Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance da S3NS. Consulte Diferenças do Google Cloud para saber mais.

Visão geral dos registros de auditoria do Cloud

Neste documento, você encontra uma visão geral conceitual dos registros de auditoria do Cloud.

Cloud de Confiance by S3NS Os serviços do geram registros de auditoria que registram atividades administrativas e acessos nos recursos do Cloud de Confiance Os registros de auditoria ajudam você a responder "quem fez o quê, onde e quando?" nos Cloud de Confiance recursos com o mesmo nível de transparência que os ambientes locais. Ativar os registros de auditoria ajuda as entidades de segurança, auditoria e conformidade a monitorarCloud de Confiance dados e sistemas em busca de possíveis vulnerabilidades ou uso externo indevido de dados.

Cloud de Confiance by S3NS Serviços que geram registros de auditoria

Para uma lista dos Cloud de Confiance serviços que fornecem registros de auditoria, consulte Cloud de Confiance by S3NS Serviços com registros de auditoria. Todos os Cloud de Confiance serviços vão fornecer registros de auditoria.

Os servidores MCP do Google Cloud gravam registros de auditoria de acesso a dados. Os registros de auditoria de acesso a dados gravados por chamadas de API de servidores MCP do Google Cloud são específicos do serviço e usam o formato SERVICE_NAME.googleapis.com/mcp. É possível ativar esses registros de acesso a dados ativando a geração de registros de auditoria para mcp.googleapis.com em o objeto IAM AuditConfig. Para mais informações sobre a geração de registros de auditoria para servidores MCP do Google Cloud, consulte Geração de registros de auditoria de servidores MCP do Google Cloud.

Funções exigidas

Para visualizar os registros de auditoria, é necessário ter as permissões e os papéis adequados do Identity and Access Management (IAM):

Para receber as permissões necessárias para ter acesso somente leitura aos registros de auditoria de atividade do administrador, política negada e evento do sistema, peça ao administrador para conceder a você o papel do IAM de Leitor de registros (roles/logging.viewer) no seu projeto.

Se você tiver apenas o papel de Leitor de registros (roles/logging.viewer), então você não poderá acessar os registros de auditoria de acesso a dados que estão no _Default bucket.

Para receber as permissões necessárias para acessar todos os registros nos buckets _Required e _Default incluindo os registros de acesso a dados, peça ao administrador para conceder a você o papel do IAM de Leitor de registros particulares (roles/logging.privateLogViewer) no seu projeto.

O papel de Leitor de registros particulares (roles/logging.privateLogViewer) inclui as permissões contidas no papel de Leitor de registros (roles/logging.viewer), e as necessárias para ler os registros de auditoria de acesso a dados no bucket _Default.

Para mais informações sobre as permissões e os papéis do IAM que se aplicam aos dados de registros de auditoria, consulte Controle de acesso com IAM.

Tipos de registros de auditoria

Os registros de auditoria do Cloud fornecem os seguintes registros de auditoria para cada Cloud de Confiance projeto, pasta e organização:

Registros de auditoria de atividade do administrador
Registros de auditoria de acesso a dados
Registros de auditoria de eventos do sistema
Registros de auditoria de política negada

Registros de auditoria de atividade do administrador

Os registros de auditoria de atividade do administrador são entradas de registro gravadas por chamadas de API orientadas pelo usuário ou outras ações que modificam a configuração ou os metadados dos recursos. Por exemplo, esses registros são gravados quando os usuários criam instâncias de VM ou alteram permissões do Identity and Access Management.

Os registros de auditoria da atividade do administrador são sempre gravados. Não é possível configurá-los, excluí-los ou desativá-los. Mesmo que você desative a API Cloud Logging, os registros de auditoria da atividade do administrador ainda serão gerados.

Para uma lista de serviços que gravam registros de auditoria de atividade do administrador e informações detalhadas sobre quais atividades geram esses registros, consulte Cloud de Confiance by S3NS Serviços com registros de auditoria.

Registros de auditoria de acesso a dados

Os registros de auditoria de acesso a dados são entradas de registro gravadas por chamadas de API que leem a configuração ou os metadados dos recursos. Eles também são gravados por chamadas de API orientadas pelo usuário que criam, modificam ou leem os dados dos recursos fornecidos pelo usuário.

