Informações sobre geração de registro de auditoria do Cloud Source Repositories

Veja nesta página os registros de auditoria criados pelo Cloud Source Repositories como parte dos registros de auditoria do Cloud.

Visão geral

Os serviços do Google Cloud gravam registros de auditoria para que você possa determinar quem fez o quê, onde e quando. Cada projeto do Cloud contém apenas os registros de auditoria dos recursos que estão diretamente nele. Outras entidades, como pastas, organizações e contas de faturamento, têm os próprios registros de auditoria.

O Cloud Source Repositories grava e fornece, por padrão, registros de auditoria para a atividade do administrador, que inclui operações que modificam a configuração ou os metadados de um recurso.

O Cloud Source Repositories grava e não fornece, por padrão, registros de auditoria para acesso a dados, que gravam chamadas de API que criam, modificam ou leem dados fornecidos pelo usuário.

Os registros de auditoria de acesso a dados são divididos em diferentes categorias:

  • Acesso a dados (ADMIN_READ): operações que leem a configuração ou metadados de um recurso.

    O Cloud Source Repositories não fornece informações de leitura do administrador por padrão.

  • Acesso a dados (DATA_READ): operações que leem dados fornecidos pelo usuário de um recurso.

    O Cloud Source Repositories não fornece informações de leitura de dados por padrão.

  • Acesso a dados (DATA_WRITE): operações que gravam dados fornecidos pelo usuário em um recurso.

    O Cloud Source Repositories não fornece informações de gravação de dados por padrão.

É possível configurar as informações de auditoria que não são fornecidas por padrão. Para ver os detalhes, consulte Como configurar registros de acesso a dados.

Operações auditadas

A tabela a seguir resume quais operações da API correspondem a cada tipo de registro de auditoria no Cloud Source Repositories:

Categoria de registros de auditoria Operações do Cloud Source Repositories
Registros de atividade do administrador SourceRepo.UpdateProjectConfig
SourceRepo.UpdateRepo
SourceRepo.CreateRepo
SourceRepo.DeleteRepo
SourceRepo.SetIamPolicy
Registros de acesso a dados (ADMIN_READ) SourceRepo.GetProjectConfig
SourceRepo.ListRepos
SourceRepo.GetRepo
SourceRepo.GetIamPolicy
Registros de acesso a dados (DATA_READ) GitProtocol.LsRemote
GitProtocol.UploadPack
Browser.Access
Registros de acesso a dados (DATA_WRITE) GitProtocol.ReceivePack

Formato do registro de auditoria

As entradas de registro de auditoria, que podem ser visualizadas no Cloud Logging usando o visualizador de registros, a API Cloud Logging ou o comando gcloud logging do SDK, incluem os seguintes objetos:

  • A própria entrada de registro, que é um objeto do tipo LogEntry. Veja alguns campos úteis:

    • logName contém o tipo de registro de auditoria e de identificação do projeto.
    • resource contém o destino da operação auditada.
    • timeStamp contém o horário da operação auditada.
    • protoPayload contém as informações auditadas.
  • As informações de auditoria, que são um objeto AuditLog mantido no campo protoPayload da entrada de registro.

  • Informações opcionais de auditoria específicas do serviço, que são um objeto específico do serviço, localizado no campo serviceData do objeto AuditLog. Para detalhes, consulte Dados de auditoria específicos do serviço.

Para ver outros campos desses objetos, amostras de conteúdo e exemplos de consultas sobre informações nos objetos, consulte os Tipos de dados de registro de auditoria.

Nome do registro

Os nomes de registro dos registros de auditoria do Cloud indicam o projeto ou a outra entidade que contém os registros de auditoria. Eles também mostram se o registro tem informações de atividade do administrador e de acesso a dados. Por exemplo, abaixo estão alguns nomes de registros de atividades do administrador de um projeto e de acesso a dados de uma organização.

projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

Nome do serviço

Os registros de auditoria do Cloud Source Repositories usam o nome do serviço sourcerepo.googleapis.com.

