Informações sobre geração de registro de auditoria do Cloud Source Repositories

Veja nesta página os registros de auditoria criados pelo Cloud Source Repositories como parte dos registros de auditoria do Cloud.

Visão geral

Os serviços do Google Cloud Platform gravam registros de auditoria que ajudam você a determinar quem fez o quê, onde e quando. Cada projeto do GCP contém apenas os registros de auditoria dos recursos que estão diretamente nele. Outras entidades, como pastas, organizações e contas de faturamento, têm os próprios registros de auditoria.

O Cloud Source Repositories grava e fornece, por padrão, registros de auditoria para a atividade do administrador, que inclui operações que modificam a configuração ou os metadados de um recurso.

O Cloud Source Repositories grava e não fornece, por padrão, registros de auditoria para acesso a dados, que gravam chamadas de API que criam, modificam ou leem dados fornecidos pelo usuário.

Os registros de auditoria de acesso a dados são divididos em diferentes categorias:

  • Acesso a dados (ADMIN_READ): operações que leem a configuração ou metadados de um recurso.

    O Cloud Source Repositories não fornece informações de leitura do administrador por padrão.

  • Acesso a dados (DATA_READ): operações que leem dados fornecidos pelo usuário de um recurso.

    O Cloud Source Repositories não fornece informações de leitura de dados por padrão.

  • Acesso a dados (DATA_WRITE): operações que gravam dados fornecidos pelo usuário em um recurso.

    O Cloud Source Repositories não fornece informações de gravação de dados por padrão.

É possível configurar as informações de auditoria que não são fornecidas por padrão. Para ver os detalhes, consulte Como configurar registros de acesso a dados.

Operações auditadas

A tabela a seguir resume quais operações da API correspondem a cada tipo de registro de auditoria no Cloud Source Repositories:

Categoria de registros de auditoria Operações do Cloud Source Repositories
Registros de atividade do administrador SourceRepo.UpdateProjectConfig
SourceRepo.UpdateRepo
SourceRepo.CreateRepo
SourceRepo.DeleteRepo
SourceRepo.SetIamPolicy
Registros de acesso a dados (ADMIN_READ) SourceRepo.GetProjectConfig
SourceRepo.ListRepos
SourceRepo.GetRepo
SourceRepo.GetIamPolicy
Registros de acesso a dados (DATA_READ) GitProtocol.LsRemote
GitProtocol.UploadPack
Browser.Access
Registros de acesso a dados (DATA_WRITE) GitProtocol.ReceivePack

Formato dos registros de auditoria

É possível visualizar as entradas de registro de auditoria no Stackdriver Logging por meio do Visualizador de registros, da API ou do comando gcloud logging do SDK. Ela inclui os seguintes objetos:

  • A própria entrada de registro, que é um objeto do tipo LogEntry. Veja alguns campos úteis:

    • logName contém a identificação do projeto e o tipo de registro de auditoria.
    • resource contém o destino da operação auditada.
    • timeStamp contém o horário da operação auditada.
    • protoPayload contém as informações auditadas.
  • As informações de auditoria, que são um objeto AuditLog mantido no campo protoPayload da entrada de registro.

  • Informações de auditoria opcionais específicas do serviço, localizadas no campo serviceData do objeto AuditLog. Para detalhes, consulte Dados de auditoria específicos do serviço.

Para ver outros campos desses objetos, amostras de conteúdo e exemplos de consultas sobre informações nos objetos, consulte os Tipos de dados de registro de auditoria.

Nome do registro

Os nomes de registro dos registros de auditoria do Cloud indicam o projeto ou a outra entidade que contém os registros de auditoria. Eles também mostram se o registro tem informações de atividade do administrador e de acesso a dados. Por exemplo, abaixo estão alguns nomes de registros de atividades do administrador de um projeto e de acesso a dados de uma organização.

projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

Nome do serviço

Os registros de auditoria do Cloud Source Repositories usam o nome do serviço sourcerepo.googleapis.com.

Para ver mais detalhes sobre serviços de registro, consulte Como mapear serviços para recursos.

