Información de registro de auditoría de G Suite

En esta página, se describen los registros de auditoría que proporciona G Suite como parte de los registros de auditoría de Cloud.

Descripción general

Los servicios de Google Cloud escriben registros de auditoría para ayudarte a responder las preguntas “¿Quién hizo qué, dónde y cuándo?”. Puedes compartir los registros de auditoría de G Suite con Google Cloud para almacenar, buscar, analizar, supervisar y generar alertas sobre los datos de registros de auditoría de G Suite.

Los registros de auditoría de Cloud mantienen tres tipos de registros para los recursos de Google Cloud:

  • Registros de auditoría de actividad del administrador: En estos registros, se registran las operaciones que modifican la configuración o los metadatos de un recurso.
  • Registros de auditoría de acceso a los datos: Estos registros contienen llamadas a la API que leen la configuración o los metadatos de los recursos, y llamadas a la API que el usuario administra para crear, modificar o leer datos de los recursos que proporciona el usuario. En los registros de auditoría de acceso a los datos, no se registran las operaciones de acceso a los datos en los recursos compartidos de manera pública (disponibles para todos los usuarios o todos los usuarios autenticados) o a los que se puede acceder sin una cuenta de G Suite, Cloud Identity o Drive Enterprise.
  • Registros de auditoría de eventos del sistema: Estos registros contienen entradas de registro para las acciones administrativas de Google Cloud que modifican la configuración de los recursos.

G Suite proporciona registros de auditoría a nivel de la organización de Google Cloud de la siguiente manera:

Para obtener una descripción general de los registros de auditoría de Cloud, ve a Cloud Audit Logging. Si deseas obtener una explicación más detallada sobre el tema, consulta Comprende los registros de auditoría.

Primeros pasos: Comparte datos de G Suite

Si deseas habilitar el uso compartido de datos de G Suite con los registros de auditoría de Cloud desde tu cuenta de G Suite, Cloud Identity o Drive Enterprise, consulta este artículo de ayuda para administradores de G Suite a fin de obtener instrucciones.

Si habilitas el uso compartido de datos de G Suite con Google Cloud, no puedes inhabilitar de forma selectiva los registros de auditoría de G Suite mediante la página IAM y administración > Registros de auditoría de Google Cloud Console. Sin embargo, puedes hacerlo mediante exclusiones de registros.

Si está habilitado el uso compartido de datos de G Suite con Google Cloud, los registros de auditoría de G Suite siempre están habilitados. Inhabilitar el uso compartido de datos de G Suite evita que los eventos de registro de auditoría de G Suite nuevos se envíen a los registros de auditoría de Cloud, pero los registros existentes se mantienen durante los períodos de retención predeterminados, a menos que hayas configurado la retención personalizada para conservarlos durante un período más largo.

Información específica del servicio

Estos son los detalles de los registros de auditoría de cada servicio de G Suite:

Permisos de registro de auditoría

En Google Cloud, los permisos y las funciones de Cloud Identity and Access Management determinan qué registros de auditoría puedes ver o exportar. Los registros de auditoría de G Suite se encuentran en las organizaciones de Google Cloud.

Para ver los registros de auditoría de actividad del administrador, debes tener una de las siguientes funciones de Cloud IAM en la organización de Google Cloud que contiene los registros de auditoría:

Para ver los registros de auditoría de acceso a los datos, debes tener una de las siguientes funciones en la organización de Google Cloud que contiene los registros de auditoría:

Para obtener más información, consulta Comprende las funciones.

Formato de registro de auditoría

Las entradas del registro de auditoría de G Suite, que se pueden ver en Cloud Logging mediante el visor de registros de vista previa, la API de Cloud Logging o la herramienta de línea de comandos de gcloud, incluyen los siguientes objetos:

  • La entrada de registro, que es un objeto de tipo LogEntry. Los campos útiles incluyen los siguientes elementos:

    • logName contiene la identificación del proyecto y el tipo de registro de auditoría.
    • resource contiene el objetivo de la operación auditada.
    • timeStamp contiene el tiempo de la operación auditada.
    • protoPayload contiene la información auditada.
  • Los datos de registro de auditoría, que son un objeto AuditLog alojado en el campo protoPayload de la entrada de registro.

