Descripción general de los registros de auditoría de Cloud

En este documento, se proporciona una descripción general conceptual de los registros de auditoría de Cloud.

Los servicios de Google Cloud escriben registros de auditoría que registran actividades y accesos administrativos dentro de tus recursos de Google Cloud. Los registros de auditoría te ayudan a responder “¿quién hizo qué, dónde y cuándo?” dentro de tus recursos de Google Cloud con el mismo nivel de transparencia que en los entornos locales. Habilitar registros de auditoría ayuda a las entidades de seguridad, auditoría y cumplimiento a supervisar los datos y sistemas de Google Cloud en busca de posibles vulnerabilidades o el uso inadecuado datos externos.

Servicios de Google que producen registros de auditoría

Para obtener una lista de los servicios de Google Cloud que proporcionan registros de auditoría, consulta Servicios de Google con registros de auditoría. Con el tiempo, todos los servicios de Google Cloud proporcionarán registros de auditoría.

Si deseas obtener una descripción general de los registros de auditoría de Google Workspace, consulta Registros de auditoría para Google Workspace.

Tipos de registros de auditoría

Registros de auditoría de Cloud proporciona los siguientes registros de auditoría para cada proyecto, carpeta y organización de Google Cloud:

Registros de auditoría de actividad del administrador

Los registros de auditoría de actividad del administrador contienen entradas de registro para las llamadas a la API y otras acciones administrativas que modifican la configuración o los metadatos de los recursos. Por ejemplo, registran en qué momento los usuarios crean instancias de VM o cambian los permisos de Identity and Access Management.

Los registros de auditoría de actividad del administrador se escriben siempre; no puedes configurarlos, excluirlos ni inhabilitarlos. Incluso si inhabilitas la API de Cloud Logging, los registros de auditoría de actividad del administrador se generarán de todos modos.

Para obtener una lista de los servicios que escriben registros de auditoría de actividad del administrador y obtener información detallada sobre qué actividades generan esos registros, consulta Servicios de Google Cloud con registros de auditoría.

Registros de auditoría de acceso a los datos

Estos registros contienen llamadas a la API que leen la configuración o los metadatos de los recursos, así como llamadas a la API controladas por el usuario que crean, modifican o leen datos de los recursos que proporciona el usuario.

Los recursos disponibles de forma pública que tienen las políticas de administración de identidades y accesos allAuthenticatedUsers o allUsers no generan registros de auditoría. Los recursos a los que se puede acceder sin acceder a una cuenta de Google Cloud, Google Workspace, Cloud Identity o Drive Enterprise no generan registros de auditoría. Esto ayuda a proteger la información y las identidades de los usuarios finales.

Los registros de auditoría de acceso a los datos, excepto los registros de auditoría de acceso a los datos de BigQuery, están inhabilitados de forma predeterminada porque los registros de auditoría pueden ser bastante grandes. Si deseas que se escriban los registros de auditoría de acceso a los datos para los servicios de Google Cloud que no sean BigQuery, debes habilitarlos de manera explícita. Si habilitas los registros, es posible que se te cobre por el uso de registros adicionales en tu proyecto de Google Cloud. Si deseas obtener instrucciones para habilitar y configurar registros de auditoría de acceso a los datos, consulta Habilita los registros de auditoría de acceso a los datos.

Para obtener una lista de los servicios que escriben registros de auditoría de acceso a los datos y, además, información detallada sobre qué actividades generan esos registros, consulta Servicios de Google Cloud con registros de auditoría.

Registros de auditoría de eventos del sistema

Los registros de auditoría de eventos del sistema contienen entradas de registro para las acciones de Google Cloud que modifican la configuración de los recursos. Los sistemas de Google generan los registros de auditoría de eventos del sistema, no la acción directa del usuario.

Los registros de auditoría de eventos del sistema se escriben siempre; no puedes configurarlos, excluirlos ni inhabilitarlos.

Para obtener una lista de los servicios que escriben registros de auditoría de eventos del sistema y, además, información detallada sobre qué actividades generan esos registros, consulta Servicios de Google Cloud con registros de auditoría.