Recursos disponíveis publicamente que tenham as políticas do Identity and Access Management allAuthenticatedUsers ou allUsers não geram registros de auditoria. Recursos que podem ser acessados sem fazer login em um Cloud de Confiance não geram registros de auditoria. Isso ajuda a proteger as identidades e as informações dos usuários finais.

Os registros de auditoria de acesso a dados, exceto os registros de auditoria do BigQuery Data Access, estão desativados por padrão porque os registros de auditoria podem ser bem grandes. Se você quiser que os registros de auditoria de acesso a dados sejam gravados para Cloud de Confiance serviços diferentes do BigQuery, será necessário ativá-los explicitamente. Os registros de auditoria de acesso a dados são gravados no Cloud de Confiance projeto cujos dados são acessados. A ativação deles pode resultar em cobranças pelo uso de outros registros no Cloud de Confiance projeto. Para instruções sobre como ativar e configurar os registros de auditoria de acesso a dados, consulte Ativar registros de auditoria de acesso a dados.

Para uma lista de serviços que gravam registros de auditoria de acesso a dados e informações detalhadas sobre quais atividades geram esses registros, consulte Cloud de Confiance by S3NS Serviços com registros de auditoria.

Os registros de auditoria de acesso a dados são armazenados no _Default bucket de registros, a menos que você os tenha roteado para outro lugar. Para mais informações, consulte a seção Como armazenar e rotear registros de auditoria desta página.

Registros de auditoria de eventos do sistema

Os registros de auditoria de eventos do sistema são entradas de registro gravadas por Cloud de Confiance sistemas que modificam a configuração dos recursos. Os registros de auditoria de eventos do sistema não são acionados pela ação direta do usuário. Por exemplo, um registro de auditoria de eventos do sistema é gravado quando as VMs são adicionadas ou removidas automaticamente de grupos de instâncias gerenciadas (MIGs) devido ao escalonamento automático.

Os registros de auditoria são sempre gravados. Não é possível configurá-los, excluí-los ou desativá-los.

Para uma lista de serviços que gravam registros de auditoria de eventos do sistema e informações detalhadas sobre quais atividades geram esses registros, consulte Cloud de Confiance by S3NS Serviços com registros de auditoria.

Registros de auditoria de política negada

Os registros de auditoria de políticas negadas são entradas de registro gravadas quando um Cloud de Confiance by S3NS serviço nega acesso a um usuário ou a uma conta de serviço devido a uma violação da política de segurança.

Os registros de auditoria de políticas negadas são gerados por padrão e seu Cloud de Confiance projeto é cobrado pelo armazenamento de registros. Não é possível desativar os registros de auditoria de políticas negadas, mas é possível usar filtros de exclusão para evitar que esses registros sejam armazenados no Cloud Logging.

Para uma lista de serviços que gravam registros de auditoria de políticas negadas e informações detalhadas sobre quais atividades geram esses registros, consulte Cloud de Confiance by S3NS Serviços com registros de auditoria.

Estrutura da entrada de registro de auditoria

Cada entrada de registro de auditoria no Cloud Logging é um objeto do tipo LogEntry. O que distingue uma entrada de registro de auditoria de outras entradas de registro é o campo protoPayload. Esse campo contém um AuditLog objeto que armazena os dados de registro de auditoria.

Para entender como ler e interpretar entradas de registro de auditoria e para um exemplo de entrada de registro de auditoria, consulte Noções básicas de registros de auditoria.

Nome do registro

Os nomes dos registros de auditoria do Cloud incluem o seguinte:

Identificadores de recursos que indicam o Cloud de Confiance projeto ou outra Cloud de Confiance entidade que contém os registros de auditoria.
A string cloudaudit.googleapis.com.
Uma string que indica se o registro contém dados de registro de auditoria de atividade do administrador, acesso a dados, política negada ou evento do sistema.

Estes são os nomes registro de auditoria, que incluem variáveis para os identificadores de recursos:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Identidades do autor da chamada em registros de auditoria

Os registros de auditoria registram a identidade que realizou as operações registradas no Cloud de Confiance recurso. A identidade do autor da chamada é mantida no AuthenticationInfo campo de AuditLog objetos.

