Información general sobre los registros de auditoría de Cloud

En este documento se ofrece una descripción general conceptual de los registros de auditoría de Cloud.

LosGoogle Cloud servicios escriben registros de auditoría que registran las actividades administrativas y los accesos a tus Google Cloud recursos. Los registros de auditoría te ayudan a responder a la pregunta "¿Quién hizo qué, dónde y cuándo?" en tus Google Cloud recursos con el mismo nivel de transparencia que en los entornos locales. Habilitar los registros de auditoría ayuda a tus entidades de seguridad, auditoría y cumplimiento a monitorizarGoogle Cloud datos y sistemas en busca de posibles vulnerabilidades o usos indebidos de datos externos.

Google Cloud servicios que generan registros de auditoría

Para ver una lista de los Google Cloud servicios que proporcionan registros de auditoría, consulta los Google Cloud servicios con registros de auditoría. Todos los servicios deGoogle Cloud proporcionarán registros de auditoría.

Para obtener una descripción general de los registros de auditoría de Google Workspace, consulta el artículo Registros de auditoría de Google Workspace.

Roles obligatorios

Para ver los registros de auditoría, debes tener los permisos y roles de Gestión de Identidades y Accesos (IAM) adecuados:

  • Para obtener los permisos que necesitas para tener acceso de solo lectura a los registros de auditoría de actividad del administrador, de denegación de políticas y de eventos del sistema, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Visualizador de registros (roles/logging.viewer) en tu proyecto.

    Si solo tienes el rol Visualizador de registros (roles/logging.viewer), no puedes ver los registros de auditoría de acceso a datos que se encuentran en el contenedor _Default.

  • Para obtener los permisos que necesitas para acceder a todos los registros de los segmentos _Required y _Default, incluidos los registros de acceso a datos, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Lector de registros privados (roles/logging.privateLogViewer) en tu proyecto.

    El rol Visualizador de registros privados (roles/logging.privateLogViewer) incluye los permisos del rol Visualizador de registros (roles/logging.viewer) y los necesarios para leer los registros de auditoría de acceso a los datos en el contenedor _Default.

Para obtener más información sobre los permisos y roles de gestión de identidades y accesos que se aplican a los datos de los registros de auditoría, consulta el artículo sobre el control de acceso con gestión de identidades y accesos.

Tipos de registros de auditoría

Cloud Audit Logs proporciona los siguientes registros de auditoría para cadaGoogle Cloud proyecto, carpeta y organización:

Registros de auditoría de la actividad administrativa

Los registros de auditoría de actividad de administración son entradas de registro escritas por llamadas a la API iniciadas por el usuario u otras acciones que modifican la configuración o los metadatos de los recursos. Por ejemplo, estos registros recogen cuándo crean los usuarios instancias de VM o cambian los permisos de gestión de identidades y accesos.

Los registros de auditoría de actividad de administración siempre se escriben; no puedes configurarlos, excluirlos ni inhabilitarlos. Aunque inhabilite la API Cloud Logging, se seguirán generando registros de auditoría de la actividad del administrador.

Para ver una lista de los servicios que escriben registros de auditoría de actividad de administrador e información detallada sobre las actividades que generan esos registros, consulta los Google Cloud servicios con registros de auditoría.

Registros de auditoría de acceso a los datos

Los registros de auditoría de acceso a datos son entradas de registro escritas por llamadas a la API que leen la configuración o los metadatos de los recursos. También se escriben mediante llamadas a la API controladas por el usuario que crean, modifican o leen datos de recursos proporcionados por el usuario.

Los recursos disponibles públicamente que tienen las políticas de gestión de identidades y accesos allAuthenticatedUsers o allUsers no generan registros de auditoría. Los recursos a los que se puede acceder sin iniciar sesión en una cuenta de Google Cloud, Google Workspace, Cloud Identity o Drive Enterprise no generan registros de auditoría. De esta forma, se protegen las identidades y la información de los usuarios finales.

Los registros de auditoría de acceso a datos (excepto los de BigQuery) están inhabilitados de forma predeterminada porque pueden ser bastante grandes. Si quieres que se escriban registros de auditoría de acceso a los datos para Google Cloud servicios distintos de BigQuery, debes habilitarlos explícitamente. Si habilitas los registros, es posible que se te cobre por el uso adicional de registros de tu proyecto. Google Cloud Para obtener instrucciones sobre cómo habilitar y configurar los registros de auditoría de acceso a datos, consulta el artículo Habilitar registros de auditoría de acceso a datos.

Para ver una lista de los servicios que escriben registros de auditoría de acceso a datos e información detallada sobre las actividades que generan esos registros, consulta los Google Cloud servicios con registros de auditoría.

