Registros de auditoría de Cloud

Los servicios de Google Cloud escriben registros de auditoría para ayudarte a responder las preguntas “¿quién hizo qué, dónde y cuándo?” en sus recursos de Google Cloud.

Los registros de auditoría de Cloud ayudan a las entidades de seguridad, auditoría y cumplimiento a mantener los registros de auditoría en Google Cloud. Con los registros de auditoría de Cloud, tu empresa puede obtener el mismo nivel de transparencia en las actividades administrativas y en el acceso a los datos en Google Cloud que el nivel que existe en los entornos locales. Los registros de auditoría ayudan al equipo de Asistencia de Google Cloud a solucionar problemas con tu cuenta.

Servicios de Google que producen registros de auditoría

Para obtener una lista de los servicios de Google Cloud que proporcionan registros de auditoría, consulta Servicios de Google con registros de auditoría. Todos los servicios de Google Cloud eventualmente proporcionarán registros de auditoría.

Tipos de registros de auditoría

Los registros de auditoría de Cloud brindan los siguientes registros de auditoría para cada proyecto, carpeta y organización de Cloud:

Registros de auditoría de actividad del administrador

Los registros de auditoría de actividad del administrador contienen entradas de registro para las llamadas a la API y otras acciones que modifican la configuración o los metadatos de los recursos. Por ejemplo, registran en qué momento los usuarios crean instancias de VM o cambian los permisos de Identity and Access Management.

Los registros de auditoría de actividad del administrador se escriben siempre; no los puede configurar, excluir ni inhabilitarlos. Incluso si inhabilitas la API de Cloud Logging, se siguen generando registros de auditoría de actividad del administrador.

Registros de auditoría de acceso a los datos

Estos registros contienen llamadas a la API que leen la configuración o los metadatos de los recursos, así como llamadas a la API controladas por el usuario que crean, modifican o leen datos de los recursos que proporciona el usuario.

Los recursos disponibles públicamente que tienen las políticas de administración de identidades y accesos allAuthenticatedUsers o allUsers no generan registros de auditoría. Los recursos a los que se puede acceder sin acceder a una cuenta de Google Cloud, Google Workspace, Cloud Identity o Drive Enterprise no generan registros de auditoría. Esto ayuda a proteger las identidades y la información del usuario final.

Los registros de auditoría de acceso a datos, excepto los registros de auditoría de acceso a datos de BigQuery, están inhabilitados de forma predeterminada porque los registros de auditoría pueden ser bastante grandes. Si quieres que los registros de auditoría de acceso a los datos se escriban para los servicios de Google Cloud que no sean BigQuery, debes habilitarlos de forma explícita. Es posible que se cobre el uso de registros adicionales en tu proyecto de Cloud si habilitas los registros. Si deseas obtener instrucciones para habilitar y configurar los registros de auditoría de acceso a los datos, consulta Configura registros de acceso a los datos.

Registros de auditoría de eventos del sistema

Los registros de auditoría de eventos del sistema contienen entradas de registro para las acciones de Google Cloud que modifican la configuración de los recursos. Los sistemas de Google generan registros de auditoría de eventos del sistema. no la impulsa una acción directa del usuario.

Los registros de auditoría de eventos del sistema se escriben siempre; no los puede configurar, excluir ni inhabilitarlos.

Registros de auditoría de política denegada

Los registros de auditoría denegados por políticas se registran cuando un servicio de Google Cloud rechaza el acceso a un usuario o a una cuenta de servicio debido a un incumplimiento de política de seguridad. Las políticas de seguridad están determinadas por los Controles del servicio de VPC, que proporcionan los registros de auditoría denegados por políticas a Cloud Logging.

Los registros de auditoría denegados por políticas se generan de forma predeterminada y tu proyecto de Cloud se cobra por el almacenamiento de registros. No puedes inhabilitar los registros de auditoría denegados de políticas, pero puedes usar los filtros de exclusión para evitar que se transfieran y almacenen los registros de auditoría denegados por políticas.

Estructura de entradas de registro de auditoría

Cada entrada de registro de auditoría en Cloud Logging es un objeto del tipo LogEntry. Lo que distingue una entrada de registro de auditoría de otras entradas de registro es el campo protoPayload; este contiene un objeto AuditLog que almacena los datos del registro de auditoría.

Para aprender a leer y a interpretar las entradas de registro de auditoría, consulta Información sobre los registros de auditoría.

