Cloud Audit Logging

O Cloud Audit Logging mantém três registros de auditoria para cada projeto, pasta e organização: Atividade do administrador, Acesso a dados e Evento do sistema. Os serviços do Google Cloud Platform gravam entradas de registro de auditoria nesses registros para ajudar você a responder às perguntas "quem fez o quê, onde e quando?" nos projetos do GCP.

Para ver uma lista de serviços do GCP que oferecem registros de auditoria, acesse Serviços que geram registros de auditoria. Todos os serviços do GCP acabam gerando registros de auditoria.

Registros de auditoria de atividade do administrador

Os registros de auditoria de atividade do administrador contêm as entradas de registro das chamadas de API ou outras ações administrativas que modificam a configuração ou os metadados dos recursos. Por exemplo, esses registros são gravados quando os usuários criam instâncias de VM ou alteram permissões do Cloud Identity and Access Management.

Para visualizá-los, é necessário ter o papel Geração de registros/Visualizador de registros ou Projeto/Visualizador do Cloud IAM.

Os registros de auditoria de atividade do administrador estão sempre ativados. Não há cobrança para eles. Para saber detalhes sobre os limites de uso de geração de registros, acesse Cotas e limites.

Registros de auditoria de acesso a dados

Os registros de auditoria de acesso a dados contêm as chamadas de API que leem a configuração ou os metadados dos recursos. Eles também incluem as chamadas de API com base no usuário, que criam, modificam ou leem os dados dos recursos inseridos pelo usuário. Os registros de auditoria de acesso a dados não gravam as operações de acesso a dados em recursos compartilhados publicamente (disponíveis para Todos os usuários ou Todos os usuários autenticados) ou que podem ser acessados sem fazer login no GCP.

Para visualizá-los, você precisa ter o papel Geração de registros/Visualizador de registros particulares ou Projeto/Proprietário do Cloud IAM.

Por padrão, os registros de auditoria de acesso a dados estão desativados porque eles podem ser muito grandes. Para serem gravados, eles precisam ser claramente ativados. A ativação dos registros pode resultar em cobranças pelo uso de outros registros no projeto. Para instruções sobre como ativar e configurar os registros de auditoria de acesso a dados, consulte Como configurar registros de acesso a dados.

Os registros de auditoria de acesso a dados do BigQuery são tratados de maneira diferente dos outros registros de auditoria de acesso a dados. Os registros do BigQuery sempre são gravados e não podem ser desativados. Eles não são considerados nas cotas de registros e são gratuitos.

Para saber detalhes sobre os limites de uso de geração de registros, acesse Cotas e limites. Para saber detalhes sobre os custos que podem ser incorridos, acesse Preços.

Registros de auditoria de evento do sistema

Os registros de auditoria de evento do sistema contêm as entradas de registro das ações administrativas do GCP que modificam a configuração dos recursos. Esses registros são gerados pelos sistemas do Google e não são definidos pela ação direta do usuário.

Para visualizá-los, é necessário ter o papel Geração de registros/Visualizador de registros ou Projeto/Visualizador do Cloud IAM.

Os registros de auditoria de evento do sistema estão sempre ativados. Não há cobrança para os registros de auditoria de eventos do sistema. Para saber detalhes sobre os limites de uso de geração de registros, acesse Cotas e limites.

Estrutura da entrada de registro de auditoria

Toda entrada de registro de auditoria no Stackdriver Logging é um objeto do tipo LogEntry, caracterizado pelas seguintes informações:

  • O projeto ou organização que tem a entrada de registro.
  • O recurso a que a entrada de registro se aplica. Isso consiste em um tipo de recurso da Lista de recursos monitorados (em inglês) e outros valores que indicam uma instância específica.
  • Um nome de registro.
  • Um carimbo de data/hora.
  • Um payload, que é o tipo protoPayload. O payload de cada entrada de registro de auditoria é um objeto do tipo AuditLog, um buffer de protocolo, e contém um campo serviceData, que alguns serviços usam para armazenar outras informações.

