Ver registros de auditoría de Cloud

En esta página, se describen los registros de auditoría que crea Cloud IoT Core como parte de los Registros de auditoría de Cloud.

Descripción general

Los servicios de Google Cloud escriben registros de auditoría para ayudarte a responder las preguntas “¿Quién hizo qué, dónde y cuándo?”. Cada proyecto de Cloud contiene solo los registros de auditoría de los recursos que están directamente dentro del proyecto. Otras entidades, incluidas las carpetas, organizaciones y cuentas de facturación, contienen los registros de auditoría correspondientes a la entidad.

Cloud IoT Core escribe y proporciona por configuración predeterminada registros de auditoría para la actividad del administrador, que incluyen operaciones que modifican la configuración o los metadatos de un recurso. Esto incluye la configuración de los dispositivos, de la nube al dispositivo y de los registros del dispositivo.

Cloud IoT Core escribe, y no proporciona de manera predeterminada, registros de auditoría para el acceso a los datos, los cuales registran las llamadas a la API que leen datos proporcionados por el usuario.

Habilita el registro de auditoría

Los registros de auditoría de actividad del administrador están habilitados de forma predeterminada y solo se pueden inhabilitar mediante las exclusiones de Cloud Logging.

La mayoría de los registros de auditoría de acceso a los datos de Google Cloud están inhabilitados de forma predeterminada. La excepción son los registros de auditoría de acceso a los datos de BigQuery, que están habilitados de forma predeterminada y no se pueden inhabilitar. Los registros de acceso a los datos de BigQuery no cuentan para la cuota de registro del proyecto.

Para habilitar algunos o todos tus registros de acceso a los datos, consulta Configura registros de acceso a los datos.

Los registros de acceso a datos que configures pueden afectar los precios de tus registros en Google Cloud’s operations suite. Para obtener más información, consulta la sección Precios en esta página.

Operaciones auditadas

En la siguiente tabla, se resumen las operaciones de la API que corresponden a cada tipo de registro de auditoría en Cloud IoT Core:

Categoría de registros de auditoría Operaciones de Cloud IoT Core
Registros de actividad del administrador
  • CreateDeviceRegistry
  • DeleteDeviceRegistry
  • UpdateDeviceRegistry
  • CreateDevice
  • DeleteDevice
  • UpdateDevice
  • ModifyCloudToDeviceConfig
  • SetIamPolicy
Registros de acceso a los datos (ADMIN_READ)
  • GetDeviceRegistry
  • ListDeviceRegistries
  • GetDevice
  • ListDevices
  • GetIamPolicy
Registros de acceso a los datos (DATA_READ) Ninguna
Registros de acceso a los datos (DATA_WRITE) Ninguna

Registros de acceso a los datos

Existen tres categorías de registros de auditoría de acceso a los datos: ADMIN_READ, DATA_READ y DATA_WRITE. Sin embargo, Cloud IoT Core solo usa registros de acceso a los datos de ADMIN_READ. Esto se debe a que los registros DATA_READ y DATA_WRITE solo se usan para servicios que almacenan y administran datos del usuario (como Cloud Storage, Cloud Spanner y Cloud SQL), lo cual no se aplica a Cloud IoT Core.

Tipo de registro de acceso a los datos Descripción Disponibilidad
ADMIN_READ Operaciones que leen la configuración o los metadatos de un recurso. De forma predeterminada, Cloud IoT Core no proporciona registros de ADMIN_READ.
DATA_READ Operaciones que leen datos proporcionados por el usuario de un recurso. Cloud IoT Core no proporciona registros de DATA_READ.
DATA_WRITE Operaciones que escriben datos proporcionados por el usuario en un recurso. Cloud IoT Core no proporciona registros de DATA_WRITE.

Puedes configurar la información de auditoría que no se proporciona de forma predeterminada. Para obtener más información, consulta Configuración de registros de acceso a datos.

Formato de registro de auditoría

Las entradas de registro de auditoría, que se pueden ver con el visor de registros, la API o el comando gcloud logging del SDK, incluyen los siguientes objetos:

  • La entrada de registro, que es un objeto de tipo LogEntry. Los campos útiles incluyen los siguientes elementos:

    • logName contiene la identificación del proyecto y el tipo de registro de auditoría.
    • resource contiene el objetivo de la operación auditada.
    • timestamp contiene el tiempo de la operación auditada.
    • protoPayload contiene la información auditada.
  • La información de auditoría, que es un objeto AuditLog ubicado en el campo protoPayload de la entrada de registro.

