En este documento, se proporciona una descripción general conceptual de los registros de auditoría de Cloud.
Los servicios de Google Cloud escriben registros de auditoría que registran actividades y accesos administrativos dentro de tus recursos de Google Cloud. Los registros de auditoría te ayudan a responder “¿quién hizo qué, dónde y cuándo?” dentro de tus recursos de Google Cloud con el mismo nivel de transparencia que en los entornos locales. Habilitar registros de auditoría ayuda a las entidades de seguridad, auditoría y cumplimiento a supervisar los datos y sistemas de Google Cloud en busca de posibles vulnerabilidades o el uso inadecuado datos externos.
Servicios de Google que producen registros de auditoría
Para obtener una lista de los servicios de Google Cloud que proporcionan registros de auditoría, consulta Servicios de Google con registros de auditoría. Con el tiempo, todos los servicios de Google Cloud proporcionarán registros de auditoría.
Para obtener una descripción general de los registros de auditoría de Google Workspace, consulta Registros de auditoría de Google Workspace.
Funciones obligatorias
Para ver los registros de auditoría, debes tener los permisos y roles adecuados de Identity and Access Management (IAM):
-
Para obtener los permisos que necesitas para obtener acceso de solo lectura a los registros de auditoría de actividad del administrador, política denegada y eventos del sistema, pídele a tu administrador que te otorgue el rol de IAM de visualizador de registros (
roles/logging.viewer
) en tu proyecto.Si solo tienes la función de visualizador de registros
(roles/logging.viewer)
, no podrás ver los registros de auditoría de acceso a los datos que se encuentren en el bucket_Default
.
-
A fin de obtener los permisos que necesitas para obtener acceso a todos los registros en los buckets
_Required
y_Default
, incluidos los registros de acceso a los datos, pídele a tu administrador que te otorgue el rol de IAM de visualizador de registros privados (roles/logging.privateLogViewer
) en tu proyecto.La función de visualizador de registros privados
(roles/logging.privateLogViewer)
incluye los permisos contenidos en la función de visualizador de registros (roles/logging.viewer
) y los necesarios para leer los registros de auditoría de acceso a los datos en el bucket_Default
.
Para obtener más información de los permisos y los roles de IAM que se aplican a los datos de registros de auditoría, consulta Control de acceso con IAM.
Tipos de registros de auditoría
Los registros de auditoría de Cloud proporcionan los siguientes registros de auditoría para cada proyecto, carpeta y organización de Google Cloud:
- Registros de auditoría de actividad del administrador
- Registros de auditoría de acceso a los datos
- Registros de auditoría de eventos del sistema
- Registros de auditoría de política denegada
Registros de auditoría de actividad del administrador
Los registros de auditoría de actividad del administrador contienen entradas de registro para las llamadas a la API y otras acciones administrativas que modifican la configuración o los metadatos de los recursos. Por ejemplo, registran en qué momento los usuarios crean instancias de VM o cambian los permisos de Identity and Access Management.
Los registros de auditoría de actividad del administrador se escriben siempre; no puedes configurarlos, excluirlos ni inhabilitarlos. Incluso si inhabilitas la API de Cloud Logging, los registros de auditoría de actividad del administrador se generarán de todos modos.
Para obtener una lista de los servicios que escriben registros de auditoría de actividad del administrador y la información detallada sobre qué actividades generan esos registros, consulta Servicios de Google Cloud con registros de auditoría.
Registros de auditoría de acceso a los datos
Estos registros contienen llamadas a la API que leen la configuración o los metadatos de los recursos, así como llamadas a la API controladas por el usuario que crean, modifican o leen datos de los recursos que proporciona el usuario.
Los recursos disponibles de forma pública que tienen las políticas de administración de identidades y accesos allAuthenticatedUsers
o allUsers
no generan registros de auditoría. Los recursos a los que se puede acceder sin acceder a una cuenta de Google Cloud, Google Workspace, Cloud Identity o Drive Enterprise no generan registros de auditoría. Esto ayuda a proteger la información y las identidades de los usuarios finales.
Los registros de auditoría de acceso a los datos, excepto los de BigQuery, están inhabilitados de forma predeterminada porque pueden ser bastante extensos. Si deseas que se escriban los registros de auditoría de acceso a los datos para los servicios de Google Cloud que no sean BigQuery, debes habilitarlos de manera explícita. Si los habilitas, es posible que se cobre el uso de registros adicionales en tu proyecto de Google Cloud. Si quieres obtener instrucciones para habilitar y configurar los registros de auditoría de acceso a los datos, consulta Habilita los registros de auditoría de acceso a los datos.
Para obtener una lista de los servicios que escriben registros de auditoría de acceso a los datos y, además, información detallada sobre las actividades que generan esos registros, consulta Servicios de Google Cloud con registros de auditoría.