Todas as entradas de registro de auditoria contêm o nome de um registro de auditoria, um recurso e um serviço. Use esses nomes para filtrar entradas de registro de auditoria:

  • Nome do registro: as entradas de registro de auditoria pertencem a registros em projetos, pastas e organizações. Os nomes dos registros estão listados abaixo:
   projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
   projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

   folders/[FOLDER_ID]/logs/cloudaudit.googleapis.com%2Factivity
   folders/[FOLDER_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/[FOLDER_ID]/logs/cloudaudit.googleapis.com%2Fsystem_event

   organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Factivity
   organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fsystem_event

Em um projeto, pasta ou organização, esses nomes de registro geralmente são abreviados como activity, data_access e system_event.

  • Recurso: cada entrada de registro de auditoria inclui um recurso de algum tipo. Por exemplo, é possível ver as entradas de registro de auditoria de uma única instância de VM do Compute Engine ou de todas as instâncias de VM. Essas informações são listadas no campo resource.type da entrada do registro de auditoria.

    Para ver a lista de tipos de recursos, acesse Tipos de recursos monitorados.

  • Serviço: os serviços são produtos individuais do GCP, como Compute Engine, Cloud SQL ou Cloud Pub/Sub. Cada serviço é identificado pelo nome: Compute Engine é compute.googleapis.com, Cloud SQL é cloudsql.googleapis.com e assim por diante. Essa informação está listada no campo protoPayload.serviceName da entrada de registro de auditoria.

    Os tipos de recursos pertencem a um único serviço, mas um serviço pode ter vários tipos de recursos. Para ver uma lista de serviços e recursos, acesse Como mapear serviços para recursos.

Para mais detalhes, acesse Tipos de dados de registros de auditoria.

Para saber como ler e interpretar as entradas de registro de auditoria, consulte Noções básicas sobre registros de auditoria.

Como ver registros de auditoria

Você tem várias opções para visualizar suas entradas de registro de auditoria:

Visualizador básico

É possível usar a interface básica do visualizador de registros no Console do GCP para recuperar entradas de registros de auditoria. Para isso, siga as etapas abaixo:

  1. Acesse Stackdriver Logging > Registros (página "visualizador de registros") no Console do GCP:

    Acessar a página "visualizador de registros"

  2. Selecione um projeto do GCP na parte superior da página ou crie um novo.

  3. No primeiro menu suspenso, selecione o tipo de recurso que tem os registros de auditoria que você quer ver. É possível selecionar um recurso específico ou Global para ver todos os recursos.

  4. No segundo menu suspenso, selecione o tipo de registro que você quer ver: activity para registros de auditoria das atividades do administrador, data_access para registros de auditoria de acesso a dados e system_events para registros de eventos do sistema.

    Se nenhuma dessas opções for exibida, isso indicará que não há registros de auditoria desse tipo disponíveis no projeto.

Visualizador avançado

É possível usar a interface avançada do visualizador de registros no Console do GCP para recuperar suas entradas de registros de auditoria. Para isso, siga as etapas abaixo:

  1. Acesse Stackdriver Logging > Registros (página "visualizador de registros") no Console do GCP:

    Acessar a página "visualizador de registros"

  2. Selecione um projeto do GCP na parte superior da página ou crie um novo.

  3. No primeiro menu suspenso, selecione o tipo de recurso que tem os registros de auditoria que você quer ver. É possível selecionar um recurso específico ou Global para ver todos os recursos.

  4. Clique na seta suspensa (▾) na extrema direita da caixa do filtro de pesquisa e selecione Converter para filtro avançado.

  5. Crie um filtro que especifique ainda mais as entradas de registros que você quer ver. Para recuperar todos os registros de auditoria do projeto, adicione o filtro a seguir. Insira um [PROJECT_ID] válido em cada um dos nomes de registro.

      logName = ("projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
          OR "projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events"
          OR "projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access")
    

    Para mais detalhes sobre filtros, consulte Filtros de registros avançados.

