El producto descrito en esta documentación, GKE en Azure, ahora está en modo de mantenimiento y se cerrará el 17 de marzo de 2027.

Esta página se ha traducido con Cloud Translation API.

API de registros de auditoría en la nube

Este documento describe los registros de auditoría creados por GKE en Azure como parte de los registros de auditoría en la nube .

Descripción general

Google Cloud Los servicios escriben registros de auditoría para ayudarlo a responder las preguntas "¿Quién hizo qué, dónde y cuándo?" dentro de su Google Cloud recursos.

Su Google Cloud Los proyectos contienen únicamente los registros de auditoría de los recursos que están directamente dentro del proyecto. Google Cloud proyecto. Otro Google Cloud Los recursos, como carpetas, organizaciones y cuentas de facturación, contienen los registros de auditoría de la propia entidad.

Para obtener una descripción general de los registros de auditoría en la nube, consulte Descripción general de los registros de auditoría en la nube . Para comprender mejor el formato de los registros de auditoría, consulte Comprender los registros de auditoría .

Registros de auditoría disponibles

Los siguientes tipos de registros de auditoría están disponibles para GKE en Azure:

Registros de auditoría de actividad administrativa
Incluye operaciones de "escritura de administrador" que escriben metadatos o información de configuración.
No puedes deshabilitar los registros de auditoría de actividad de administrador.
Registros de auditoría de acceso a datos
Incluye operaciones de lectura de administrador que leen metadatos o información de configuración. También incluye operaciones de lectura y escritura de datos que leen o escriben datos proporcionados por el usuario.
Para recibir registros de auditoría de acceso a datos, debe habilitarlos explícitamente .

Para obtener descripciones más completas de los tipos de registros de auditoría, consulte Tipos de registros de auditoría .

Operaciones auditadas

La siguiente tabla resume qué operaciones de API corresponden a cada tipo de registro de auditoría en GKE en Azure:

Categoría de registros de auditoría	GKE en operaciones de Azure
Registros de auditoría de actividad administrativa	Crear clúster de Azure ActualizarAzureCluster EliminarAzureCluster Crear grupo de nodos de Azure Eliminar AzureNodePool
Registros de auditoría de acceso a datos	Obtener AzureCluster Lista de clústeres de Azure Generar token de acceso de Azure Obtener grupo de nodos de Azure Lista de grupos de nodos de Azure Obtener AzureServerConfig

Formato del registro de auditoría

Las entradas del registro de auditoría incluyen los siguientes objetos:

La entrada del registro, que es un objeto de tipo LogEntry . Entre los campos útiles se incluyen los siguientes:
- El logName contiene el ID del recurso y el tipo de registro de auditoría.
- El resource contiene el objetivo de la operación auditada.
- La timeStamp contiene la hora de la operación auditada.
- El protoPayload contiene la información auditada.
Los datos del registro de auditoría, que son un objeto AuditLog almacenado en el campo protoPayload de la entrada del registro.
Información de auditoría opcional específica del servicio, que es un objeto específico del servicio. En integraciones anteriores, este objeto se almacena en el campo serviceData del objeto AuditLog ; en integraciones posteriores, se utiliza el campo metadata .

Para conocer otros campos de estos objetos y cómo interpretarlos, revise Comprender los registros de auditoría .

Nombre del registro

Los nombres de registro de los registros de auditoría de la nube incluyen identificadores de recursos que indicanGoogle Cloud proyecto u otro Google Cloud entidad que posee los registros de auditoría y si el registro contiene datos de registro de auditoría de actividad de administrador, acceso a datos, políticas denegadas o eventos del sistema.

Los siguientes son los nombres de los registros de auditoría, incluidas las variables para los identificadores de recursos:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Nombre del servicio

Los registros de auditoría de GKE en Azure usan el nombre de servicio gkemulticloud.googleapis.com .

Para obtener una lista de todos los nombres de servicios de API de Cloud Logging y su tipo de recurso monitoreado correspondiente, consulte Asignar servicios a recursos .

