Registros de auditoría de Cloud

Los registros de auditoría de Cloud mantienen los siguientes registros de auditoría para cada proyecto, carpeta y organización de Cloud:

  • Registros de auditoría de actividad del administrador
  • Registros de auditoría de acceso a los datos
  • Registros de auditoría de eventos del sistema
  • Registros de auditoría de política denegada

Los servicios de Google Cloud escriben entradas de registro de auditoría en esos registros para ayudarte a responder las preguntas “¿quién hizo qué, dónde y cuándo?” dentro de tus recursos de Google Cloud.

Los recursos disponibles de forma pública que tienen las políticas de administración de identidades y accesos allAuthenticatedUsers o allUsers no generan registros de auditoría. Esto ayuda a proteger la información y las identidades del usuario final.

Para obtener una lista de los servicios de Google Cloud que proporcionan registros de auditoría, consulta los servicios de Google con registros de auditoría. Con el tiempo, todos los servicios de Google Cloud proporcionarán registros de auditoría.

Registros de auditoría de actividad del administrador

Los registros de auditoría de actividad del administrador contienen entradas de registro para las llamadas a la API y otras acciones administrativas que modifican la configuración o los metadatos de los recursos. Por ejemplo, registran en qué momento los usuarios crean instancias de VM o cambian los permisos de administración de identidades y accesos.

Para ver estos registros, debes tener la función de visor de registros de Logging o visualizador del proyecto de AM.

Los registros de auditoría de actividad del administrador se escriben siempre; no puedes configurarlos ni inhabilitarlos. No se te cobra por tus registros de auditoría de actividad del administrador. Para obtener más información sobre los límites de uso de registros, consulta Cuotas y límites.

Registros de auditoría de acceso a los datos

Estos registros contienen llamadas a la API que leen la configuración o los metadatos de los recursos, así como llamadas a la API controladas por el usuario que crean, modifican o leen datos de los recursos que proporciona el usuario. Los registros de auditoría de acceso a los datos no registran las operaciones de acceso a los datos en recursos que se comparten de forma pública (disponibles para todos los usuarios o todos los usuarios autenticados) o a los que se puede acceder sin entrar en Google Cloud.

Para ver estos registros, debes tener las funciones de visor de registros privado de Logging o propietario del proyecto de IAM.

Los registros de auditoría de acceso a los datos están inhabilitados de forma predeterminada porque pueden ser bastante extensos; se deben habilitar explícitamente para que puedan escribirse. Es posible que se cobre el uso de registros adicionales en tu proyecto si habilitas los registros. Si deseas obtener instrucciones para habilitar y configurar los registros de auditoría de acceso a los datos, consulta la página Configura registros de acceso a los datos.

Para obtener más información sobre los límites de uso de registros, consulta Cuotas y límites. Para obtener información sobre los costos que podrían generarse, consulta la página Precios.

Registros de auditoría de eventos del sistema

Los registros de auditoría de eventos del sistema contienen entradas de registro para las acciones administrativas de Google Cloud que modifican la configuración de los recursos. Los sistemas de Google generan registros de auditoría de eventos del sistema; no son impulsados por la acción directa del usuario.

Para ver estos registros, debes tener la función de visor de registros de Logging o visualizador del proyecto de AM.

Los registros de auditoría de eventos del sistema se escriben siempre; no puedes configurarlos ni inhabilitarlos. No se te cobrará por tus registros de auditoría de eventos del sistema. Para obtener más información sobre los límites de uso de registros, consulta Cuotas y límites.

Registros de auditoría de política denegada

Cloud Logging registra los registros de auditoría rechazados cuando un servicio de Google Cloud niega acceso a un usuario o una cuenta de servicio debido a un incumplimiento de política de seguridad.

Para ver estos registros, debes tener la función de visor de registros de Logging o visualizador del proyecto de AM.

