Cloud Audit Logging

Cloud Audit Logging mantiene tres registros de auditoría para cada proyecto, carpeta y organización: actividad del administrador, eventos del sistema y acceso a los datos. Los servicios de Google Cloud Platform escriben entradas de registros de auditoría en estos registros para ayudarte a saber “¿quién hizo qué, dónde y cuándo?” en tus proyectos de GCP.

Si quieres obtener una lista de los servicios de GCP que escriben registros de auditoría, consulta Servicios que producen registros de auditoría. Todos los servicios de GCP terminarán por escribir registros de auditoría.

Registros de actividad del administrador

Los registros de actividad del administrador contienen entradas de registro de llamadas a la API o algunas otras acciones administrativas que modifican la configuración o los metadatos de los recursos. Por ejemplo, se registra cuándo se crean las instancias de VM y las aplicaciones de App Engine y cuándo se cambian los permisos. Para ver los registros, debes tener las funciones Lector de registros de Logging o Lector de proyectos de Cloud Identity and Access Management (IAM).

Los registros de actividad del administrador siempre están habilitados. No se te cobra por tus registros de auditoría de actividad del administrador. Para obtener más información, consulta Límites de uso de Logging.

Registros de eventos del sistema

Los registros de eventos del sistema contienen entradas de registros para cuando Compute Engine realiza un evento del sistema. Por ejemplo, cada migración en vivo se registra como un evento del sistema. Para ver los registros, debes tener las funciones Lector de registros de Logging o Lector de proyectos de Cloud IAM.

Los registros de eventos del sistema siempre están habilitados. No se te cobra por tus registros de auditoría de eventos del sistema. Para obtener más información, consulta Límites de uso de Logging.

Registros de acceso a los datos

Los registros de auditoría de acceso a los datos registran las llamadas a la API que crean, modifican o leen los datos proporcionados por el usuario. Para ver los registros, debes tener las funciones Visor de registros privados de Logging o Propietario de proyectos de Cloud IAM.

Los registros de auditoría de acceso a los datos no registran las operaciones de acceso a los datos en recursos que se comparten de manera pública (disponibles para todos los usuarios o todos los usuarios autenticados) o a los que se puede tener acceso sin entrar a GCP.

Estos registros están inhabilitados de forma predeterminada, ya que pueden ser bastante extensos. Es posible que se cobre el uso de registros adicionales en tu proyecto si habilitas los registros.

Los registros de acceso a los datos de BigQuery se manejan de forma diferente a otros registros de acceso a los datos. Los registros de BigQuery se habilitan de manera predeterminada y no pueden inhabilitarse. No cuentan en tu asignación de registros.

Para habilitar y configurar los registros de acceso a los datos, consulta Configura los registros de acceso a los datos.

Para obtener más información sobre las asignaciones de registros, consulta Límites de uso de Logging.

Estructura de entradas del registro de auditoría

Cada una de las entradas del registro de auditoría en Stackdriver Logging es un objeto de tipo LogEntry que se caracteriza por tener la siguiente información:

  • El proyecto o la organización que posee la entrada de registro
  • El recurso al que se aplica la entrada de registro. Esto consiste en un tipo de recurso de la Lista de recursos supervisados y valores adicionales que denotan una instancia específica
  • Un nombre de registro
  • Una marca de tiempo
  • Una carga útil, que es el tipo protoPayload. La carga útil de cada entrada del registro de auditoría es un objeto de tipo AuditLog, un búfer de protocolo, y contiene un campo, serviceData, que algunos servicios usan para guardar información adicional

Todas las entradas del registro de auditoría contienen el nombre de un registro de auditoría, un recurso y un servicio. Puedes usar estos nombres para filtrar las entradas del registro de auditoría:

  • Nombre del registro: las entradas del registro de auditoría pertenecen a registros dentro de proyectos, carpetas y organizaciones. A continuación, se enumeran los nombres de registros:
   projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
   projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_event

   folders/[FOLDER_ID]/logs/cloudaudit.googleapis.com%2Factivity
   folders/[FOLDER_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/[FOLDER_ID]/logs/cloudaudit.googleapis.com%2Fsystem_event

   organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Factivity
   organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fsystem_event

Dentro de un proyecto, una carpeta o una organización, estos nombres de registro se suelen abreviar activity, system_event y data_access.

  • Recurso: cada entrada del registro de auditoría incluye un recurso de algún tipo. Por ejemplo, puedes ver las entradas del registro de auditoría desde una sola instancia de VM de Compute Engine o desde todas las instancias de VM. Para ver la lista de tipos de recurso, consulta Tipos de recursos supervisados.

  • Servicio: los servicios son productos individuales de GCP, como Compute Engine, Cloud SQL o Cloud Pub/Sub. Cada servicio se identifica por su nombre: Compute Engine es compute.googleapis.com, Cloud SQL es cloudsql.googleapis.com, etcétera.

    Los tipos de recursos pertenecen a un solo servicio, pero un servicio puede tener varios tipos de recursos. Si deseas ver una lista de servicios y recursos, consulta Asigna servicios a recursos.