Los registros de auditoría de acceso a los datos se almacenan en el bucket de registros _Default
, a menos que los hayas enrutado a otro lugar. Para obtener más información, consulta la sección Almacena y enruta los registros de auditoría de esta página.
Registros de auditoría de eventos del sistema
Los registros de auditoría de eventos del sistema contienen entradas de registro para las acciones de Google Cloud que modifican la configuración de los recursos. Los sistemas de Google generan los registros de auditoría de eventos del sistema, no la acción directa del usuario.
Los registros de auditoría de eventos del sistema se escriben siempre; no puedes configurarlos, excluirlos ni inhabilitarlos.
Para obtener una lista de los servicios que escriben registros de auditoría de eventos del sistema y, además, información detallada sobre las actividades que generan esos registros, consulta Servicios de Google Cloud con registros de auditoría.
Registros de auditoría de política denegada
Los registros de auditoría de política denegada se registran cuando un servicio de Google Cloud rechaza el acceso a un usuario o a una cuenta de servicio debido a un incumplimiento de política de seguridad.
Los registros de auditoría de política denegada se generan de forma predeterminada y se cobra el almacenamiento de registros en tu proyecto de Google Cloud. No puedes inhabilitar los registros de auditoría de política denegada, pero puedes usar filtros de exclusión para evitar que se almacenen en Cloud Logging.
Para obtener una lista de los servicios que escriben registros de auditoría de política denegada y la información detallada sobre las actividades que generan esos registros, consulta Servicios de Google Cloud con registros de auditoría.
Estructura de entradas de registro de auditoría
Cada entrada de registro de auditoría en Cloud Logging es un objeto del tipo LogEntry
. Lo que distingue una entrada de registro de auditoría de otras entradas de registro es el campo protoPayload
; este contiene un objeto AuditLog
que almacena los datos del registro de auditoría.
Para comprender cómo leer y, luego, interpretar las entradas del registro de auditoría y obtener un ejemplo de una entrada de registro de auditoría, consulta Comprende los registros de auditoría.
Nombre del registro
Entre los nombres de los registros de auditoría de Cloud, se incluyen los siguientes:
Identificadores de recursos que indican el proyecto de Google Cloud o cualquier otra entidad de Google Cloud propietaria de los registros de auditoría
La string
cloudaudit.googleapis.com
.Una cadena que indica si el registro contiene datos de registro de auditoría de la actividad del administrador, el acceso a los datos, la política denegada o los eventos del sistema.
A continuación, se muestran los nombres de los registros de auditoría, incluidas las variables para los identificadores de recursos:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com/activity projects/PROJECT_ID/logs/cloudaudit.googleapis.com/data_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com/system_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com/policy folders/FOLDER_ID/logs/cloudaudit.googleapis.com/activity folders/FOLDER_ID/logs/cloudaudit.googleapis.com/data_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com/system_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com/policy billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com/activity billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com/data_access billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com/system_event billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com/policy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com/activity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com/data_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com/system_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com/policy
Identidades de los emisores en los registros de auditoría
Los registros de auditoría registran la identidad que realizó las operaciones registradas en el recurso de Google Cloud. La identidad del emisor se encuentra en el campo AuthenticationInfo
de los objetos AuditLog.
El registro de auditoría no oculta la dirección de correo electrónico principal del emisor para ningún acceso que se realice correctamente o para cualquier operación de escritura.
Para las operaciones de solo lectura que fallan con un error de “permiso denegado”, el registro de auditoría podría ocultar la dirección de correo electrónico principal del emisor, a menos que este sea una cuenta de servicio.
Además de las condiciones mencionadas anteriormente, lo siguiente se aplica a ciertos servicios de Google Cloud:
API de App Engine heredada: no se recopilan las identidades.
BigQuery: Las identidades de los emisores y las direcciones IP, así como algunos nombres de recursos, se ocultan de los registros de auditoría, a menos que se cumplan ciertas condiciones.
Cloud Storage: Cuando los registros de uso de Cloud Storage están habilitados, Cloud Storage escribe los datos de uso en el bucket de Cloud Storage, que genera registros de auditoría de acceso a los datos para el bucket. El registro de auditoría de acceso a los datos generado tiene su identidad de emisor oculta.
Firestore: Si se usó un token web JSON (JWT) para la autenticación de terceros, el campo
thirdPartyPrincipal
incluye el encabezado y la carga útil del token. Por ejemplo, los registros de auditoría de solicitudes autenticadas con Firebase Authentication incluyen el token de autenticación de esa solicitud.Controles del servicio de VPC: En el caso de los registros de auditoría de política denegada, se realiza la siguiente ocultación:
Es posible que algunas partes de las direcciones de correo electrónico del emisor se oculten y se reemplacen por tres caracteres de punto
...