Tipos de recurso

Todos os registros de auditoria do Cloud Source Repositories usam o tipo de recurso csr_repository.

Para ver a lista completa, consulte Tipos de recursos monitorados.

Como ativar o registro de auditoria

Os registros de auditoria de atividades do administrador são ativados por padrão e não é possível desativá-los.

A maioria dos registros de auditoria de acesso a dados está desativada por padrão, exceto os registros de auditoria de acesso a dados do BigQuery, que são ativados por padrão e não podem ser desativados. Esses registros de acesso a dados do BigQuery não são contabilizados na cota de geração de registros do projeto.

Para ativar alguns ou todos eles, consulte Como configurar registros de acesso a dados.

Os registros de acesso a dados que você configura afetam o preço dos registros no Stackdriver. Consulte a seção Preços nesta página.

Permissões dos registros de auditoria

As permissões e os papéis do Cloud Identity and Access Management determinam quais registros de auditoria você pode ver ou exportar. Os registros estão incluídos nos projetos e em outras entidades como organizações, pastas e contas de faturamento. Para saber mais, consulte Noções básicas sobre papéis.

Para ver os registros de atividade do administrador, você precisa ter um dos papéis do Cloud IAM a seguir no projeto que contém os registros de auditoria:

Para ver os registros de acesso a dados, você precisa ter um dos seguintes papéis no projeto que contém os registros de auditoria:

Se você estiver usando registros de auditoria de uma entidade sem projeto, como uma organização, troque os papéis do Projeto por papéis adequados da organização.

Como ver registros

Para ver os registros de auditoria de um dos seus projetos, siga um destes procedimentos:

Para ver mais detalhes, consulte as seguintes opções:

Interface básica do Visualizador

É possível usar a interface básica do Leitor de registros para recuperar as entradas de registros de auditoria. Basta seguir estas etapas:

  1. No primeiro menu, selecione o tipo de recurso com os registros de auditoria que você quer ver. Escolha um recurso específico ou todos eles.
  2. No segundo menu, selecione o nome do registro que você quer ver: activity para registros de auditoria de atividade do administrador e data_access para registros de auditoria de acesso a dados. Se uma ou ambas as opções não forem exibidas, isso quer dizer que não há registros de auditoria desse tipo disponíveis.

Leitor avançado

  1. Mude para a interface de filtro avançada no Leitor de registros.
  2. Crie um filtro que especifique os tipos de recursos e nomes de registro pretendidos. Para mais informações, consulte Como recuperar registros de auditoria.

API

Para ler as entradas de registro por meio da API Logging, consulte entries.list.

SDK

Para ler as entradas de registro na ferramenta de linha de comando gcloud do SDK do Cloud, consulte Como ler entradas de registro.

Como exportar registros de auditoria

É possível exportar os registros de auditoria da mesma forma que você exporta outros tipos de registro. Para ver os detalhes sobre como exportar registros, consulte Como exportar registros. Veja a seguir algumas aplicações da exportação de registros de auditoria:

  • Para manter os registros de auditoria por um período mais longo ou usar recursos de pesquisa mais avançados, você pode exportar cópias dos registros de auditoria para o Cloud Storage, o BigQuery ou o Cloud Pub/Sub. Com o Cloud Pub/Sub, você pode exportar para outros aplicativos, outros repositórios e para terceiros.

  • Para gerenciar os registros de auditoria em toda a organização, você pode criar coletores de exportação agregados. Eles exportam registros de todos os projetos na organização.

  • Se os registros ativados de acesso a dados estiverem fazendo seus projetos excederem as cotas de registros, você poderá exportá-los e excluí-los do Logging. Para detalhes, consulte Como excluir registros.

Preços

O Stackdriver Logging não cobra por registros de auditoria ativados por padrão, incluindo todos os registros de atividades do administrador.

O Stackdriver Logging cobra pelos registros de acesso a dados que você solicita explicitamente.

Para mais informações sobre preços de registros, como os de auditoria, consulte Preços do Stackdriver.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Cloud Source Repositories