A geração de registros de auditoria não edita o endereço de e-mail principal do autor da chamada para qualquer acesso bem-sucedido ou para qualquer operação de gravação.

Para operações somente leitura que falham com um erro "permissão negada", a geração de registros de auditoria pode editar o endereço de e-mail principal do autor da chamada, a menos que o autor da chamada seja uma conta de serviço.

Além das condições listadas acima, o seguinte se aplica a determinados Cloud de Confiance serviços:

BigQuery: as identidades do autor da chamada e os endereços IP, além de alguns nomes de recursos, são encobridos dos registros de auditoria, a menos que determinadas condições sejam atendidas.
Cloud Storage: quando os registros de uso do Cloud Storage estão ativados, ele grava dados de uso no bucket do Cloud Storage, que gera registros de auditoria de acesso a dados para esse bucket. A identidade do autor da chamada do registro de auditoria de acesso a dados gerado é editada.

Política da organização: partes dos endereços de e-mail do autor da chamada podem ser editadas e substituídas por três caracteres de período ....

Endereço IP do autor da chamada em registros de auditoria

O endereço IP do autor da chamada é mantido no campo RequestMetadata.callerIp de o AuditLog objeto:

Para um autor da chamada da Internet, o endereço é um endereço IPv4 ou IPv6 público.
Para chamadas feitas de dentro da rede de produção interna de um Cloud de Confiance by S3NS serviço para outro, o callerIp é editado para "particular".
Para um autor da chamada de uma VM do Compute Engine com um endereço IP externo, o callerIp é o endereço externo da VM.
Para um autor da chamada de uma VM do Compute Engine sem um endereço IP externo, se a VM estiver na mesma organização ou projeto que o recurso acessado, callerIp será o endereço IPv4 interno da VM. Caso contrário, o callerIp será editado para "gce-internal-ip". Para mais informações, consulte Visão geral de redes VPC.

Como ver registros de auditoria

É possível consultar todos os registros de auditoria ou consultar registros pelo nome. O nome do registro de auditoria inclui o identificador de recurso do projeto, da pasta, da conta de faturamento ou da organização do Cloud de Confiance com as informações de registro de auditoria que você quer consultar. As consultas podem especificar campos LogEntry indexados. Para saber como consultar registros, confira Criar consultas na Análise de Registros.

A maioria dos registros de auditoria pode ser visualizada no Cloud Logging usando o consoleCloud de Confiance , a CLI do Google Cloud ou a API Logging. No entanto, para registros de auditoria relacionados ao faturamento, só é possível usar a CLI do Google Cloud ou a API Logging.

Console

No console do Cloud de Confiance , é possível usar a Análise de Registros para acessar as entradas de registros de autoria de projetos, pastas ou organizações do Cloud de Confiance .

No Cloud de Confiance console do, acesse a página Análise de registros:
Acessar a Análise de registros

Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Logging.
Selecione um projeto, uma pasta ou uma organização do Cloud de Confiance .
Para exibir todos os registros de auditoria, digite uma das seguintes consultas no campo do editor de consultas e clique em Executar consulta:
```
logName:"cloudaudit.googleapis.com"
```
```
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
```
Para exibir os registros de auditoria de determinado recurso e tipo, no painel Criador de consultas, faça o seguinte:
- Em Tipo de recurso, selecione o recurso do Cloud de Confiance com os registros de auditoria que você quer acessar.
- Em Nome do registro, selecione o tipo de registro de auditoria que você quer acessar:
  - Para os registros de auditoria da atividade do administrador, selecione Atividade.
  - Para os registros de auditoria de acesso a dados, selecione data_access.
  - Para os registros de auditoria de eventos do sistema, selecione system_event.
  - Em "Registros de auditoria de política negada", selecione policy.
- Clique em Executar consulta.
Caso uma das opções não apareça, significa que o projeto, a pasta ou a organização do Cloud de Confiance não tem registros de auditoria desse tipo.

Se você estiver com problemas para conferir registros na Análise de Registros, consulte as informações de solução de problemas.