API

Para ver suas entradas de registros de auditoria usando a API Stackdriver Logging, siga estas etapas:

  1. Acesse a seção Testar esta API na documentação do método entries.list.

  2. Digite o seguinte na parte do Corpo da solicitação do formulário Teste esta API. Ao clicar neste formulário pré-preenchido (em inglês), o corpo da solicitação será automaticamente preenchido. No entanto, será preciso fornecer um [PROJECT_ID] válido em cada um dos nomes de registro.

      {
        "resourceNames": [
          "projects/[PROJECT_ID]"
        ],
        "pageSize": 5,
        "filter": "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)"
      }
    
  3. Clique em Executar.

Para mais detalhes sobre filtros, consulte Filtros de registros avançados.

SDK

Para ler suas entradas de registros usando o SDK do Cloud, execute o comando abaixo. Insira um [PROJECT_ID] válido em cada um dos nomes de registro.

gcloud logging read "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)

Consulte Como ler entradas de registro para mais informações sobre como usar o SDK do Cloud.

Como usar a página "Atividade"

Veja as entradas de registro de auditoria abreviadas para envolvidos no projeto na página Atividade do projeto no Console do GCP. Acesse a página Início > Atividade. Use o Filtro para selecionar as entradas que você quer visualizar. As entradas reais do registro de auditoria podem conter mais informações do que a página Atividade.

Acessar a página Atividade

O User (anonymized) é exibido na página "Atividade", em que a identidade que realiza as ações registradas é editada com base na entrada do registro de auditoria. Para mais detalhes, acesse Identidades de usuário nos registros de auditoria.

Como exportar registros de auditoria

Também é possível exportar entradas de registro de auditoria para o Stackdriver Logging ou para determinados serviços do GCP.

Para exportar entradas de registro de auditoria fora do Logging, crie um coletor de registros. Forneça ao coletor um filtro que especifique os tipos de registro de auditoria que você quer exportar. Para exemplos de filtros, acesse Filtros de registro de segurança (em inglês).

Se quiser exportar entradas de registro de auditoria para uma organização, pasta ou conta de faturamento do GCP, analise as exportações agregadas.

Retenção de registros de auditoria

Entradas individuais de registro de auditoria são mantidas por um período específico e depois excluídas. Para saber detalhes sobre o período de retenção das entradas de registro no Logging, consulte as informações relevantes em Cotas e limites. Não é possível excluir ou modificar registros de auditoria nem as entradas deles.

Tipo de registro de auditoria Período de retenção
Atividade do administrador 400 dias
Acesso aos dados 30 dias
Evento de sistema 400 dias

Para uma retenção por um período mais longo, é possível exportar entradas de registro de auditoria como qualquer outra entrada de registro do Stackdriver Logging e mantê-las durante o tempo necessário.

Identidades de usuário nos registros de auditoria

Os registros de auditoria gravam a identidade que executou as ações registradas. A identidade é armazenada no campo AuthenticationInfo dos objetos AuditLog.

Nas circunstâncias a seguir, a identidade não está disponível ou encontra-se editada:

  • Todos os registros de auditoria: por motivos de privacidade, o endereço de e-mail principal é editado em todas as operações somente leitura que falham com um erro "permissão negada".

  • App Engine: as identidades não são coletadas da API App Engine legada.

  • BigQuery: atualmente, as identidades e os endereços IP do autor da chamada são editados nos registros de auditoria, a não ser que pelo menos uma das seguintes condições seja atendida:

    • Não se trata de um acesso somente de leitura.
    • A identidade é uma conta de serviço que pertence ao projeto.
    • A identidade é um membro do domínio associado ao projeto.

    O domínio do projeto nesse contexto é uma configuração de BigQuery. Se você quiser alterar o domínio associado ao projeto, entre em contato com o suporte do BigQuery..

    Existem outras regras que se aplicam ao acesso entre projetos:

    Aqui, o projeto de faturamento é o que está emitindo a solicitação, e o projeto de dados é aquele com recursos também acessados durante o job. Um exemplo é o job de consulta em um projeto de faturamento que lê alguns dados da tabela pelo projeto de dados.

