Informações do registro de auditoria do Stackdriver Monitoring

Nesta página, descrevemos os registros de auditoria criados pelo Monitoring como parte do Cloud Audit Logging.

Visão geral

Os serviços do Google Cloud Platform gravam registros de auditoria que ajudam você a determinar quem fez o quê, onde e quando. Cada projeto do GCP contém apenas os registros de auditoria dos recursos que estão diretamente nele. Outras entidades, como pastas, organizações e contas de faturamento, têm os próprios registros de auditoria.

O Monitoring grava e fornece por padrão registros de auditoria da atividade do administrador, incluindo operações que modificam a configuração ou os metadados de um recurso.

O Monitoring grava e não fornece por padrão registros de auditoria do acesso a dados, que registra chamadas de API que criam, modificam ou leem os dados fornecidos pelo usuário.

Os registros de auditoria do acesso a dados são divididos em diferentes categorias:

  • Acesso a dados (ADMIN_READ): operações que leem a configuração ou os metadados de um recurso.

    O Monitoring não fornece informações de leitura do administrador por padrão.

  • Acesso a dados (DATA_READ): operações que leem os dados fornecidos pelo usuário de um recurso.

    O Monitoring não fornece informações de leitura de dados por padrão.

  • Acesso a dados (DATA_WRITE): operações que gravam os dados fornecidos pelo usuário em um recurso.

    O Monitoring não fornece informações de gravação de dados por padrão.

É possível configurar as informações de auditoria que não são fornecidas por padrão. Para ver os detalhes, consulte Como configurar registros de acesso a dados.

Operações auditadas

Veja na tabela a seguir um resumo de quais operações da API correspondem a cada tipo de registro de auditoria no Monitoring:

Categoria de registros de auditoria Operações no Monitoring
Atividade do administrador projects.groups.create
projects.groups.delete
projects.groups.update
projects.metricsDescriptors.create
projects.metricDescriptors.delete
monitoring.uptimeCheckConfigs.create
monitoring.uptimeCheckConfigs.update
monitoring.uptimeCheckConfigs.delete
Acesso a dados (ADMIN_READ) projects.metricDescriptors.get
projects.metricDescriptors.list
projects.groups.get
projects.groups.list
projects.groups.members.list
monitoring.uptimeCheckConfigs.list
monitoring.uptimeCheckConfigs.get
Acesso a dados (DATA_READ) projects.timeSeries.list
Acesso a dados (DATA_WRITE) projects.timeSeries.create
projects.collectdTimeSeries.create

Formato do registro de auditoria

É possível visualizar as entradas de registro de auditoria no Stackdriver Logging por meio do Visualizador de registros, da API ou do comando gcloud logging do SDK. Ela inclui os seguintes objetos:

  • A própria entrada de registro, que é um objeto do tipo LogEntry. Os campos úteis incluem o seguinte:

    • logName contém a identificação do projeto e o tipo de registro de auditoria.
    • resource contém o destino da operação auditada.
    • timeStamp contém o horário da operação auditada.
    • protoPayload contém as informações auditadas.
  • As informações de auditoria, que são um objeto AuditLog mantido no campo protoPayload da entrada de registro.

  • Informações de auditoria opcionais e específicas ao serviço, que estão localizadas no campo serviceData do objeto AuditLog. Para ver os detalhes, consulte Dados de auditoria específicos do serviço.

Para ver outros campos desses objetos, amostras de conteúdo e exemplos de consulta sobre informações neles, consulte os Tipos de dados de registros de auditoria.

Nome do registro

Os nomes de registro do Cloud Audit Logging indicam o projeto ou a outra entidade que contém os registros de auditoria. Eles também mostram se o registro tem informações de atividade do administrador e de acesso a dados. Por exemplo, abaixo estão alguns nomes de registros de atividades do administrador de um projeto e de acesso a dados de uma organização.

projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

Nome do serviço

Os registros de auditoria do Monitoring usam o nome do serviço monitoring.googleapis.com.

Para ver mais detalhes sobre os serviços de registro, consulte Como mapear serviços para recursos.

