Información de registro de auditoría de Cloud Source Repositories

En esta página, se describen los registros de auditoría creados por Cloud Source Repositories como parte del Cloud Audit Logging.

Descripción general

Los servicios de Google Cloud Platform escriben registros de auditoría para ayudarte a responder las preguntas, "¿Quién hizo qué, dónde y cuándo?". Cada uno de tus proyectos de GCP contiene solo los registros de auditoría para los recursos que están directamente dentro del proyecto. Otras entidades, como carpetas, organizaciones y cuentas de facturación, contienen los registros de auditoría para entidad.

Cloud Source Repositories escribe, y proporciona por configuración predeterminada, registros de auditoría para la actividad de administrador, que incluye operaciones que modifican la configuración o los metadatos de un recurso.

Cloud Source Repositories escribe, y no proporciona por configuración predeterminada, registros de auditoría para el acceso a los datos, los cuales registran las llamadas a la API que crean, modifican o leen los datos proporcionados por el usuario.

Los registros de auditoría de acceso a los datos se dividen en diferentes categorías:

  • Acceso a los datos (ADMIN_READ): Operaciones que leen la configuración o los metadatos de un recurso.

    Cloud Source Repositories no proporcionan información de lectura de administrador por configuración predeterminada.

  • Acceso a los datos (DATA_READ): Operaciones que leen datos proporcionados por el usuario de un recurso.

    Cloud Source Repositories no proporciona información de lectura de datos por configuración predeterminada.

  • Acceso a datos (DATA_WRITE): Operaciones que escriben datos proporcionados por el usuario a un recurso.

    Cloud Source Repositories no proporciona información de escritura de datos por configuración predeterminada.

Se puede configurar la información de auditoría que no se proporciona por configuración predeterminada. Para obtener más información, consulta Configuración de registros de acceso a datos.

Operaciones auditadas

En la siguiente tabla se resumen las operaciones de la API que corresponden a cada tipo de registro de auditoría en Cloud Source Repositories:

Categoría de registros de auditoría Operaciones de Cloud Source Repositories
Registros de actividad del administrador SourceRepo.UpdateProjectConfig
SourceRepo.UpdateRepo
SourceRepo.CreateRepo
SourceRepo.DeleteRepo
SourceRepo.SetIamPolicy
Registros de acceso a los datos (ADMIN_READ) SourceRepo.GetProjectConfig
SourceRepo.ListRepos
SourceRepo.GetRepo
SourceRepo.GetIamPolicy
Registros de acceso a los datos (DATA_READ) GitProtocol.LsRemote
GitProtocol.UploadPack
Browser.Access
Registros de acceso a los datos (DATA_WRITE) GitProtocol.ReceivePack

Formato de registro de auditoría

Las entradas del registro de auditoría que se pueden ver en Stackdriver Logging con el visor de registros, la API o el comando de gcloud logging del SDK, incluyen los siguientes objetos:

  • La entrada de registro en sí, que es un objeto de tipo LogEntry. Los campos útiles incluyen los siguientes elementos:

    • logName contiene la identificación del proyecto y el tipo de registro de auditoría.
    • resource contiene el destino de la operación auditada.
    • timeStamp contiene el tiempo de la operación auditada.
    • protoPayload contiene la información auditada.
  • La información de auditoría, que es un objeto AuditLog contenido en el campo protoPayload de la entrada de registro

  • Información opcional de auditoría específica del servicio, que es un objeto específico contenido en el campo serviceData del objeto AuditLog. Para obtener más información, consulta los Datos de auditoría específicos del servicio

Para obtener información sobre otros campos en estos objetos, sus contenidos de muestra y las consultas de muestra sobre la información en los objetos, consulta Tipos de datos de registro de auditoría.

Nombre del registro

Los nombres de registro de Cloud Audit Logging indican el proyecto o alguna otra entidad que posee los registros de auditoría y si el registro contiene información de actividad de administrador o acceso a datos. Por ejemplo, el siguiente segmento muestra los nombres de registro para los registros de actividad del administrador de un proyecto y los registros de acceso a los datos de una organización:

projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

Nombre del servicio

Los registros de auditoría de Cloud Source Repositories usan el nombre de servicio sourcerepo.googleapis.com.

Para obtener más detalles sobre los servicios de registro, consulta Asigna servicios a recursos.

