Descripción general de los registros de auditoría de Cloud

En este documento, se proporciona una descripción general conceptual de los registros de auditoría de Cloud.

Los servicios de Google Cloud escriben registros de auditoría que registran las actividades administrativas y los accesos dentro de los recursos de Google Cloud. Los registros de auditoría te ayudan a responder “¿quién hizo qué, dónde y cuándo?” dentro de los recursos de Google Cloud con el mismo nivel de transparencia que en los entornos locales. Habilitar los registros de auditoría ayuda a las entidades de seguridad, auditoría y cumplimiento a supervisar los datos y sistemas de Google Cloud en busca de posibles vulnerabilidades o uso inadecuado de datos externos.

Servicios de Google que producen registros de auditoría

Para obtener una lista de los servicios de Google Cloud que proporcionan registros de auditoría, consulta Servicios de Google con registros de auditoría. Con el tiempo, todos los servicios de Google Cloud proporcionarán registros de auditoría.

Tipos de registros de auditoría

Los registros de auditoría de Cloud brindan los siguientes registros de auditoría para cada proyecto, carpeta y organización de Cloud:

Registros de auditoría de actividad del administrador

Los registros de auditoría de la actividad del administrador contienen entradas de registro de las llamadas a la API o las otras acciones que modifican la configuración o los metadatos de los recursos. Por ejemplo, estos registros registran cuándo los usuarios crean instancias de VM o cambian los permisos de la administración de identidades y accesos.

Los registros de auditoría de la actividad del administrador siempre se escriben. no puedes configurarlas, excluirlas ni inhabilitarlas. Incluso si inhabilitas la API de Cloud Logging, los registros de auditoría de actividad del administrador se generarán de todos modos.

Registros de auditoría de acceso a los datos

Estos registros contienen llamadas a la API que leen la configuración o los metadatos de los recursos, así como llamadas a la API controladas por el usuario que crean, modifican o leen datos de los recursos que proporciona el usuario.

Los recursos disponibles de forma pública que tienen las políticas de administración de identidades y accesos allAuthenticatedUsers o allUsers no generan registros de auditoría. Los recursos a los que se puede acceder sin acceder a una cuenta de Google Cloud, Google Workspace, Cloud Identity o Drive Enterprise no generan registros de auditoría. Esto ayuda a proteger las identidades y la información del usuario final.

Los registros de auditoría de acceso a los datos se encuentran inhabilitados de forma predeterminada, excepto para los de BigQuery, porque los registros de auditoría pueden ser bastante grandes. Si deseas que se escriban los registros de auditoría de acceso a los datos para los servicios de Google Cloud que no sean BigQuery, debes habilitarlos de manera explícita. Habilitar los registros puede provocar que se le cobre al proyecto de Cloud por el uso de registros adicionales. Si quieres obtener instrucciones para habilitar y configurar los registros de auditoría de acceso a los datos, consulta Configura registros de acceso a los datos.

Registros de auditoría de eventos del sistema

Los registros de auditoría de eventos del sistema contienen entradas de registro de acciones de Google Cloud que modifican la configuración de los recursos. Los sistemas de Google generan los registros de auditoría de eventos del sistema. no los impulsa la acción directa del usuario.

Los registros de auditoría de eventos del sistema siempre se escriben. no puedes configurarlas, excluirlas ni inhabilitarlas.

Registros de auditoría de política denegada

Los registros de auditoría de política denegada se registran cuando un servicio de Google Cloud rechaza el acceso a un usuario o una cuenta de servicio debido a un incumplimiento de la política de seguridad. Los Controles del servicio de VPC, que proporcionan los registros de auditoría de política denegada a Cloud Logging, determinan las políticas de seguridad.

Los registros de auditoría de política denegada se generan de forma predeterminada, y el almacenamiento de registros se cobra a tu proyecto de Cloud. No puedes inhabilitar los registros de auditoría de política denegada, pero puedes usar filtros de exclusión para evitar que los registros de auditoría de política denegada se transfieran y almacenen en Cloud Logging.