Registros de auditoría de política denegada

Los registros de auditoría de política denegada se registran cuando un servicio de Google Cloud rechaza el acceso a un usuario o a una cuenta de servicio debido a un incumplimiento de política de seguridad.

Los registros de auditoría de política denegada se generan de forma predeterminada y tu proyecto de Google Cloud se cobra por el almacenamiento de registros. No puedes inhabilitar los registros de auditoría de política denegada, pero puedes usar filtros de exclusión para evitar que los registros de auditoría de política denegada se transfieran y se almacenen en Cloud Logging.

Para obtener una lista de los servicios que escriben registros de auditoría de política denegada y, también, información detallada sobre qué actividades generan esos registros, consulta Servicios de Google Cloud con registros de auditoría.

Estructura de entradas de registro de auditoría

Cada entrada de registro de auditoría en Cloud Logging es un objeto del tipo LogEntry. Lo que distingue una entrada de registro de auditoría de otras entradas de registro es el campo protoPayload; este contiene un objeto AuditLog que almacena los datos del registro de auditoría.

Para comprender cómo leer y, además, interpretar las entradas de registro de auditoría, y ver una muestra de una entrada de registro de auditoría, consulta Información sobre los registros de auditoría.

Nombre del registro

Los nombres de registro de Registros de auditoría de Cloud incluyen identificadores de recursos que indican el proyecto de Google Cloud o cualquier otra entidad de Google Cloud que posee los registros de auditoría, y si el registro contiene datos de registro de auditoría de la actividad del administrador, el acceso a los datos, la política denegada o los eventos del sistema.

A continuación, se muestran los nombres de los registros de auditoría, incluidas las variables para los identificadores de recursos:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Identidades de los emisores en los registros de auditoría

Los registros de auditoría registran la identidad que realizó las operaciones registradas en el recurso de Google Cloud. La identidad del emisor se encuentra en el campo AuthenticationInfo de los objetos AuditLog.

El registro de auditoría no oculta la dirección de correo electrónico principal del emisor para ningún acceso exitoso o para cualquier operación de escritura.

Para las operaciones de solo lectura que fallan con un error de “permiso denegado”, es posible que el registro de auditoría oculte la dirección de correo electrónico principal del emisor, a menos que el emisor sea una cuenta de servicio.

Además de las condiciones mencionadas anteriormente, lo siguiente se aplica a ciertos servicios de Google Cloud:

  • API de App Engine heredada: No se recopilan las identidades.

  • BigQuery: las identidades y las direcciones IP de los emisores, así como algunos nombres de recursos, están ocultos en los registros de auditoría, a menos que se cumplan ciertas condiciones.

  • Cloud Storage: Cuando están habilitados los registros de uso de Cloud Storage, Cloud Storage escribe datos de uso en el bucket de Cloud Storage, que genera registros de auditoría de acceso a los datos para el bucket. El registro de auditoría de acceso a los datos generado tiene oculta su identidad de emisor.

  • Firestore: Si se usó un token web JSON (JWT) para la autenticación de terceros, el campo thirdPartyPrincipal incluye el encabezado y la carga útil del token. Por ejemplo, los registros de auditoría para las solicitudes autenticadas con Firebase Authentication incluyen el token de autenticación de esa solicitud.

  • Controles del servicio de VPC: En los registros de auditoría de política denegada, se produce lo siguiente:

    • Algunas partes de las direcciones de correo electrónico de la persona que llama pueden ocultarse y reemplazarse por tres caracteres de punto ....

    • Algunas direcciones de correo electrónico de emisores que pertenecen al dominio google.com se ocultan y se reemplazan por google-internal.

  • Política de la organización: Algunas partes de las direcciones de correo electrónico de la persona que llama pueden ocultarse y reemplazarse por tres caracteres de punto ....

Si ves los registros de auditoría en la página Activity de Google Cloud Console, se mostrará User (anonymized) para las entradas de registro en las que la identidad esté oculta o vacía.

