Esta página descreve os registros de auditoria criados pelo Cloud Search como parte dos registros de auditoria do Cloud.
Visão geral
Os serviços do Google Cloud gravam registros de auditoria para ajudar você a responder às perguntas: "Quem fez o quê, onde e quando?" nos seus recursos. Seus projetos do Cloud contêm apenas os registros de auditoria dos recursos que estão diretamente no projeto. Outras entidades, como pastas, organizações e contas do Cloud Billing, contêm os registros de auditoria da própria entidade.
Para uma visão geral dos registros do Cloud Audit, consulte Cloud Audit Logs. Para entender melhor os registros de auditoria do Cloud, consulte Noções básicas sobre registros de auditoria.
Os registros de auditoria do Cloud fornece os seguintes registros de auditoria para cada projeto, pasta e organização do Cloud:
- Registros de auditoria da atividade do administrador com entradas correspondentes a métodos que executam operações de gravação de administrador. Os métodos correspondentes a Atividade do administrador:operações de gravação do administrador serão abordados em uma próxima seção Operações auditadas.
- Registros de auditoria de acesso a dados com entradas correspondentes a métodos que executam operações de leitura do administrador, gravação de dados e leitura de dados. Os métodos correspondentes a Acesso a dados:leitura do administrador, Acesso a dados:gravação de dados, Acesso a dados:leitura de dados são abordados em uma próxima seção Operações auditadas.
- Registros de auditoria de evento do sistema
- Registros de auditoria de política negada
O Cloud Search grava registros de auditoria da atividade do administrador, que registram operações que modificam a configuração ou os metadados de um recurso. Não é possível desativar os registros de auditoria de Atividades do administrador.
O Cloud Search só grava registros de auditoria de acesso a dados se for ativado explicitamente. Os registros de auditoria de acesso a dados contêm as chamadas de API que leem a configuração ou os metadados dos recursos, além das chamadas de API orientadas pelo usuário que criam, modificam ou leem os dados dos recursos inseridos pelo usuário.
O Cloud Search não grava registros de auditoria de eventos do sistema.
O Cloud Search não grava registros de auditoria de políticas negadas.
Operações auditadas
Confira a seguir um resumo de quais operações da API correspondem a cada tipo de registro de auditoria no Cloud Search:
| Categoria de registro de auditoria | Operações do Cloud Search |
|---|---|
| Atividade do administrador: gravação do administrador | indexing.datasources.updateSchema indexing.datasources.deleteSchema settings.datasources.create settings.datasources.delete settings.datasources.update settings.searchapplications.create settings.searchapplications.delete settings.searchapplications.reset settings.searchapplications.update settings.updateCustomer cloudsearch.IdentitySourceService.create cloudsearch.IdentitySourceService.update cloudsearch.IdentitySourceService.delete |
| Acesso a dados: leitura de administradores | indexing.datasources.getSchema settings.datasources.get settings.datasources.list settings.searchapplications.get settings.searchapplications.list settings.getCustomer cloudsearch.IdentitySourceService.get cloudsearch.IdentitySourceService.list |
| Acesso a dados: gravação de dados | indexing.datasources.items.delete indexing.datasources.items.deleteQueueItems indexing.datasources.items.index indexing.datasources.items.poll indexing.datasources.items.push indexing.datasources.items.unreserve indexing.datasources.items.upload media.upload |
| Acesso a dados: leitura de dados | indexing.datasources.items.get indexing.datasources.items.list operations.get operations.list debug.datasources.items.checkAccess debug.datasources.items.searchByViewUrl stats.getIndex stats.getQuery stats.getSession stats.getUser stats.index.datasources.get stats.query.searchapplications.get stats.session.searchapplications.get stats.user.search applications.get debug.identitysources.items.listForunmappedidentity debug.identitysources.unmappedids.list debug.datasources.items.unmappedids.list query.sources.list query.suggest query.search stats.getSearchapplication |
Formato do registro de auditoria
As entradas de registro de auditoria, que podem ser visualizadas no Cloud Logging usando o visualizador de registros, a API Cloud Logging ou a ferramenta de linha de comando gcloud, incluem os seguintes objetos:
A própria entrada de registro, que é um objeto do tipo
LogEntry.
