Informações de registros de auditoria do Container Analysis

Nesta página, descrevemos os registros de auditoria criados pelo Container Analysis como parte do Cloud Audit Logging.

Visão geral

Os serviços do Google Cloud gravam registros de auditoria para que você possa determinar quem fez o quê, onde e quando. Cada projeto do Cloud contém apenas os registros de auditoria dos recursos que estão diretamente nele. Outras entidades, como pastas, organizações e contas de faturamento, têm os próprios registros de auditoria.

Para uma visão geral, acesse Registro de auditoria do Cloud. Para mais detalhes sobre o registro de auditoria do Cloud, consulte Noções básicas sobre registros de auditoria.

O registro de auditoria do Cloud mantêm três registros para cada projeto, pasta e organização do Google Cloud:

  • Registros de auditoria de atividade do administrador
  • Registros de auditoria de acesso a dados
  • Registros de auditoria de evento do sistema

O Container Analysis grava registros de auditoria de atividade do administrador, que registram operações que modificam a configuração ou os metadados de um recurso. Não é possível desativar esses registros de auditoria.

O Container Analysis só grava registros de auditoria do Data Access se estiver explicitamente ativado. Eles contêm as chamadas de API que leem a configuração ou os metadados dos recursos, além das chamadas de API orientadas pelo usuário que criam, modificam ou leem os dados dos recursos inseridos pelo usuário. Os registros de auditoria de acesso a dados não gravam as operações de acesso a dados nos recursos compartilhados publicamente (disponíveis para Todos os usuários ou Todos os usuários autenticados) ou que podem ser acessados sem fazer login no Google Cloud.

O Container Analysis não grava registros de auditoria de eventos do sistema.

Operações auditadas

A seguir, veja um resumo das operações da API que correspondem a cada tipo de registro de auditoria no Container Analysis:

Categoria do registro de auditoria Operações do Container Analysis
Registros de atividade do administrador SetIamPolicy
Registros de acesso a dados (ADMIN_READ) GetIamPolicy
Registros de acesso a dados (DATA_READ) GetNote
GetOccurrence
GetOccurrenceNote
GetVulnerabilityOccurrencesSummary
ListNotes
ListNoteOccurrences
ListOccurrences
Registros de acesso a dados (DATA_WRITE) BatchCreateNotes
BatchCreateOccurrences
CreateNote
CreateOccurrence
DeleteNote
DeleteOccurrence
UpdateNote
UpdateOccurrence

Formato do registro de auditoria

As entradas de registro de auditoria, que podem ser visualizadas no Cloud Logging com o visualizador de registros, a API do Cloud Logging ou a ferramenta de linha de comando gcloud, incluem os objetos a seguir:

  • A própria entrada de registro, que é um objeto do tipo LogEntry. Veja alguns campos úteis:

    • logName contém o tipo de registro de auditoria e de identificação do projeto.
    • resource contém o destino da operação auditada.
    • timeStamp contém o horário da operação auditada.
    • protoPayload contém as informações auditadas.
  • Os dados de registro de auditoria, que são um objeto AuditLog localizado no campo protoPayload da entrada de registro.

  • Informações opcionais de auditoria específicas de serviços, que são um objeto específico de serviços, localizado no campo serviceData do objeto AuditLog. Para detalhes, acesse Dados de auditoria específicos do serviço.

Para ver outros campos desses objetos e saber como interpretá-los, consulte as Noções básicas de registros de auditoria.

Nome do registro

Os nomes de recursos de registro de auditoria do Cloud indicam o projeto ou outra entidade que contém os registros de auditoria e mostram se o registro tem dados de registro de auditoria de atividades do administrador, de acesso a dados ou de eventos do sistema. Por exemplo, veja abaixo os nomes dos registros de auditoria de atividade do administrador de um projeto e de acesso a dados de uma organização.

    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
    

Nome do serviço

Os registros de auditoria do Container Analysis usam o nome de serviço containeranalysis.googleapis.com.

Para mais detalhes sobre como gerar registros de serviços, acesse Como mapear serviços a recursos.

Tipos de recurso

Os registros de auditoria do Container Analysis usam o tipo de recurso audited_resource para todos os registros de auditoria.

Para uma lista completa, acesse Monitored resource types (em inglês).

Como ativar o registro de auditoria

Os registros de auditoria de atividade do administrador estão sempre ativados. Não é possível desativá-los.

Por padrão, os registros de auditoria de acesso a dados estão desativados e não são gravados, a menos que essa opção seja especificamente ativada. Os registros de auditoria de acesso a dados do BigQuery são uma exceção e não podem ser desativados.

Para instruções sobre como ativar alguns ou todos os registros de auditoria de acesso a dados, leia Como configurar registros de acesso a dados.

Os registros de auditoria de acesso a dados que você configura podem afetar o preço de registros no Cloud Logging. Consulte a seção Preços nesta página.

Permissões de registro de auditoria

As permissões e os papéis do Cloud Identity and Access Management determinam quais registros de auditoria você tem permissão para visualizar ou exportar. Os registros estão incluídos nos projetos e em outras entidades como organizações, pastas e contas de faturamento. Para mais informações, consulte Como entender os papéis.

Para ver os registros de auditoria de atividade do administrador, você precisa ter um dos seguintes papéis do Cloud IAM no projeto que contém os registros de auditoria:

Para ver os registros de auditoria de acesso a dados, é preciso ter um dos seguintes papéis no projeto que contém os registros:

Se você estiver usando registros de auditoria de uma entidade sem projeto, como uma organização, passe a usar os papéis do Projeto adequados à organização.