Según la configuración predeterminada, se generan registros de auditoría denegados de la política, y tu proyecto de Cloud se cobra por el almacenamiento de los registros. Puedes usar Exclusiones de registros para excluir de la transferencia los registros denegados de la política. Para obtener más información sobre los límites de uso de registros, consulta Cuotas y límites. Para obtener información sobre los costos que podrían generarse, consulta la página Precios.

Estructura de entradas de registro de auditoría

Cada entrada de registro de auditoría en Cloud Logging es un objeto del tipo LogEntry. Lo que distingue una entrada de registro de auditoría de otras entradas de registro es el campo protoPayload; este contiene un objeto AuditLog que almacena los datos del registro de auditoría.

Para aprender a leer y a interpretar las entradas de registro de auditoría, consulta Información sobre los registros de auditoría.

Ver registros de auditoría

Si deseas encontrar y ver los registros de auditoría, debes conocer el identificador de la carpeta, la organización o el proyecto de Cloud de donde deseas ver la información de registro de auditoría. Además, puedes especificar otros campos LogEntry indexados, como resource.type. Para obtener más información, consulta Busca entradas de registro con rapidez.

A continuación, se muestran los nombres de los registros de auditoría, que incluyen variables para los identificadores del proyecto, la carpeta o la organización de Cloud:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Tienes varias opciones para ver las entradas de registro de auditoría.

Console

Puedes usar el explorador de registros en Cloud Console para recuperar las entradas de registro de auditoría del proyecto de Cloud:

  1. En Cloud Console, ve a la página Logging > Explorador de registros.

    Ir a la página Explorador de registros

  2. En la página Explorador de registros, selecciona un proyecto de Cloud existente.

  3. En el panel Compilador de consultas, sigue estos pasos:

    • En Recurso, selecciona el tipo de recurso de Google Cloud cuyos registros de auditoría deseas ver.

    • En Nombre del registro, selecciona el tipo de registro de auditoría que deseas ver:

      • En el caso de los registros de auditoría de la actividad del administrador, selecciona Actividad.
      • En los registros de auditoría de acceso a los datos, selecciona data_access.
      • En el caso de los registros de auditoría de eventos del sistema, selecciona system_event.
      • En el caso de los registros de auditoría de política denegada, selecciona la política.

    Si no ves estas opciones, significa que no hay registros de auditoría de ese tipo disponibles en el proyecto de Cloud.

    Para obtener más información sobre cómo consultar mediante el nuevo Explorador de registros, visita Compila consultas de registros.

gcloud

La herramienta de línea de comandos de gcloud proporciona una interfaz de línea de comandos para la API de Cloud Logging. Proporciona un PROJECT_ID, FOLDER_ID o ORGANIZATION_ID válido en cada uno de los nombres de registro.

Para leer las entradas de registro de auditoría a nivel de proyecto de Google Cloud, ejecuta el siguiente comando:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID

Para leer las entradas del registro de auditoría a nivel de las carpetas, ejecuta el siguiente comando:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID

Para leer las entradas del registro de auditoría a nivel de organización, ejecuta el siguiente comando:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID

Para obtener más información sobre el uso de la herramienta de gcloud, consulta Lee las entradas de registro.

API

Cuando compiles tus búsquedas, reemplaza las variables por valores válidos, sustituye el nombre o los identificadores del registro de auditoría adecuados a nivel de proyecto, de carpeta o de organización según se enumeran en los nombres de registro de auditoría. Por ejemplo, si tu búsqueda incluye un PROJECT_ID, el identificador del proyecto que proporciones debe hacer referencia al proyecto de Cloud que se encuentra seleccionado.

Si deseas usar la API de Logging para ver tus entradas de registro de auditoría, haz lo siguiente:

  1. Ve a la sección prueba esta API en la documentación del método entries.list.

  2. Ingresa lo siguiente en el cuerpo de la solicitud del formulario Prueba esta API. Si haces clic en este formulario rellenado con anterioridad, se completará el cuerpo de la solicitud de manera automática, pero deberás proporcionar un PROJECT_ID válido para cada nombre de registro.

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
    
  3. Haz clic en Ejecutar (Execute).

Para obtener más detalles sobre las consultas, visita Lenguaje de consulta de Logging.