Los registros de auditoría de acceso a los datos se almacenan en el segmento de registros _Default, a menos que los hayas dirigido a otro lugar. Para obtener más información, consulta la sección Almacenar y enrutar registros de auditoría de esta página.

Registros de auditoría de los eventos del sistema

Los registros de auditoría de eventos del sistema son entradas de registro escritas por Google Cloud sistemas que modifican la configuración de los recursos. Los registros de auditoría de los eventos del sistema no se activan por la acción directa de los usuarios. Por ejemplo, se escribe un registro de auditoría de eventos del sistema cuando se añaden o se eliminan automáticamente máquinas virtuales de grupos de instancias gestionados (MIGs) debido al autoescalado.

Los registros de auditoría de los eventos del sistema siempre se escriben; no puedes configurarlos, excluirlos ni inhabilitarlos.

Para ver una lista de los servicios que escriben registros de auditoría de eventos del sistema e información detallada sobre las actividades que generan esos registros, consulta los Google Cloud servicios con registros de auditoría.

Registros de auditoría de denegación de acceso por infracción de las políticas

Los registros de auditoría de acceso denegado por la política son entradas de registro que se escriben cuando un Google Cloud servicio deniega el acceso a un usuario o a una cuenta de servicio debido a una infracción de la política de seguridad.

Los registros de auditoría de denegación de acceso por infracción de las políticas se generan de forma predeterminada y se cobra a tuGoogle Cloud proyecto por el almacenamiento de los registros. No puedes inhabilitar los registros de auditoría PolicyDenied, pero puedes usar filtros de exclusión para evitar que se almacenen en Cloud Logging.

Para ver una lista de los servicios que escriben registros de auditoría de denegación de acceso por infracción de las políticas e información detallada sobre las actividades que generan esos registros, consulta los Google Cloud servicios con registros de auditoría.

Estructura de las entradas del registro de auditoría

Cada entrada de registro de auditoría de Cloud Logging es un objeto de tipo LogEntry. Lo que distingue una entrada de registro de auditoría de otras entradas de registro es el campo protoPayload, que contiene un objeto AuditLog que almacena los datos del registro de auditoría.

Para saber cómo leer e interpretar las entradas de los registros de auditoría, así como ver un ejemplo de una entrada de registro de auditoría, consulta el artículo Interpretar los registros de auditoría.

Nombre del registro

Los nombres de los registros de auditoría de Cloud incluyen lo siguiente:

  • Identificadores de recursos que indican el Google Cloud proyecto u otra Google Cloud entidad propietaria de los registros de auditoría.

  • La cadena cloudaudit.googleapis.com.

  • Cadena que indica si el registro contiene datos de registro de auditoría de actividad de administrador, acceso a datos, denegación de acceso por infracción de las políticas o eventos del sistema.

A continuación se indican los nombres de los registros de auditoría, incluidas las variables de los identificadores de recursos:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Identidades de las llamadas en los registros de auditoría

Los registros de auditoría registran la identidad que ha realizado las operaciones registradas en el recursoGoogle Cloud . La identidad de la persona que llama se encuentra en el campo AuthenticationInfo de los objetos AuditLog.

El registro de auditoría no oculta la dirección de correo principal de la persona que llama en ningún acceso correcto ni en ninguna operación de escritura.

En el caso de las operaciones de solo lectura que fallan con un error "permiso denegado", el registro de auditoría puede ocultar la dirección de correo principal de la persona que llama, a menos que sea una cuenta de servicio.

Además de las condiciones indicadas anteriormente, se aplican las siguientes a determinados Google Cloud servicios:

  • BigQuery las identidades de las llamadas y las direcciones IP, así como algunos nombres de recursos, se ocultan en los registros de auditoría, a menos que se cumplan determinadas condiciones.

  • Cloud Storage: cuando se habilitan los registros de uso de Cloud Storage, Cloud Storage escribe datos de uso en el segmento de Cloud Storage, lo que genera registros de auditoría de acceso a datos para el segmento. La identidad de la persona que llama se ha ocultado en el registro de auditoría de acceso a datos generado.

  • Firestore: si se ha usado un JSON Web Token (JWT) para la autenticación de terceros, el campo thirdPartyPrincipal incluye el encabezado y la carga útil del token. Por ejemplo, los registros de auditoría de las solicitudes autenticadas con Firebase Authentication incluyen el token de autenticación de esa solicitud.
  • Controles de Servicio de VPC: en los registros de auditoría de denegación de acceso por infracción de las políticas, se oculta la siguiente información:

    • Es posible que se oculte parte de las direcciones de correo del llamante y se sustituya por tres puntos ....