Dirección IP del emisor en los registros de auditoría

La dirección IP del emisor se encuentra en el campo RequestMetadata.caller_ip del objeto AuditLog:

  • Para un emisor de Internet, la dirección es una dirección IPv4 o IPv6 pública.
  • Para las llamadas realizadas dentro de la red de producción interna de Google de un servicio de Google Cloud a otro, el emisor_ip se oculta en “privado”.
  • Para un llamador de una VM de Compute Engine con una dirección IP externa, el llamador_ip es la dirección externa de la VM.
  • Para un emisor de una VM de Compute Engine sin una dirección IP externa, si la VM está en la misma organización o proyecto que el recurso al que se accedió, el campo caller_ip es la dirección IPv4 interna de la VM. De lo contrario, el emisor_ip se oculta en "gce-internal-ip". Consulta la Descripción general de la red de VPC para obtener más información.

Consultar registros de auditoría

Si quieres consultar los registros de auditoría, debes conocer el nombre del registro de auditoría, que incluye el identificador de recursos del proyecto, la carpeta, la cuenta de facturación o la organización de Google Cloud cuya información del registro de auditoría deseas consultar. En tu consulta, puedes especificar otros campos LogEntry indexados, como resource.type. Para obtener más información sobre las consultas, visita Compila consultas en el Explorador de registros.

Puedes ver los registros de auditoría en Cloud Logging mediante la consola de Google Cloud, Google Cloud CLI o la API de Logging.

Consola

En la consola de Google Cloud, puedes usar el Explorador de registros para recuperar las entradas de registro de auditoría del proyecto, la carpeta o la organización de Google Cloud:

  1. En la consola de Google Cloud, ve a la página Logging> Explorador de registros.

    Ir al Explorador de registros

  2. Selecciona un proyecto, una carpeta o una organización de Google Cloud.

  3. En el panel Compilador de consultas, sigue estos pasos:

    • En Tipo de recurso, selecciona el recurso de Google Cloud cuyos registros de auditoría deseas ver.

    • En Nombre del registro, selecciona el tipo de registro de auditoría que deseas ver:

      • En el caso de los registros de auditoría de la actividad del administrador, selecciona activity.
      • En los registros de auditoría de acceso a los datos, selecciona data_access.
      • En el caso de los registros de auditoría de eventos del sistema, selecciona system_event.
      • En el caso de los registros de auditoría de política denegada, selecciona policy.

    Si no ves estas opciones, significa que no hay registros de auditoría de ese tipo disponibles en el proyecto, la carpeta o la organización de Google Cloud.

    Si tienes problemas cuando intentas ver registros en el Explorador de registros, consulta la información sobre solución de problemas.

    Para obtener más información sobre las consultas con el Explorador de registros, visita Compila consultas en el Explorador de registros.

gcloud

Google Cloud CLI proporciona una interfaz de línea de comandos para la API de Logging. Proporciona un identificador de recurso válido en cada uno de los nombres de registro. Por ejemplo, si tu consulta incluye un PROJECT_ID, el identificador del proyecto que proporciones debe hacer referencia al proyecto de Google Cloud seleccionado actualmente.

Para leer las entradas de registro de auditoría a nivel de proyecto de Google Cloud, ejecuta el siguiente comando:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Para leer las entradas del registro de auditoría a nivel de las carpetas, ejecuta el siguiente comando:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Para leer las entradas del registro de auditoría a nivel de organización, ejecuta el siguiente comando:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Para leer las entradas del registro de auditoría a nivel de la cuenta de Facturación de Cloud, ejecuta el siguiente comando:

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

Agrega la marca --freshness a tu comando para leer los registros que tienen más de 1 día de antigüedad.

Para obtener más información sobre el uso de la CLI de gcloud, consulta gcloud logging read.

API

Cuando compiles tus consultas, proporciona un identificador de recurso válido en cada uno de los nombres de registro. Por ejemplo, si tu consulta incluye un PROJECT_ID, el identificador del proyecto que proporciones debe hacer referencia al proyecto de Google Cloud seleccionado actualmente.