Tipos de recursos

Los registros de auditoría de GKE en Azure usan el tipo de recurso audited_resource para todos los registros de auditoría.

Para obtener una lista de todos los tipos de recursos monitoreados de Cloud Logging e información descriptiva, consulte Tipos de recursos monitoreados .

Identidades de las personas que llaman

La dirección IP del emisor se guarda en el campo RequestMetadata.caller_ip del objeto AuditLog . El registro podría ocultar ciertas identidades y direcciones IP del emisor.

Para obtener información sobre qué información se redacta en los registros de auditoría, consulte Identidades de las personas que llaman en los registros de auditoría .

Habilitar el registro de auditoría

Los registros de auditoría de actividad de administración siempre están habilitados; no puedes deshabilitarlos.

Los registros de auditoría de acceso a datos están deshabilitados de forma predeterminada y no se escriben a menos que se habiliten explícitamente (la excepción son los registros de auditoría de acceso a datos para BigQuery, que no se pueden deshabilitar).

Para obtener información sobre cómo habilitar algunos o todos los registros de auditoría de acceso a datos, consulte Habilitar registros de auditoría de acceso a datos .

Permisos y roles

Los permisos y roles de IAM determinan su capacidad para acceder a los datos de los registros de auditoría en Google Cloud recursos.

Al decidir qué permisos y roles específicos de registro se aplican a su caso de uso, tenga en cuenta lo siguiente:

El rol Visor de registros ( roles/logging.viewer ) le otorga acceso de solo lectura a los registros de auditoría de actividad de administrador, políticas denegadas y eventos del sistema. Si solo tiene este rol, no podrá ver los registros de auditoría de acceso a datos del depósito _Default .
La función Visor de registros privados (roles/logging.privateLogViewer ) incluye los permisos contenidos en roles/logging.viewer , además de la capacidad de leer registros de auditoría de acceso a datos en el depósito _Default .
Tenga en cuenta que si estos registros privados se almacenan en depósitos definidos por el usuario, cualquier usuario con permisos para leer los registros de dichos depósitos podrá leerlos. Para obtener más información sobre los depósitos de registros, consulte la sección "Información general sobre enrutamiento y almacenamiento" .

Para obtener más información sobre los permisos y roles de IAM que se aplican a los datos de registros de auditoría, consulte Control de acceso con IAM .

Ver registros

Puede consultar todos los registros de auditoría o consultar los registros por su nombre. El nombre del registro de auditoría incluye el identificador del recurso . Google Cloud Proyecto, carpeta, cuenta de facturación u organización para la que desea ver la información del registro de auditoría. Sus consultas pueden especificar campos LogEntry indexados. Para obtener más información sobre cómo consultar sus registros, consulte Crear consultas en el Explorador de registros.

El Explorador de registros permite filtrar entradas de registro individuales. Si desea usar SQL para analizar grupos de entradas de registro, utilice la página Análisis de registros . Para más información, consulte:

La mayoría de los registros de auditoría se pueden ver en Cloud Logging mediante el uso delGoogle Cloud consola, la CLI de Google Cloud o la API de registro. Sin embargo, para los registros de auditoría relacionados con la facturación, solo se puede usar la CLI de Google Cloud o la API de registro.

Consola

En el Google Cloud consola, puede usar el Explorador de registros para recuperar las entradas del registro de auditoría para su Google Cloud proyecto, carpeta u organización:

