Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Vista geral dos registos de auditoria do Cloud

Este documento oferece uma vista geral conceptual dos registos de auditoria do Cloud.

Os serviços doTrusted Cloud by S3NS Google Cloud Platform escrevem registos de auditoria que registam atividades administrativas e acessos nos seus Trusted Cloud recursos. Os registos de auditoria ajudam a responder à pergunta "quem fez o quê, onde e quando?" nos seus Trusted Cloud recursos com o mesmo nível de transparência que nos ambientes no local. A ativação dos registos de auditoria ajuda as suas entidades de segurança, auditoria e conformidade a monitorizar Trusted Cloud os dados e os sistemas para detetar possíveis vulnerabilidades ou utilização indevida de dados externos.

Trusted Cloud by S3NS serviços que produzem registos de auditoria

Para ver uma lista dos Trusted Cloud serviços que fornecem registos de auditoria, consulte os Trusted Cloud by S3NS serviços com registos de auditoria. Eventualmente, todos os serviços doTrusted Cloud vão fornecer registos de auditoria.

Funções necessárias

Para ver os registos de auditoria, tem de ter as autorizações e as funções de gestão de identidade e de acesso (IAM) adequadas:

Para obter as autorizações de que precisa para ter acesso só de leitura à atividade de administrador, à política recusada e aos registos de auditoria de eventos do sistema, peça ao seu administrador que lhe conceda a função do IAM Visualizador de registos (roles/logging.viewer) no seu projeto.

Se tiver apenas a função Logs Viewer (roles/logging.viewer), não pode ver os registos de auditoria de acesso a dados que estão no contentor _Default.

Para receber as autorizações de que precisa para aceder a todos os registos nos contentores _Required e _Default, incluindo os registos de acesso aos dados, peça ao seu administrador que lhe conceda a função do IAM Visualizador de registos privados (roles/logging.privateLogViewer) no seu projeto.

A função Leitor de registos privados (roles/logging.privateLogViewer) inclui as autorizações contidas na função Leitor de registos (roles/logging.viewer) e as necessárias para ler os registos de auditoria de acesso aos dados no contentor _Default.

Para mais informações acerca das autorizações e funções da IAM que se aplicam aos dados dos registos de auditoria, consulte o artigo Controlo de acesso com a IAM.

Tipos de registos de auditoria

Os registos de auditoria do Cloud fornecem os seguintes registos de auditoria para cada Trusted Cloud projeto, pasta e organização:

Registos de auditoria da atividade do administrador
Registos de auditoria de acesso aos dados
Registos de auditoria de eventos do sistema
Registos de auditoria de políticas recusadas

Registos de auditoria de atividade do administrador

Os registos de auditoria da atividade de administrador são entradas de registo escritas por chamadas de API orientadas pelo utilizador ou outras ações que modificam a configuração ou os metadados dos recursos. Por exemplo, estes registos registam quando os utilizadores criam instâncias de VMs ou alteram as autorizações de gestão de identidades e acessos.

Os registos de auditoria da atividade do administrador são sempre escritos. Não é possível configurá-los, excluí-los nem desativá-los. Mesmo que desative a API Cloud Logging, os registos de auditoria da atividade do administrador continuam a ser gerados.

Para ver uma lista de serviços que escrevem registos de auditoria de atividade do administrador e informações detalhadas sobre as atividades que geram esses registos, consulte os Trusted Cloud by S3NS serviços com registos de auditoria.

Registos de auditoria de acesso a dados

Os registos de auditoria de acesso a dados são entradas de registo escritas por chamadas API que leem a configuração ou os metadados dos recursos. Também são escritas por chamadas de API orientadas pelo utilizador que criam, modificam ou leem dados de recursos fornecidos pelos utilizadores.

Os recursos disponíveis publicamente que têm as políticas de gestão de identidade e de acesso allAuthenticatedUsers ou allUsers não geram registos de auditoria. Os recursos aos quais se pode aceder sem iniciar sessão não geram registos de auditoria. Trusted Cloud Isto ajuda a proteger as identidades e as informações dos utilizadores finais.