Estructura de entradas de registro de auditoría

Cada entrada de registro de auditoría en Cloud Logging es un objeto del tipo LogEntry. Lo que distingue una entrada de registro de auditoría de otras entradas de registro es el campo protoPayload; este contiene un objeto AuditLog que almacena los datos del registro de auditoría.

Para aprender a leer y a interpretar las entradas de registro de auditoría, consulta Información sobre los registros de auditoría.

Identidades de los emisores en los registros de auditoría

Los registros de auditoría registran la identidad que realizó las operaciones registradas en el recurso de Google Cloud. La identidad del emisor se encuentra en el campo AuthenticationInfo de los objetos AuditLog.

La dirección de correo electrónico principal del emisor se oculta de un registro de auditoría si la operación es de solo lectura y falla con un error de “permiso denegado”. La única excepción es cuando el llamador es una cuenta de servicio en la organización de Google Cloud asociada con el recurso y, luego, la dirección de correo electrónico no se oculta.

Además de las condiciones mencionadas antes, lo siguiente se aplica a ciertos productos de Google Cloud:

Si ves registros de auditoría en la página Actividad de Google Cloud Console, se mostrará User (anonymized) para las entradas de registro en las que la identidad esté oculta o vacía.

Consultar registros de auditoría

Si deseas encontrar y ver los registros de auditoría, debes conocer el identificador de la carpeta, la organización o el proyecto de Cloud del que deseas ver la información de registro de auditoría. Además, puedes especificar otros campos LogEntry indexados, como resource.type. Para obtener más información, consulta Busca entradas de registro con rapidez.

A continuación, se muestran los nombres de los registros de auditoría, que incluyen variables para los identificadores del proyecto, la carpeta o la organización de Cloud:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Puedes ver los registros de auditoría en Cloud Logging mediante Cloud Console, la herramienta de línea de comandos de gcloud o la API de Logging.

Console

Puedes usar el explorador de registros en Cloud Console para recuperar las entradas de registro de auditoría de la carpeta, la organización o el proyecto de Cloud:

  1. En Cloud Console, ve a la página Logging > Explorador de registros.

    Ir a la página Explorador de registros

  2. En la página Explorador de registros, selecciona una organización, una carpeta o un proyecto de Cloud existente.

  3. En el panel Compilador de consultas, sigue estos pasos:

    • En Tipo de recurso, selecciona el recurso de Google Cloud cuyos registros de auditoría deseas ver.

    • En Nombre del registro, selecciona el tipo de registro de auditoría que deseas ver:

      • En el caso de los registros de auditoría de la actividad del administrador, selecciona Actividad.
      • En los registros de auditoría de acceso a los datos, selecciona data_access.
      • En el caso de los registros de auditoría de eventos del sistema, selecciona system_event.
      • En el caso de los registros de auditoría de política denegada, selecciona la política.

    Si no ves estas opciones, significa que no hay registros de auditoría de ese tipo disponibles en la carpeta, la organización o el proyecto de Cloud.

    Para obtener más información sobre cómo consultar mediante el nuevo Explorador de registros, visita Compila consultas de registros.

gcloud

La herramienta de línea de comandos de gcloud proporciona una interfaz de línea de comandos para la API de Cloud Logging. Proporciona un PROJECT_ID, FOLDER_ID o ORGANIZATION_ID válido en cada uno de los nombres de registro.

Para leer las entradas de registro de auditoría a nivel de proyecto de Cloud, ejecuta el siguiente comando:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID

Para leer las entradas del registro de auditoría a nivel de las carpetas, ejecuta el siguiente comando:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID

Para leer las entradas del registro de auditoría a nivel de organización, ejecuta el siguiente comando:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID

Para obtener más información sobre el uso de la herramienta de gcloud, consulta Lee las entradas de registro.

API

Cuando compiles tus búsquedas, reemplaza las variables por valores válidos, sustituye el nombre o los identificadores del registro de auditoría adecuados a nivel de proyecto, de carpeta o de organización según se enumeran en los nombres de registro de auditoría. Por ejemplo, si tu búsqueda incluye un PROJECT_ID, el identificador del proyecto que proporciones debe hacer referencia al proyecto de Cloud que se encuentra seleccionado.

