Informações de geração de registros de auditoria do Cloud Pub/Sub

Nesta página, você verá descrições dos registros de auditoria criados pelo Cloud Pub/Sub como parte do Cloud Audit Logging.

Visão geral

Os serviços do Google Cloud gravam registros de auditoria para que você possa determinar quem fez o quê, onde e quando. Cada projeto do Cloud contém apenas os registros de auditoria dos recursos que estão diretamente nele. Outras entidades, como pastas, organizações e contas de faturamento, têm os próprios registros de auditoria.

Para uma visão geral, acesse Registro de auditoria do Cloud. Para mais detalhes sobre o registro de auditoria do Cloud, consulte Noções básicas sobre registros de auditoria.

O registro de auditoria do Cloud mantêm três registros para cada projeto, pasta e organização do Google Cloud:

  • Registros de auditoria de atividade do administrador
  • Registros de auditoria de acesso a dados
  • Registros de auditoria de evento do sistema

O Cloud Pub/Sub grava registros de auditoria da atividade do administrador, inclusive operações que modificam a configuração ou os metadados de um recurso. Não é possível desativar esses registros de auditoria.

O Cloud Pub/Sub não grava registros de auditoria de acesso a dados.

O Cloud Pub/Sub grava registros de auditoria de eventos do sistema contendo entradas para ações administrativas do Google Cloud que modificam a configuração de recursos. Os registros de auditoria de eventos do sistema são ativados pelos sistemas do Google. Eles não são conduzidos por ação direta do usuário.

Não é possível desativar os registros de auditoria de eventos do sistema.

Operações auditadas

Veja a seguir quais operações da API correspondem a cada tipo de registro de auditoria no Cloud Pub/Sub:

Categoria de registro de auditoria Operações do Cloud Pub/Sub
Atividade administrativa CreateTopic
UpdateTopic
GetTopic
ListTopics
ListTopicSubscriptions
DeleteTopic

CreateSubscription
GetSubscription
UpdateSubscription
ListSubscriptions
DeleteSubscription
ModifyPushConfig

CreateSnapshot
GetSnapshot
ListSnapshots
UpdateSnapshot
DeleteSnapshot

GetIamPolicy
SetIamPolicy
TestIamPermissions
Evento do sistema Eventos internos do Cloud Pub/Sub, incluindo:
  • Expiração de assinaturas e snapshots
  • Exclusão de tópicos, assinaturas e snapshots devido à exclusão do projeto do GCP

Formato do registro de auditoria

As entradas de registro de auditoria, que podem ser visualizadas no Cloud Logging usando o visualizador de registros, a API Cloud Logging ou a ferramenta de linha de comando gcloud, incluem os seguintes objetos:

  • A própria entrada de registro, que é um objeto do tipo LogEntry. Veja alguns campos úteis:

    • logName contém o tipo de registro de auditoria e de identificação do projeto.
    • resource contém o destino da operação auditada.
    • timeStamp contém o horário da operação auditada.
    • protoPayload contém as informações auditadas.
  • Os dados de registro de auditoria, que são um objeto AuditLog localizado no campo protoPayload da entrada de registro.

  • Informações opcionais de auditoria específicas do serviço, que são um objeto específico do serviço localizado no campo serviceData do objeto AuditLog. Para detalhes, acesse Dados de auditoria específicos do serviço.

Para ver outros campos desses objetos e saber como interpretá-los, consulte as Noções básicas de registros de auditoria.

Nome do registro

Os nomes de recursos de registro de auditoria do Cloud indicam o projeto ou outra entidade que contém os registros de auditoria e mostram se o registro tem dados de registro de auditoria de atividades do administrador, de acesso a dados ou de eventos do sistema. Por exemplo, veja abaixo os nomes dos registros de auditoria de atividade do administrador de um projeto e de acesso a dados de uma organização.

    projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
    organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
    

Nome do serviço

Os registros de auditoria do Cloud Pub/Sub usam o nome de serviço pubsub.googleapis.com.

Para mais detalhes sobre como gerar registros de serviços, acesse Como mapear serviços a recursos.

Tipos de recurso

Para todos os registros de auditoria, o Cloud Pub/Sub usa os seguintes tipos de recursos:

Para uma lista completa, acesse Tipos de recursos monitorados (em inglês).

Como ativar o registro de auditoria

Os registros de auditoria de eventos do sistema estão sempre ativados. Não é possível desativá-los.

Os registros de auditoria de atividade do administrador estão sempre ativados. Não é possível desativá-los.

O Cloud Pub/Sub não grava registros de auditoria de acesso a dados.

Permissões de registro de auditoria

As permissões e os papéis do Cloud Identity and Access Management determinam quais registros de auditoria você tem permissão para visualizar ou exportar. Os registros estão incluídos nos projetos e em outras entidades como organizações, pastas e contas de faturamento. Para mais informações, consulte Como entender os papéis.

Para visualizar os registros de auditoria de atividade do administrador ou eventos do sistema, é necessário ter um dos seguintes papéis do Cloud IAM no projeto que contém seus registros de auditoria:

O Cloud Pub/Sub não grava registros de auditoria de acesso a dados nem de eventos do sistema.

Se você estiver usando registros de auditoria de uma entidade sem projeto, como uma organização, passe a usar os papéis do Projeto adequados à organização.