Para obtener una entrada de registro de auditoría de muestra y aprender a buscar la información más importante en ella, consulta Comprende los registros de auditoría.

Usa la página Actividad

Puedes ver entradas de registro de auditoría abreviadas en la página Actividad de tu proyecto de Cloud o de la organización en Cloud Console. Para ver entradas de registro de auditoría abreviadas, sigue estos pasos:

  1. Ve a la página Actividad

    Ir a la página Actividad

  2. En el selector de proyectos, selecciona la organización o el proyecto de Cloud para el que deseas ver las entradas de los registros de auditoría.

  3. En el panel Filtro, selecciona las entradas que deseas ver.

Las entradas de registro de auditoría reales pueden contener más información de la que aparece en la página Actividad.

En la página Actividad, donde la identidad que realiza las acciones registradas se oculta de la entrada de registro de auditoría, se muestra User (anonymized). Para obtener información detallada, lee la sección sobre identidades de usuario en registros de auditoría en esta página.

Exporta registros de auditoría

Puedes exportar las entradas de registro de auditoría a Cloud Logging o a ciertos servicios de Google Cloud.

Para exportar entradas de registro de auditoría fuera de Logging, crea un receptor de registros. Proporciona al receptor una consulta que especifique los tipos de registro de auditoría que deseas exportar; para ver ejemplos de consultas, ve a la sección Consultas de seguridad de registros.

Si deseas exportar entradas de registro de auditoría para una organización, una carpeta o una cuenta de facturación de Google Cloud, revisa Receptores agregados.

El tamaño máximo que puede mostrar un registro de auditoría en la siguiente tabla. Estos valores pueden ayudarte a estimar el espacio necesario para un destino de exportación.

Registro de auditoría Tamaño máximo
Actividad del administrador 512 KiB
Acceso a los datos 512 KiB
Evento del sistema 512 KiB
Política denegada 512 KiB

Retención de registros de auditoría

Las entradas individuales de registro de auditoría se conservan durante un período específico y, luego, se borran. Para obtener detalles sobre la cuánto tiempo Logging retiene las entradas de registro, revisa la información sobre retención en Cuotas y límites: períodos de retención de registros. No puedes borrar o modificar las entradas de los registros de auditoría.

Tipo de registro de auditoría Período de retención
Actividad del administrador 400 días
Acceso a los datos 30 días
Eventos del sistema 400 días
Política rechazada 30 días

Para una retención más larga, puedes exportar entradas del registro de auditoría como cualquier otra entrada de registro de Logging y mantenerlas por el tiempo que desees.

También puedes configurar Cloud Logging para retener tus registros entre 1 día y 3,650 días. Para obtener más detalles, consulta Almacena registros: retención personalizada.

Identidades de los emisores en los registros de auditoría

Los registros de auditoría registran la identidad que realizó las operaciones registradas en el recurso de Google Cloud. La identidad del emisor se encuentra en el campo AuthenticationInfo de los objetos AuditLog.

En las siguientes circunstancias, la dirección de correo electrónico principal del emisor se oculta de los registros de auditoría si se cumplen todas estas condiciones:

  • La operación es de solo lectura.
  • La operación falla con un error de “permiso denegado”.
  • Si la identidad es una cuenta de servicio y no es un miembro de la organización de Google Cloud asociada con el recurso. Si la identidad no es una cuenta de servicio, entonces esta condición no se aplica.

Además de las condiciones mencionadas antes, lo siguiente se aplica a ciertos productos de Google Cloud:

Si visualizas registros de auditoría en la página Actividad de Google Cloud Console, se mostrará User (anonymized) para las entradas de registro en las que la identidad esté oculta o vacía.

Servicios de Google que producen registros de auditoría

Para obtener una lista de los servicios de Google Cloud que proporcionan registros de auditoría, consulta los servicios de Google con registros de auditoría. Con el tiempo, todos los servicios de Google Cloud proporcionarán registros de auditoría.