Información sobre el almacenamiento del registro de auditoría de Cloud Spanner

En esta página se describen los registros de auditoría creados por Cloud Spanner como parte del almacenamiento de registros de auditoría de Cloud.

Visión general

Los servicios de Google Cloud Platform cuentan con registros de auditoría para ayudarte a responder a las preguntas sobre quién hizo qué, dónde se hizo y cuándo se hizo. Los proyectos de GCP solo contienen los registros de auditoría de los recursos directos del proyecto. Otras entidades, entre ellas, las carpetas, las organizaciones y las cuentas de facturación, contienen los registros de auditoría de la propia entidad.

La información auditada se divide en diferentes categorías:

  • Actividad de administración: operaciones que modifican la configuración o los metadatos de un recurso.

    Cloud Spanner proporciona información de la actividad de administración de forma predeterminada.

  • Acceso a los datos (ADMIN_READ): operaciones que leen la configuración o los metadatos de un recurso.

    Cloud Spanner no proporciona información de actividad de administrador de forma predeterminada.

  • Acceso a los datos (DATA_READ): operaciones que leen datos proporcionados por el usuario de un recurso.

    Cloud Spanner no proporciona información de lectura de datos de forma predeterminada.

  • Acceso a los datos (DATA_WRITE): operaciones que escriben datos proporcionados por el usuario en un recurso.

    Cloud Spanner no proporciona información de escritura de datos de forma predeterminada.

La información de auditoría que no se proporciona de forma predeterminada se puede configurar. Si quieres obtener detalles, consulta el apartado sobre configuración de registros de acceso a datos.

Operaciones auditadas

En la siguiente tabla se enumeran las operaciones de la API Cloud Spanner que se auditan:

Categoría de registros de auditoría Operaciones de Cloud Spanner
Registros de actividad de administración

Operaciones de instancia:

  • CreateInstance
  • DeleteInstance
  • UpdateInstance

Operaciones de base de datos:

  • CreateDatabase
  • DropDatabase
  • GetDatabase
  • UpdateDatabaseDdl
Registros de acceso a los datos (ADMIN_READ)

Operaciones de instancia:

  • GetInstance
  • GetInstanceConfig
  • ListInstanceConfigs
  • ListInstances

Operaciones de base de datos:

  • GetDatabase
  • GetDatabaseDdl
  • ListDatabases
Registros de acceso a los datos (DATA_READ)
  • BeginTransaction (para una transacción ReadOnly)
  • ExecuteSql
  • ExecuteStreamingSql
  • GetSession
  • ListSessions
  • Read
  • StreamingRead
Registros de acceso a los datos (DATA_WRITE)
  • BeginTransaction (para una transacción ReadWrite)
  • Commit
  • CreateSession
  • DeleteSession
  • Rollback

Formato del registro de auditoría

Entre las entradas de registro de auditoría, que se pueden visualizar en Stackdriver Logging mediante el visualizador de registros, la API o el comando SDK gcloud logging, se incluyen los siguientes objetos:

  • La entrada de registro en sí, que es un objeto de tipo LogEntry. Entre los campos útiles se incluyen los siguientes:

    • logName contiene la identificación del proyecto y el tipo de registro de auditoría.
    • resource contiene el objetivo de la operación auditada.
    • timeStamp contiene el tiempo de la operación auditada.
    • protoPayload contiene la información auditada.
  • La información de auditoría, que es un objeto AuditLog que se encuentra en el campo protoPayload de la entrada de registro.

  • La información de auditoría específica del servicio opcional, que es un objeto específico del servicio que se encuentra en el campo serviceData del objeto AuditLog. Si quieres obtener más información, consulta el apartado sobre datos de auditoría específicos del servicio.

Si deseas ver otros campos de estos objetos con ejemplos de contenido y consultas de muestra sobre la información de los objetos, lee el apartado sobre los tipos de datos del registro de auditoría.

Nombre del registro

Los nombres del almacenamiento del registro de auditoría de Cloud indican el proyecto o cualquier otra entidad que posea los registros de auditoría, además de si el registro contiene información de actividad de administración o de acceso a los datos. Por ejemplo, a continuación se muestran los nombres de los registros de actividad de administración de un proyecto y de los registros de acceso a los datos de una organización.

projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

Nombre del servicio

Los registros de auditoría de Cloud Spanner usan el nombre del servicio spanner.googleapis.com.

Si quieres obtener más detalles sobre los servicios de registro, consulta el apartado sobre asignación de servicios a los recursos.

Tipos de recursos

Los registros de auditoría de Cloud Spanner usan el tipo de recurso spanner_instance para todos los registros de auditoría.

Si quieres obtener una lista completa, consulta el apartado sobre tipos de recursos supervisados.