Identidades de los emisores en los registros de auditoría

Los registros de auditoría registran la identidad que realizó las operaciones registradas en el recurso de Google Cloud. La identidad del emisor se encuentra en el campo AuthenticationInfo de los objetos AuditLog.

La dirección de correo electrónico principal del emisor se oculta de un registro de auditoría si la operación es de solo lectura y falla con un error de “permiso denegado”. La única excepción es cuando el emisor es una cuenta de servicio que es miembro de la organización de Google Cloud asociada con el recurso, la dirección de correo electrónico no se oculta.

Además de las condiciones mencionadas antes, lo siguiente se aplica a ciertos productos de Google Cloud:

Si visualizas registros de auditoría en la página Actividad de Google Cloud Console, se mostrará User (anonymized) para las entradas de registro en las que la identidad esté oculta o vacía.

Consultar registros de auditoría

Si deseas encontrar y ver los registros de auditoría, debes conocer el identificador de la carpeta, la organización o el proyecto de Cloud de donde deseas ver la información de registro de auditoría. Además, puedes especificar otros campos LogEntry indexados, como resource.type. Para obtener más información, consulta Busca entradas de registro con rapidez.

A continuación, se muestran los nombres de los registros de auditoría, que incluyen variables para los identificadores del proyecto, la carpeta o la organización de Cloud:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Tienes varias opciones para ver las entradas de registro de auditoría.

Console

Puedes usar el Explorador de registros en Cloud Console para recuperar tus entradas de registro de auditoría:

  1. En Cloud Console, ve a la página Logging > Explorador de registros.

    Ir a la página Explorador de registros

  2. En la página Explorador de registros, selecciona un proyecto de Cloud, una carpeta o una organización existentes.

  3. En el panel Compilador de consultas, sigue estos pasos:

    • En Tipo de recurso, selecciona el recurso de Google Cloud cuyos registros de auditoría deseas ver.

    • En Nombre del registro, selecciona el tipo de registro de auditoría que deseas ver:

      • En el caso de los registros de auditoría de la actividad del administrador, selecciona Actividad.
      • En los registros de auditoría de acceso a los datos, selecciona data_access.
      • En el caso de los registros de auditoría de eventos del sistema, selecciona system_event.
      • En el caso de los registros de auditoría de política denegada, selecciona la política.

    Si no ves estas opciones, significa que no hay registros de auditoría de ese tipo disponibles en el proyecto de Cloud.

    Si deseas obtener más detalles sobre cómo consultar mediante el Explorador de registros, visita Compila consultas de registro.

gcloud

La herramienta de línea de comandos de gcloud proporciona una interfaz de línea de comandos para la API de Cloud Logging. Proporciona un PROJECT_ID, FOLDER_ID o ORGANIZATION_ID válido en cada uno de los nombres de registro.

Para leer las entradas de registro de auditoría a nivel de proyecto de Google Cloud, ejecuta el siguiente comando:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID

Para leer las entradas del registro de auditoría a nivel de las carpetas, ejecuta el siguiente comando:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID

Para leer las entradas del registro de auditoría a nivel de organización, ejecuta el siguiente comando:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID

Para obtener más información sobre el uso de la herramienta de gcloud, consulta Lee las entradas de registro.

API

Cuando compiles tus consultas, reemplaza las variables con valores válidos, sustituye el nombre o los identificadores de registro de auditoría a nivel de proyecto, de carpeta o de organización correctos como aparecen en los nombres de registro de auditoría. Por ejemplo, si tu consulta incluye un PROJECT_ID, el identificador del proyecto que proporciones debe hacer referencia al proyecto de Cloud seleccionado actualmente.

Si deseas usar la API de Logging para ver tus entradas de registro de auditoría, haz lo siguiente:

  1. Ve a la sección Try this API en la documentación del método entries.list.

  2. Ingresa lo siguiente en la sección cuerpo de la solicitud del formulario Prueba esta API. Si haces clic en este formulario rellenado con anterioridad, se completará el cuerpo de la solicitud de manera automática, pero deberás proporcionar un PROJECT_ID válido para cada nombre de registro.

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
    
  3. Haz clic en Execute.

Para obtener más detalles sobre las consultas, visita Lenguaje de consulta de Logging.

Para ver un ejemplo de una entrada de registro de auditoría y cómo encontrar la información más importante en ella, consulta Entrada de registro de auditoría de muestra.