Os registos de auditoria de acesso a dados, exceto os registos de auditoria de acesso a dados do BigQuery, estão desativados por predefinição porque os registos de auditoria podem ser bastante grandes. Se quiser que os registos de auditoria de acesso a dados sejam escritos para Trusted Cloud serviços que não sejam o BigQuery, tem de os ativar explicitamente. A ativação dos registos pode resultar na cobrança ao seu projeto pela utilização dos registos adicionais. Trusted Cloud Para obter instruções sobre como ativar e configurar os registos de auditoria de acesso a dados, consulte o artigo Ative os registos de auditoria de acesso a dados.

Para ver uma lista de serviços que escrevem registos de auditoria de acesso aos dados e informações detalhadas sobre as atividades que geram esses registos, consulte os Trusted Cloud by S3NS serviços com registos de auditoria.

Os registos de auditoria de acesso a dados são armazenados no contentor de registos _Default, a menos que os tenha encaminhado para outro local. Para mais informações, consulte a secção Armazenar e encaminhar registos de auditoria desta página.

Registos de auditoria de eventos do sistema

Os registos de auditoria de eventos do sistema são entradas de registo escritas por Trusted Cloud sistemas que modificam a configuração dos recursos. Os registos de auditoria de eventos do sistema não são acionados por ações diretas do utilizador. Por exemplo, é escrito um registo de auditoria de eventos do sistema quando as VMs são adicionadas ou removidas automaticamente de grupos de instâncias geridos (MIGs) devido ao dimensionamento automático.

Os registos de auditoria de eventos do sistema são sempre escritos. Não pode configurá-los, excluí-los nem desativá-los.

Para ver uma lista de serviços que escrevem registos de auditoria de eventos do sistema e informações detalhadas sobre as atividades que geram esses registos, consulte os Trusted Cloud by S3NS serviços com registos de auditoria.

Registos de auditoria de políticas recusadas

Os registos de auditoria de políticas recusadas são entradas de registo escritas quando um Trusted Cloud by S3NS serviço recusa o acesso a um utilizador ou a uma conta de serviço devido a uma violação da política de segurança.

Os registos de auditoria de acesso negado são gerados por predefinição e o seu Trusted Cloud projeto é cobrado pelo armazenamento dos registos. Não pode desativar os registos de auditoria Policy Denied, mas pode usar filtros de exclusão para impedir que os registos de auditoria Policy Denied sejam armazenados no Cloud Logging.

Para ver uma lista de serviços que escrevem registos de auditoria de política recusada e informações detalhadas sobre as atividades que geram esses registos, consulte os Trusted Cloud by S3NS serviços com registos de auditoria.

Estrutura da entrada do registo de auditoria

Cada entrada do registo de auditoria no Cloud Logging é um objeto do tipo LogEntry. O que distingue uma entrada do registo de auditoria de outras entradas do registo é o campo protoPayload. Este campo contém um objeto AuditLog que armazena os dados do registo de auditoria.

Para compreender como ler e interpretar as entradas do registo de auditoria, e para ver um exemplo de uma entrada do registo de auditoria, consulte o artigo Compreender os registos de auditoria.

Nome de registo

Os nomes dos registos dos registos de auditoria do Cloud incluem o seguinte:

Identificadores de recursos que indicam o Trusted Cloud projeto ou outra Trusted Cloud entidade proprietária dos registos de auditoria.
A string cloudaudit.googleapis.com.
Uma string que indica se o registo contém dados de registo de auditoria de atividade do administrador, acesso aos dados, política recusada ou evento do sistema.

Seguem-se os nomes dos registos de auditoria, incluindo variáveis para os identificadores de recursos:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Identidades do autor da chamada nos registos de auditoria

Os registos de auditoria registam a identidade que executou as operações registadas no recursoTrusted Cloud . A identidade do autor da chamada é mantida no campo AuthenticationInfo dos objetos AuditLog.

O registo de auditoria não oculta o endereço de email principal do autor da chamada para qualquer acesso bem-sucedido nem para qualquer operação de escrita.

Para operações só de leitura que falham com um erro "permission denied" (autorização recusada), o registo de auditoria pode ocultar o endereço de email principal do autor da chamada, a menos que o autor da chamada seja uma conta de serviço.