Habilitar el almacenamiento de registros de auditoría

Los registros de auditoría de actividad de administración están habilitados de manera predeterminada y no se pueden deshabilitar.

Los registros de auditoría de acceso a los datos de BigQuery están habilitados de forma predeterminada y no se pueden deshabilitar. Los registros de acceso a los datos de BigQuery no se contabilizan de cara a la cuota de registro del proyecto.

Todos los demás registros de auditoría de acceso a los datos están deshabilitados de forma predeterminada. Si quieres habilitar algunos registros de acceso a los datos o todos ellos, consulta el apartado sobre configuración de registros de acceso a los datos.

Los registros de acceso a los datos que configures pueden afectar los precios de los registros de Stackdriver. Consulta la sección de precios de esta página.

Permisos de registro de auditoría

Las funciones y los permisos de Cloud Identity and Access Management determinan qué registros de auditoría puedes ver o exportar. Los registros se almacenan en proyectos y en otras entidades, entre las que se incluyen organizaciones, carpetas y cuentas de facturación. Si quieres obtener más información, consulta el apartado sobre cómo comprender las funciones.

Si quieres visualizar los registros de actividad de administración, debes tener una de las siguientes funciones de Cloud IAM en el proyecto que contiene los registros de auditoría:

Si quieres ver los registros de acceso a los datos, debes tener una de las siguientes funciones en el proyecto que contiene los registros de auditoría:

Si estás utilizando registros de auditoría de una entidad que no pertenece al proyecto, como una organización, cambia las funciones del proyecto por las funciones de la organización adecuadas.

Visualizar registros

Si quieres visualizar los registros de auditoría de uno de los proyectos, realiza una de las siguientes acciones:

Si quieres conocer más detalles, consulta las siguientes opciones:

Visualizador básico

Puedes usar la interfaz básica del visualizador de registros para recuperar las entradas de registro de auditoría de este modo:

  1. En el primer menú, selecciona el tipo de recurso cuyos registros de auditoría deseas ver. Selecciona un recurso específico o todos ellos.
  2. En el segundo menú. selecciona el nombre de registro que quieres visualizar: activity para los registros de auditoría de actividad de administración y data_access para los registros de auditoría de acceso a los datos. Si no puedes ver una opción o ninguna, se debe a que no ha registros de auditoría del tipo concreto disponibles.

Visualizador avanzado

  1. Cambia a la interfaz de filtro avanzada en el visualizador de registros.
  2. Crea un filtro con el que se especifiquen los tipos de recursos y los nombres de registro que desees. Si quieres obtener más información, consulta el apartado sobre cómo recuperar registros de auditoría.

API

Si quieres leer las entradas de registro a través de la API Logging, consulta el apartado sobre entries.list.

SDK

Si quieres leer las entradas de registro mediante la herramienta de línea de comandos gcloud del SDK de Google Cloud, consulta el apartado sobre lectura de entradas de registro.

Exportación de registros de auditoría

Puedes exportar registros de auditoría de la misma forma en la que exportas otros tipos de registros. Si quieres obtener detalles sobre cómo exportar los registros, consulta el apartado sobre exportación de registros. Estos son algunos de los usos que tiene la exportación de registros de auditoría:

  • Si quieres conservar los registros de auditoría durante un periodo más extenso o usar funciones de búsqueda más potentes, puedes exportar copias de los registros de auditoría a Cloud Storage, BigQuery o Cloud Pub/Sub. Mediante Cloud Pub/Sub, puedes exportar a otras aplicaciones, otros repositorios y a terceros.

  • Si quieres administrar los registros de auditoría en una organización al completo, puedes crear sumideros de exportación agregados con los que se puedan exportar registros de cualquiera de los proyectos de la organización o de todos a la vez.

  • Si los registros de acceso a los datos habilitados están haciendo que los proyectos sobrepasen sus asignaciones de registros, puedes exportar los registros de acceso a los datos del registro y excluirlos. Si quieres obtener detalles, consulta el apartado sobre cómo excluir registros.

Precios

Stackdriver otorga a cada proyecto de GCP una asignación de registros de un mínimo de 50 GB al mes.

Los registros de auditoría que están habilitados de forma predeterminada, entre ellos, todos los registros de actividad de administración, son gratuitos. No cuentan de cara a la asignación de registros.

Los registros de acceso a los datos que debes habilitar de forma explícita cuentan de cara a la asignación de registros. Si excedes la asignación, se pueden generar más costes o se pueden producir pérdidas de registros.

Si quieres conocer los detalles de asignación de precios y registros, consulta el apartado sobre precios de Stackdriver para los servicios de registro.

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Cloud Spanner Documentation