Para mais informações sobre como consultar usando a Análise de Registros, consulte Criar consultas na Análise de Registros.

gcloud

A CLI do Google Cloud oferece uma interface de linha de comando para a API Logging. Digite um identificador de recurso válido em cada um dos nomes de registro. Por exemplo, se a consulta incluir um PROJECT_ID, o identificador do projeto informado precisará fazer referência ao projeto doCloud de Confiance selecionado.

Para ler as entradas de registro de auditoria para envolvidos no projeto do Cloud de Confiance , execute este comando:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Para ler as entradas de registro de auditoria no nível da pasta, execute este comando:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Para ler as entradas de registro de auditoria no nível da organização, execute este comando:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Para ler as entradas de registro de auditoria na conta do Cloud Billing, execute este comando:

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

Adicione a sinalização --freshness ao comando para ler registros com mais de um dia.

Saiba mais sobre como usar a gcloud CLI em gcloud logging read.

REST

Para consultar os dados de registro usando a API Cloud Logging, use o entries.list método.

Como armazenar e rotear registros de auditoria

O Cloud Logging usa buckets de registros como contêineres que armazenam e organizam seus dados de registros. Para cada conta de faturamento, Cloud de Confiance projeto, pasta e organização, o Logging cria automaticamente dois buckets de registro, _Required e _Default, e coletores com nomes correspondentes.

Os buckets _Required do Cloud Logging armazenam registros de auditoria de atividade do administrador e registros de auditoria de eventos do sistema. Não é possível impedir que os registros de auditoria de atividade do administrador ou de eventos do sistema sejam armazenados. Também não é possível configurar o coletor que encaminha entradas de registro para os buckets _Required.

Os registros de auditoria de atividade do administrador e os registros de auditoria de eventos do sistema são sempre armazenados no bucket _Required no projeto em que os registros foram gerados.

Se você rotear registros de auditoria de atividade do administrador e registros de auditoria de eventos do sistema para um projeto diferente, esses registros não passarão pelo coletor _Default ou _Required do projeto de destino. Portanto, esses registros não são armazenados no bucket de registros _Default ou no bucket de registros _Required do projeto de destino. Para armazenar esses registros, crie um coletor de registros no projeto de destino. Para obter mais informações, consulte Rotear registros para destinos compatíveis.

Por padrão, os buckets _Default armazenam todos os registros de auditoria de acesso a dados ativados, bem como os registros de auditoria de políticas negadas. Para impedir que os registros de auditoria de acesso a dados sejam armazenados nos buckets _Default, desative-os. Para evitar que os registros de auditoria de políticas negadas sejam armazenados nos buckets _Default, é possível excluí-los modificando os filtros dos coletores.

Também é possível rotear suas entradas de registro de auditoria para buckets do Cloud Logging definidos pelo usuário no nível do projeto ou para destinos compatíveis fora do Logging usando coletores. Cloud de Confiance Para instruções sobre o roteamento de registros, consulte Rotear registros para destinos compatíveis.

Ao configurar os filtros dos coletores de registro, você precisa especificar os tipos registro de auditoria que quer rotear. Para exemplos de filtragem, consulte Consultas de geração de registros de segurança.

Se você quiser rotear entradas de registro de auditoria para uma Cloud de Confiance organização, pasta ou conta de faturamento e para os filhos dela, consulte Visão geral dos coletores agregados.

Retenção de registros de auditoria

Para saber detalhes sobre o período de retenção das entradas de registro no Logging, consulte as informações sobre retenção em Cotas e limites: períodos de armazenamento de registros.

Controle de acesso

As permissões e os papéis do IAM determinam sua capacidade de acessar dados de registros de auditoria na API Logging, na Análise de registros e na Google Cloud CLI.

Para informações detalhadas sobre as permissões e os papéis do IAM que você pode precisar, consulte Controle de acesso com o IAM.

Cotas e limites

Para detalhes sobre os limites de uso de geração de registros, incluindo os tamanhos máximos de registros de auditoria, consulte Cotas e limites.

A seguir

Saiba como ler e entender os registros de auditoria.
Saiba como ativar os registros de auditoria de acesso a dados.
Analise as práticas recomendadas para os registros de auditoria do Cloud.