Para mais detalhes sobre como registrar serviços, consulte Mapeamento de serviços e recursos.

Tipos de recurso

Os registros de auditoria do Cloud Source Repositories usam o tipo de recurso csr_repository para todos os registros de auditoria.

Consulte a lista completa em Tipos de recursos monitorados.

Como ativar o registro de auditoria

Os registros de auditoria de atividades do administrador são ativados por padrão e não é possível desativá-los.

A maioria dos registros de auditoria de acesso a dados está desativada por padrão, exceto os registros de auditoria de acesso a dados do BigQuery, que são ativados por padrão e não podem ser desativados. Esses registros de acesso a dados do BigQuery não são contabilizados na cota de geração de registros do projeto.

Para ativar alguns ou todos eles, consulte Como configurar registros de acesso a dados.

Os registros de acesso a dados que você configura podem afetar os preços no Pacote de operações do Google Cloud. Consulte a seção Preços nesta página.

Permissões de registros de auditoria

As permissões e os papéis do gerenciamento de identidade e acesso determinam quais registros de auditoria é possível ver ou exportar. Os registros estão incluídos nos projetos e em outras entidades como organizações, pastas e contas de faturamento. Para saber mais, consulte Noções básicas sobre papéis.

Para ver os registros de atividade do administrador, você precisa ter um dos seguintes papéis do IAM no projeto que contém os registros de auditoria:

Para ver os registros de acesso a dados, você precisa ter um dos seguintes papéis no projeto que contém os registros de auditoria:

Se você estiver usando registros de auditoria de uma entidade sem projeto, como uma organização, passe a usar os papéis do Projeto adequados à organização.

Como ver registros

Para ver os registros de auditoria de um dos seus projetos, siga um destes procedimentos:

Para ver mais detalhes, consulte as seguintes opções:

Interface básica do Visualizador

É possível usar a interface básica do Leitor de registros para recuperar as entradas de registros de auditoria. Basta seguir estas etapas:

  1. No primeiro menu, selecione o tipo de recurso com os registros de auditoria que você quer ver. Escolha um recurso específico ou todos eles.
  2. No segundo menu, selecione o nome do registro que você quer ver: activity para registros de auditoria da atividade do administrador e data_access para registros de auditoria de acesso a dados. Se uma ou ambas as opções não forem exibidas, isso quer dizer que não há registros de auditoria desse tipo disponíveis.

Leitor avançado

  1. Mude para a interface de filtro avançada no Leitor de registros.
  2. Crie um filtro que especifique os tipos de recursos e nomes de registro pretendidos. Para mais informações, consulte Como recuperar registros de auditoria.

API

Para ler as entradas de registro por meio da API Logging, consulte entries.list.

SDK

Para ler suas entradas de registro na ferramenta de linha de comando gcloud do SDK do Cloud, consulte Como ler entradas de registro.

Como exportar registros de auditoria

É possível exportar os registros de auditoria da mesma forma que você exporta outros tipos de registro. Para ver os detalhes sobre como exportar registros, consulte Como exportar registros. Veja a seguir algumas aplicações da exportação de registros de auditoria:

  • Para manter registros de auditoria por mais tempo ou usar recursos de pesquisa mais eficientes, exporte cópias desses registros para o Cloud Storage, o BigQuery ou o Pub/Sub. Com o Pub/Sub, faça exportações para outros aplicativos e repositórios ou para terceiros.

  • Para gerenciar seus registros de auditoria em toda a organização, crie coletores agregados que podem exportar registros de qualquer um ou todos os projetos da organização.

  • Se os registros ativados de acesso a dados estiverem fazendo seus projetos excederem as cotas de registros, você poderá exportá-los e excluí-los do Logging. Para detalhes, consulte Como excluir registros.

Preço

O Cloud Logging não cobra por registros de auditoria ativados por padrão, incluindo todos os Registros de atividades do administrador.

O Cloud Logging cobra pelos registros de acesso a dados explicitamente solicitados.

Para mais informações sobre preços de registros, incluindo registros de auditoria, consulte Preços do Pacote de operações do Google Cloud.