Si deseas usar la API de Logging para ver tus entradas de registro de auditoría, haz lo siguiente:

  1. Ve a la sección Try this API en la documentación del método entries.list.

  2. Ingresa lo siguiente en la parte Request body del formulario Try this API. Si haces clic en este formulario rellenado con anterioridad, se completará el cuerpo de la solicitud de manera automática, pero deberás proporcionar un PROJECT_ID válido para cada nombre de registro.

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
    
  3. Haz clic en Execute.

Para obtener más detalles sobre las consultas, visita Lenguaje de consulta de Logging.

Para ver un ejemplo de una entrada de registro de auditoría y cómo encontrar la información más importante en ella, consulta Entrada de registro de auditoría de muestra.

Usa la página Actividad

Puedes ver las entradas abreviadas del registro de auditoría en la página Actividad de tu proyecto, carpeta o organización de Cloud en Cloud Console. Las entradas de registro de auditoría reales pueden contener más información de la que aparece en la página Actividad.

Para ver las entradas abreviadas del registro de auditoría en Cloud Console, haz lo siguiente:

  1. Ve a la página Actividad

    Ir a la página Actividad

  2. En el selector de proyectos, selecciona la organización, la carpeta o el proyecto de Cloud del que deseas ver las entradas de los registros de auditoría.

  3. En el panel Filtro, selecciona las entradas que deseas ver.

En la página Actividad, donde la identidad que realiza las acciones registradas se oculta de la entrada de registro de auditoría, se muestra User (anonymized). Para obtener más detalles, consulta Identidades de los emisores en los registros de auditoría en esta página.

Almacena y enruta registros de auditoría

Cloud Logging usa depósitos de registro como contenedores que almacenan y organizan los datos de registros. Para cada proyecto, carpeta y organización de Cloud, Logging crea dos depósitos de registro, _Required y _Default, y los receptores, de forma automática.

Los depósitos _Required de Cloud Logging transfieren y almacenan los registros de auditoría de la actividad del administrador y de eventos del sistema. No puedes configurar depósitos _Required ni ningún dato de registro en él.

De forma predeterminada, los depósitos _Default transfieren y almacenan todos los registros de auditoría de acceso a los datos habilitados y los registros de auditoría de política denegada. Para evitar que los registros de auditoría de acceso a los datos se almacenen en los depósitos _Default, puedes inhabilitarlos. Para evitar que los registros de auditoría de política denegada se almacenen en los depósitos _Default, puedes excluirlos modificando los filtros de sus receptores.

También puedes enrutar tus entradas de registro de auditoría a los depósitos de Cloud Logging definidos por el usuario a nivel de proyecto de Cloud o a destinos compatibles fuera de Logging mediante receptores. Consulta Configura receptores para obtener instrucciones.

Cuando configuras los filtros de tus receptores de registros, debes especificar los tipos de registros de auditoría que deseas enrutar. Para ver ejemplos de filtrado, consulta Consultas de registro de seguridad.

Si deseas enrutar las entradas de registro de auditoría para una organización, carpeta o cuenta de facturación de Google Cloud, consulta Configura receptores agregados.

Retención de registros de auditoría

Para obtener detalles sobre por cuánto tiempo Logging retiene las entradas de registro, consulta la información de retención en Cuotas y límites: períodos de retención de registros.

Control de acceso

Los permisos y las funciones de IAM determinan tu capacidad para acceder a los datos de los registros de auditoría en la API de Logging, el Explorador de registros y la gcloud.

Para obtener información detallada sobre los permisos y las funciones de IAM que puedes necesitar, consulta la Guía de control de acceso.

Cuotas y límites

Para obtener más información sobre los límites de uso de registros, incluidos los tamaños máximos de los registros de auditoría, consulta Cuotas y límites.

Precios

Los registros de auditoría de la actividad del administrador y de eventos del sistema son gratuitos.

Los registros de auditoría de acceso a los datos y los registros de auditoría de política denegada son cobrables.

Para obtener información sobre los precios de Cloud Logging, consulta Precios de Google Cloud's operations suite: Cloud Logging.

¿Qué sigue?