Informações sobre registros de auditoria no Cloud Spanner

Nesta página, você verá os registros de auditoria criados pelo Cloud Spanner como parte dos registros de auditoria Cloud.

Visão geral

Os serviços do Google Cloud gravam registros de auditoria para que você possa determinar quem fez o quê, onde e quando. nos recursos do Google Cloud.

Seus projetos do Google Cloud contêm apenas os registros de auditoria dos recursos que estão diretamente nele. Outros recursos do Google Cloud, como pastas, organizações e contas de faturamento, contêm os registros de auditoria da própria entidade.

Para uma visão geral dos registros do Cloud Audit, consulte Visão geral dos registros de auditoria do Cloud. Para entender melhor o formato do registro de auditoria, consulte Entender os registros de auditoria.

Registros de auditoria disponíveis

Os seguintes tipos de registros de auditoria estão disponíveis para o Cloud Spanner:

  • Registros de auditoria de atividade do administrador

    Inclui operações de "gravação de administrador" que gravam metadados ou informações de configuração.

    Não é possível desativar esses registros.

  • Registros de auditoria de acesso a dados

    Inclui operações de "leitura do administrador" que leem metadados ou informações de configuração. Também inclui operações de "leitura de dados" e "gravação de dados" que leem ou gravam dados fornecidos pelo usuário.

    Para receber registros de auditoria de acesso a dados, é preciso ativá-los explicitamente.

  • Registros de auditoria de evento do sistema

    Identifica ações automatizadas do Google Cloud que modificam a configuração dos recursos.

    Não é possível desativar os registros de auditoria de eventos do sistema.

Para ver descrições mais completas dos tipos de registros de auditoria, consulte Tipos de registros de auditoria.

Operações auditadas

Veja na tabela a seguir um resumo de quais operações da API correspondem a cada tipo de registro de auditoria no Cloud Spanner:

Categoria de registros de auditoria Operações do Cloud Spanner
Registros da atividade do administrador

Operações de instância:

  • CreateInstance
  • DeleteInstance
  • UpdateInstance

Operações de banco de dados:

  • CreateDatabase
  • DropDatabase
  • RestoreDatabase[1] [2]
  • UpdateDatabaseDdl

Operações de backup:

  • CreateBackup[2]
  • DeleteBackup
  • UpdateBackup
Registros de acesso a dados (ADMIN_READ)

Operações de instância:

  • GetInstance
  • GetInstanceConfig
  • ListInstanceConfigs
  • ListInstances

Operações de banco de dados:

  • GetDatabase
  • GetDatabaseDdl
  • ListDatabases

Operações de backup:

  • GetBackup
  • ListBackups
Registros de acesso a dados (DATA_READ)
  • BeginTransaction (para uma transação ReadOnly)
  • ExecuteSql (para uma transação ReadOnly)
  • ExecuteStreamingSql (para uma transação ReadOnly)
  • GetSession
  • ListSessions
  • Read (as chaves solicitadas não estão registradas)
  • StreamingRead (as chaves solicitadas não estão registradas)
Registros de acesso a dados (DATA_WRITE)
  • BeginTransaction (para uma transação ReadWrite)
  • ExecuteSql (para uma transação ReadWrite)
  • ExecuteStreamingSql (para uma transação ReadWrite)
  • Commit
  • CreateSession
  • DeleteSession
  • Rollback
Registros de eventos do sistema
  • OptimizeRestoredDatabase

[1] Embora a restauração de um banco de dados exija autorização em dois recursos (o banco de dados do backup e o restaurado, que podem residir em instâncias diferentes), o evento RestoreDatabase é registrado apenas uma vez, como uma única entrada, na instância do banco de dados restaurado. Nessa entrada, haverá duas entradas authorizationInfo: uma para o banco de dados, verificando a permissão spanner.databases.create e outra para o backup, verificando a permissão spanner.backups.restoreDatabase.

[2] Para RestoreDatabase e CreateBackup, a entrada registrada quando a operação é concluída não contém informações de autenticação ou autorização. As informações de autenticação e autorização estão disponíveis na entrada correspondente registrada quando a operação começa. Para encontrar a entrada de registro correspondente no Visualizador de registros, clique no campo operation.id da entrada do registro e selecione Mostrar entradas correspondentes no menu.