    O código do recurso do projeto de faturamento será editado pelo registro do projeto de dados, a menos que os projetos tenham o mesmo domínio associado ou estejam na mesma organização.

    As identidades e os endereços IP do autor da chamada serão editados pelo registro do projeto de dados, a menos que uma das condições acima seja aplicável ou:

    • o projeto de faturamento e o projeto de dados tenha o mesmo domínio associado a eles ou estejam na mesma organização e o projeto de faturamento já inclua a identidade e o endereço IP do autor da chamada.
    • o usuário tenha permissão para gerar consultas no projeto e a ação seja do tipo job.insert.

Se você estiver visualizando os registros de auditoria na página Atividade do Console do Google Cloud Platform, o User (anonymized) será exibido para todas as entradas de registro em que a identidade seja editada ou esteja vazia.

Serviços do Google que geram registros de auditoria

As tabelas abaixo listam os serviços do Google que gravam registros de auditoria de Atividade do administrador ou Acesso a dados. GA indica que um tipo de registro tem disponibilidade geral para um serviço. Beta indica que um tipo de registro está disponível, mas pode ser alterado de maneira incompatível com versões anteriores e não está sujeito a qualquer SLA ou política de suspensão de uso.

Serviços do GCP que geram registros de auditoria

Serviços GCP com registros de auditoria Registros de
atividade do
administrador
Registros de
acesso de
dados
API Access Approval Beta n/a1
App Engine GA n/a1
Application Identity4 Beta n/a1
BigQuery GA GA2
Cloud AutoML Beta Beta
Cloud Bigtable Beta n/a1
Cloud Billing Beta n/a1
Cloud Composer GA n/a1
Cloud Dataflow GA n/a1
Cloud Dataproc GA GA
Cloud Datastore GA GA6
Cloud Deployment Manager GA GA
Cloud Data Loss Prevention GA GA
Cloud DNS GA GA
Cloud Functions GA GA
Cloud Genomics Beta Beta
Cloud Healthcare Beta Beta
Cloud Identity and Access Management GA GA
Cloud Identity-Aware Proxy n/a3 GA
Cloud IoT Core GA GA
Cloud Key Management Service GA GA
Cloud Memorystore Beta Beta
AI Platform Beta Beta
Cloud Pub/Sub GA GA
Cloud Run Beta Beta
Cloud Source Repositories GA GA
Cloud Spanner GA GA
Cloud SQL GA GA
Cloud Storage5 GA GA
Cloud AutoML Vision GA n/a1
Compute Engine7 GA GA
Acesso à porta serial do Compute Engine GA n/a1
Container Analysis Beta Beta
Cloud Build GA GA
Dialogflow GA GA
Google Kubernetes Engine GA GA
Service Management GA n/a1
Resource Manager GA GA
Stackdriver Debugger GA GA
Stackdriver Error Reporting GA GA
Stackdriver Logging GA GA
Stackdriver Monitoring GA GA
Stackdriver Trace n/a3 GA
Stackdriver Profiler n/a3 GA

Serviços do G Suite que produzem registros de auditoria

Serviços do G Suite com registros de auditoria Registros de
atividade do
administrador
Registros de
acesso de
dados
Grupos empresariais GA n/a1

O nome do registro de auditoria do G Suite é organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Factivity. Os registros de auditoria do G Suite usam o tipo de recurso audited_resource.

Para mais contextualização, leia o artigo na Ajuda do Administrador do G Suite.

1: este serviço não gera registros de auditoria de acesso a dados.
2: por padrão, os registros de auditoria de acesso a dados do BigQuery estão ativados e não são considerados na cota de registros.
3: este serviço não gera registros de auditoria de atividade do administrador.
4: faz auditoria dos IDs de clientes e marcas do OAuth 2.0.
5: ainda não inclui informações de solicitação/resposta.
6: audita solicitações para iniciar operações de importação ou exportação gerenciadas. A auditoria não inclui registros de leitura/gravação específicos da entidade para essas operações.
7: o Compute Engine também gera registros de auditoria de evento do sistema.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Stackdriver Logging
Precisa de ajuda? Acesse nossa página de suporte.