Tipos de recursos

Los registros de auditoría de Cloud Source Repositories usan el tipo de recurso csr_repository para todos los registros de auditoría.

Para obtener una lista completa, consulta Tipos de recursos supervisados.

Habilita el registro de auditoría

Los registros de auditoría de la actividad del administrador están habilitados de forma predeterminada y no se pueden inhabilitar.

La mayoría de los registros de auditoría de acceso a los datos están inhabilitados de forma predeterminada. La excepción son los registros de auditoría de acceso a los datos para BigQuery, que están habilitados de forma predeterminada y no se pueden inhabilitar. Los registros de acceso a los datos de BigQuery no cuentan para la cuota de registro de tu proyecto.

Para habilitar algunos o todos tus registros de acceso a los datos, consulta Configura registros de acceso a los datos.

Los registros de acceso a los datos que configures pueden afectar el precio de tus registros en Stackdriver. Consulta la sección de Precios en esta página.

Permisos de registro de auditoría

Los permisos y funciones de Cloud Identity and Access Management determinan qué registros de auditoría puedes ver o exportar. Los registros residen en proyectos y en algunas otras entidades, incluidas organizaciones, carpetas y cuentas de facturación. Para obtener más información, consulta Información sobre funciones.

Para ver los registros de actividad del administrador, debes tener una de las siguientes funciones de Cloud IAM en el proyecto que contiene tus registros de auditoría:

Para ver los registros de acceso a los datos, debes contar con una de las siguientes funciones en el proyecto que contiene tus registros de auditoría:

Si usas registros de auditoría de una entidad ajena al proyecto, como una organización, debes cambiar las funciones del proyecto por las funciones adecuadas de la organización.

Consulta los registros

Para ver los registros de auditoría de uno de tus proyectos, realiza una de las siguientes acciones:

Para obtener más detalles, consulta las siguientes opciones:

Visor básico

Puedes usar la interfaz básica del visor de registros para recuperar tus entradas de registro de auditoría cuando realizas los siguientes pasos:

  1. En el primer menú, selecciona el tipo de recurso cuyos registros de auditoría deseas ver. Selecciona un recurso específico o todos ellos.
  2. En el segundo menú, selecciona el nombre del registro que deseas ver: activity para los registros de auditoría de la actividad de administrador y data_access los registros de auditoría de acceso a los datos. Si no ves una o ambas opciones, entonces no hay registros de auditoría de ese tipo que estén disponibles.

Visor avanzado

  1. Cambia a la interfaz de filtro avanzado en el visor de registros.
  2. Crea un filtro que especifique los tipos de recursos y los nombres de registro que deseas. Para obtener más información, consulta Recupera registros de auditoría.

API

Para leer tus entradas de registro a través de la API de Logging, consulta la lista de entradas.

SDK

Para leer tus entradas de registro con la herramienta de línea de comandos de gcloud del SDK de Cloud, consulta Lee entradas de registro.

Exporta registros de auditoría

Puedes exportar registros de auditoría de la misma manera que exportas otros tipos de registros. Para obtener más información sobre cómo exportar tus registros, consulta Exportar registros. Estas son algunas de las aplicaciones de la exportación de registros de auditoría:

  • Para mantener los registros de auditoría por un período más extenso o usar capacidades de búsqueda más potentes, puedes exportar copias de tus registros de auditoría a Cloud Storage, BigQuery o Cloud Pub/Sub. Con Cloud Pub/Sub, puedes exportar a otras aplicaciones, a otros repositorios y a terceros.

  • Para administrar tus registros de auditoría en toda la organización, puedes crear receptores de exportación agregada que pueden exportar registros de cualquiera de los proyectos de la organización o de todos ellos.

  • Si tus registros de acceso a los datos habilitados sobrepasan las asignaciones de registros de tus proyectos, puedes exportar y excluir los registros de acceso a los datos de Logging. Para obtener más información, consulta Excluye registros.

Precios

Stackdriver Logging no te cobra por los registros de auditoría que están habilitados por configuración predeterminada, incluidos todos los registros de actividad del administrador.

Stackdriver Logging te cobra por los registros de acceso a los datos que solicitas de manera explícita.

Para obtener más información sobre el precio de los registros, incluido el precio de los registros de auditoría, consulta precios de Stackdriver.

¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…

Cloud Source Repositories