Como visualizar registros

Para encontrar e visualizar registros de auditoria, é preciso saber o identificador do projeto, da pasta ou da organização do Google Cloud. É possível especificar outros campos LogEntry indexados, como resource.type. Para mais detalhes, acesse Como encontrar entradas de registro rapidamente.

Aqui estão os nomes dos registros de auditoria:

       projects/project-id/logs/cloudaudit.googleapis.com%2Factivity
       projects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access
       projects/project-id/logs/cloudaudit.googleapis.com%2Fsystem_event

       folders/folder-id/logs/cloudaudit.googleapis.com%2Factivity
       folders/folder-id/logs/cloudaudit.googleapis.com%2Fdata_access
       folders/folder-id/logs/cloudaudit.googleapis.com%2Fsystem_event

       organizations/organization-id/logs/cloudaudit.googleapis.com%2Factivity
       organizations/organization-id/logs/cloudaudit.googleapis.com%2Fdata_access
       organizations/organization-id/logs/cloudaudit.googleapis.com%2Fsystem_event
    

Os exemplos abaixo usam consultas para envolvidos no projeto. Se você quiser analisar os registros de auditoria no nível da organização ou da pasta, substitua o nome ou os identificadores apropriados do registro de auditoria de acordo com os nomes listados no registro.

Existem várias opções para visualizar as entradas de registro de auditoria:

Cloud Console

Use o visualizador de registros no Console do Cloud para recuperar as entradas de registro de auditoria para o projeto do Google Cloud. Faça o seguinte:

  1. Vá para a página Geração de registros do conjunto de operações do Google Cloud > Registros (Visualizador de registros) no Console do Cloud:

    Acessar a página "Visualizador de registros"

  2. Selecione um projeto que já exista no Google Cloud na parte superior da página ou crie um novo.

  3. No primeiro menu suspenso, selecione o tipo de recurso que tem os registros de auditoria que você quer ver.

  4. No segundo menu suspenso, selecione o tipo de registro que você quer ver: activity para registros de auditoria de atividade do administrador, data_access para registros de auditoria de acesso a dados e system_events para registros de eventos do sistema.

    Se você não vir nenhuma dessas opções, quer dizer que não há registros de auditoria desse tipo disponíveis no projeto.

Se você quiser limitar uma pesquisa atual apenas para registros de auditoria, faça o seguinte:

  1. Na caixa de filtro de pesquisa, clique na seta suspensa (& blacktriangledown;) e selecione Converter para filtro avançado.

  2. Na caixa de texto exibida, adicione a seguinte consulta abaixo da linha resource.type. Observe que o project-id fornecido precisa fazer referência ao projeto selecionado do Google Cloud. Caso contrário, a consulta não funcionará.

            logName : "projects/project-id/logs/cloudaudit.googleapis.com"
        

    Se você quiser ver todos os registros de auditoria disponíveis para o projeto, inclua somente os itens acima na consulta. Para mais detalhes sobre consultas, acesse Consultas de registros avançados.

API

Para analisar as entradas de registro de auditoria usando a API de Logging, faça o seguinte:

  1. Acesse a seção Testar esta API da documentação do método entries.list.

  2. Insira as informações a seguir na seção Corpo da solicitação do formulário Testar esta API. Clicar nesse formulário previamente preenchido faz com que o corpo da solicitação seja completo automaticamente, mas é preciso fornecer um project-id válido em cada um dos nomes de registro.

              {
                "resourceNames": [
                  "projects/project-id"
                ],
                "pageSize": 5,
                "filter": "logName : projects/project-id/logs/cloudaudit.googleapis.com"
              }
        
  3. Clique em Executar.

Para mais detalhes sobre consultas, acesse Consultas de registros avançados.

GCLOUD

O SDK do Cloud tem um grupo de comandos, gcloud logging, que fornece uma interface de linha de comando para a API do Cloud Logging. Para ler as entradas de registro, execute o comando a seguir. Digite um project-id válido em cada um dos nomes de registro.

        gcloud logging read "logName : projects/project-id/logs/cloudaudit.googleapis.com"

Para mais informações sobre como usar a ferramenta de linha de comando gcloud, acesse Como ler entradas de registro.

Para ver um exemplo de entrada de registro de auditoria e instruções para encontrar as informações mais importantes nesse registro, acesse Noções básicas sobre registros de auditoria.

Como exportar registros de auditoria

É possível exportar os registros de auditoria da mesma forma que você exporta outros tipos de registro. Para mais detalhes sobre como exportar registros, acesse esta página. Veja a seguir algumas aplicações da exportação de registros de auditoria.

  • Para manter registros de auditoria por mais tempo ou usar recursos de pesquisa mais eficientes, exporte cópias desses registros para o Cloud Storage, o BigQuery ou o Pub/Sub. Com o Pub/Sub, faça exportações para outros aplicativos e repositórios ou para terceiros.

  • Para gerenciar seus registros de auditoria em toda a organização, você pode criar coletores agregados que podem exportar registros de qualquer um ou todos os projetos da organização.

  • Se os registros ativados de auditoria de acesso a dados estiverem fazendo com que seus projetos excedam a cota, exporte e exclua esses registros do Logging. Para detalhes, acesse Exclusões de registros.

Preço

O Cloud Logging não cobra por registros de auditoria que não possam ser desativados, incluindo todos os de atividade do administrador. Ele cobra pelos registros de auditoria de acesso a dados que você solicita explicitamente.

Para mais informações sobre o sistema de preços de registros de auditoria, consulte preços do conjunto de operações do Google Cloud.