.Algunas direcciones de correo electrónico del emisor que pertenecen al dominio
google.com
se ocultan y se reemplazan porgoogle-internal
.
Política de la organización: Algunas partes de las direcciones de correo electrónico del emisor se pueden ocultar y reemplazar por tres caracteres de punto
...
.
Dirección IP del emisor en los registros de auditoría
La dirección IP del emisor se guarda en el campo RequestMetadata.caller_ip
del objeto AuditLog
:
- Para un emisor de Internet, la dirección es una dirección IPv4 o IPv6 pública.
- En el caso de las llamadas realizadas desde adentro de la red de producción interna de Google desde un servicio de Google Cloud a otro, el llamador_ip se oculta como “privado”.
- Para un emisor de una VM de Compute Engine con una dirección IP externa, caller_ip es la dirección externa de la VM.
- Para un emisor de una VM de Compute Engine sin una dirección IP externa, si la VM está en la misma organización o proyecto que el recurso al que se accedió, caller_ip es la dirección IPv4 interna de la VM. De lo contrario, el llamador_ip se oculta como “gce-internal-ip”. Para obtener más información, consulta Descripción general de la red de VPC.
Consultar registros de auditoría
Puedes consultar todos los registros de auditoría o puedes consultar los registros por su nombre de registro de auditoría. El nombre del registro de auditoría incluye el identificador de recursos del proyecto de Google Cloud, la carpeta, la cuenta de facturación o la organización cuya información de registro de auditoría deseas ver.
Tus consultas pueden especificar los campos LogEntry
indexados, y si usas la página Log Analytics, que admite consultas de SQL, puedes visualizar los resultados de consultas con un gráfico.
Para obtener más información para consultar tus registros, consulta las siguientes páginas:
- Crea consultas en el Explorador de registros.
- Consulta y visualiza registros en Análisis de registros.
- Consultas de muestra para estadísticas de seguridad.
Consola
En la consola de Google Cloud, puedes usar el Explorador de registros para recuperar las entradas de registro de auditoría de tu carpeta, organización o proyecto de Google Cloud:
-
En la consola de Google Cloud, ve a la página Explorador de registros:
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
Selecciona una organización, una carpeta o un proyecto existente de Google Cloud.
Para mostrar todos los registros de auditoría, ingresa cualquiera de las siguientes consultas en el campo de editor de consultas y, luego, haz clic en Ejecutar consulta:
logName:"cloudaudit.googleapis.com"
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
Para mostrar los registros de auditoría de un recurso específico y un tipo de registro de auditoría, en el panel Compilador de consultas, haz lo siguiente:
En Tipo de recurso, selecciona el recurso de Google Cloud cuyos registros de auditoría deseas ver.
En Nombre del registro, selecciona el tipo de registro de auditoría que deseas ver:
- En el caso de los registros de auditoría de la actividad del administrador, selecciona activity.
- En los registros de auditoría de acceso a los datos, selecciona data_access.
- En el caso de los registros de auditoría de eventos del sistema, selecciona system_event.
- En el caso de los registros de auditoría de política denegada, selecciona policy.
Haz clic en Ejecutar consulta.
Si no ves estas opciones, significa que no hay registros de auditoría de ese tipo disponibles en la carpeta, la organización o el proyecto de Google Cloud.
Si tienes problemas cuando intentas ver registros en el Explorador de registros, consulta la información acerca de la solución de problemas.
Para obtener más información de las consultas con el Explorador de registros, visita Compila consultas en el Explorador de registros. Para obtener información acerca de cómo resumir las entradas de registro en el Explorador de registros a través de Gemini, consulta Resume entradas de registro con la asistencia de Gemini.
gcloud
Google Cloud CLI proporciona una interfaz de línea de comandos para la API de Logging. Proporciona un identificador de recurso válido en cada uno de los nombres de registro. Por ejemplo, si tu consulta incluye un PROJECT_ID, el identificador del proyecto que proporciones debe hacer referencia al proyecto de Google Cloud que se encuentra seleccionado.
Para leer las entradas de registro de auditoría a nivel de proyecto de Google Cloud, ejecuta el siguiente comando:
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \ --project=PROJECT_ID
Para leer las entradas del registro de auditoría a nivel de las carpetas, ejecuta el siguiente comando:
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \ --folder=FOLDER_ID
Para leer las entradas del registro de auditoría a nivel de organización, ejecuta el siguiente comando:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \ --organization=ORGANIZATION_ID
Para leer las entradas del registro de auditoría a nivel de la cuenta de Facturación de Cloud, ejecuta el siguiente comando:
gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \ --billing-account=BILLING_ACCOUNT_ID
Agrega la marca --freshness
a tu comando para leer los registros que tienen más de 1 día de antigüedad.