En el Google Cloud consola, vaya a la página del Explorador de registros :
Ir al Explorador de registros
Si utiliza la barra de búsqueda para encontrar esta página, seleccione el resultado cuyo subtítulo sea Registro .
Seleccione uno existente Google Cloud proyecto, carpeta u organización.
Para mostrar todos los registros de auditoría, ingrese cualquiera de las siguientes consultas en el campo del editor de consultas y luego haga clic en Ejecutar consulta :
```
logName:"cloudaudit.googleapis.com"
```
```
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
```
Para mostrar los registros de auditoría de un recurso específico y un tipo de registro de auditoría, en el panel Generador de consultas , haga lo siguiente:
- En Tipo de recurso , seleccione el Google Cloud recurso cuyos registros de auditoría desea ver.
- En Nombre del registro , seleccione el tipo de registro de auditoría que desea ver:
  - Para los registros de auditoría de actividad de administración, seleccione actividad .
  - Para los registros de auditoría de acceso a datos, seleccione data_access .
  - Para los registros de auditoría de eventos del sistema, seleccione system_event .
  - Para los registros de auditoría de políticas denegadas, seleccione política .
- Haga clic en Ejecutar consulta .
Si no ve estas opciones, entonces no hay registros de auditoría de ese tipo disponibles en el Google Cloud proyecto, carpeta u organización.
Si tiene problemas al intentar ver registros en el Explorador de registros, consulte la información de solución de problemas .
Para obtener más información sobre cómo realizar consultas mediante el Explorador de registros, consulte Crear consultas en el Explorador de registros .

gcloud

La CLI de Google Cloud proporciona una interfaz de línea de comandos para la API de registro. Proporcione un identificador de recurso válido en cada nombre de registro. Por ejemplo, si su consulta incluye un PROJECT_ID , el identificador de proyecto que proporcione debe hacer referencia al proyecto seleccionado.Google Cloud proyecto.

Para leer tu Google Cloud entradas del registro de auditoría a nivel de proyecto, ejecute el siguiente comando:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Para leer las entradas del registro de auditoría a nivel de carpeta, ejecute el siguiente comando:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Para leer las entradas del registro de auditoría a nivel de organización, ejecute el siguiente comando:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Para leer las entradas del registro de auditoría de su cuenta de facturación de Cloud Billing, ejecute el siguiente comando:

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

Agregue la bandera --freshness a su comando para leer registros que tengan más de 1 día de antigüedad.

Para obtener más información sobre el uso de la CLI de gcloud, consulte gcloud logging read .

REST

Al crear sus consultas, proporcione un identificador de recurso válido en cada nombre de registro. Por ejemplo, si su consulta incluye un PROJECT_ID , el identificador de proyecto que proporcione debe referirse al recurso seleccionado.Google Cloud proyecto.

Por ejemplo, para utilizar la API de registro para ver las entradas del registro de auditoría a nivel de proyecto, haga lo siguiente:

Vaya a la sección Pruebe esta API en la documentación para el método entries.list .
Introduzca lo siguiente en el cuerpo de la solicitud del formulario "Probar esta API" . Al hacer clic en este formulario precargado , el cuerpo de la solicitud se rellena automáticamente, pero debe proporcionar un PROJECT_ID válido en cada nombre de registro.
```
{
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
```
Haga clic en Ejecutar .

Registros de auditoría de rutas

Puede enrutar los registros de auditoría a destinos compatibles de la misma manera que otros tipos de registros. Estas son algunas razones por las que podría interesar enrutar sus registros de auditoría:

Para conservar los registros de auditoría durante más tiempo o usar funciones de búsqueda más potentes, puede enrutar copias de sus registros de auditoría a Cloud Storage, BigQuery o Pub/Sub. Con Pub/Sub, puede enrutarlos a otras aplicaciones, repositorios y a terceros.
Para administrar sus registros de auditoría en toda una organización, puede crear receptores agregados que puedan enrutar registros desde cualquiera o todos Google Cloud proyectos en la organización.

Si sus registros de auditoría de acceso a datos habilitados están enviando suGoogle Cloud proyectos sobre sus asignaciones de registros, puede crear receptores que excluyan los registros de auditoría de acceso a datos del registro.

Para obtener instrucciones sobre los registros de enrutamiento, consulte Registros de ruta a destinos admitidos .

Precios

Para obtener más información sobre los precios, consulte el resumen de precios de Cloud Logging .