    • Algunas direcciones de correo del dominio google.com se han ocultado y sustituido por google-internal.

Dirección IP de la persona que llama en los registros de auditoría

La dirección IP de la persona que llama se encuentra en el campo RequestMetadata.callerIp del objeto AuditLog:

  • En el caso de una persona que llama desde Internet, la dirección es una dirección IPv4 o IPv6 pública.
  • En las llamadas realizadas desde la red de producción interna de un servicioGoogle Cloud a otro, el callerIp se oculta y se muestra como "privado".
  • En el caso de una llamada desde una máquina virtual de Compute Engine con una dirección IP externa, callerIp es la dirección externa de la máquina virtual.
  • En el caso de una llamada desde una VM de Compute Engine sin dirección IP externa, si la VM está en la misma organización o proyecto que el recurso al que se accede, callerIp es la dirección IPv4 interna de la VM. De lo contrario, callerIp se oculta y se muestra como "gce-internal-ip". Para obtener más información, consulta la descripción general de las redes de VPC.

Ver registros de auditoría

Puede consultar todos los registros de auditoría o buscar registros por su nombre. El nombre del registro de auditoría incluye el identificador de recurso del Google Cloud proyecto, la carpeta, la cuenta de facturación o la organización de los que quieras ver la información del registro de auditoría. En tus consultas puedes especificar campos LogEntry indexados. Para obtener más información sobre cómo consultar tus registros, consulta el artículo Crear consultas en el Explorador de registros.

Explorador de registros te permite ver y filtrar entradas de registro concretas. Si quieres usar SQL para analizar grupos de entradas de registro, utiliza la página Analíticas de registros. Para obtener más información, consulta estos artículos:

La mayoría de los registros de auditoría se pueden ver en Cloud Logging mediante laGoogle Cloud consola, la CLI de Google Cloud o la API de Logging. Sin embargo, para los registros de auditoría relacionados con la facturación, solo puedes usar la CLI de Google Cloud o la API Logging.

Consola

En la Google Cloud consola, puedes usar el Explorador de registros para obtener las entradas del registro de auditoría de tu Google Cloud proyecto, carpeta u organización:

  1. En la Google Cloud consola, ve a la página Explorador de registros:

    Ve al Explorador de registros.

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.

  2. Selecciona un proyecto, una carpeta o una organización Google Cloud .

  3. Para mostrar todos los registros de auditoría, introduce una de las siguientes consultas en el campo del editor de consultas y haz clic en Ejecutar consulta:

    logName:"cloudaudit.googleapis.com"
    
    protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
    
  4. Para mostrar los registros de auditoría de un recurso y un tipo de registro de auditoría específicos, haz lo siguiente en el panel Generador de consultas:

    • En Tipo de recurso, selecciona el Google Cloud recurso cuyos registros de auditoría quieras ver.

    • En Nombre del registro, selecciona el tipo de registro de auditoría que quieras ver:

      • En el caso de los registros de auditoría de actividad de administración, selecciona activity.
      • En el caso de los registros de auditoría de acceso a datos, selecciona data_access.
      • En el caso de los registros de auditoría de los eventos del sistema, selecciona system_event.
      • En Registros de auditoría de denegación de acceso por infracción de las políticas, selecciona policy.
    • Haz clic en Realizar una consulta.

    Si no ves estas opciones, significa que no hay registros de auditoría de ese tipo disponibles en el proyecto, la carpeta o la organización. Google Cloud

    Si tienes problemas para ver los registros en el Explorador de registros, consulta la información sobre solución de problemas.

    Para obtener más información sobre cómo hacer consultas con el Explorador de registros, consulta el artículo Crear consultas en el Explorador de registros.

gcloud

La CLI de Google Cloud proporciona una interfaz de línea de comandos a la API Logging. Indica un identificador de recurso válido en cada uno de los nombres de registro. Por ejemplo, si tu consulta incluye un PROJECT_ID, el identificador de proyecto que proporciones debe hacer referencia al proyectoGoogle Cloud seleccionado.

Para leer las entradas del registro de auditoría a nivel de proyecto de Google Cloud , ejecuta el siguiente comando:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Para leer las entradas del registro de auditoría a nivel de carpeta, ejecuta el siguiente comando:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Para leer las entradas del registro de auditoría a nivel de organización, ejecuta el siguiente comando:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Para leer las entradas del registro de auditoría a nivel de cuenta de Facturación de Cloud, ejecuta el siguiente comando:

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

Añade la marca --freshness al comando para leer los registros que tengan más de un día.

Para obtener más información sobre el uso de la herramienta de línea de comandos gcloud, consulta gcloud logging read.