Para obtener más detalles, consulta Tipos de datos de los registros de auditoría.

Para aprender a leer y a interpretar las entradas del registro de auditoría, consulta Descripción de los registros de auditoría.

Visualiza los registros de auditoría

Tienes varias opciones para ver las entradas del registro de auditoría:

Visor básico

Para mostrar las entradas de los registros de auditoría, puedes usar la interfaz básica del visor de registros de GCP Console. Sigue estos pasos:

  1. Dirígete a la página Stackdriver Logging > Registros (Visor de registros) en GCP Console:

    Ir a la página Visor de registros

  2. Selecciona un proyecto de GCP existente en la parte superior de la página o crea un proyecto nuevo.

  3. En el primer menú desplegable, selecciona el tipo de recurso para ver sus registros de auditoría. Puedes seleccionar un recurso específico o Global para ver todos los recursos.

  4. En el segundo menú desplegable, selecciona el tipo de registro que deseas ver: activity en el caso de los registros de auditoría de actividad del administrador, data_access en el caso de los registros de auditoría de acceso a los datos y system_events en el caso de los registros de eventos del sistema.

    Si no ves ninguna de estas opciones, entonces no hay registros de auditoría de ese tipo disponibles en el proyecto.

Visor avanzado

Para mostrar las entradas de los registros de auditoría, puedes usar la interfaz avanzada del visor de registros de GCP Console. Sigue estos pasos:

  1. Dirígete a la página Stackdriver Logging > Registros (Visor de registros) en GCP Console:

    Ir a la página Visor de registros

  2. Selecciona un proyecto de GCP existente en la parte superior de la página o crea un proyecto nuevo.

  3. En el primer menú desplegable, selecciona el tipo de recurso para ver sus registros de auditoría. Puedes seleccionar un recurso específico o Global para ver todos los recursos.

  4. Haz clic en la flecha desplegable (⯆) en el extremo derecho del cuadro de filtro de búsqueda y selecciona Convertir en filtro avanzado.

  5. Crea un filtro que especifique aún más las entradas de registro que deseas ver. Para recuperar todos los registros de auditoría de tu proyecto, agrega el siguiente filtro. Suministra un [PRODUCT_ID] válido en cada uno de los nombres de registro.

      logName = ("projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
          OR "projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events"
          OR "projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access")
    

    Para obtener más detalles sobre los filtros, consulta Filtros avanzados de registros.

API

Realiza los siguientes pasos para ver las entradas del registro de auditoría a través de la API de Stackdriver Logging:

  1. Dirígete a la sección Prueba esta API en la documentación del método entries.list.

  2. Ingresa el siguiente fragmento en el Cuerpo de la solicitud del formulario Prueba esta API. Si haces clic en este formulario propagado con anterioridad, se completará el cuerpo de la solicitud de manera automática, pero deberás proporcionar un [PRODUCT_ID] válido para cada uno de los nombres de registro.

      {
        "resourceNames": [
          "projects/[PROJECT_ID]"
        ],
        "pageSize": 5,
        "filter": "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)"
      }
    
  3. Haz clic en Ejecutar.

Para obtener más detalles sobre los filtros, consulta Filtros avanzados de registros.

SDK

Para leer tus entradas de registro con el SDK de Cloud, ejecuta el siguiente comando. Suministra un [PRODUCT_ID] válido en cada uno de los nombres de registro.

gcloud logging read "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)

Para obtener más información sobre el uso del SDK de Cloud, consulta Lee entradas de registro.

Usa la página Actividad

Puedes ver entradas del registro de auditoría abreviadas a nivel de proyecto en la página Actividad en GCP Console. Consulta la Página principal > Actividad. Usa Filtro para seleccionar las entradas que deseas ver. Las entradas del registro de auditoría pueden contener más información de la que se ve en la página Actividad.

Ir a la página Actividad

En la página Actividad, donde la identidad que realiza las acciones registradas se oculta de la entrada del registro de auditoría, se puede ver User (anonymized). Consulta Identidades de usuario en los registros de auditoría para obtener más detalles.

Exporta registros de auditoría

Puedes exportar entradas del registro de auditoría a Stackdriver Logging o a ciertos servicios de GCP.

Para exportar entradas del registro de auditoría fuera de Stackdriver Logging, crea un receptor de registros. Dale al receptor un filtro que seleccione las entradas del registro de auditoría que quieres exportar.

Para obtener más información, consulta Descripción general de las exportaciones de registros.

Retención de registros de auditoría

Las entradas individuales del registro de auditoría se conservan durante un período específico y, luego, se borran. En la política de cuotas de Logging se explica por cuánto tiempo se conservan las entradas de registro. No puedes borrar o modificar los registros de auditoría o sus entradas.

Tipo de registro de auditoría Período de retención
Actividad del administrador 400 días
Acceso a los datos 30 días
Eventos del sistema 400 días

Para una retención más larga, puedes exportar entradas del registro de auditoría como cualquier otra entrada de registro de Logging y mantenerlas por el tiempo que desees.

