoría de Acceso al SO.
Propiedad Valor serviceNameoslogin.googleapis.comresourceNameUna string que contiene el número de proyecto que indica a qué solicitud de acceso pertenece el registro de auditoría. Por ejemplo, projects/myproject12345.severityEl nivel de gravedad del mensaje de registro. Por ejemplo, INFOoWARNING. Para obtener más información sobre los niveles de gravedad, consulta LogSeverity.authenticationInfo.principalEmailLa dirección de correo electrónico del usuario que autentica el método. request.numericProjectIdEl número de proyecto del proyecto de Google Cloud. CheckPolicypropiedades de registro de auditoríaLas propiedades que se enumeran en la siguiente tabla se aplican a los registros de auditoría
CheckPolicy.Propiedad Valor methodNamegoogle.cloud.oslogin.v1.OsLoginService.CheckPolicyrequest.@typetype.googleapis.com/google.cloud.oslogin.v1.CheckPolicyRequestrequest.policyEl permiso que se verifica. LOGIN, que verifica si el usuario está autorizado para acceder a la VM, oADMIN_LOGIN, que verifica si el usuario está autorizado a tener acceso de administrador en la VM.response.successEl resultado de la verificación LOGINoADMIN_LOGINrequest.policy.trueofalse, según si el usuario está autorizado para la política especificada.StartSessionpropiedades de registro de auditoríaLas propiedades que se enumeran en la siguiente tabla se aplican a los registros de auditoría
StartSession, para las VM que tienen habilitada la 2FA de Acceso al SO.Propiedad Valor methodNamegoogle.cloud.oslogin.OsLoginService.v1.StartSessionrequest.@typetype.googleapis.com/google.cloud.oslogin.OsLoginService.v1.StartSessionRequestrequest.supportedChallengeTypesLa lista de tipos de desafío o métodos de 2FA entre los que puedes elegir. response.authenticationStatusEstado de la sesión. Una de Authenticated,Challenge requiredoChallenge pending.response.sessionIdUna string de ID que identifica la sesión de forma exclusiva. Este ID de sesión se pasa a la llamada ContinueSessionen la secuencia.response.challengesEl conjunto de verificaciones que puedes intentar para pasar en esta ronda de autenticación. Como máximo, se inicia una de estas verificaciones con un estado de READY. Las otras se dan como opciones que el usuario puede especificar como alternativa a la verificación principal propuesta.ContinueSessionpropiedades de registro de auditoríaLas propiedades que se enumeran en la siguiente tabla se aplican a los registros de auditoría
ContinueSession, para las VM que tienen habilitada la 2FA de Acceso al SO.Propiedad Valor methodNamegoogle.cloud.oslogin.OsLoginService.v1.ContinueSessionrequest.sessionIdUna string de ID que identifica de forma exclusiva la sesión anterior. Este ID de sesión se pasa desde la llamada StartSession.request.@typetype.googleapis.com/google.cloud.oslogin.OsLoginService.v1.ContinueSessionRequestrequest.challengeIdUna string de ID que identifica qué desafío iniciar o ejecutar. Este ID debe pertenecer a un tipo de verificación que muestra la llamada response.challengesen la respuestaStartSession.request.actionLa acción que se debe realizar para completar el desafío. response.authenticationStatusEstado de la sesión. Por ejemplo, Authenticated,Challenge requiredoChallenge pending.response.challenges.statusSUCCESSindica que un usuario se conectó correctamente a la VM.response.challengesEl conjunto de verificaciones que puedes intentar para pasar en esta ronda de autenticación. Como máximo, se inicia una de estas verificaciones con un estado de READY. Las otras se dan como opciones que el usuario puede especificar como alternativa a la verificación principal propuesta.Próximos pasos
Salvo que se indique lo contrario, el contenido de esta página está sujeto a la licencia Atribución 4.0 de Creative Commons, y los ejemplos de código están sujetos a la licencia Apache 2.0. Para obtener más información, consulta las políticas del sitio de Google Developers. Java es una marca registrada de Oracle o sus afiliados.
Última actualización: 2024-09-03 (UTC)
-