Usa la página Actividad

Puedes ver entradas de registro de auditoría abreviadas en la página Actividad de tu organización o proyecto de Cloud en Cloud Console. Las entradas de registro de auditoría reales pueden contener más información que la que aparece en la página Actividad.

Para ver entradas de registro de auditoría abreviadas en Cloud Console, haz lo siguiente:

  1. Ve a la página Actividad

    Ir a la página Actividad

  2. En el selector de proyectos, selecciona la organización o proyecto de Cloud en el que quieres ver las entradas de los registros de auditoría.

  3. En el panel Filtro, selecciona las entradas que deseas ver.

En la página Actividad, donde la identidad que realiza las acciones registradas se oculta de la entrada de registro de auditoría, se muestra User (anonymized). Para obtener más información, consulta Identidades de llamadas en los registros de auditoría en esta página.

Almacena y enruta registros de auditoría

Cloud Logging usa depósitos de registro como contenedores que almacenan y organizan tus datos de registros. Para cada proyecto de Cloud, carpeta y organización de Logging, se crean de forma automática dos depósitos de registros, _Required y _Default, y los receptores con los nombres correspondientes.

Los depósitos _Required de Cloud Logging transfieren y almacenan registros de auditoría de actividad del administrador y registros de auditoría de eventos del sistema. No puedes configurar depósitos _Required ni datos de registro.

Según la configuración predeterminada, los depósitos _Default transfieren y almacenan cualquier registro de auditoría de acceso a datos y registros de auditoría denegados por políticas. Para evitar que los registros de auditoría de acceso a datos se almacenen en los depósitos _Default, puedes inhabilitarlos. Para evitar que se almacenen registros de auditoría denegados por políticas en los depósitos _Default, puedes excluir los filtros de sus receptores.

También puedes enrutar tus entradas de registro de auditoría a los depósitos de Cloud Logging definidos por el usuario a nivel de proyecto de Cloud o a destinos compatibles fuera de Logging mediante receptores. Consulta Configura receptores para obtener instrucciones.

Cuando configuras los filtros de tus receptores de registros, debes especificar los tipos de registro de auditoría que deseas enrutar; Para ver ejemplos de filtrado, consulta Consultas de registros de seguridad.

Si deseas enrutar las entradas del registro de auditoría para una organización, una carpeta o una cuenta de facturación de Google Cloud, consulta Receptores agregados.

Retención de registros de auditoría

Para obtener detalles sobre la cantidad de tiempo en que Logging retiene las entradas, consulta la información sobre retención en Cuotas y límites: Períodos de retención de registros.

Control de acceso

Los permisos y funciones de IAM determinan tu capacidad para acceder a los datos de registros de auditoría en la API de Logging, el Explorador de registros y gcloud herramienta de línea de comandos.

Cuando decidas qué permisos y funciones se aplican a los casos prácticos de registro de auditoría de los miembros de tu recurso, ten en cuenta lo siguiente:

  • roles/logging.viewer (Visor de registros) te otorga acceso de solo lectura a todas las funciones de Logging, excepto a los registros de Transparencia de acceso y a los registros de auditoría de acceso a los datos, que son entradas de registro privadas.

  • roles/logging.privateLogViewer (Visor de registros privado) incluye roles/logging.viewer, además de la capacidad de leer entradas de registro privadas: registros de transparencia de acceso y registros de auditoría de acceso a datos.

Ten en cuenta que si las entradas de registro privadas se enrutan a un depósito definido por el usuario, cualquier miembro del recurso con permisos de lectura para ese depósito puede ver las entradas de registro.

Para obtener información detallada sobre los permisos de IAM y las funciones que puedes necesitar, consulta la guía de control de acceso.

Cuotas y límites

El tamaño máximo que puede mostrar un registro de auditoría en la siguiente tabla. Estos valores pueden ayudarte a estimar el espacio necesario para un destino de enrutamiento.

Registro de auditoría Tamaño máximo
Actividad del administrador 512 KiB
Acceso a los datos 512 KiB
Eventos del sistema 512 KiB
Política rechazada 512 KiB

Para obtener más información sobre otros límites de uso de registros, consulta Cuotas y límites.

Precios

Los registros de auditoría de la actividad del administrador y los de eventos del sistema son gratuitos.

Los registros de auditoría de acceso a los datos y de acceso denegado de la política son cobrables.

Para obtener información sobre los precios de Cloud Logging, consulta Precios de Google Cloud's operations suite: Cloud Logging.

¿Qué sigue?