Cloud Audit Logging mantiene tres registros de auditoría para cada proyecto, carpeta y organización de Google Cloud: Actividad del administrador, Acceso a los datos y Evento del sistema. Los servicios de Google Cloud escriben entradas de registro de auditoría en esos registros para ayudarte a responder las preguntas “¿quién hizo qué, dónde y cuándo?” dentro de tus recursos de Google Cloud.
Para obtener una lista de los servicios de Google Cloud que proporcionan registros de auditoría, consulta los servicios de Google con registros de auditoría. Con el tiempo, todos los servicios de Google Cloud proporcionarán registros de auditoría.
Registros de auditoría de actividad del administrador
Los registros de auditoría de actividad del administrador contienen entradas de registro para las llamadas a la API y otras acciones administrativas que modifican la configuración o los metadatos de los recursos. Por ejemplo, registran en qué momento los usuarios crean instancias de VM o cambian los permisos de Cloud Identity and Access Management.
Para ver estos registros, debes tener la función de visor de registros de Logging o visualizador del proyecto de Cloud IAM.
Los registros de auditoría de actividad del administrador se escriben siempre; no puedes configurarlos ni inhabilitarlos. No se te cobra por tus registros de auditoría de actividad del administrador. Para obtener más información sobre los límites de uso de registros, consulta Cuotas y límites.
Registros de auditoría de acceso a los datos
Estos registros contienen llamadas a la API que leen la configuración o los metadatos de los recursos, así como llamadas a la API controladas por el usuario que crean, modifican o leen datos de los recursos que proporciona el usuario. Los registros de auditoría de acceso a los datos no registran las operaciones de acceso a los datos en recursos compartidos de forma pública (disponibles para todos los usuarios o todos los usuarios autenticados) o a los que se puede acceder sin iniciar sesión en Google Cloud.
Para ver estos registros, debes tener las funciones de visor de registros privado de Logging o propietario del proyecto de Cloud IAM.
Los registros de auditoría de acceso a los datos están inhabilitados de forma predeterminada porque pueden ser bastante extensos; se deben habilitar explícitamente para que puedan escribirse. Es posible que se cobre el uso de registros adicionales en tu proyecto si habilitas los registros. Si deseas obtener instrucciones para habilitar y configurar los registros de auditoría de acceso a los datos, consulta la página Configura registros de acceso a los datos.
Para obtener más información sobre los límites de uso de registros, consulta Cuotas y límites. Para obtener información sobre los costos que podrían generarse, consulta la página Precios.
Registros de auditoría de eventos del sistema
Los registros de auditoría de eventos del sistema contienen entradas de registro para las acciones administrativas de Google Cloud que modifican la configuración de los recursos. Los sistemas de Google generan registros de auditoría de eventos del sistema; no son impulsados por la acción directa del usuario.
Para ver estos registros, debes tener la función de visor de registros de Logging o visualizador del proyecto de Cloud IAM.
Los registros de auditoría de eventos del sistema se escriben siempre; no puedes configurarlos ni inhabilitarlos. No se te cobrará por tus registros de auditoría de eventos del sistema. Para obtener más información sobre los límites de uso de registros, consulta Cuotas y límites.
Estructura de entradas de registro de auditoría
Cada entrada de registro de auditoría en Cloud Logging es un objeto del tipo LogEntry. Lo que distingue una entrada de registro de auditoría de otras entradas de registro es el campo protoPayload; este contiene un objeto AuditLog que almacena los datos del registro de auditoría.
Para aprender a leer y a interpretar las entradas de registro de auditoría, consulta Información sobre los registros de auditoría.
Ve registros de auditoría
Para buscar y ver registros de auditoría, debes conocer el identificador del proyecto, la carpeta o la organización de Google Cloud cuya información del registro de auditoría deseas consultar. Además, puedes especificar otros campos LogEntry indexados, como resource.type. Para obtener más información, consulta la sección sobre Busca entradas de registro con rapidez.
Estos son los nombres de los registros de auditoría:
projects/project-id/logs/cloudaudit.googleapis.com%2Factivity
projects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access
projects/project-id/logs/cloudaudit.googleapis.com%2Fsystem_event
folders/folder-id/logs/cloudaudit.googleapis.com%2Factivity
folders/folder-id/logs/cloudaudit.googleapis.com%2Fdata_access
folders/folder-id/logs/cloudaudit.googleapis.com%2Fsystem_event
organizations/organization-id/logs/cloudaudit.googleapis.com%2Factivity
organizations/organization-id/logs/cloudaudit.googleapis.com%2Fdata_access
organizations/organization-id/logs/cloudaudit.googleapis.com%2Fsystem_event
En los siguientes ejemplos se usan consultas a nivel de proyecto. Si quieres consultar los registros de auditoría a nivel de la organización o de la carpeta, reemplaza el nombre o los identificadores correspondientes del registro de auditoría a nivel de la carpeta o de la organización como aparecen en los nombres del registro de auditoría.
Tienes varias opciones para ver las entradas de los registros de auditoría:
Cloud Console
Puedes usar el visor de registros en Cloud Console para recuperar las entradas del registro de auditoría de tu proyecto de Google Cloud. Haz lo siguiente:
Ve a la página del paquete de operaciones de Google Cloud Logging > Registros (Visor de registros) en Cloud Console:
Selecciona un proyecto de Google Cloud existente en la parte superior de la página o crea un proyecto nuevo.
En el primer menú desplegable, selecciona el tipo de recurso cuyos registros de auditoría deseas ver.
