Informações de registo de auditoria da API Vision

Este documento descreve os registos de auditoria criados pelo Cloud Vision como parte dos registos de auditoria do Cloud.

Vista geral

OsGoogle Cloud serviços escrevem registos de auditoria para ajudar a responder às perguntas "Quem fez o quê, onde e quando?" nos seus recursos Google Cloud .

Os seus Google Cloud projetos contêm apenas os registos de auditoria dos recursos que estão diretamente no Google Cloud projeto. Outros Google Cloud recursos, como pastas, organizações e contas de faturação, contêm os registos de auditoria da própria entidade.

Para uma vista geral dos registos de auditoria do Cloud, consulte o artigo Vista geral dos registos de auditoria do Cloud. Para uma compreensão mais detalhada do formato do registo de auditoria, consulte Compreender os registos de auditoria.

Registos de auditoria disponíveis

Os seguintes tipos de registos de auditoria estão disponíveis para o Vision:

  • Registos de auditoria de atividade do administrador

    Inclui operações de "gravação de administrador" que gravam metadados ou informações de configuração.

    Não pode desativar os registos de auditoria da atividade do administrador.

Para ver descrições mais completas dos tipos de registos de auditoria, consulte o artigo Tipos de registos de auditoria.

Operações auditadas

A tabela seguinte resume as operações da API que correspondem a cada tipo de registo de auditoria no Vision:

Categoria de registos de auditoria Operações da API Vision
Registos de atividade do administrador images.annotate

Formato do registo de auditoria

As entradas do registo de auditoria incluem os seguintes objetos:

  • A própria entrada do registo, que é um objeto do tipo LogEntry. Os campos úteis incluem o seguinte:

    • O elemento logName contém o ID do recurso e o tipo de registo de auditoria.
    • O elemento resource contém o destino da operação auditada.
    • O timeStamp contém a hora da operação auditada.
    • O protoPayload contém as informações auditadas.

  • Os dados de registo de auditoria, que são um objeto AuditLog contido no campo protoPayload da entrada do registo.

  • Informações de auditoria opcionais específicas do serviço, que são um objeto específico do serviço. Para integrações anteriores, este objeto é mantido no campo serviceData do objeto AuditLog. As integrações posteriores usam o campo metadata.

Para outros campos nestes objetos e como os interpretar, reveja o artigo Compreenda os registos de auditoria.

Nome de registo

Os nomes dos registos do Cloud Audit Logs incluem identificadores de recursos que indicam o Google Cloud projeto ou outra Google Cloud entidade proprietária dos registos de auditoria, e se o registo contém dados de registo de auditoria de atividade do administrador, acesso aos dados, política recusada ou evento do sistema.

Seguem-se os nomes dos registos de auditoria, incluindo variáveis para os identificadores de recursos:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Nome do serviço

Os registos de auditoria da API Vision usam o nome do serviço vision.googleapis.com.

Para ver uma lista de todos os nomes dos serviços da API Cloud Logging e o respetivo tipo de recurso monitorizado, consulte o artigo Mapear serviços para recursos.

Tipos de recursos

Os registos de auditoria da API Vision usam o tipo de recurso audited_resource para todos os registos de auditoria.

Para ver uma lista de todos os tipos de recursos monitorizados do Cloud Logging e informações descritivas, consulte o artigo Tipos de recursos monitorizados.

Identidades dos autores das chamadas

O endereço IP do autor da chamada é mantido no campo RequestMetadata.caller_ip do objeto AuditLog. O registo pode ocultar determinadas identidades de chamadores e endereços IP.

Para ver informações sobre as informações ocultadas nos registos de auditoria, consulte o artigo Identidades do autor da chamada nos registos de auditoria.

Ative o registo de auditoria

Os registos de auditoria da atividade do administrador estão sempre ativados e não é possível desativá-los.

Autorizações e funções

As autorizações e as funções do IAM determinam a sua capacidade de aceder aos dados dos registos de auditoria nos Google Cloud recursos.

Quando decidir que autorizações e funções específicas de registo se aplicam ao seu exemplo de utilização, considere o seguinte:

  • A função Logs Viewer (roles/logging.viewer) dá-lhe acesso só de leitura aos registos de auditoria de atividade do administrador, política recusada e evento do sistema. Se tiver apenas esta função, não pode ver os registos de auditoria de acesso aos dados que se encontram no contentor _Default.

  • A função Leitor de registos privados(roles/logging.privateLogViewer) inclui as autorizações contidas em roles/logging.viewer, além da capacidade de ler registos de auditoria de acesso a dados no contentor _Default.

    Tenha em atenção que, se estes registos privados forem armazenados em contentores definidos pelo utilizador, qualquer utilizador que tenha autorizações para ler registos nesses contentores pode ler os registos privados. Para mais informações sobre os contentores de registos, consulte a Vista geral do encaminhamento e do armazenamento.

Para mais informações acerca das autorizações e funções da IAM que se aplicam aos dados dos registos de auditoria, consulte o artigo Controlo de acesso com a IAM.