Para obtener más información del uso de gcloud CLI, consulta gcloud logging read
.
API
Cuando compiles tus consultas, proporciona un identificador de recurso válido en cada uno de los nombres de registro. Por ejemplo, si tu consulta incluye un PROJECT_ID, el identificador del proyecto que proporciones debe hacer referencia al proyecto de Google Cloud que se encuentra seleccionado.
Por ejemplo, si quieres usar la API de Logging para ver las entradas del registro de auditoría a nivel de proyecto, haz lo siguiente:
Ve a la sección Probar esta API en la documentación del método
entries.list
.Ingresa lo siguiente en el cuerpo de la solicitud del formulario Prueba esta API. Si haces clic en este formulario prepropagado, se completará el cuerpo de la solicitud de manera automática, pero deberás proporcionar un PROJECT_ID válido para cada nombre de registro.
{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }
Haz clic en Ejecutar.
Almacena y enruta registros de auditoría
Cloud Logging usa buckets de registro como contenedores que almacenan y organizan los datos de registros. Para cada proyecto, carpeta y organización de Google Cloud, Logging crea de forma automática dos buckets de registros, _Required
y _Default
, y los receptores con los nombres correspondientes.
Los buckets _Required
de Cloud Logging almacenan registros de auditoría de actividad del administrador y de eventos del sistema. No puedes configurar buckets de _Required
ni ningún dato de registro en él.
Los registros de auditoría de actividad del administrador y de eventos del sistema siempre se almacenan en el bucket _Required
del proyecto en el que se generaron los registros.
Si enrutas los registros de auditoría de actividad del administrador y los registros de auditoría de eventos del sistema a un proyecto diferente, esos registros no pasan por el receptor _Default
o _Required
del proyecto de destino. Por lo tanto, estos registros no se almacenan en el bucket de registros _Default
ni en el bucket de registros _Required
del proyecto de destino. Para almacenar estos registros, crea un receptor de registros en el proyecto de destino.
Para obtener más información, consulta Enruta registros a destinos compatibles.
De forma predeterminada, los buckets de _Default
almacenan cualquier registro de auditoría de acceso a los datos habilitado, así como registros de auditoría de política denegada. Para evitar que los registros de auditoría de acceso a los datos se almacenen en los buckets _Default
, puedes inhabilitarlos. Para evitar que los registros de auditoría de política denegada se almacenen en los buckets _Default
, puedes excluirlos si modificas los filtros de sus receptores.
También puedes enrutar las entradas de registro de auditoría a buckets de Cloud Logging definidos por el usuario a nivel de proyecto de Google Cloud o a destinos compatibles fuera de Logging mediante receptores. Para obtener instrucciones sobre el enrutamiento de registros, consulta Enruta registros a destinos compatibles.
Cuando configuras los filtros de los receptores de registros, debes especificar los tipos de registros de auditoría que deseas enrutar. Para ver ejemplos de filtrado, consulta Consultas de seguridad de registros.
Si deseas enrutar las entradas de registro de auditoría de una organización, carpeta o cuenta de facturación de Google Cloud, consulta Recopila y enruta registros a nivel de organización a destinos compatibles.
Retención de registros de auditoría
Para obtener detalles sobre cuánto tiempo Logging retiene las entradas de registro, consulta la información sobre retención en Cuotas y límites: períodos de retención de registros.
Control de acceso
Los permisos y las funciones de IAM determinan tu capacidad para acceder a los datos de registros de auditoría en la API de Logging, el Explorador de registros y Google Cloud CLI.
Para obtener información detallada sobre los permisos de IAM y las funciones que podrías necesitar, consulta Control de acceso con IAM .
Cuotas y límites
Para obtener más información sobre los límites de uso de registros, incluidos los tamaños máximos de los registros de auditoría, consulta Cuotas y límites.
Precios
Cloud Logging no cobra por enrutar los registros a un destino admitido. Sin embargo, el destino puede aplicar cargos.
A excepción del bucket de registros _Required
, Cloud Logging cobra por transmitir registros a buckets de registros y por el almacenamiento por más tiempo que el período de retención predeterminado del bucket de registros.
Cloud Logging no cobra por copiar registros ni por las consultas emitidas a través de la página Explorador de registros o la página Análisis de registros.
Para obtener más información, consulta los siguientes documentos:
- Resumen de precios de Cloud Logging
Costos de destino:
- Los cargos de generación de registros de flujo de VPC se aplican cuando envías y, luego, excluyes los registros de flujo de la nube privada virtual de Cloud Logging.
¿Qué sigue?
- Obtén más información para leer y comprender los registros de auditoría.
- Obtén más información sobre cómo habilitar los registros de auditoría de acceso a los datos.
- Revisa las prácticas recomendadas para los registros de auditoría de Cloud.