Por ejemplo, si quieres usar la API de Logging para ver las entradas del registro de auditoría a nivel de proyecto, haz lo siguiente:

  1. Ve a la sección Probar esta API en la documentación del método entries.list.

  2. Ingresa lo siguiente en el cuerpo de la solicitud del formulario Prueba esta API. Si haces clic en este formulario prepropagado, se completará el cuerpo de la solicitud de manera automática, pero deberás proporcionar un PROJECT_ID válido para cada nombre de registro.

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}

  3. Haz clic en Ejecutar.

Usa la página Actividad

Puedes ver entradas abreviadas de registro de auditoría en la página Actividad del proyecto, la carpeta o la organización de Google Cloud en Google Cloud Console. Las entradas de registro de auditoría reales pueden contener más información de la que aparece en la página Actividad.

Para ver entradas de registro de auditoría abreviadas en Google Cloud Console, haz lo siguiente:

  1. Ve a la página Actividad

    Ir a la página Actividad

  2. En el selector de proyectos, selecciona el proyecto, la carpeta o la organización de Google Cloud cuyas entradas de registro de auditoría deseas ver.

  3. En el panel Filtro, selecciona las entradas que deseas ver.

En la página Actividad, donde la identidad que realiza las acciones registradas se oculta de la entrada de registro de auditoría, se muestra User (anonymized). Para obtener información detallada, lee identidades de usuario en registros de auditoría en esta página.

Almacena y enruta registros de auditoría

Cloud Logging usa buckets de registro como contenedores que almacenan y organizan los datos de registros. Para cada proyecto, carpeta y organización de Google Cloud, Logging crea de forma automática dos buckets de registro, _Required y _Default, y los receptores con el nombre correspondiente.

Los buckets _Required de Cloud Logging transfieren y almacenan registros de auditoría de actividad del administrador y de eventos del sistema. No puedes configurar buckets de _Required ni ningún dato de registro en él.

De forma predeterminada, los buckets _Default transfieren, y almacenan los registros de auditoría de acceso a los datos habilitados, así como los registros de auditoría de política denegada. Para evitar que los registros de auditoría de acceso a los datos se almacenen en los buckets _Default, puedes inhabilitarlos. Para evitar que los registros de auditoría de política denegada se almacenen en los buckets _Default, puedes excluirlos si modificas los filtros de sus receptores.

También puedes enrutar tus entradas de registro de auditoría a los buckets de Cloud Logging definidos por el usuario a nivel de proyecto de Google Cloud o a destinos compatibles fuera de Logging mediante receptores. Para obtener instrucciones sobre el enrutamiento de registros, consulta Cómo enrutar registros a destinos compatibles.

Cuando configuras los filtros de los receptores de registros, debes especificar los tipos de registros de auditoría que deseas enrutar. Para ver ejemplos de filtrado, consulta Consultas de seguridad de registros.

Si deseas enrutar las entradas de registro de auditoría para una organización, una carpeta o una cuenta de facturación de Google Cloud, consulta Cómo recopilar y enrutar registros a nivel de la organización a destinos compatibles.

Retención de registros de auditoría

Para obtener detalles sobre cuánto tiempo Logging retiene las entradas de registro, consulta la información sobre retención en Cuotas y límites: períodos de retención de registros.

Control de acceso

Los permisos y las funciones de IAM determinan tu capacidad para acceder a los datos de los registros de auditoría en la API de Logging, el Explorador de registros y la CLI de Google Cloud.

Para obtener información detallada sobre los permisos y las funciones de IAM que podrías necesitar, consulta Control de acceso con IAM .

Cuotas y límites

Para obtener más información sobre los límites de uso de registros, incluidos los tamaños máximos de los registros de auditoría, consulta Cuotas y límites.

Precios

Para obtener información sobre los precios de Cloud Logging, consulta Precios de Google Cloud's operations suite: Cloud Logging.

¿Qué sigue?