Formato do registro de auditoria

As entradas de registro de auditoria incluem os seguintes objetos:

  • A própria entrada de registro, que é um objeto do tipo LogEntry. Veja alguns campos úteis:

    • O logName contém o ID do recurso e o tipo de registro de auditoria.
    • O resource contém o destino da operação auditada.
    • O timeStamp contém o horário da operação auditada.
    • O protoPayload contém as informações auditadas.
  • Os dados de registro de auditoria, que são um objeto AuditLog localizado no campo protoPayload da entrada de registro.

  • Informações de auditoria opcionais e específicas do serviço, que são um objeto específico do serviço. Para integrações mais antigas, esse objeto é mantido no campo serviceData do objeto AuditLog. As integrações mais recentes usam o campo metadata.

Veja outros campos nesses objetos e como interpretá-los em Noções básicas sobre registros de auditoria.

Nome do registro

Os nomes de recursos dos registros de auditoria do Cloud indicam o projeto do Cloud ou outra entidade do Google Cloud que seja proprietária dos registros de auditoria e mostram se o registro tem dados de registro de auditoria de atividades do administrador, de acesso a dados, de políticas negadas ou de eventos do sistema. Por exemplo, veja abaixo os nomes dos registros de auditoria de atividade do administrador no nível do projeto e de acesso a dados de uma organização. As variáveis indicam identificadores de organização e projeto do Cloud.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Nome do serviço

Os registros de auditoria do Cloud Spanner usam o nome de serviço spanner.googleapis.com.

Para ver uma lista completa de todos os nomes de serviço da API Cloud Logging e os tipos de recurso monitorado correspondentes, consulte Mapear serviços para recursos.

Tipos de recurso

Os registros de auditoria do Cloud Spanner usam o tipo de recurso spanner_instance para todos os registros de auditoria.

Para uma lista de todos os tipos de recursos monitorados do Cloud Logging e informações descritivas, consulte Tipos de recursos monitorados.

Ativar registro de auditoria

Os registros de auditoria de eventos do sistema estão sempre ativados. Não é possível desativá-los.

Os registros de auditoria de atividade do administrador estão sempre ativados. Não é possível desativá-los.

Por padrão, os registros de auditoria de acesso a dados são desativados e não são gravados, a menos que essa opção seja ativada. Os registros de auditoria de acesso a dados do BigQuery são uma exceção e não podem ser desativados.

Veja as instruções sobre como ativar alguns ou todos os registros de auditoria de acesso a dados em Configurar registros de acesso a dados.

Permissões e papéis

As permissões e os papéis do IAM determinam sua capacidade de acessar dados de registros de auditoria nos recursos do Google Cloud.

Ao decidir quais permissões e papéis específicos do Logging se aplicam ao seu caso de uso, considere o seguinte:

  • O papel Visualizador de registros (roles/logging.viewer) fornece acesso somente leitura aos registros de auditoria de atividade do administrador, política negada e eventos de sistema. Se você tiver apenas esse papel, não será possível ver os registros de auditoria de acesso a dados que estão nos buckets _Required e _Default.

  • O papel Visualizador de registros particulares(roles/logging.privateLogViewer) inclui as permissões contidas em roles/logging.viewer, além da capacidade de ler e gravar registros de auditoria de acesso a dados nos buckets _Required e _Default.

    Se esses registros privados forem armazenados em buckets definidos pelo usuário, qualquer usuário que tenha permissões para ler registros nesses buckets poderá ler os registros particulares. Para mais informações sobre buckets de registros, consulte Visão geral do roteamento e armazenamento.

Para mais informações sobre as permissões e os papéis do IAM que se aplicam aos dados de registros de auditoria, consulte Controle de acesso.

Ver registros

Para encontrar e visualizar registros de auditoria, é preciso saber o identificador do projeto, da pasta ou da organização do Google Cloud. É possível especificar outros campos LogEntry indexados, como resource.type. Para detalhes, consulte Encontrar entradas de registro rapidamente.

Veja a seguir os nomes dos registros de auditoria que incluem variáveis para os identificadores do projeto, da pasta ou da organização do Cloud.