Tipos de recurso

Todos os registros de auditoria do Monitoring usam o tipo de recurso audited_resource porque é possível monitorar muitos tipos diferentes de recursos.

Para ver a lista completa, consulte Tipos de recursos monitorados.

Como ativar o registro de auditoria

Os registros de auditoria de atividades do administrador são ativados por padrão e não é possível desativá-los.

A maioria dos registros de auditoria de acesso a dados está desativada por padrão, exceto os registros de auditoria de acesso a dados do BigQuery, que são ativados por padrão e não podem ser desativados. Esses registros de acesso a dados do BigQuery não são contabilizados na cota de geração de registros do projeto.

Para ativar alguns ou todos eles, consulte Como configurar registros de acesso a dados.

Os registros de acesso a dados que você configura afetam o preço dos registros no Stackdriver. Consulte a seção Preços nesta página.

Permissões de registro de auditoria

As permissões e os papéis do Cloud Identity and Access Management determinam quais registros de auditoria você pode ver ou exportar. Os registros estão incluídos nos projetos e em outras entidades como organizações, pastas e contas de faturamento. Para saber mais, consulte Noções básicas sobre papéis.

Para ver os registros de atividade do administrador, você precisa ter um dos papéis do Cloud IAM a seguir no projeto que contém os registros de auditoria:

Para ver os registros de acesso a dados, você precisa ter um dos papéis a seguir no projeto que contém os registros de auditoria:

Se você estiver usando registros de auditoria de uma entidade sem projeto, como uma organização, altere os papéis do Projeto para os adequados da organização.

Como ver registros

Para ver os registros de auditoria de um dos seus projetos, siga um destes procedimentos:

Para ver mais detalhes, consulte as seguintes opções:

Interface básica do Visualizador

É possível usar a interface básica do Visualizador de registros para recuperar as entradas de registros de auditoria. Basta seguir estas etapas:

  1. No primeiro menu, selecione o tipo de recurso com os registros de auditoria que você quer ver. Escolha um recurso específico ou todos eles.
  2. No segundo menu, selecione o nome do registro que você quer ver: activity para registros de auditoria de atividade do administrador e data_access para registros de auditoria de acesso a dados. Se uma ou ambas as opções não forem exibidas, isso quer dizer que não há registros de auditoria desse tipo disponíveis.

Visualizador avançado

  1. Alterne para a interface de filtro avançada no Visualizador de registros.
  2. Crie um filtro que especifique os tipos de recursos e nomes de registro desejados. Para saber mais, consulte Como recuperar registros de auditoria.

API

Para ler as entradas de registro por meio da API Logging, consulte entries.list.

SDK

Para ler as entradas de registro na ferramenta de linha de comando gcloud do SDK do Cloud, consulte Como ler entradas de registro.

Como exportar registros de auditoria

É possível exportar os registros de auditoria da mesma forma que você exporta outros tipos de registro. Para ver os detalhes sobre como exportar registros, consulte Como exportar registros. Veja a seguir algumas aplicações da exportação de registros de auditoria:

  • Para manter os registros de auditoria por um período mais longo ou usar recursos de pesquisa mais avançados, você pode exportar cópias dos registros de auditoria para o Cloud Storage, o BigQuery ou o Cloud Pub/Sub. Com o Cloud Pub/Sub, você pode exportar para outros aplicativos, outros repositórios e para terceiros.

  • Para gerenciar os registros de auditoria em toda a organização, você pode criar coletores de exportação agregados. Eles exportam registros de todos os projetos na organização.

  • Se os registros ativados de acesso a dados estiverem fazendo seus projetos excederem as cotas de registro, é possível exportá-los e excluí-los do Logging. Para saber mais, consulte Como excluir registros.

Preços

O Stackdriver Logging não cobra por registros de auditoria ativados por padrão, incluindo todos os registros de atividades do administrador.

O Stackdriver Logging cobra pelos registros de acesso a dados que você solicita explicitamente.

Para saber mais sobre os preços de registros, incluindo de registros de auditoria, consulte Preços do Stackdriver.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Stackdriver Monitoring
Precisa de ajuda? Acesse nossa página de suporte.