Registros de auditoría

En esta página, se describen los registros de auditoría creados para la actividad de Google Cloud Deploy.

Resumen de registro de auditoría

Los servicios de Google Cloud escriben registros de auditoría para ayudarte a responder las preguntas “¿quién hizo qué, dónde y cuándo?” en tus proyectos y organizaciones de Google Cloud.

Para Google Cloud Deploy, solo se registra la actividad del administrador con fines de auditoría. Esta información de auditoría se proporciona de forma predeterminada. La actividad del administrador consta de operaciones que modifican la configuración o los metadatos de un recurso de Google Cloud Deploy. Cualquier llamada a la API que cree, actualice o borre un recurso de Google Cloud Deploy no se incluye en el registro del administrador.

Para obtener más información, consulta Registros de auditoría de Cloud.

Operaciones auditadas

A continuación, se muestra una lista de las operaciones de Google Cloud Deploy que se registran para realizar la auditoría:

  • projects.locations.deliveryPipelines.create
  • projects.locations.deliveryPipelines.delete
  • projects.locations.deliveryPipelines.setIamPolicy
  • projects.locations.deliveryPipelines.update
  • projects.locations.deliveryPipelines.releases.create
  • projects.locations.deliveryPipelines.releases.rollouts.create
  • projects.locations.deliveryPipelines.releases.rollouts.approve
  • projects.locations.targets.create
  • projects.locations.targets.delete
  • projects.locations.targets.setIamPolicy
  • projects.locations.targets.update

A diferencia de los registros de auditoría para otros servicios, Google Cloud Deploy solo tiene registros de acceso a datos ADMIN_READ y ADMIN_WRITE y no ofrece registros DATA_READ ni DATA_WRITE. Los registros DATA_READ y DATA_WRITE solo se usan para servicios que almacenan y administran datos de usuario, y Google Cloud Deploy considera que sus recursos son información de configuración administrativa.

Permisos para acceder a los registros

Los siguientes usuarios pueden ver los registros de actividad de administrador:

Consulta los roles y los permisos para obtener más información.

Formato de registro de auditoría

Las entradas de registros de auditoría tienen la siguiente estructura:

  • Un objeto de tipo LogEntry que contiene la entrada de registro completa.
  • Un objeto de tipo AuditLog que se conserva en el campo protoPayload del objeto LogEntry.

Saber qué información se guarda en estos objetos te ayuda a comprender y recuperar tus entradas de registro de auditoría con el visor de registros y la API de Cloud Logging.

Todas las entradas de registro de auditoría contienen el nombre de un registro de auditoría, un recurso y un servicio:

  • logName: este campo indica si el registro es una actividad de administrador o de acceso a datos. Para Google Cloud Deploy, estas son solo actividades de administrador. Por ejemplo:

    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com/activity
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com/activity
    

    Dentro de un proyecto o de una organización, estos nombres de registro tienen el sufijo abreviado activity.

  • serviceName: Para Google Cloud Deploy, el campo contiene clouddeploy.googleapis.com.

    Los tipos de recursos pertenecen a un solo servicio, pero un servicio puede tener varios tipos de recursos. Si deseas ver una lista de servicios y recursos, consulta Asigna servicios a recursos.

Para obtener más detalles, consulta Tipos de datos de los registros de auditoría.

Habilita registros

Los registros de actividad de administrador se habilitan y registran de forma predeterminada. Estos registros no son parte de la cuota de transferencia de registros. No se registran los registros de acceso a los datos.

Cuotas y límites

Para obtener más información sobre las limitaciones de Logging, consulta Cuotas y límites.

Visualiza los registros

Para ver un resumen de tu actividad de administrador, haz lo siguiente:

Si quieres seleccionar y filtrar tus registros para verlos en detalle, haz lo siguiente:

  1. Abre la página Visor de registros:

    Ir a la página Visor de registros

  2. En el primer menú desplegable, selecciona un recurso para ver sus registros de auditoría. Selecciona un proyecto específico o “todos los proyectos”.

  3. En el segundo menú, selecciona el nombre de registro que desea ver: activity para los registros de auditoría de la actividad del administrador y data_access destinado a los registros de auditoría de acceso a los datos (si los registros están disponibles).

Los registros de auditoría aparecen en el visor de registros.

También puedes usar la interfaz de filtro avanzado del Visor de registros para especificar el tipo de recurso y el nombre de registro. Para obtener más información, consulta Recupera registros de auditoría.

Exporta tus registros de auditoría

Puedes exportar copias de algunos o todos tus registros a otras aplicaciones, repositorios o terceros. Para exportar tus registros, consulta Exporta registros.

Una organización es capaz de crear un receptor agregado que pueda exportar entradas de registro de todos los proyectos, carpetas y cuentas de facturación de la organización. Como cualquier receptor, tu receptor agregado posee un filtro que selecciona entradas de registro individuales. Para agregar y exportar tus registros de auditoría, consulta Receptores agregados.

Para leer las entradas de registro a través de la API, consulta entries.list. Para leer tus entradas de registro mediante el SDK, consulta Lee entradas de registro.

¿Qué sigue?