  • La información opcional de auditoría específica del servicio, que es un objeto específico del servicio alojado en el campo serviceData del objeto AuditLog. Para obtener más información, ve a Datos de auditoría específicos del servicio.

Para obtener información sobre otros campos en estos objetos, además de cómo interpretarlos, consulta Comprende los registros de auditoría.

Visualiza registros

Para encontrar y ver los registros de auditoría en Logging, debes conocer el identificador de la organización de Google Cloud cuya información del registro de auditoría deseas ver. Además, puedes especificar otros campos LogEntry indexados, como resource.type. Para obtener más información, consulta Busca entradas de registro con rapidez.

Estos son los nombres de los registros de auditoría de G Suite:

   organizations/organization-id/logs/cloudaudit.googleapis.com%2Factivity
   organizations/organization-id/logs/cloudaudit.googleapis.com%2Fdata_access

Tienes varias opciones para ver las entradas de registro de auditoría.

CLOUD CONSOLE

Para recuperar las entradas de registro de auditoría de la organización de Google Cloud mediante el visor de registros (vista previa) en Google Cloud Console, sigue estos pasos:

  1. Ve a la página Logging y Registros (visor de registros):

    Ir a la página Visor de registros

  2. Selecciona un proyecto existente de Google Cloud en la parte superior de la página.

  3. En el menú del selector de versiones, cambia la versión del visor de registros de Clásico a Vista previa.

    Ahora estás en el visor de registros (vista previa).

  4. En el menú Selector de proyectos, selecciona una organización.

  5. En el menú desplegable Recurso, selecciona el tipo de recurso cuyos registros de auditoría deseas ver.

  6. En el menú desplegable Nombre del registro, selecciona data_access si deseas ver los registros de auditoría de acceso a los datos o activity para ver los registros de auditoría de actividad del administrador.

    Si no ves estas opciones, se debe a que estos registros de auditoría no están disponibles en la organización en este momento.

Ve a la interfaz del visor de registros (vista previa) para obtener más información.

API

Para ver las entradas de registro de auditoría con la API de Logging, sigue estos pasos:

  1. Ve a la sección Prueba esta API en la documentación del método entries.list.

  2. Ingresa lo siguiente en el cuerpo de la solicitud del formulario Prueba esta API. Si haces clic en este formulario rellenado con anterioridad, se completará el cuerpo de la solicitud de manera automática, pero deberás proporcionar un organization-id válido para cada nombre de registro.

          {
            "resourceNames": [
              "organizations/organization-id"
            ],
            "pageSize": 5,
            "filter": "logName : organizations/organization-id/logs/cloudaudit.googleapis.com"
          }
    
  3. Haz clic en Ejecutar.

Para obtener más detalles sobre las consultas, consulta Lenguaje de consulta de Logging.

GCLOUD

La herramienta de línea de comandos de gcloud tiene un grupo de comandos, gcloud logging, que proporciona una interfaz de línea de comandos a la API de Cloud Logging. Para leer las entradas de registro, ejecuta el siguiente comando. Proporciona un organization-id válido en todos los nombres de registro.

    gcloud logging read "logName : organizations/organization-id/logs/cloudaudit.googleapis.com"

Consulta Lee entradas de registro para obtener más información sobre el uso de la herramienta de línea de comandos de gcloud.

Administra registros de auditoría

Para mantener registros de auditoría por más tiempo que los períodos de retención predeterminados, puedes configurar la retención personalizada.

También puedes exportar registros de auditoría de G Suite desde Cloud Logging de la misma manera que exportas otros tipos de registros. Para obtener más información sobre el proceso, consulta Exporta registros.

Estas son algunas de las aplicaciones de la exportación de registros de auditoría:

  • Para usar capacidades de búsqueda más potentes, puedes exportar copias de los registros de auditoría a Cloud Storage, BigQuery o Pub/Sub. Mediante Pub/Sub, puedes exportar a otras aplicaciones, otros repositorios y a terceros.

  • Para administrar los registros de auditoría en toda la organización, puedes crear receptores agregados que puedan exportar registros desde cualquier proyecto de la organización o desde todos los proyectos.

Precios

Por el momento, los registros a nivel de la organización de G Suite son gratuitos.