Veja alguns campos úteis:
- O
logNamecontém o ID do recurso e o tipo de registro de auditoria. - O
resourcecontém o destino da operação auditada. - O
timeStampcontém o horário da operação auditada. - O
protoPayloadcontém as informações auditadas. - Os dados de registro de auditoria, que são um objeto AuditLog mantido no campo protoPayload da entrada de registro.
Informações de auditoria opcionais e específicas do serviço, que são um objeto específico do serviço.
Para integrações anteriores, esse objeto é mantido no campo serviceData do
objeto AuditLog. Integrações posteriores usam o campo metadata.
Veja outros campos nesses objetos e como interpretá-los em Noções básicas sobre registros de auditoria.
Nome do registro
Os nomes de recursos dos Registros de auditoria do Cloud indicam o projeto do Cloud ou outra entidade do Google Cloud que possui os registros de auditoria e se o registro tem dados de registro de auditoria de atividades do administrador, acesso a dados, política negada ou eventos do sistema. Por exemplo, confira abaixo os nomes dos registros de auditoria de atividade do administrador e de acesso a dados de uma organização. As variáveis indicam identificadores de projeto e organização.
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Nome do serviço
Os registros de auditoria do Cloud Search usam o nome de serviço cloudsearch.googleapis.com.
Tipos de recurso
Os registros de auditoria do Cloud Search usam o tipo de recurso audited_resource para todos os registros de auditoria.
Para ver uma lista com outros tipos de recursos, consulte Tipos de recursos monitorados.
Ativar registros de auditoria
Por padrão, os registros de auditoria estão desativados para a API Cloud Search. Para ativar o registro de auditoria do Google Cloud Search:
(Opcional) Se você não criou um projeto do Google Cloud Platform para armazenar logs, consulte Configurar o acesso à API Google Cloud Search.
Obtenha o ID do projeto do Google Cloud em que você quer armazenar os registros. Para saber como conseguir um ID de projeto, consulte Como identificar projetos.
Para ativar o registro de auditoria de uma API específica, você precisa determinar a categoria de registro a ser ativada. Para APIs e as categorias correspondentes, consulte Operações auditadas anteriormente neste documento.
Use o método
updateCustomer()da API REST para atualizar as auditLogSettings com as categorias de registro a serem ativadas:Receba um token de acesso do OAuth 2.0 do Google Authorization Server. Para informações sobre como receber o token, consulte a etapa 2 de Como usar o OAuth 2.0 para acessar as APIs do Google. Use um dos seguintes escopos do OAuth ao receber o token de acesso:
https://www.googleapis.com/auth/cloud_search.settings.indexinghttps://www.googleapis.com/auth/cloud_search.settingshttps://www.googleapis.com/auth/cloud_search
Execute o comando curl a seguir.
curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer?updateMask=auditLoggingSettings&key=[YOUR_API_KEY]' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Content-Type: application/json' \ --data '{"auditLoggingSettings": { "project": "projects/PROJECT_ID", "CATEGORY1": "true", "CATEGORY2": "true" } }'Em que:
YOUR_ACCESS_TOKENé o token de acesso do OAuth 2.0 recebido na etapa 4a.PROJECT_IDé o ID do projeto obtido na etapa 2.CATEGORY1,CATEGORY2e…são as categorias que você escolheu ativar na etapa 3. Os valores válidos sãologAdminReadActions,logDataWriteActionselogDataReadActions. As ações de gravação de administrador são ativadas por padrão e não podem ser desativadas. Se você quiser gerar registros de auditoria para métodos de consulta, ative a categoria de leitura de dados.