Como ver os registros

Para encontrar e ver os registros de auditoria, você precisa saber o identificador do projeto, da pasta ou da organização do Google Cloud que tem as informações de registro de auditoria que você quer ver. É possível especificar outros campos LogEntry indexados, como resource.type. Para detalhes, acesse Como encontrar entradas de registro rapidamente.

Veja a seguir os nomes dos registros de auditoria:

       projects/project-id/logs/cloudaudit.googleapis.com%2Factivity
       projects/project-id/logs/cloudaudit.googleapis.com%2Fdata_access
       projects/project-id/logs/cloudaudit.googleapis.com%2Fsystem_event

       folders/folder-id/logs/cloudaudit.googleapis.com%2Factivity
       folders/folder-id/logs/cloudaudit.googleapis.com%2Fdata_access
       folders/folder-id/logs/cloudaudit.googleapis.com%2Fsystem_event

       organizations/organization-id/logs/cloudaudit.googleapis.com%2Factivity
       organizations/organization-id/logs/cloudaudit.googleapis.com%2Fdata_access
       organizations/organization-id/logs/cloudaudit.googleapis.com%2Fsystem_event
    

Nos exemplos abaixo, usamos as consultas no nível do projeto. Se você quiser analisar os registros de auditoria no nível da organização ou da pasta, substitua o nome ou os identificadores apropriados do registro de auditoria no nível da pasta ou da organização, conforme listados nos nomes de registro de auditoria.

Você tem várias opções para ver as entradas de registro de auditoria.

Console do Cloud

Use o visualizador de registros no Console do Cloud para recuperar as entradas de registro de auditoria do seu projeto do Google Cloud. Faça o seguinte:

  1. Vá para a página Geração de registros do conjunto de operações do Google Cloud > Registros (Visualizador de registros) no Console do Cloud:

    Acessar a página "Visualizador de registros"

  2. Selecione um projeto atual do Google Cloud na parte superior da página ou crie um novo.

  3. No primeiro menu suspenso, selecione o tipo de recurso que tem os registros de auditoria que você quer ver.

  4. No segundo menu suspenso, selecione o tipo de registro que você quer ver: activity para registros de auditoria de atividades administrativas, data_access para registros de auditoria de acesso a dados e system_events para registros de eventos do sistema.

    Se não aparecer nenhuma dessas opções, não haverá registros de auditoria desse tipo disponíveis no projeto.

Se você quiser restringir uma pesquisa atual somente para registros de auditoria, faça o seguinte:

  1. Na caixa de filtro de pesquisa, clique na seta suspensa (▾) e selecione Converter para filtro avançado.

  2. Na caixa de texto exibida, adicione a seguinte consulta abaixo da linha resource.type. O project-id inserido precisa referir-se ao projeto do Google Cloud selecionado no momento, caso contrário, a consulta não funcionará.

            logName : "projects/project-id/logs/cloudaudit.googleapis.com"
        

    Se você quiser ver todos os registros de auditoria disponíveis para o projeto, inclua somente os itens acima na consulta. Para mais detalhes sobre consultas, acesse Consultas de registros avançados.

API

Para analisar as entradas de registro de auditoria usando a API de Logging, faça o seguinte:

  1. Acesse a seção Testar esta API da documentação do método entries.list.

  2. Insira as informações a seguir na parte do Corpo da solicitação do formulário Testar esta API. Clique nesse formulário preenchido automaticamente para preencher automaticamente o corpo da solicitação, mas você precisa inserir um project-id válido em cada um dos nomes de registro.

              {
                "resourceNames": [
                  "projects/project-id"
                ],
                "pageSize": 5,
                "filter": "logName : projects/project-id/logs/cloudaudit.googleapis.com"
              }
        
  3. Clique em Executar.

Para mais detalhes sobre consultas, acesse Consultas de registros avançados.

GCLOUD

O SDK do Cloud tem um grupo de comandos, gcloud logging, que fornece uma interface de linha de comando para a API Cloud Logging. Para ler as entradas de registro, execute o comando a seguir. Insira um project-id válido em cada um dos nomes de registro.

        gcloud logging read "logName : projects/project-id/logs/cloudaudit.googleapis.com"

Consulte Como ler entradas de registro para mais informações sobre como usar a ferramenta de linha de comando gcloud.

Para ver um exemplo de entrada de registro de auditoria e instruções para encontrar as informações mais importantes nesse registro, acesse Noções básicas sobre registros de auditoria.

Como exportar registros de auditoria

É possível exportar os registros de auditoria da mesma forma que você exporta outros tipos de registro. Para mais detalhes sobre como exportar registros, acesse esta página. Veja a seguir algumas aplicações da exportação de registros de auditoria.

  • Para manter registros de auditoria por mais tempo ou usar recursos de pesquisa mais eficientes, exporte cópias desses registros para o Cloud Storage, o BigQuery ou o Pub/Sub. Com o Pub/Sub, faça exportações para outros aplicativos e repositórios ou para terceiros.

  • Para gerenciar seus registros de auditoria em toda a organização, você pode criar coletores agregados que podem exportar registros de qualquer um ou todos os projetos da organização.

Preço

O Cloud Logging não cobra por registros de auditoria que não podem ser desativados, incluindo todos os registros de atividade do administrador e eventos do sistema.

Para mais informações sobre o sistema de preços de registros de auditoria, consulte preços do conjunto de operações do Google Cloud.