Puedes supervisar los intentos de conexión a instancias de máquina virtual (VM) que tienen Acceso al SO y autenticación de dos factores (2FA) de Acceso al SO habilitados para ver los registros de auditoría del Acceso al SO. Estos registros de auditoría siempre están habilitados y no se pueden inhabilitar mediante las configuraciones de acceso a los datos.
También puedes realizar un seguimiento de los eventos y las actividades relacionados con el Acceso al SO, como agregar, borrar o actualizar una clave SSH, o borrar información POSIX con el SDK de Admin de Google Workspace.
Antes de comenzar
-
Configura la autenticación si aún no lo hiciste.
La autenticación es el proceso mediante el cual se verifica tu identidad para acceder a los servicios y las API de Google Cloud.
Para ejecutar un código o muestras desde un entorno de desarrollo local, puedes autenticarte en Compute Engine de la siguiente manera.
Selecciona la pestaña para saber cómo planeas usar las muestras en esta página:
Consola
Cuando usas la consola de Google Cloud para acceder a los servicios y las APIs de Google Cloud, no necesitas configurar la autenticación.
gcloud
-
Instala Google Cloud CLI y, luego, inicializa la ejecución del siguiente comando:
gcloud init
- Configura una región y una zona predeterminadas.
-
Ver los registros de auditoría de Acceso al SO
Para mostrar una lista de los intentos de conexión de Acceso al SO, consulta los registros de auditoría de Cloud.
Consola
En la consola de Google Cloud, ve a la página Explorador de registros.
En el campo Consulta, ingresa la siguiente consulta:
protoPayload.serviceName="oslogin.googleapis.com"
Si el evento que buscas ocurrió hace más de una hora, establece un período personalizado haciendo clic en el símbolo del reloj y, luego, ingresa un rango personalizado.
Haga clic en Run query. Los resultados se muestran en la sección Resultados de la búsqueda.
Haz clic en la flecha desplegable junto a cada resultado para mostrar información detallada.
Para obtener información sobre los tipos de registros de auditoría del Acceso al SO y lo que significan, continúa con la sección Revisa los registros de auditoría de Acceso al SO de este documento.
gcloud
Visualiza los Registros de auditoría de Cloud con el comando
gcloud logging read:gcloud logging read --freshness=TIME 'protoPayload.serviceName="oslogin.googleapis.com"'
Reemplaza
TIMEpor la cantidad de tiempo que deseas consultar. Por ejemplo,1hconsulta las entradas de registro en la última hora. Para obtener más información sobre los formatos de fecha y hora, consulta gcloud topic datetimes.Se muestran los resultados.
Para obtener información sobre los tipos de registros de auditoría del Acceso al SO y lo que significan, continúa con la sección Revisa los registros de auditoría de Acceso al SO de este documento.
Revisa los registros de auditoría de Acceso al SO
Revisa los campos methodName y principalEmail de los registros de auditoría para obtener información sobre los tipos de intentos de conexión a las VM que tienen habilitado Acceso al SO y los usuarios que iniciaron esos intentos de conexión.
Expande la sección
protoPayloada fin de ver el campomethodNamepara el intento de conexión. Para obtener información sobre el significado de cada campomethodName, consulta la siguiente tabla:Método Tipo de conexión Descripción google.cloud.oslogin.v1.OsLoginService.CheckPolicyTodas las conexiones de Acceso al SO Indica un intento de conexión a una VM. En el caso de conexiones que no sean de 2FA, una respuesta correcta indica que el usuario se conectó a la VM. Para las conexiones de 2FA, una conexión correcta se indica mediante una llamada CheckPolicyexitosa y una llamadaContinueSessionexitosa.google.cloud.oslogin.OsLoginService.v1.StartSessionConexiones 2FA de Acceso al SO Indica una sesión de autenticación de 2FA nueva. En una llamada StartSession, un cliente declara sus capacidades al servidor y obtiene información sobre los desafíos disponibles.google.cloud.oslogin.OsLoginService.v1.ContinueSessionConexiones 2FA de Acceso al SO Indica una continuación de una sesión de autenticación. El cliente completa el desafío que propuso el servidor en la llamada o solicitudes
StartSessionanteriores y completa un tipo de verificación diferente. Luego, el métodoContinueSessionacepta la respuesta al desafío o método y autentica o rechaza el intento de autenticación.Expande la sección
authenticationInfopara ver el campoprincipalEmail. El campoprincipalEmailmuestra la dirección de correo electrónico del usuario que intentó conectarse a la VM.
