Registros de auditoría

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En esta página, se describen los registros de auditoría creados para la actividad de Google Cloud Deploy.

Resumen de registro de auditoría

Los servicios de Google Cloud escriben registros de auditoría para ayudarte a responder las preguntas “¿quién hizo qué, dónde y cuándo?” en tus proyectos y organizaciones de Google Cloud.

En Google Cloud Deploy, solo se registra la actividad del administrador con fines de auditoría. Esta información de auditoría se proporciona de forma predeterminada. La actividad del administrador consiste en operaciones que modifican la configuración o los metadatos de un recurso de Google Cloud Deploy. Cualquier llamada a la API que crea, actualiza o borra un recurso de Google Cloud Deploy no se incluye en el registro de administrador.

Para obtener más información, consulta Registros de auditoría de Cloud.

Operaciones auditadas

A continuación, se muestra una lista de las operaciones de Google Cloud Deploy que se registran para realizar la auditoría:

  • projects.locations.deliveryPipelines.create
  • projects.locations.deliveryPipelines.delete
  • projects.locations.deliveryPipelines.setIamPolicy
  • projects.locations.deliveryPipelines.update
  • projects.locations.deliveryPipelines.releases.create
  • projects.locations.deliveryPipelines.releases.rollouts.create
  • projects.locations.deliveryPipelines.releases.rollouts.approve
  • projects.locations.deliveryPipelines.releases.rollouts.retryJob
  • projects.locations.targets.create
  • projects.locations.targets.delete
  • projects.locations.targets.setIamPolicy
  • projects.locations.targets.update

A diferencia de los registros de auditoría para otros servicios, Google Cloud Deploy solo tiene registros de acceso a datos ADMIN_READ y ADMIN_WRITE y no ofrece registros DATA_READ ni DATA_WRITE. Los registros DATA_READ y DATA_WRITE solo se usan para servicios que almacenan y administran datos del usuario, y Google Cloud Deploy considera que sus recursos son información administrativa de configuración.

Permisos para acceder a los registros

Los siguientes usuarios pueden ver los registros de actividad de administrador:

Consulta los roles y los permisos para obtener más información.

Formato del registro de auditoría

Las entradas de registros de auditoría tienen la siguiente estructura:

  • Un objeto de tipo LogEntry que contiene la entrada de registro completa.
  • Un objeto de tipo AuditLog que se conserva en el campo protoPayload del objeto LogEntry.

Saber qué información se guarda en estos objetos te ayuda a comprender y recuperar tus entradas de registro de auditoría con el Explorador de registros y la API de Cloud Logging.

Todas las entradas de registro de auditoría contienen el nombre de un registro de auditoría, un recurso y un servicio:

  • logName: este campo indica si el registro es una actividad de administrador o un registro de auditoría de acceso a datos. En Google Cloud Deploy, solo se trata de la actividad del administrador. Por ejemplo:

    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com/activity
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com/activity
    

    Dentro de un proyecto o de una organización, estos nombres de registro tienen el sufijo abreviado activity.

  • serviceName: Para Google Cloud Deploy, el campo contiene clouddeploy.googleapis.com.

    Los tipos de recursos pertenecen a un solo servicio, pero un servicio puede tener varios tipos de recursos. Si deseas ver una lista de servicios y recursos, consulta Asigna servicios a recursos.

Para obtener más detalles, consulta Tipos de datos de los registros de auditoría.

Habilita registros

Los registros de actividad de administrador se habilitan y registran de forma predeterminada. Estos registros no cuentan para la cuota de transferencia de registros. De forma predeterminada, los registros de acceso a los datos no se registran, pero puedes configurarlos para que se registren.

Cuotas y límites

Para obtener información sobre las limitaciones de Logging, consulta Cuotas y límites.

Visualiza los registros

Para ver un resumen de tu actividad de administrador, haz lo siguiente:

Si quieres seleccionar y filtrar tus registros para verlos en detalle, haz lo siguiente:

  1. Abre la página Explorador de registros:

    Ir a la página Explorador de registros

  2. En el Explorador de registros, selecciona el Recurso cuyos registros de auditoría deseas ver.

  3. En el menú desplegable Nombre del registro, selecciona el nombre del registro que deseas ver.

    Selecciona Actividad para los registros de auditoría de actividad del administrador y data_access para los registros de auditoría de acceso a los datos (si los registros están disponibles).

El Explorador de registros, en Google Cloud Console, que muestra los selectores de nombres de recursos y registros.

Los registros de auditoría se muestran en el Explorador de registros.

También puedes usar la interfaz de filtro avanzado del Explorador de registros para especificar el tipo de recurso y el nombre de registro. Para obtener más información, consulta Recupera registros de auditoría.

Exporta tus registros de auditoría

Puedes exportar copias de algunos o todos tus registros a otras aplicaciones, repositorios o terceros. Para exportar tus registros, consulta Exporta registros.

Una organización es capaz de crear un receptor agregado que pueda exportar entradas de registro de todos los proyectos, carpetas y cuentas de facturación de la organización. Como cualquier receptor, tu receptor agregado posee un filtro que selecciona entradas de registro individuales. Para agregar y exportar tus registros de auditoría, consulta Receptores agregados.

Para leer las entradas de registro a través de la API, consulta entries.list. Para leer tus entradas de registro mediante el SDK, consulta Lee entradas de registro.

¿Qué sigue?