Cloud Audit Logging

Cloud Audit Logging mantiene tres registros de auditoría para cada proyecto, carpeta y organización de Google Cloud: Actividad del administrador, Acceso a los datos y Evento del sistema. Los servicios de Google Cloud escriben entradas de registro de auditoría en esos registros para ayudarte a responder las preguntas “¿quién hizo qué, dónde y cuándo?” dentro de tus recursos de Google Cloud.

Para obtener una lista de los servicios de Google Cloud que proporcionan registros de auditoría, consulta los servicios de Google con registros de auditoría. Con el tiempo, todos los servicios de Google Cloud proporcionarán registros de auditoría.

Registros de auditoría de actividad del administrador

Los registros de auditoría de actividad del administrador contienen entradas de registro para las llamadas a la API y otras acciones administrativas que modifican la configuración o los metadatos de los recursos. Por ejemplo, registran en qué momento los usuarios crean instancias de VM o cambian los permisos de Cloud Identity and Access Management.

Para ver estos registros, debes tener la función de visor de registros de Logging o visualizador del proyecto de Cloud IAM.

Los registros de auditoría de actividad del administrador se escriben siempre; no puedes configurarlos ni inhabilitarlos. No se te cobra por tus registros de auditoría de actividad del administrador. Para obtener más información sobre los límites de uso de registros, consulta Cuotas y límites.

Registros de auditoría de acceso a los datos

Estos registros contienen llamadas a la API que leen la configuración o los metadatos de los recursos, así como llamadas a la API controladas por el usuario que crean, modifican o leen datos de los recursos que proporciona el usuario. Los registros de auditoría de acceso a los datos no registran las operaciones de acceso a los datos en recursos que se comparten de forma pública (disponibles para todos los usuarios o todos los usuarios autenticados) o a los que se puede acceder sin entrar en Google Cloud.

Para ver estos registros, debes tener las funciones de visor de registros privado de Logging o propietario del proyecto de Cloud IAM.

Los registros de auditoría de acceso a los datos están inhabilitados de forma predeterminada porque pueden ser bastante extensos; se deben habilitar explícitamente para que puedan escribirse. Es posible que se cobre el uso de registros adicionales en tu proyecto si habilitas los registros. Si deseas obtener instrucciones para habilitar y configurar los registros de auditoría de acceso a los datos, consulta la página Configura registros de acceso a los datos.

Para obtener más información sobre los límites de uso de registros, consulta Cuotas y límites. Para obtener información sobre los costos que podrían generarse, consulta la página Precios.

Registros de auditoría de eventos del sistema

Los registros de auditoría de eventos del sistema contienen entradas de registro para las acciones administrativas de Google Cloud que modifican la configuración de los recursos. Los sistemas de Google generan registros de auditoría de eventos del sistema; no son impulsados por la acción directa del usuario.

Para ver estos registros, debes tener la función de visor de registros de Logging o visualizador del proyecto de Cloud IAM.

Los registros de auditoría de eventos del sistema se escriben siempre; no puedes configurarlos ni inhabilitarlos. No se te cobrará por tus registros de auditoría de eventos del sistema. Para obtener más información sobre los límites de uso de registros, consulta Cuotas y límites.

Estructura de entradas de registro de auditoría

Cada entrada de registro de auditoría en Cloud Logging es un objeto del tipo LogEntry. Lo que distingue una entrada de registro de auditoría de otras entradas de registro es el campo protoPayload; este contiene un objeto AuditLog que almacena los datos del registro de auditoría.

Para aprender a leer y a interpretar las entradas de registro de auditoría, consulta Información sobre los registros de auditoría.

Visualiza los registros de auditoría

Si deseas encontrar y ver los registros de auditoría, debes conocer el identificador de la carpeta, la organización o el proyecto de Cloud de donde deseas ver la información de registro de auditoría. Además, puedes especificar otros campos LogEntry indexados, como resource.type. Para obtener más información, consulta Busca entradas de registro con rapidez.

A continuación, se muestran los nombres de los registros de auditoría que incluyen variables para los identificadores de la carpeta, la organización o el proyecto de Cloud.

   projects/project-id/logs/cloudaudit.googleapis.com%2Factivity
   projects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/project-id/logs/cloudaudit.googleapis.com%2Fsystem_event

   folders/folder-id/logs/cloudaudit.googleapis.com%2Factivity
   folders/folder-id/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/folder-id/logs/cloudaudit.googleapis.com%2Fsystem_event

   organizations/organization-id/logs/cloudaudit.googleapis.com%2Factivity
   organizations/organization-id/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/organization-id/logs/cloudaudit.googleapis.com%2Fsystem_event

Tienes varias opciones para ver las entradas de registro de auditoría.

Console

Puedes usar el visor de registros en Cloud Console a fin de recuperar las entradas de registro de auditoría de tu proyecto de Cloud:

  1. En Cloud Console, ve a la página Cloud Logging > Registros (Visor de registros):

    Ir a la página Visor de registros

  2. En Clásico, selecciona Obtén una vista previa del visor de registros nuevo.

  3. Selecciona un proyecto de Cloud existente.

  4. En el panel Compilador de consultas, sigue estos pasos:

    • En Recurso, selecciona el tipo de recurso de Google Cloud cuyos registros de auditoría deseas ver.

    • En Nombre del registro, selecciona el tipo de registro de auditoría que deseas ver:

    • En Registros de auditoría de actividad del administrador, selecciona activity.

    • En Registros de auditoría de acceso a los datos, selecciona data_access.

    • En Registros de auditoría de eventos del sistema, selecciona system_events.

    Si no ves estas opciones, significa que no hay registros de auditoría de ese tipo disponibles en el proyecto de Cloud.

