Registros de auditoria do Cloud Logging

Neste documento, descrevemos a geração de registros de auditoria do Cloud Logging.Os serviços do Cloud de Confiance by S3NS geram registros de auditoria das atividades administrativas e de acesso nos recursos do Cloud de Confiance by S3NS . Para mais informações sobre os Registros de auditoria do Cloud, consulte:

• Tipos de registros de auditoria
• Estrutura da entrada de registro de auditoria
• Como armazenar e rotear registros de auditoria
• Resumo dos preços do Cloud Logging
• Ativar registros de auditoria de acesso a dados

Nome do serviço

Os registros de auditoria do Cloud Logging usam o nome de serviço logging.googleapis.com. Filtrar por este serviço:

    protoPayload.serviceName="logging.googleapis.com"
  

Métodos por tipo de permissão

Cada permissão do IAM tem uma propriedade type, que tem o valor de um tipo enumerado que pode ser um dos quatro valores: ADMIN_READ, ADMIN_WRITE, DATA_READ ou DATA_WRITE. Quando você chama um método, o Cloud Logging gera um registro de auditoria com uma categoria dependente da propriedade type da permissão necessária para executar o método. Métodos que exigem uma permissão do IAM com o valor da propriedade type de DATA_READ, DATA_WRITE ou ADMIN_READ geram registros de auditoria de acesso aos dados. Métodos que exigem uma permissão do IAM com o valor da propriedade type de ADMIN_WRITE geram registros de auditoria de Atividade do administrador.

Registros de auditoria da interface da API

Para saber como e quais permissões são avaliadas para cada método, consulte a documentação do Identity and Access Management para o Cloud Logging.

google.cloud.location.Locations

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.cloud.location.Locations.

GetLocation

• Método: google.cloud.location.Locations.GetLocation
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.locations.get - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.cloud.location.Locations.GetLocation"
  

ListLocations

• Método: google.cloud.location.Locations.ListLocations
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.locations.list - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.cloud.location.Locations.ListLocations"
  

google.iam.v1.IAMPolicy

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.iam.v1.IAMPolicy.

GetIamPolicy

• Método: google.iam.v1.IAMPolicy.GetIamPolicy
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.views.getIamPolicy - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.iam.v1.IAMPolicy.GetIamPolicy"
  

SetIamPolicy

• Método: google.iam.v1.IAMPolicy.SetIamPolicy
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.views.setIamPolicy - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.iam.v1.IAMPolicy.SetIamPolicy"
  

google.logging.v2.ConfigServiceV2

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.logging.v2.ConfigServiceV2.

CopyLogEntries

• Método: google.logging.v2.ConfigServiceV2.CopyLogEntries
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.buckets.copyLogEntries - DATA_READ
• O método é uma operação de streaming ou de longa duração: operação de longa duração
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.CopyLogEntries"
  

CreateBucket

• Método: google.logging.v2.ConfigServiceV2.CreateBucket
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.buckets.create - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.CreateBucket"
  

CreateBucketAsync

• Método: google.logging.v2.ConfigServiceV2.CreateBucketAsync
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.buckets.create - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: operação de longa duração
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.CreateBucketAsync"
  

CreateExclusion

• Método: google.logging.v2.ConfigServiceV2.CreateExclusion
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.exclusions.create - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.CreateExclusion"
  

CreateLink

• Método: google.logging.v2.ConfigServiceV2.CreateLink
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.links.create - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: operação de longa duração
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.CreateLink"
  

CreateLogScope

• Método: google.logging.v2.ConfigServiceV2.CreateLogScope
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.logScopes.create - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.CreateLogScope"
  

CreateSink

• Método: google.logging.v2.ConfigServiceV2.CreateSink
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.sinks.create - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.CreateSink"
  

CreateView

• Método: google.logging.v2.ConfigServiceV2.CreateView
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.views.create - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.CreateView"
  

DeleteBucket

• Método: google.logging.v2.ConfigServiceV2.DeleteBucket
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.buckets.delete - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.DeleteBucket"
  