REST

Cuando cree sus consultas, proporcione un identificador de recurso válido en cada uno de los nombres de registro. Por ejemplo, si tu consulta incluye un PROJECT_ID, el identificador de proyecto que proporciones debe hacer referencia al proyectoGoogle Cloud seleccionado.

Por ejemplo, para usar la API Logging y ver las entradas de registro de auditoría de tu proyecto, haz lo siguiente:

  1. Ve a la sección Probar esta API de la documentación del método entries.list.

  2. Incluye lo siguiente en la parte Cuerpo de la solicitud del formulario Probar esta API. Si haces clic en este formulario rellenado automáticamente, se rellenará automáticamente el cuerpo de la solicitud, pero debes proporcionar un PROJECT_ID válido en cada uno de los nombres de registro.

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
    
  3. Haz clic en la opción para ejecutar.

Almacenar y enrutar registros de auditoría

Cloud Logging usa segmentos de registros como contenedores que almacenan y organizan los datos de tus registros. Por cada cuenta de facturación, proyecto, carpeta y organización, Logging crea automáticamente dos segmentos de registros (_Required y _Default) y los sumideros correspondientes.Google Cloud

Los _Requiredcontenedores de Cloud Logging_Required almacenan registros de auditoría de la actividad del administrador y registros de auditoría de los eventos del sistema. No puedes evitar que se almacenen los registros de auditoría de actividad administrativa o de eventos del sistema. Tampoco puedes configurar el receptor que enruta las entradas de registro a los segmentos _Required.

Los registros de auditoría de actividad del administrador y de eventos del sistema se almacenan siempre en el _Required del proyecto en el que se generaron.

Si enrutas los registros de auditoría de actividad de administrador y de eventos del sistema a otro proyecto, esos registros no pasarán por el receptor _Default o _Required del proyecto de destino. Por lo tanto, estos registros no se almacenan en el segmento de registro _Default ni en el segmento de registro _Required del proyecto de destino. Para almacenar estos registros, cree un receptor de registro en el proyecto de destino. Para obtener más información, consulta Dirigir registros a destinos admitidos.

De forma predeterminada, los segmentos _Default almacenan los registros de auditoría de acceso a datos y de denegación de acceso por infracción de las políticas que estén habilitados. Para evitar que los registros de auditoría de acceso a datos se almacenen en los cubos de _Default, puedes inhabilitarlos. Para evitar que se almacenen registros de auditoría de políticas denegadas en los cubos de _Default, puede excluirlos modificando los filtros de sus sumideros.

También puedes enrutar las entradas de registro de auditoría a segmentos de Cloud Logging definidos por el usuario a nivel de proyecto Google Cloud o a destinos admitidos fuera de Logging mediante sumideros. Para obtener instrucciones sobre cómo enrutar registros, consulta el artículo Enrutar registros a destinos admitidos.

Cuando configures los filtros de tus receptores de registro, debes especificar los tipos de registro de auditoría que quieras enrutar. Para ver ejemplos de filtros, consulta Consultas de registro de seguridad.

Si quieres enrutar las entradas del registro de auditoría de una Google Cloud organización, una carpeta o una cuenta de facturación, así como de sus elementos secundarios, consulta el artículo Descripción general de los receptores agregados.

Retención de registros de auditoría

Para obtener información sobre cuánto tiempo conserva Logging las entradas de registro, consulta la información sobre la conservación en Cuotas y límites: periodos de conservación de registros.

Control de acceso

Los permisos y roles de IAM determinan tu capacidad para acceder a los datos de los registros de auditoría en la API Logging, el Explorador de registros y la CLI de Google Cloud.

Para obtener información detallada sobre los permisos y roles de gestión de identidades y accesos que puedes necesitar, consulta el artículo sobre control de acceso con gestión de identidades y accesos.

Cuotas y límites

Para obtener información sobre los límites de uso del registro, incluidos los tamaños máximos de los registros de auditoría, consulta Cuotas y límites.

Precios

Cloud Logging no cobra por enrutar registros a un destino compatible, pero es posible que el destino aplique cargos. A excepción del segmento de registros _Required, Cloud Logging cobra por transmitir registros a los segmentos de registros y por el almacenamiento que supere el periodo de conservación predeterminado del segmento de registros.

Cloud Logging no cobra por copiar registros, crear ámbitos de registro ni vistas de analíticas, ni por las consultas enviadas a través de las páginas Explorador de registros o Analíticas de registros.

Para obtener más información, consulte los documentos siguientes:

Siguientes pasos

  • Consulta información sobre Transparencia de acceso, que proporciona registros de las acciones que lleva a cabo el personal de Google Cloud cuando accede a tu contenido Google Cloud .