É possível monitorar as tentativas de conexão em instâncias de máquina virtual (VM) que tenham a autenticação de dois fatores (2FA) do Login do SO e do SO ativada com os registros de auditoria de Login do SO. Esses registros de auditoria estão sempre ativados e não podem ser desativados por configurações de acesso a dados.
Também é possível rastrear eventos e atividades relacionados ao login do SO, como adicionar, excluir ou atualizar uma chave SSH ou excluir informações POSIX, com o SDK Admin do Google Workspace.
Antes de começar
-
Configure a autenticação, caso ainda não tenha feito isso.
A autenticação é
o processo de verificação da sua identidade para acesso a serviços e APIs do Google Cloud.
Para executar códigos ou amostras de um ambiente de desenvolvimento local, autentique-se no
Compute Engine da seguinte maneira.
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
- Set a default region and zone.
No console do Google Cloud, acesse a página do Explorador de registros.
No campo Consulta, digite a seguinte consulta:
protoPayload.serviceName="oslogin.googleapis.com"
Se o evento que você está procurando aconteceu há mais de uma hora, defina um período personalizado clicando no símbolo do relógio e inserindo um intervalo personalizado.
Clique em Run query. Os resultados são exibidos na seção Resultados da consulta.
Clique na seta de expansão
ao lado de cada resultado para mostrar informações detalhadas.Para saber mais sobre os tipos de registros de auditoria do Login do SO e o que eles significam, consulte a seção Revisar os registros de auditoria do Login do SO neste documento.
Visualize os registros de auditoria do Cloud usando o comando
gcloud logging read
:gcloud logging read --freshness=TIME 'protoPayload.serviceName="oslogin.googleapis.com"'
Substitua
TIME
pela quantidade de tempo que você quer consultar. Por exemplo,1h
consulta entradas de registro na última hora. Para informações sobre formatos de data e hora, consulte Data e hora no gcloud.Os resultados serão exibidos.
Para saber mais sobre os tipos de registros de auditoria do Login do SO e o que eles significam, consulte a seção Revisar os registros de auditoria do Login do SO neste documento.
Expanda a seção
protoPayload
para visualizar o campomethodName
da tentativa de conexão. Para saber o que cada campomethodName
significa, consulte a seguinte tabela:Método Tipo de conexão Descrição google.cloud.oslogin.v1.OsLoginService.CheckPolicy
Todas as conexões de Login do SO Indica uma tentativa de conexão com uma VM. Para conexões não 2FA, uma resposta bem-sucedida indica que o usuário se conectou à VM. Para conexões de autenticação de dois fatores, uma conexão bem-sucedida é indicada por uma chamada CheckPolicy
bem-sucedida e uma chamadaContinueSession
bem-sucedida.google.cloud.oslogin.OsLoginService.v1.StartSession
Conexões de autenticação de dois fatores do Login do SO Indica uma nova sessão de autenticação de autenticação de dois fatores. Em uma chamada StartSession
, um cliente declara seus recursos para o servidor e recebe informações sobre os desafios disponíveis.google.cloud.oslogin.OsLoginService.v1.ContinueSession
Conexões de autenticação de dois fatores do Login do SO Indica uma continuação de uma sessão de autenticação. O cliente conclui o desafio proposto pelo servidor na chamada
StartSession
anterior ou solicitações e conclui um tipo de desafio diferente. Em seguida, o métodoContinueSession
aceita a resposta ao desafio ou ao método e autentica ou rejeita a tentativa de autenticação.Expanda a seção
authenticationInfo
para visualizar o campoprincipalEmail
. O campoprincipalEmail
mostra o endereço de e-mail do usuário que tentou se conectar à VM.- Saiba mais sobre a linguagem de consulta do Logging para personalizar as consultas do registro de auditoria do Login do SO.
- Saiba como as conexões SSH com VMs do Linux funcionam no Compute Engine.
Ver registros de auditoria de login do SO
Para exibir uma lista de tentativas de conexão do Login do SO, consulte os registros de auditoria do Cloud.