DeleteExclusion

• Método: google.logging.v2.ConfigServiceV2.DeleteExclusion
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.exclusions.delete - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.DeleteExclusion"
  

DeleteLink

• Método: google.logging.v2.ConfigServiceV2.DeleteLink
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.links.delete - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: operação de longa duração
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.DeleteLink"
  

DeleteLogScope

• Método: google.logging.v2.ConfigServiceV2.DeleteLogScope
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.logScopes.delete - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.DeleteLogScope"
  

DeleteSink

• Método: google.logging.v2.ConfigServiceV2.DeleteSink
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.sinks.delete - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.DeleteSink"
  

DeleteView

• Método: google.logging.v2.ConfigServiceV2.DeleteView
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.views.delete - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.DeleteView"
  

GetBucket

• Método: google.logging.v2.ConfigServiceV2.GetBucket
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.buckets.get - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.GetBucket"
  

GetCmekSettings

• Método: google.logging.v2.ConfigServiceV2.GetCmekSettings
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.settings.get - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.GetCmekSettings"
  

GetExclusion

• Método: google.logging.v2.ConfigServiceV2.GetExclusion
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.exclusions.get - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.GetExclusion"
  

GetLink

• Método: google.logging.v2.ConfigServiceV2.GetLink
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.links.get - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.GetLink"
  

GetLogScope

• Método: google.logging.v2.ConfigServiceV2.GetLogScope
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.logScopes.get - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.GetLogScope"
  

GetSettings

• Método: google.logging.v2.ConfigServiceV2.GetSettings
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.settings.get - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.GetSettings"
  

GetSink

• Método: google.logging.v2.ConfigServiceV2.GetSink
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.sinks.get - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.GetSink"
  

GetView

• Método: google.logging.v2.ConfigServiceV2.GetView
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.views.get - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.GetView"
  

ListBuckets

• Método: google.logging.v2.ConfigServiceV2.ListBuckets
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.buckets.list - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.ListBuckets"
  

ListExclusions

• Método: google.logging.v2.ConfigServiceV2.ListExclusions
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.exclusions.list - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.ListExclusions"
  

ListLinks

• Método: google.logging.v2.ConfigServiceV2.ListLinks
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.links.list - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.ListLinks"
  

ListLogScopes

• Método: google.logging.v2.ConfigServiceV2.ListLogScopes
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.logScopes.list - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.ListLogScopes"
  

ListSinks

• Método: google.logging.v2.ConfigServiceV2.ListSinks
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.sinks.list - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.ListSinks"
  

ListViews

• Método: google.logging.v2.ConfigServiceV2.ListViews
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.views.list - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.ListViews"
  

UndeleteBucket

• Método: google.logging.v2.ConfigServiceV2.UndeleteBucket
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.buckets.undelete - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.UndeleteBucket"
  

UpdateBucket

• Método: google.logging.v2.ConfigServiceV2.UpdateBucket
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.buckets.update - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.UpdateBucket"
  

UpdateBucketAsync

• Método: google.logging.v2.ConfigServiceV2.UpdateBucketAsync
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.buckets.update - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: operação de longa duração
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.UpdateBucketAsync"
  

UpdateCmekSettings

• Método: google.logging.v2.ConfigServiceV2.UpdateCmekSettings
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.settings.update - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.UpdateCmekSettings"
  

UpdateExclusion

• Método: google.logging.v2.ConfigServiceV2.UpdateExclusion
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.exclusions.update - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.UpdateExclusion"
  

UpdateLogScope

• Método: google.logging.v2.ConfigServiceV2.UpdateLogScope
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.logScopes.update - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.UpdateLogScope"
  

UpdateSettings

• Método: google.logging.v2.ConfigServiceV2.UpdateSettings
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.settings.update - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.UpdateSettings"
  

UpdateSink

• Método: google.logging.v2.ConfigServiceV2.UpdateSink
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.sinks.update - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.UpdateSink"
  

UpdateView

• Método: google.logging.v2.ConfigServiceV2.UpdateView
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.views.update - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.ConfigServiceV2.UpdateView"
  

google.logging.v2.LoggingServiceV2

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.logging.v2.LoggingServiceV2.