    Para obtener más detalles sobre las consultas con el visor de registros nuevo, revisa Compila consultas de registro (vista previa).

API

Cuando compiles tus búsquedas, reemplaza las variables por valores válidos, sustituye el nombre o los identificadores de registro de auditoría adecuados a nivel de proyecto, de carpeta o de organización según se enumeran en los nombres de registro de auditoría. Por ejemplo, si la consulta incluye un project-id, el identificador del proyecto que proporcionas debe hacer referencia al proyecto de Cloud seleccionado.

Para ver las entradas de registro de auditoría con la API de Logging, sigue estos pasos:

  1. Ve a la sección prueba esta API en la documentación del método entries.list.

  2. Ingresa lo siguiente en el cuerpo de la solicitud del formulario Prueba esta API. Si haces clic en este formulario rellenado con anterioridad, se completará el cuerpo de la solicitud de manera automática, pero deberás proporcionar un project-id válido para cada nombre de registro.

    {
      "resourceNames": [
        "projects/project-id"
      ],
      "pageSize": 5,
      "filter": "logName : projects/project-id/logs/cloudaudit.googleapis.com"
    }
    
  3. Haz clic en Ejecutar.

Para obtener más detalles sobre las consultas, visita Lenguaje de consulta de Logging.

gcloud

La herramienta de línea de comandos de gcloud proporciona una interfaz de línea de comandos para la API de Cloud Logging. Proporciona un project-id, organization-id o folder-id válido en cada uno de los nombres de registro.

Para leer las entradas de registro de auditoría a nivel de proyecto de Google Cloud, ejecuta el siguiente comando:

gcloud logging read "logName : projects/project-id/logs/cloudaudit.googleapis.com" --project=project-id

Para leer las entradas de registro de auditoría a nivel de carpeta, ejecuta el siguiente comando:

gcloud logging read "logName : folders/folder-id/logs/cloudaudit.googleapis.com" --folder=folder-id

Para leer las entradas de registro de auditoría a nivel de organización, ejecuta el siguiente comando:

gcloud logging read "logName : organizations/organization-id/logs/cloudaudit.googleapis.com" --organization=organization-id

Para obtener más información sobre el uso de la herramienta de gcloud, consulta Lee entradas de registro.

Para obtener una entrada de registro de auditoría de muestra y aprender a buscar la información más importante en ella, consulta Comprende los registros de auditoría.

Usa la página Actividad

Puedes ver entradas de registro de auditoría abreviadas en la página Actividad de tu proyecto de Google Cloud en Cloud Console. Para ver entradas de registro de auditoría abreviadas, sigue estos pasos:

  1. Ve a la página Actividad

    Ir a la página Actividad

  2. En el selector de proyectos, selecciona el proyecto o la organización de Google Cloud cuyas entradas de registro de auditoría deseas ver.

  3. En el panel Filtro, selecciona las entradas que deseas ver.

Las entradas de registro de auditoría reales pueden contener más información de la que aparece en la página Actividad.

En la página Actividad, donde la identidad que realiza las acciones registradas se oculta de la entrada de registro de auditoría, se muestra User (anonymized). Para obtener información detallada, lee la sección sobre identidades de usuario en registros de auditoría en esta página.

Exporta registros de auditoría

Puedes exportar las entradas de registro de auditoría a Cloud Logging o a ciertos servicios de Google Cloud.

Para exportar entradas de registro de auditoría fuera de Logging, crea un receptor de registros. Proporciona al receptor una consulta que especifique los tipos de registro de auditoría que deseas exportar; para ver ejemplos de consultas, ve a la sección Consultas de seguridad de registros.

Si deseas exportar entradas de registro de auditoría para una organización, una carpeta o una cuenta de facturación de Google Cloud, revisa Receptores agregados.

Retención de registros de auditoría

Las entradas individuales de registro de auditoría se conservan durante un período específico y, luego, se borran. Para obtener detalles sobre la cantidad de tiempo en que Logging retiene las entradas, revisa la información sobre retención en Cuotas y límites. Los registros de auditoría o sus entradas no podrán borrarse ni modificarse de otra manera.

Tipo de registro de auditoría Período de retención
Actividad del administrador 400 días
Acceso a los datos 30 días
Eventos del sistema 400 días

Para una retención más duradera, puedes exportar entradas de registro de auditoría como cualquier otra entrada de registro de Logging y conservarlas durante el tiempo que desees.

Identidades de los emisores en los registros de auditoría

Los registros de auditoría registran la identidad que realizó las operaciones registradas en el recurso de Google Cloud. La identidad del emisor se encuentra en el campo AuthenticationInfo de los objetos AuditLog.

En las siguientes circunstancias, la dirección de correo electrónico principal del emisor se oculta de los registros de auditoría si se cumplen todas estas condiciones:

  • La operación es de solo lectura.
  • La operación falla con un error de “permiso denegado”.
  • Si la identidad es una cuenta de servicio y no es un miembro de la organización de Google Cloud asociada con el recurso. Si la identidad no es una cuenta de servicio, entonces esta condición no se aplica.

Además de las condiciones mencionadas antes, lo siguiente se aplica a ciertos productos de Google Cloud:

Si visualizas registros de auditoría en la página Actividad de Google Cloud Console, se mostrará User (anonymized) para las entradas de registro en las que la identidad esté oculta o vacía.

Servicios de Google que producen registros de auditoría

Para obtener una lista de los servicios de Google Cloud que proporcionan registros de auditoría, consulta los servicios de Google con registros de auditoría. Con el tiempo, todos los servicios de Google Cloud proporcionarán registros de auditoría.