Registro de auditorías

En esta página, se describe cómo usar el registro de auditoría con los Controles del servicio de VPC.

Los Controles del servicio de VPC registran todos los accesos denegados debido a incumplimientos de la política de seguridad en Cloud Logging de forma predeterminada. Los registros de auditoría se almacenan de forma segura en la infraestructura de Google y están disponibles para su análisis futuro. Cada registro generado está dirigido a un destinatario. Solo este destinatario tiene acceso al registro, y no es visible para ninguna otra entidad. Un destinatario puede ser un proyecto, una carpeta o una organización.

El contenido del registro de auditoría está disponible por proyecto en Google Cloud Console. El registro de auditoría de los Controles del servicio de VPC se escribe en el flujo de registro “Recurso auditado” y está disponible en Cloud Logging.

Genera el registro de auditoría

Cada solicitud que se rechaza debido a la infracción de la política de seguridad puede generar más de un registro de auditoría. Estos registros generados serán idénticos, pero se dirigirán a distintos destinatarios. Por lo general, cada solicitud contiene una cantidad de URL de recursos. Cada recurso tiene un propietario, que puede ser un proyecto, una carpeta o una organización. La API de Controles del servicio de VPC definirá los propietarios de cada recurso que participan en la solicitud con errores y generará un registro para cada uno.

Contenido del registro de auditoría

Cada registro de auditoría contiene información que se puede dividir en dos categorías principales: la información sobre la llamada original y la información sobre violaciones a la política de seguridad. Se completa con la API de Controles del servicio de VPC de la siguiente manera:

Campo del registro de auditoría Significado
service_name El nombre del servicio que controla la llamada que generó la creación de este registro de auditoría.
method_name El nombre de la llamada de método que generó el incumplimiento de la política de seguridad descrita en este registro.
authentication_info.principal_email Dirección de correo electrónico del usuario que emite la llamada original.
resource_name Destinatario objetivo de este registro de auditoría (puede ser un proyecto, una carpeta o una organización).
request_metadata.caller_ip La dirección IP desde la cual se originó la solicitud.
request_metadata.caller_is_gce_client Es verdadero si la llamada original se hizo desde una red de Compute Engine. De lo contrario, el valor es falso.
request_metadata.caller_gce_network_project_number Número del proyecto que corresponde a la red de Compute Engine desde la que se hizo la llamada original, si la llamada se realizó desde una red de Compute Engine.
request_metadata.caller_internal_gce_vnid VNID interno de emisor de Compute Engine, si la llamada se realizó desde una red de Compute Engine.
status El estado general del control de una operación descrita en este registro.
metadata Una instancia del tipo protobuf google.cloud.audit.VpcServiceControlAuditMetadata, serializado como una estructura JSON. El campo "resource_names" contendrá una lista de todas las URL de recursos que participan en la verificación de la política de los Controles del servicio de VPC con errores.

Accede al registro de auditoría

El contenido del registro de auditoría está disponible por proyecto en Google Cloud Console. El registro de auditoría de los Controles del servicio de VPC se escribe en el flujo de registro “Recurso auditado” y está disponible en Cloud Logging.