Para obtener información sobre otros campos en estos objetos, muestras de su contenido y consultas de muestra sobre la información en los objetos, consulta Tipos de datos de registro de auditoría.

Nombre del registro y nombre del servicio

Los nombres de registro de Cloud Audit Logs indican el proyecto o alguna otra entidad que posee los registros de auditoría y si el registro contiene información de actividad de administrador o acceso a datos. Por ejemplo, el siguiente segmento muestra los nombres de registro de los registros de actividad del administrador de un proyecto y los registros de acceso a los datos de una organización:

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Nombres de servicios y tipos de recursos

Los registros de auditoría de Cloud IoT Core usan el nombre de servicio cloudiot.googleapis.com.

Los registros de auditoría de Cloud IoT Core usan los tipos de recursos cloudiot_device y cloudiot_device_registry para todos los registros de auditoría.

Para obtener más detalles sobre los servicios de registro y los recursos, consulta Mapea servicios a recursos.

Permisos sobre los registros de auditoría

Los permisos y las funciones de la administración de identidades y accesos determinan qué registros de auditoría puedes ver o exportar. Los registros se encuentran en proyectos y en algunas otras entidades, incluidas organizaciones, carpetas y cuentas de facturación. Para obtener más información, consulta Información sobre funciones.

Si quieres ver los registros de actividad del administrador, debes tener una de las siguientes funciones de IAM en el proyecto que contiene los registros de auditoría:

Para ver los registros de acceso a los datos, debes contar con una de las siguientes funciones en el proyecto que contiene tus registros de auditoría:

Si usas registros de auditoría de una entidad ajena al proyecto, como una organización, debes cambiar las funciones del proyecto por las funciones adecuadas de la organización.

Consulta los registros

Para ver los registros de auditoría de uno de tus proyectos, realiza una de las siguientes acciones:

Para obtener más detalles, consulta las siguientes opciones:

Visor básico

Puedes usar la interfaz básica del Explorador de registros para recuperar las entradas de registro de auditoría de la siguiente manera:

  1. En el primer menú, selecciona el tipo de recurso cuyos registros de auditoría deseas ver. Selecciona un recurso específico o todos ellos.
  2. En el segundo menú, selecciona el nombre de registro que deseas ver: activity para los registros de auditoría de actividad de administrador y data_access para los registros de auditoría de acceso a datos. Si no ves una o ambas opciones, no hay registros de auditoría de ese tipo disponibles.

Visor avanzado

  1. Cambia a la interfaz de filtro avanzado en el Explorador de registros.
  2. Crea un filtro que especifique los tipos de recursos y los nombres de registro que deseas. Para obtener más información, consulta Recupera registros de auditoría.

API

Para leer tus entradas de registro a través de la API de Logging, consulta entries.list.

SDK

Para leer las entradas de registro mediante la CLI de Google Cloud, consulta Lee entradas de registro.

Exporta registros de auditoría

Puedes exportar registros de auditoría de la misma manera que exportas otros tipos de registros. Para obtener más información sobre cómo exportar tus registros, consulta Exportar registros. Estas son algunas de las aplicaciones de la exportación de registros de auditoría:

  • Para conservar los registros de auditoría durante más tiempo o usar capacidades de búsqueda más potentes, puedes exportar copias de tus registros de auditoría a Cloud Storage, BigQuery o Pub/Sub. Con Pub/Sub puedes exportar a otras aplicaciones, otros repositorios y a terceros.

  • Para administrar los registros de auditoría en toda la organización, puedes crear receptores agregados que puedan exportar registros desde cualquier proyecto de la organización o desde todos los proyectos.

  • Si tus registros de acceso a los datos habilitados sobrepasan las asignaciones de registros de tus proyectos, puedes exportar y excluir los registros de acceso a los datos de Logging. Para obtener más información, consulta Excluye registros.

Precios

Cloud Logging no te cobra por los registros de auditoría que están habilitados de forma predeterminada, incluidos todos los registros de actividad del administrador. Estos registros no son parte de la cuota de transferencia de registros.

Cloud Logging te cobra por los registros de acceso a datos que solicitas explícitamente.

Para obtener más información sobre los precios de los registros, incluidos los precios de los registros de auditoría, consulte Precios de Google Cloud’s operations suite.

Métodos de exención

Los siguientes métodos de la API de Cloud IoT Core no están registrados en los registros de auditoría:

  • registries.testIamPermissions
  • registries.devices.configVersions.list
  • registries.devices.states.list