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Para ver os registros de auditoria no Cloud Logging, use o Console do Cloud, a ferramenta de linha de comando gcloud ou a API Logging.

Console

Use o Explorador de registros no Console do Cloud para recuperar as entradas de registro de auditoria para o projeto, para a pasta ou para a organização do Cloud:

  1. No Console do Cloud, acesse a página Logging > Explorador de registros.

    Acessar a página Explorador de registros

  2. Na página Explorador de registros, selecione um projeto, uma pasta ou uma organização do Cloud.

  3. No painel Criador de consultas, faça o seguinte:

    • Em Tipo de recurso, selecione o recurso do Google Cloud com os registros de auditoria que você quer ver.

    • Em Nome do registro, selecione o tipo de registro de auditoria que você quer ver:

      • Para os registros de auditoria da atividade do administrador, selecione Atividade.
      • Para os registros de auditoria de acesso a dados, selecione data_access.
      • Para os registros de auditoria de eventos do sistema, selecione system_event.
      • Em "Registros de auditoria de política negada", selecione policy.

    Se você não vir essas opções, isso significa que não há registros de auditoria desse tipo disponíveis no projeto, na pasta ou na organização do Cloud.

    Para mais detalhes sobre como consultar usando o Explorador de registros, acesse Criar consultas de registros.

gcloud

A ferramenta de linha de comando gcloud fornece à API Cloud Logging uma interface de linha de comando. Insira um PROJECT_ID, FOLDER_ID ou ORGANIZATION_ID válido em cada um dos nomes de registro.

Para ler as entradas de registro de auditoria no nível do projeto do Cloud, execute o comando a seguir:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID

Para ler suas entradas de registro de auditoria no nível da pasta, execute o comando a seguir:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID

Para ler as entradas de registro de auditoria no nível da organização, execute o seguinte comando:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID

Para mais informações sobre como usar a ferramenta gcloud, consulte Ler entradas de registro.

API

Ao criar consultas, substitua as variáveis por valores válidos, bem como nomes ou identificadores dos registros de auditoria relevantes para envolvidos no projeto, do nível da pasta ou organização conforme listado nos nomes dos registros. Por exemplo, se a consulta incluir um PROJECT_ID, o identificador do projeto que você fornecer precisará fazer referência ao projeto do Cloud selecionado.

Para usar a API Logging para analisar suas entradas de registro de auditoria, siga estas instruções:

  1. Acesse a seção Testar esta API da documentação do método entries.list.

  2. Digite o seguinte na parte do Corpo da solicitação do formulário Teste esta API. Clique nesse formulário preenchido automaticamente para preencher automaticamente o corpo da solicitação, mas é necessário inserir um PROJECT_ID válido em cada um dos nomes de registro.

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
    
  3. Clique em Executar.

Para mais detalhes sobre consultas, acesse Linguagem de consulta do Logging.

Para um exemplo de entrada de registro de auditoria e como encontrar as informações mais importantes, consulte Exemplo de entrada de registro de auditoria.

Registros de auditoria do Route

É possível rotear registros de auditoria para destinos compatíveis da mesma maneira que encaminha outros tipos de registros. Veja alguns motivos para rotear registros de auditoria:

  • Para manter os registros de auditoria por mais tempo ou usar recursos de pesquisa mais eficientes, direcione cópias dos seus registros de auditoria para o Cloud Storage, o BigQuery ou o Pub/Sub. Com o Pub/Sub, é possível rotear para outros aplicativos, outros repositórios e para terceiros.

  • Para gerenciar seus registros de auditoria em toda a organização, crie coletores agregados que podem rotear registros de qualquer ou todos os projetos do Cloud na organização.

  • Se os registros ativados de auditoria de acesso a dados estiverem enviando seus projetos do Cloud para as cotas de registros, você poderá criar coletores que excluam os registros de auditoria de acesso a dados do Logging.

Para instruções sobre o roteamento de registros, consulte Configurar coletores.

Preços

Os registros de auditoria de atividade do administrador e os registros de eventos do sistema são gratuitos.

Os registros de auditoria de acesso a dados e os registros de auditoria de políticas negadas são sujeitos a cobrança.

Para mais informações sobre os preços do Cloud Logging, consulte Preços do pacote de operações do Google Cloud: Cloud Logging.