Console
gcloud
Analisar os registros de auditoria do Login do SO
Revise os campos
methodName
eprincipalEmail
dos registros de auditoria para saber sobre os tipos de tentativas de conexão com as VMs que têm o Login do SO ativado e os usuários que iniciaram essas tentativas de conexão.Propriedades do registro de auditoria de Login do SO
Veja nas seções a seguir as propriedades dos registros de auditoria. Algumas propriedades são comuns em todos os registros de auditoria, enquanto outras são específicas aos métodos
CheckPolicy
,StartSession
eContinueSession
.Propriedades comuns do registro de auditoria de Login do SO
As propriedades listadas na tabela a seguir são comuns em todos os registros de auditoria do Login do SO.
Propriedade Valor serviceName
oslogin.googleapis.com
resourceName
Uma string com o número do projeto que indica a que solicitação de login o registro de auditoria pertence. Exemplo: projects/myproject12345
severity
O nível de gravidade da mensagem do registro. Por exemplo, INFO
ouWARNING
. Para saber mais sobre os níveis de gravidade, consulte LogSeverity.authenticationInfo.principalEmail
O endereço de e-mail do usuário que o método está autenticando. request.numericProjectId
O número do projeto do Google Cloud. Propriedades do registro de auditoria
CheckPolicy
As propriedades listadas na tabela a seguir se aplicam aos registros de auditoria
CheckPolicy
.Propriedade Valor methodName
google.cloud.oslogin.v1.OsLoginService.CheckPolicy
request.@type
type.googleapis.com/google.cloud.oslogin.v1.CheckPolicyRequest
request.policy
A permissão está sendo verificada. LOGIN
, que verifica se o usuário está autorizado a fazer login na VM, ouADMIN_LOGIN
, que verifica se o usuário está autorizado a ter acesso administrativo na VM.response.success
O resultado da verificação LOGIN
ouADMIN_LOGIN
request.policy
.true
oufalse
, dependendo se o usuário está autorizado para a política especificada.Propriedades do registro de auditoria
StartSession
As propriedades listadas na tabela a seguir se aplicam aos registros de auditoria
StartSession
para VMs com a 2FA do Login do SO ativada.Propriedade Valor methodName
google.cloud.oslogin.OsLoginService.v1.StartSession
request.@type
type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.StartSessionRequest
request.supportedChallengeTypes
A lista de tipos de desafio ou métodos de 2FA que podem ser escolhidos. response.authenticationStatus
Status da sessão. Um de Authenticated
,Challenge required
ouChallenge pending
.response.sessionId
Uma string com o ID exclusivo da sessão. Esse código é transmitido para a chamada ContinueSession
na sequência.response.challenges
O conjunto de desafios que é possível tentar transmitir nesta rodada de autenticação. No máximo, um desses desafios é iniciado e tem o status READY
. Os outros são fornecidos como opções que o usuário pode especificar como uma alternativa ao desafio principal proposto.Propriedades do registro de auditoria
ContinueSession
As propriedades listadas na tabela a seguir se aplicam aos registros de auditoria
ContinueSession
para VMs com a 2FA do Login do SO ativada.Propriedade Valor methodName
google.cloud.oslogin.OsLoginService.v1.ContinueSession
request.sessionId
Uma string com o ID exclusivo da sessão anterior. Esse ID de sessão isé transmitido a partir da chamada StartSession
.request.@type
type.googleapis.com/google.cloud.oslogin.OsLoginService.v1.ContinueSessionRequest
request.challengeId
Uma string com o ID do desafio que será iniciado ou executado. Esse ID precisa pertencer a um tipo de desafio retornado pela chamada response.challenges
na respostaStartSession
.request.action
A ação a ser tomada para concluir o desafio. response.authenticationStatus
Status da sessão. Por exemplo, Authenticated
Challenge required
ouChallenge pending
.response.challenges.status
SUCCESS
indica que um usuário se conectou com sucesso à VM.response.challenges
O conjunto de desafios que é possível tentar passar nesta rodada de autenticação. No máximo, um desses desafios é iniciado e tem o status READY
. Os outros são fornecidos como opções que o usuário pode especificar como uma alternativa ao desafio principal proposto.A seguir
Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.
Última atualização 2024-11-21 UTC.
-