Depois de atualizar
AuditLoggingSettings, outras solicitações para a API Cloud Search geram um registro de auditoria no ID do projeto especificado emAuditLoggingSettings.A geração de registros de auditoria para métodos de consulta exige que a categoria de leitura de dados seja ativada, o que é feito na etapa 4. Para ativar o registro de auditoria para métodos de consulta (
query.sources.list,query.suggestequery.search), siga estas etapas adicionais:Para cada aplicativo de pesquisa em que você quer ativar o registro de auditoria, extraia o nome. O nome precisa estar no formato
searchapplications/<search_application_id>.Use o nome para chamar
settings.searchapplications.updatecomenableAuditLogdefinido comotrue.
Para ativar o registro de auditoria para chamadas de
cloudsearch.google.com, verifique se a categoria "Leitura de dados" está ativada (etapa 4). Além disso, execute a etapa 5b com umnamedesearchapplications/default.
Depois de ativados, os registros podem ser visualizados na seção "Explorador de registros" do console do Google Cloud. Use o filtro a seguir para conferir apenas os registros de auditoria do Cloud Search:
protoPayload.serviceName="cloudsearch.googleapis.com"
Para mais informações sobre como visualizar registros, consulte Visão geral do Explorador de registros.
Permissões de registro de auditoria
As permissões e os papéis do Identity and Access Management determinam quais registros de auditoria podem ser visualizados ou exportados. Os registros residem em projetos do Cloud e em outras entidades, incluindo organizações, pastas e contas de faturamento do Cloud. Para mais informações, consulte Noções básicas sobre papéis.
Para acessar os registros de auditoria de atividade do administrador, você precisa ter um dos seguintes papéis do IAM no projeto que contém os registros de auditoria:
- Proprietário, editor ou visualizador do projeto
- O papel de Visualizador de registros do Logging
- Um
papel do IAM personalizado com
a permissão
logging.logEntries.listdo IAM
Para ver os registros de auditoria de acesso a dados, é preciso ter um dos seguintes papéis no projeto que contém os registros:
- Proprietário do projeto
- Papel de Visualizador de registros particulares do Logging
- Um papel do IAM personalizado
com a permissão
logging.privateLogEntries.listdo IAM
Se você estiver usando registros de auditoria de uma entidade sem projeto, como uma organização, mude os papéis do projeto do Cloud para os adequados à organização.
Ver registros
Para encontrar e visualizar registros de auditoria, é preciso saber o identificador do projeto, da pasta ou da organização do Cloud. É possível especificar outros campos
LogEntry
indexados, como resource.type. Para mais detalhes, consulte
Criar consultas no Explorador de registros.
Confira a seguir os nomes dos registros de auditoria que incluem variáveis para os identificadores do projeto, da pasta ou da organização do Cloud:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
Você tem várias opções para ver as entradas de registro de auditoria.
Console
Use o Explorador de registros no Console do Cloud para recuperar as entradas de registro de auditoria do projeto do Cloud:
No Console do Cloud, acesse a página Logging > Explorador de registros.
Na página Análise de registros, selecione um projeto do Cloud.
No painel Criador de consultas, faça o seguinte:
Em Recurso, selecione o tipo de recurso do Google Cloud que tem os registros de auditoria que você quer ver.
Em Nome do registro, selecione o tipo de registro de auditoria que você quer ver:
- Para os registros de auditoria da atividade do administrador, selecione Atividade.
- Para os registros de auditoria de acesso a dados, selecione data_access.
- Para os registros de auditoria de eventos do sistema, selecione system_event.
- Em "Registros de auditoria de política negada", selecione policy.
Se você não encontrar essas opções, não há registros de auditoria desse tipo disponíveis no projeto do Cloud.
Para mais detalhes sobre como consultar usando o nova Análise de registros, acesse Criar consultas na Análise de registros.
gcloud
O gcloud fornece uma interface de linha de comando para a
API Logging. Insira um
PROJECT_ID, FOLDER_ID
ou ORGANIZATION_ID válido em cada um dos nomes de registro.
