Nesta página, descrevemos os registros de auditoria criados para a atividade do Cloud Deploy.
Resumo dos registros de auditoria
Os serviços do Google Cloud gravam registros de auditoria que ajudam você a determinar quem fez o quê, onde e quando. nos seus projetos e organizações do Google Cloud.
No Cloud Deploy, apenas a atividade do administrador é registrada para fins de auditoria. Essa informação de auditoria é fornecida por padrão. A atividade do administrador consiste em operações que modificam a configuração ou os metadados de um recurso do Cloud Deploy. As chamadas de API que criam, atualizam ou excluem um recurso do Cloud Deploy não são incluídas na geração de registros do administrador.
Saiba mais em Registros de auditoria do Cloud.
Operações auditadas
Veja a seguir uma lista das operações do Cloud Deploy registradas para auditoria:
projects.locations.customTargetTypes.createprojects.locations.customTargetTypes.deleteprojects.locations.customTargetTypes.updateprojects.locations.deliveryPipelines.createprojects.locations.deliveryPipelines.deleteprojects.locations.deliveryPipelines.setIamPolicyprojects.locations.deliveryPipelines.updateprojects.locations.deliveryPipelines.automation.createprojects.locations.deliveryPipelines.automation.deleteprojects.locations.deliveryPipelines.automation.setIamPolicyprojects.locations.deliveryPipelines.automation.updateprojects.locations.deliveryPipelines.automationRuns.cancelprojects.locations.deliveryPipelines.releases.createprojects.locations.deliveryPipelines.releases.rollouts.advanceprojects.locations.deliveryPipelines.releases.rollouts.approveprojects.locations.deliveryPipelines.releases.rollouts.cancelprojects.locations.deliveryPipelines.releases.rollouts.createprojects.locations.deliveryPipelines.releases.rollouts.ignoreJobprojects.locations.deliveryPipelines.releases.rollouts.jobRuns.terminateprojects.locations.deliveryPipelines.releases.rollouts.retryJobprojects.locations.targets.createprojects.locations.targets.deleteprojects.locations.targets.setIamPolicyprojects.locations.targets.update
Ao contrário dos registros de auditoria de outros serviços, o Cloud Deploy tem apenas registros de acesso a dados ADMIN_READ e ADMIN_WRITE e não oferece registros DATA_READ e DATA_WRITE. Os registros DATA_READ e DATA_WRITE são usados apenas para serviços que armazenam e gerenciam dados do usuário, e o Cloud Deploy considera os recursos como informações de configuração administrativa.
Permissões para acessar os registros
Os usuários a seguir podem ver os registros de atividades administrativas:
- proprietários, editores e leitores de projeto
- usuários com o papel do IAM de Visualizador de registros
- Usuários com a permissão de IAM
logging.logEntries.list.
Consulte os papéis e permissões do IAM para mais informações.
Formato do registro de auditoria
As entradas de registro de auditoria têm a estrutura abaixo:
- Um objeto do tipo
LogEntryque contém a entrada de registro completa. - Um objeto do tipo
AuditLogque é mantido no campoprotoPayloaddo objetoLogEntry.
Saber quais informações estão contidas nesses objetos ajuda a entender e recuperar as entradas de registro de auditoria usando a Análise de registros e a API Cloud Logging.
Todas as entradas de registro de auditoria contêm o nome de um registro de auditoria, um recurso e um serviço:
logName: esse campo indica se o registro é um registro de auditoria de atividade do administrador ou de acesso a dados. Para o Cloud Deploy, são apenas atividades de administrador. Exemplo:
projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com/activity organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com/activityEm um projeto ou organização, esses nomes de registro recebem o sufixo da abreviatura
activity.serviceName: no Cloud Deploy, o campo contém
clouddeploy.googleapis.com.Os tipos de recursos pertencem a um único serviço, mas um serviço pode ter vários tipos de recursos. Para ver uma lista de serviços e recursos, consulte Mapeamento de serviços e recursos.
Para mais detalhes, consulte os Tipos de dados de registros de auditoria.
Como ativar registros
Os registros de atividades administrativas são ativados e gravados por padrão. Eles não afetam a cota de ingestão de registros. Por padrão, os registros de acesso a dados não são gravados, mas é possível configurá-los.
Cotas e limites
Para informações sobre limitações no Logging, consulte Cotas e limites.
Como visualizar registros
Para visualizar um resumo da sua atividade de administração, siga a instrução a seguir:
Abra o Google Cloud Activity:
Para selecionar e filtrar seus registros e visualizá-los em detalhes, siga as instruções a seguir:
Abra a página "Buscador de registros":
No Explorador de registros, selecione o Recurso com os registros de auditoria que você quer ver.
No menu suspenso Nome do registro, selecione o nome do registro que você quer ver.
Selecione Atividade para os registros de auditoria de atividade do administrador e data_access para registros de auditoria de acesso a dados (se estiverem disponíveis).
Os registros de auditoria são mostrados na Análise de registros.
Também é possível usar a interface de filtro avançado da Análise de registros para especificar o tipo de recurso e o nome do registro. Para saber mais, consulte Como recuperar registros de auditoria.
Como exportar seus registros de auditoria
Você pode exportar cópias de alguns ou de todos os registros para outros aplicativos, outros repositórios ou terceiros. Para exportar os registros, consulte Como exportar registros.
Uma organização pode criar um coletor agregado para exportar as entradas de registro de todos os projetos, pastas e contas de faturamento da organização. Como qualquer outro, o coletor agregado contém um filtro que seleciona entradas de registro individuais. Para agregar e exportar os registros de auditoria, consulte Coletores agregados.
Para ler suas entradas de registro por meio da API, veja entries.list. Para ler as entradas de registro usando o SDK, consulte Como ler entradas de registro.
A seguir
- Leia a página Buscador de registros para conferir instruções sobre como filtrar registros.
- Leia a página Configurar e gerenciar coletores para instruções sobre como exportar registros.