DeleteLog

• Método: google.logging.v2.LoggingServiceV2.DeleteLog
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.logs.delete - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.LoggingServiceV2.DeleteLog"
  

ListLogEntries

• Método: google.logging.v2.LoggingServiceV2.ListLogEntries
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.logEntries.list - DATA_READ
  • logging.privateLogEntries.list - DATA_READ
  • logging.views.access - DATA_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.LoggingServiceV2.ListLogEntries"
  

ListLogs

• Método: google.logging.v2.LoggingServiceV2.ListLogs
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.logs.list - ADMIN_READ
  • logging.views.listLogs - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.LoggingServiceV2.ListLogs"
  

google.logging.v2.MetricsServiceV2

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.logging.v2.MetricsServiceV2.

CreateLogMetric

• Método: google.logging.v2.MetricsServiceV2.CreateLogMetric
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.logMetrics.create - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.MetricsServiceV2.CreateLogMetric"
  

DeleteLogMetric

• Método: google.logging.v2.MetricsServiceV2.DeleteLogMetric
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.logMetrics.delete - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.MetricsServiceV2.DeleteLogMetric"
  

GetLogMetric

• Método: google.logging.v2.MetricsServiceV2.GetLogMetric
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.logMetrics.get - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.MetricsServiceV2.GetLogMetric"
  

ListLogMetrics

• Método: google.logging.v2.MetricsServiceV2.ListLogMetrics
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.logMetrics.list - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.MetricsServiceV2.ListLogMetrics"
  

UpdateLogMetric

• Método: google.logging.v2.MetricsServiceV2.UpdateLogMetric
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.logMetrics.update - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.logging.v2.MetricsServiceV2.UpdateLogMetric"
  

google.longrunning.Operations

Os registros de auditoria a seguir estão associados a métodos que pertencem a google.longrunning.Operations.

CancelOperation

• Método: google.longrunning.Operations.CancelOperation
  
• Tipo de registro de auditoria: atividade do administrador
  
• Permissões:
  • logging.operations.cancel - ADMIN_WRITE
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.longrunning.Operations.CancelOperation"
  

GetOperation

• Método: google.longrunning.Operations.GetOperation
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.operations.get - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.longrunning.Operations.GetOperation"
  

ListOperations

• Método: google.longrunning.Operations.ListOperations
  
• Tipo de registro de auditoria: acesso a dados
  
• Permissões:
  • logging.operations.list - ADMIN_READ
• O método é uma operação de streaming ou de longa duração: No
  
• Filtrar para este método: protoPayload.methodName="google.longrunning.Operations.ListOperations"
  

Métodos que não geram registros de auditoria

Um método pode não gerar registros de auditoria por um ou mais dos seguintes motivos:

• É um método de alto volume que envolve geração de registros significativos e custos de armazenamento.
• Tem pouco valor para a auditoria.
• Outro registro de auditoria ou plataforma já oferece cobertura do método.

Os métodos abaixo não geram registros de auditoria:

• google.logging.v1.LoggingService.WriteLogEntries
• google.logging.v2.ConfigServiceV2.CreateSavedQuery
• google.logging.v2.ConfigServiceV2.DeleteSavedQuery
• google.logging.v2.ConfigServiceV2.GetSavedQuery
• google.logging.v2.ConfigServiceV2.ListRecentQueries
• google.logging.v2.ConfigServiceV2.ListSavedQueries
• google.logging.v2.ConfigServiceV2.UpdateSavedQuery
• google.logging.v2.LoggingServiceV2.ListMonitoredResourceDescriptors
• google.logging.v2.LoggingServiceV2.TailLogEntries
• google.logging.v2.LoggingServiceV2.WriteLogEntries
• google.longrunning.Operations.DeleteOperation
• google.longrunning.Operations.WaitOperation