En el segundo menú desplegable, selecciona el tipo de registro que deseas ver:
activitypara los registros de auditoría de la actividad del administrador,data_accessen el caso de los registros de auditoría de acceso a los datos ysystem_eventssi deseas ver los registros de eventos del sistema.Si no ves ninguna de esas opciones, no hay registros de auditoría de ese tipo disponibles en el proyecto.
Si deseas restringir una búsqueda existente solo para los registros de auditoría, haz lo siguiente:
En el cuadro de filtros de búsqueda, haz clic en la flecha desplegable (▾) y selecciona Convertir a filtro avanzado.
En el cuadro de texto que aparece, agrega la siguiente consulta debajo de la línea
resource.type. Ten en cuenta que elproject-idque proporcionas debe referirse al proyecto de Google Cloud que se encuentra seleccionado; de lo contrario, la consulta no funcionará.logName : "projects/project-id/logs/cloudaudit.googleapis.com"Si deseas ver todos los registros de auditoría disponibles para tu proyecto, incluye lo anterior solo en tu consulta. Para obtener más información sobre las consultas, ve a la sección sobre Consultas de registros avanzadas.
API
Para ver las entradas del registro de auditoría con la API de Logging, haz lo siguiente:
Ve a la sección Prueba esta API en la documentación del método
entries.list.Ingresa lo siguiente en la sección Cuerpo de la solicitud del formulario Prueba esta API. Si haces clic en este formulario rellenado con anterioridad, se completará el cuerpo de la solicitud de manera automática, pero deberás proporcionar un
project-idválido para cada nombre de registro.{ "resourceNames": [ "projects/project-id" ], "pageSize": 5, "filter": "logName : projects/project-id/logs/cloudaudit.googleapis.com" }Haz clic en Ejecutar.
Para obtener más información sobre las consultas, ve a la sección sobre Consultas de registros avanzadas.
GCLOUD
El SDK de Cloud tiene un grupo de comandos, gcloud logging, que proporciona una interfaz de línea de comandos para la API de Cloud Logging. Si quieres leer tus entradas de registro, ejecuta el siguiente comando. Proporciona un project-id válido en cada uno de los nombres de registro.
gcloud logging read "logName : projects/project-id/logs/cloudaudit.googleapis.com"
Consulta la sección sobre Lee entradas de registro para obtener más información sobre el uso de la herramienta de línea de comandos de gcloud.
Para obtener una entrada de registro de auditoría de muestra y conocer cómo buscar la información más importante en ella, consulta Información sobre los registros de auditoría.
Usa la página Actividad
Puedes ver entradas de registro de auditoría abreviadas a nivel de proyecto en la página Actividad de tu proyecto en Cloud Console. Ve a Página principal > Actividad. Usa el Filtro para seleccionar las entradas que deseas ver. Las entradas de registro de auditoría reales pueden contener más información que la que aparece en la página Actividad.
En la página Actividad, donde la identidad que realiza las acciones registradas se oculta de la entrada de registro de auditoría, se muestra User (anonymized). Para obtener información detallada, lee la sección sobre identidades de usuario en registros de auditoría en esta página.
Exporta registros de auditoría
Puedes exportar las entradas de registro de auditoría a Cloud Logging o a ciertos servicios de Google Cloud.
Para exportar entradas de registro de auditoría fuera de Logging, crea un receptor de registros. Proporciona al receptor una consulta que especifique los tipos de registro de auditoría que deseas exportar; para ver ejemplos de consultas, ve a la sección sobre consultas de seguridad de registros.
Si deseas exportar entradas del registro de auditoría para una organización, cuenta o cuenta de facturación de Google Cloud, consulta Sumideros globales.
Retención de registros de auditoría
Las entradas individuales de registro de auditoría se conservan durante un período específico y, luego, se borran. Para obtener detalles sobre la cantidad de tiempo en que Logging retiene las entradas, revisa la información sobre retención en Cuotas y límites. Los registros de auditoría o sus entradas no podrán borrarse ni modificarse de otra manera.
| Tipo de registro de auditoría | Período de retención |
|---|---|
| Actividad del administrador | 400 días |
| Acceso a los datos | 30 días |
| Eventos del sistema | 400 días |
Para una retención más duradera, puedes exportar entradas de registro de auditoría como cualquier otra entrada de registro de Logging y conservarlas durante el tiempo que desees.
Identidades de los emisores en los registros de auditoría
Los registros de auditoría registran la identidad que realizó las operaciones registradas en el recurso de Google Cloud. La identidad del emisor se encuentra en el campo AuthenticationInfo de los objetos AuditLog.
En las siguientes circunstancias, la dirección de correo electrónico principal del emisor se oculta de los registros de auditoría si se cumplen todas estas condiciones:
- La operación es de solo lectura.
- La operación falla con un error de “permiso denegado”.
- Si la identidad es una cuenta de servicio y no es un miembro de la organización de Google Cloud asociada con el recurso. Si la identidad no es una cuenta de servicio, entonces esta condición no se aplica.
Además de las condiciones mencionadas anteriormente, lo siguiente se aplica a ciertos productos de Google Cloud:
API de App Engine heredada: No se recopilan las identidades.
BigQuery: Las identidades y las direcciones IP de los emisores, así como algunos nombres de recursos, están ocultos en los registros de auditoría, a menos que se cumplan algunas de las siguientes condiciones: Para obtener más información, consulta la descripción general de los registros de auditoría de BigQuery.
Si visualizas registros de auditoría en la página Actividad de Google Cloud Console, se mostrará User (anonymized) para las entradas de registro en las que la identidad esté oculta o vacía.
Servicios de Google que producen registros de auditoría
Para obtener una lista de los servicios de Google Cloud que proporcionan registros de auditoría, consulta los servicios de Google con registros de auditoría. Con el tiempo, todos los servicios de Google Cloud proporcionarán registros de auditoría.