Identidades de usuario en los registros de auditoría

Los registros de auditoría registran la identidad del que realizó las acciones registradas. La identidad se mantiene en el campo AuthenticationInfo de los objetos AuditLog.

En las siguientes circunstancias, la identidad no está disponible o está oculta:

  • Todos los registros de auditoría: por motivos de privacidad, la dirección de correo electrónico principal está oculta para todas las operaciones de solo lectura que fallan con un error de “permiso denegado”.

  • App Engine: las identidades no se recopilan de la API de App Engine heredada.

  • BigQuery: las identidades y las direcciones IP de emisores están ocultas en los registros de auditoría, a menos que se cumpla una de las siguientes condiciones:

    • Este no es un acceso de solo lectura.
    • La identidad es una cuenta de servicio que pertenece al proyecto.
    • La identidad es un miembro del dominio asociado con el proyecto.

    El dominio del proyecto en este contexto es una configuración de BigQuery. Si quieres cambiar el dominio asociado con tu proyecto, comunícate con la asistencia de BigQuery.

    Hay reglas adicionales que se aplican para el acceso entre varios proyectos:

    Aquí, el proyecto de facturación es el que emite la solicitud y el proyecto de datos es aquel a cuyos recursos también se accede durante el trabajo. Un ejemplo sería un trabajo de consulta en un proyecto de facturación que lee algunos datos de la tabla del proyecto de datos.

    El ID del recurso del proyecto de facturación se ocultará del registro del proyecto de datos, a menos que los proyectos tengan el mismo dominio asociado a ellos o estén en la misma organización.

    Las identidades y direcciones IP de emisores se ocultarán del registro del proyecto de datos, a menos que se cumpla con una de las condiciones anteriores o una de las que se presentan a continuación:

    • El proyecto de facturación y el de datos tienen el mismo dominio asociado con ellos o están en la misma organización, y el proyecto de facturación ya incluye la identidad y la dirección IP del emisor.
    • La identidad tiene permiso para ejecutar consultas en el proyecto y la acción es job.insert.

Si ves los registros de auditoría en la página Activity de Google Cloud Platform Console, puedes ver User (anonymized) en cualquier entrada de registro en la que la identidad esté oculta o vacía.

Servicios de GCP que producen registros de auditoría

En la siguiente tabla se enumeran los servicios de Google Cloud Platform que escriben registros de auditoría de actividad del administrador o de acceso a los datos. GA indica que un tipo de registro suele estar disponible para un servicio; Beta indica que un tipo de registro está disponible, pero puede cambiarse de maneras incompatibles con versiones anteriores y no está sujeto a ningún ANS ni a una política de baja. Todos los servicios de GCP terminarán por escribir registros de auditoría.

Para ver una lista de nombres de servicios de la API de Stackdriver Logging, consulta Asigna servicios a recursos.

Para habilitar los registros de acceso a los datos, consulta Configura los registros de acceso a los datos.

Servicios con registros de auditoría Registros
de actividad
del administrador
Registros
de acceso
de datos
App Engine GA No disponible1
Application Identity4 Beta No disponible1
BigQuery GA GA2
Cloud AutoML Beta Beta
Cloud Bigtable Beta No disponible1
Cloud Billing Beta No disponible1
Cloud Composer GA No disponible1
Cloud Dataflow GA No disponible1
Cloud Dataproc GA GA
Cloud Datastore GA GA6
Cloud Deployment Manager GA GA
Cloud Data Loss Prevention GA GA
Cloud DNS GA GA
Cloud Functions Beta Beta
Cloud Genomics Beta Beta
Cloud Identity and Access Management GA GA
Cloud Identity-Aware Proxy No disponible3 GA
Cloud IoT Core GA GA
Cloud Key Management Service GA GA
Cloud Memorystore Beta Beta
Cloud Machine Learning Engine Beta Beta
Cloud Pub/Sub Beta Beta
Cloud Source Repositories GA GA
Cloud Spanner GA GA
Cloud SQL GA GA
Cloud Storage5 GA GA
Compute Engine GA GA
Compute Engine Serial Port Access GA No disponible1
Container Analysis Beta Beta
Cloud Build GA GA
Dialogflow Enterprise Edition No disponible3 Beta
Google Kubernetes Engine Beta Beta
Service Management GA No disponible1
Resource Manager GA GA
Stackdriver Debugger GA GA
Stackdriver Error Reporting GA GA
Stackdriver Logging GA GA
Stackdriver Monitoring GA GA
Stackdriver Trace No disponible3 GA
Stackdriver Profiler No disponible3 Beta

1: este servicio no produce registros de acceso a los datos.
2: los registros de acceso a los datos de BigQuery están habilitados de manera predeterminada y no se cuentan en tu asignación de registros.
3: este servicio no produce registros de actividad del administrador.
4: audita ID de clientes y marcas de OAuth 2.0.
5: aún no incluye información de solicitud o de respuesta.
6: Audita solicitudes para iniciar operaciones administradas de importación o de exportación. La auditoría no incluye registros de lectura o escritura de entidades específicas para estas operaciones.

¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…

Stackdriver Logging
¿Necesitas ayuda? Visita nuestra página de asistencia.