Para ler suas entradas de registro de auditoria no nível do projeto do Google Cloud, execute o comando a seguir:
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
--project=PROJECT_IDPara ler suas entradas de registro de auditoria no nível da pasta, execute o comando a seguir:
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
--folder=FOLDER_IDPara ler as entradas de registro de auditoria no nível da organização, execute o seguinte comando:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
--organization=ORGANIZATION_IDPara mais informações sobre como usar a ferramenta gcloud, consulte
gcloud logging read.
API
Ao criar consultas, substitua as variáveis por valores válidos, bem como nomes ou identificadores dos registros de auditoria adequados a nível do projeto, da pasta ou da organização, conforme listado nos nomes dos registros de auditoria. Por exemplo, se a consulta incluir um PROJECT_ID, o identificador do projeto que você fornecer precisará fazer referência ao projeto do Cloud selecionado.
Para usar a API Logging para analisar suas entradas de registro de auditoria, siga estas instruções:
Acesse a seção Testar esta API da documentação do método
entries.list.Digite o seguinte na parte do Corpo da solicitação do formulário Teste esta API. Clique nesse formulário preenchido automaticamente para preencher automaticamente o corpo da solicitação, mas é necessário inserir um
PROJECT_IDválido em cada um dos nomes de registro.{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }Clique em Executar.
Para mais detalhes sobre consultas, acesse Linguagem de consulta do Logging.
Para ver um exemplo de entrada de registro de auditoria e instruções sobre como encontrar as informações mais importantes nesse registro, acesse Noções básicas sobre registros de auditoria.
Como exportar registros de auditoria
Você pode exportar registros de auditoria da mesma forma que exporta outros tipos de registros. Para saber como exportar registros, consulte Exportar registros. Veja a seguir algumas aplicações da exportação de registros de auditoria:
Para manter os registros de auditoria por mais tempo ou usar recursos de pesquisa mais avançados, exporte cópias desses registros para o Cloud Storage, o BigQuery ou o Pub/Sub. Com o Pub/Sub, faça exportações para outros aplicativos, outros repositórios e para terceiros.
Para gerenciar os registros de auditoria em toda a organização, crie coletores agregados que podem exportar registros de qualquer um ou todos os projetos do Cloud na organização.
Se os registros de auditoria de acesso a dados ativados estiverem fazendo com que seus projetos do Cloud excedam as cotas de registros, exporte e exclua esses registros do Logging. Saiba mais em Como excluir registros.
Preços e retenção
O Cloud Logging não cobra por registros de auditoria que não podem ser desativados, incluindo todos os registros de auditoria de atividade do administrador. O Cloud Logging cobra pelos registros de auditoria de acesso a dados que você solicita explicitamente.
Para mais informações sobre os preços dos registros de auditoria, consulte Preços do pacote de operações do Google Cloud.
O período de armazenamento associado aos registros de auditoria do Cloud Search é o seguinte:
- Registros de atividades do administrador (ou gravação do administrador): esses registros são retidos por 400 dias.
- Registros de acesso a dados (leitura do administrador, gravação de dados e leitura de dados): esses registros são retidos por 30 dias.
Para mais informações sobre a duração do armazenamento, consulte Períodos de armazenamento dos registros.
Limitações atuais
Os registros de auditoria do Cloud Search têm as seguintes limitações:
O tamanho da entrada de registro precisa ser menor que 512 KB. Se o tamanho aumentar além de 512 KB, a resposta será removida da entrada de registro. Se isso não reduzir o tamanho para 512 KB ou menos, a solicitação será descartada. Por fim, se o tamanho ainda ultrapassar 512 KB, a entrada de registro será descartada.
Os corpos de resposta não são registrados para os métodos
list(),get()esuggest(). No entanto, os status de resposta estão disponíveis.Somente as chamadas de API de consulta de
cloudsearch.google.com(se ativada) e aplicativos de pesquisa do cliente são registradas.Para chamadas
search(), apenasQuery,RequestOptionseDataSourceRestrictionsão registrados na solicitação. Na resposta, apenas o URL e os metadados (origem eobjectType) de cadaSearchResultsão auditados.As chamadas emitidas para o back-end do Cloud Search e correspondentes à exportação de dados não são auditadas.