Além das condições indicadas acima, o seguinte aplica-se a determinados Trusted Cloud serviços:

BigQuery: as identidades do autor da chamada e os endereços IP, bem como alguns nomes de recursos, são ocultados nos registos de auditoria, a menos que sejam cumpridas determinadas condições.
Cloud Storage: quando os registos de utilização do Cloud Storage estão ativados, o Cloud Storage escreve dados de utilização no contentor do Cloud Storage, o que gera registos de auditoria de acesso aos dados para o contentor. A identidade do autor da chamada do registo de auditoria de acesso a dados gerado é ocultada.

Política da organização: partes dos endereços de email do autor da chamada podem ser ocultadas e substituídas por três carateres de ponto ....

Endereço IP do autor da chamada nos registos de auditoria

O endereço IP do autor da chamada está no campo RequestMetadata.callerIp do objeto AuditLog:

Para um autor da chamada da Internet, o endereço é um endereço IPv4 ou IPv6 público.
Para chamadas feitas a partir da rede de produção interna de um serviço para outro, o callerIp é ocultado como "privado".Trusted Cloud by S3NS
Para um autor da chamada de uma VM do Compute Engine com um endereço IP externo, o elemento callerIp é o endereço externo da VM.
Para um autor da chamada de uma VM do Compute Engine sem um endereço IP externo, se a VM estiver na mesma organização ou projeto que o recurso acedido, então callerIp é o endereço IPv4 interno da VM. Caso contrário, o callerIp é ocultado como "gce-internal-ip". Para mais informações, consulte o artigo Vista geral da rede VPC.

Ver registos de auditoria

Pode consultar todos os registos de auditoria ou consultar os registos pelo respetivo nome do registo de auditoria. O nome do registo de auditoria inclui o identificador do recurso do Trusted Cloud projeto, da pasta, da conta de faturação ou da organização para a qual quer ver as informações de registo de auditoria. As suas consultas podem especificar campos LogEntry indexados. Para mais informações sobre como consultar os seus registos, consulte o artigo Crie consultas no Explorador de registos

A maioria dos registos de auditoria pode ser vista no Cloud Logging através da Trusted Cloud consola, da CLI do Google Cloud ou da API Logging. No entanto, para registos de auditoria relacionados com a faturação, só pode usar a CLI do Google Cloud ou a API Logging.

Consola

Na Trusted Cloud consola, pode usar o Explorador de registos para obter as entradas do registo de auditoria do seu Trusted Cloud projeto, pasta ou organização:

Na Trusted Cloud consola, aceda à página Explorador de registos:
Aceda ao Explorador de registos

Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.
Selecione um Trusted Cloud projeto, uma pasta ou uma organização existente.
Para apresentar todos os registos de auditoria, introduza uma das seguintes consultas no campo do editor de consultas e, de seguida, clique em Executar consulta:
```
logName:"cloudaudit.googleapis.com"
```
```
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
```
Para apresentar os registos de auditoria de um recurso específico e um tipo de registo de auditoria, no painel Criador de consultas, faça o seguinte:
- Em Tipo de recurso, selecione o Trusted Cloud recurso cujos registos de auditoria quer ver.
- Em Nome do registo, selecione o tipo de registo de auditoria que quer ver:
  - Para os registos de auditoria da atividade do administrador, selecione atividade.
  - Para os registos de auditoria de acesso a dados, selecione data_access.
  - Para os registos de auditoria de eventos do sistema, selecione system_event.
  - Para registos de auditoria de recusa de políticas, selecione política.
- Clique em Executar consulta.
Se não vir estas opções, significa que não existem registos de auditoria desse tipo disponíveis no projeto, na pasta ou na organização. Trusted Cloud

Se estiver a ter problemas ao tentar ver registos no Explorador de registos, consulte as informações de resolução de problemas.

Para mais informações sobre como consultar através do Explorador de registos, consulte o artigo Crie consultas no Explorador de registos.

gcloud

A CLI do Google Cloud fornece uma interface de linhas de comando para a API Logging. Forneça um identificador de recurso válido em cada um dos nomes dos registos. Por exemplo, se a sua consulta incluir um PROJECT_ID, o identificador do projeto que fornecer tem de se referir ao projetoTrusted Cloud atualmente selecionado.