Propiedades del registro de auditoría de Acceso al SO
En las siguientes secciones, se describen las propiedades de los registros de auditoría. Algunas propiedades son comunes en todos los registros de auditoría y otras son específicas de los métodos CheckPolicy, StartSession y ContinueSession.
Propiedades comunes del registro de auditoría de Acceso al SO
Las propiedades que se enumeran en la siguiente tabla son comunes a todos los registros de auditoría de Acceso al SO.
| Propiedad | Valor |
|---|---|
serviceName |
oslogin.googleapis.com |
resourceName |
Una string que contiene el número de proyecto que indica a qué solicitud de acceso pertenece el registro de auditoría. Por ejemplo, projects/myproject12345. |
severity |
El nivel de gravedad del mensaje de registro. Por ejemplo, INFO o WARNING. Para obtener más información sobre los niveles de gravedad, consulta LogSeverity. |
authenticationInfo.principalEmail |
La dirección de correo electrónico del usuario que autentica el método. |
request.numericProjectId |
El número de proyecto del proyecto de Google Cloud. |
CheckPolicy propiedades de registro de auditoría
Las propiedades que se enumeran en la siguiente tabla se aplican a los registros de auditoría CheckPolicy.
| Propiedad | Valor |
|---|---|
methodName |
google.cloud.oslogin.v1.OsLoginService.CheckPolicy |
request.@type |
type.googleapis.com/google.cloud.oslogin.v1.CheckPolicyRequest |
request.policy |
El permiso que se verifica. LOGIN, que verifica si el usuario está autorizado para acceder a la VM, o ADMIN_LOGIN, que verifica si el usuario está autorizado a tener acceso de administrador en la VM. |
response.success |
El resultado de la verificación LOGIN o ADMIN_LOGIN
request.policy. true o false, según si el usuario está autorizado para la política especificada. |
StartSession propiedades de registro de auditoría
Las propiedades que se enumeran en la siguiente tabla se aplican a los registros de auditoría StartSession, para las VM que tienen habilitada la 2FA de Acceso al SO.
| Propiedad | Valor |
|---|---|
methodName |
google.cloud.oslogin.OsLoginService.v1.StartSession |
request.@type |
type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.StartSessionRequest |
request.supportedChallengeTypes |
La lista de tipos de desafío o métodos de 2FA entre los que puedes elegir. |
response.authenticationStatus |
Estado de la sesión. Una de Authenticated, Challenge required o Challenge pending. |
response.sessionId |
Una string de ID que identifica la sesión de forma exclusiva. Este ID de sesión se pasa a la llamada ContinueSession en la secuencia. |
response.challenges |
El conjunto de verificaciones que puedes intentar para pasar en esta ronda de autenticación. Como máximo, se inicia una de estas verificaciones con un estado de READY. Las otras se dan como opciones que el usuario puede especificar como alternativa a la verificación principal propuesta. |
ContinueSession propiedades de registro de auditoría
Las propiedades que se enumeran en la siguiente tabla se aplican a los registros de auditoría ContinueSession, para las VM que tienen habilitada la 2FA de Acceso al SO.
| Propiedad | Valor |
|---|---|
methodName |
google.cloud.oslogin.OsLoginService.v1.ContinueSession |
request.sessionId |
Una string de ID que identifica de forma exclusiva la sesión anterior. Este ID de sesión se pasa desde la llamada StartSession. |
request.@type |
type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.ContinueSessionRequest |
request.challengeId |
Una string de ID que identifica qué desafío iniciar o ejecutar. Este ID debe pertenecer a un tipo de verificación que muestra la llamada response.challenges en la respuesta StartSession. |
request.action |
La acción que se debe realizar para completar el desafío. |
response.authenticationStatus |
Estado de la sesión. Por ejemplo, Authenticated, Challenge required o Challenge pending. |
response.challenges.status |
SUCCESS indica que un usuario se conectó correctamente a la VM. |
response.challenges |
El conjunto de verificaciones que puedes intentar para pasar en esta ronda de autenticación. Como máximo, se inicia una de estas verificaciones con un estado de READY. Las otras se dan como opciones que el usuario puede especificar como alternativa a la verificación principal propuesta. |
Próximos pasos
- Obtén más información sobre el lenguaje de consulta de Logging para personalizar las consultas de registro de auditoría de Acceso al SO.
- Obtén información sobre cómo funcionan las conexiones SSH a las VM de Linux en Compute Engine.