Ver registos

Pode consultar todos os registos de auditoria ou consultar os registos pelo respetivo nome do registo de auditoria. O nome do registo de auditoria inclui o identificador do recurso do Google Cloud projeto, da pasta, da conta de faturação ou da organização para a qual quer ver as informações de registo de auditoria. As suas consultas podem especificar campos LogEntry indexados. Para mais informações sobre como consultar os seus registos, consulte o artigo Crie consultas no Explorador de registos

O Explorador de registos permite-lhe ver entradas de registo individuais filtradas. Se quiser usar SQL para analisar grupos de entradas de registo, use a página Log Analytics. Para mais informações, consulte:

A maioria dos registos de auditoria pode ser vista no Cloud Logging através da Google Cloud consola, da CLI do Google Cloud ou da API Logging. No entanto, para registos de auditoria relacionados com a faturação, só pode usar a CLI do Google Cloud ou a API Logging.

Consola

Na Google Cloud consola, pode usar o Explorador de registos para obter as entradas do registo de auditoria do seu Google Cloud projeto, pasta ou organização:

  1. Na Google Cloud consola, aceda à página Explorador de registos:

    Aceda ao Explorador de registos

    Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.

  2. Selecione um Google Cloud projeto, uma pasta ou uma organização existente.

  3. Para apresentar todos os registos de auditoria, introduza uma das seguintes consultas no campo do editor de consultas e, de seguida, clique em Executar consulta:

    logName:"cloudaudit.googleapis.com"

    protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"

  4. Para apresentar os registos de auditoria de um recurso específico e um tipo de registo de auditoria, no painel Criador de consultas, faça o seguinte:

    • Em Tipo de recurso, selecione o Google Cloud recurso cujos registos de auditoria quer ver.

    • Em Nome do registo, selecione o tipo de registo de auditoria que quer ver:

      • Para os registos de auditoria da atividade do administrador, selecione atividade.
      • Para os registos de auditoria de acesso a dados, selecione data_access.
      • Para os registos de auditoria de eventos do sistema, selecione system_event.
      • Para registos de auditoria de recusa de políticas, selecione política.

    • Clique em Executar consulta.

    Se não vir estas opções, significa que não existem registos de auditoria desse tipo disponíveis no projeto, na pasta ou na organização. Google Cloud

    Se estiver a ter problemas ao tentar ver registos no Explorador de registos, consulte as informações de resolução de problemas.

    Para mais informações sobre como consultar através do Explorador de registos, consulte o artigo Crie consultas no Explorador de registos.

gcloud

A CLI do Google Cloud fornece uma interface de linhas de comando para a API Logging. Forneça um identificador de recurso válido em cada um dos nomes dos registos. Por exemplo, se a sua consulta incluir um PROJECT_ID, o identificador do projeto que fornecer tem de se referir ao projetoGoogle Cloud atualmente selecionado.

Para ler as entradas do registo de auditoria ao nível do projeto, execute o seguinte comando: Google Cloud 

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Para ler as entradas do registo de auditoria ao nível da pasta, execute o seguinte comando:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Para ler as entradas do registo de auditoria ao nível da organização, execute o seguinte comando:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Para ler as entradas do registo de auditoria ao nível da conta do Cloud Billing, execute o seguinte comando:

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

Adicione a flag --freshness ao seu comando para ler registos com mais de 1 dia.

Para mais informações sobre a utilização da CLI gcloud, consulte o artigo gcloud logging read.

REST

Quando criar as consultas, forneça um identificador de recurso válido em cada um dos nomes dos registos. Por exemplo, se a sua consulta incluir um PROJECT_ID, o identificador do projeto que fornecer tem de se referir ao projetoGoogle Cloud atualmente selecionado.

Por exemplo, para usar a API Logging para ver as entradas do registo de auditoria ao nível do projeto, faça o seguinte:

  1. Aceda à secção Experimentar esta API na documentação do método entries.list.

  2. Coloque o seguinte na parte Corpo do pedido do formulário Experimentar esta API. Se clicar neste formulário pré-preenchido, o corpo do pedido é preenchido automaticamente, mas tem de fornecer um PROJECT_ID válido em cada um dos nomes dos registos.

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}

  3. Clique em Executar.

Encaminhe registos de auditoria

Pode encaminhar registos de auditoria para destinos suportados da mesma forma que pode encaminhar outros tipos de registos. Seguem-se alguns motivos pelos quais pode querer encaminhar os seus registos de auditoria:

  • Para manter os registos de auditoria durante um período mais longo ou usar capacidades de pesquisa mais poderosas, pode encaminhar cópias dos registos de auditoria para o Cloud Storage, o BigQuery ou o Pub/Sub. Com o Pub/Sub, pode encaminhar para outras aplicações, outros repositórios e terceiros.

  • Para gerir os registos de auditoria em toda uma organização, pode criar destinos agregados que podem encaminhar registos de qualquer ou todos os Google Cloud projetos na organização.

Para ver instruções sobre o encaminhamento de registos, consulte o artigo Encaminhe registos para destinos suportados.

Preços

Para mais informações sobre os preços, consulte as secções do Cloud Logging na página de preços do Google Cloud Observability.