Para ler as entradas do registo de auditoria ao nível do projeto, execute o seguinte comando: Trusted Cloud

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Para ler as entradas do registo de auditoria ao nível da pasta, execute o seguinte comando:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Para ler as entradas do registo de auditoria ao nível da organização, execute o seguinte comando:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Para ler as entradas do registo de auditoria ao nível da conta do Cloud Billing, execute o seguinte comando:

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

Adicione a flag --freshness ao seu comando para ler registos com mais de 1 dia.

Para mais informações sobre a utilização da CLI gcloud, consulte gcloud logging read.

REST

Para consultar os dados de registo através da API Cloud Logging, use o método entries.list.

Armazenamento e encaminhamento de registos de auditoria

O Cloud Logging usa contentores de registos como contentores que armazenam e organizam os seus dados de registos. Para cada conta de faturação, Trusted Cloud projeto, pasta e organização, o Logging cria automaticamente dois contentores de registos, _Required e _Default, e destinos com os nomes correspondentes.

Os contentores do Cloud Logging armazenam registos de auditoria da atividade do administrador e registos de auditoria de eventos do sistema._Required Não é possível impedir o armazenamento dos registos de auditoria da Atividade de administrador ou do Evento do sistema. Também não pode configurar o destino que encaminha as entradas de registo para os contentores _Required.

Os registos de auditoria da atividade do administrador e os registos de auditoria de eventos do sistema são sempre armazenados no contentor _Required no projeto onde os registos foram gerados.

Se encaminhar os registos de auditoria de atividade do administrador e os registos de auditoria de eventos do sistema para um projeto diferente, esses registos não passam pelo coletor _Default ou _Required do projeto de destino. Por conseguinte, estes registos não são armazenados no contentor de registos _Default nem no contentor de registos _Required do projeto de destino. Para armazenar estes registos, crie um destino de registos no projeto de destino. Para mais informações, consulte o artigo Encaminhe registos para destinos suportados.

Por predefinição, os contentores _Default armazenam todos os registos de auditoria de acesso aos dados ativados, bem como os registos de auditoria de política recusada. Para impedir que os registos de auditoria de acesso aos dados sejam armazenados nos contentores do _Default, pode desativá-los. Para impedir que os registos de auditoria de políticas recusadas sejam armazenados nos contentores _Default, pode excluí-los modificando os filtros dos respetivos destinos.

Também pode encaminhar as entradas do registo de auditoria para contentores do Cloud Logging definidos pelo utilizador ao nível do projeto ou para destinos suportados fora do Logging através de destinos. Trusted Cloud Para ver instruções sobre o encaminhamento de registos, consulte o artigo Encaminhe registos para destinos suportados.

Quando configurar os filtros dos destinos de registos, tem de especificar os tipos de registos de auditoria que quer encaminhar. Para ver exemplos de filtragem, consulte Consultas de registo de segurança.

Se quiser encaminhar entradas do registo de auditoria para uma Trusted Cloud organização, uma pasta ou uma conta de faturação, e para os respetivos filhos, consulte a vista geral dos destinos agregados.

Retenção de registos de auditoria

Para ver detalhes sobre durante quanto tempo as entradas de registo são retidas pelo Logging, consulte as informações de retenção em Quotas e limites: períodos de retenção de registos.

Controlo de acesso

As autorizações e as funções da IAM determinam a sua capacidade de aceder aos dados dos registos de auditoria na API Logging, no Explorador de registos e na CLI Google Cloud.

Para informações detalhadas sobre as autorizações e as funções da IAM de que pode precisar, consulte o artigo Controlo de acesso com a IAM.

Quotas e limites

Para ver detalhes sobre os limites de utilização de registos, incluindo os tamanhos máximos dos registos de auditoria, consulte Quotas e limites.

O que se segue?

Saiba como ler e compreender os registos de auditoria.
Saiba como ativar os registos de auditoria de acesso aos dados.
Reveja as práticas recomendadas para os registos de auditoria do Cloud.