Esta página foi traduzida pela API Cloud Translation.

Geração de registros de auditoria

Nesta página, descrevemos os registros de auditoria criados pelo Cloud Search como parte dos Registros de auditoria do Cloud.

Informações gerais

Os serviços do Google Cloud gravam registros de auditoria para ajudar você a responder às perguntas "Quem fez o quê, onde e quando" dentro dos recursos. Os projetos do Cloud contêm apenas os registros de auditoria dos recursos que estão diretamente nele. Outras entidades, como pastas, organizações e contas do Cloud Billing, contêm os registros de auditoria da própria entidade.

Para uma visão geral dos registros do Cloud Audit, consulte Cloud Audit Logs. Se você quiser mais detalhes sobre os Registros de auditoria do Cloud, consulte Noções básicas sobre os registros de auditoria.

Os registros de auditoria do Cloud fornece os seguintes registros de auditoria para cada projeto, pasta e organização do Cloud:

Registros de auditoria de atividade do administrador que contêm entradas correspondentes a métodos que executam operações de gravação do administrador. Os métodos correspondentes às operações de gravação de "Activity do Admin:Admin" são abordados em uma próxima seção de Operações auditadas.
Registros de auditoria de acesso a dados que contêm entradas correspondentes a métodos que executam operações de leitura de administrador, gravação de dados e leitura de dados. Os métodos correspondentes às operações "Acesso a dados:leitura de administrador", "Acesso a dados:gravação de dados" e "Acesso a dados:leitura de dados" são abordados em uma seção Operações auditadas.
Registros de auditoria de eventos do sistema
Registros de auditoria de política negada

O Cloud Search grava registros de auditoria de atividades do administrador, que registram operações que modificam a configuração ou os metadados de um recurso. Não é possível desativar os registros de auditoria de Atividades do administrador.

O Cloud Search grava registros de auditoria de acesso a dados somente quando essa opção é explicitamente ativada. Eles contêm as chamadas de API que leem a configuração ou os metadados dos recursos, além das chamadas de API com base no usuário que criam, modificam ou leem os dados dos recursos inseridos pelo usuário.

O Cloud Search não grava registros de auditoria de eventos do sistema.

O Cloud Search não grava registros de auditoria de políticas negadas.

Operações auditadas

Veja na tabela a seguir um resumo de quais operações da API correspondem a cada tipo de registro de auditoria no Cloud Search:

Categoria de registro de auditoria	Operações do Cloud Search
Atividade do administrador: gravação do administrador	Indexing.datasources.updateSchema indexing.datasources.deleteSchema settings.datasources.create settings.datasources.delete settings.datasources.update settings.searchapplications.create settings.searchapplications.delete settings.searchapplications.reset settings.searchapplications.update settings.updateCustomer cloudsearch.cloudIdentitySourceService.update cloudSource.IdentitySourceService.update
Acesso a dados: leitura do administrador	indexing.datasources.getSchema settings.datasources.get settings.datasources.list settings.searchapplications.get settings.searchapplications.list settings.getCustomer cloudsearch.IdentitySourceService.get cloudsearch.IdentitySourceService.list
Acesso a dados: gravação de dados	indexing.datasources.items.delete indexing.datasources.items.deleteQueueItems indexing.datasources.items.index indexing.datasources.items.poll indexing.datasources.items.push indexing.datasources.items.unreserve indexing.datasources.items.upload media.upload
Acesso a dados: leitura de dados	Indexing.datasources.items.get indexing.datasources.items.list operations.get operations.list debug.datasources.items.checkAccess debug.datasources.items.searchByViewUrl stats.getIndex stats.getQuery stats.getSession stats.getUser stats.index.datasources.get stats.query.searchidentityapplications.get stats

Formato do registro de auditoria

As entradas de registro de auditoria, que podem ser visualizadas no Cloud Logging usando a Análise de registros, a API Cloud Logging ou a ferramenta de linha de comando gcloud, incluem os seguintes objetos:

A própria entrada de registro, que é um objeto do tipo LogEntry. Confira alguns campos úteis:

O logName contém o ID do recurso e o tipo de registro de auditoria.
O resource contém o destino da operação auditada.
O timeStamp contém o horário da operação auditada.
O protoPayload contém as informações auditadas.
Os dados de registro de auditoria, que são um objeto AuditLog localizado no campo protoPayload da entrada de registro.

Informações opcionais de auditoria específicas do serviço, que são um objeto específico do serviço. Para integrações anteriores, esse objeto é mantido no campo serviceData do objeto AuditLog. Integrações posteriores usam o campo metadata.

Veja outros campos nesses objetos e como interpretá-los em Noções básicas sobre registros de auditoria.

Nome do registro

Os nomes dos recursos dos Registros de auditoria do Cloud indicam o projeto do Cloud ou outra entidade do Google Cloud que tem os registros de auditoria e se eles contêm dados de registro de auditoria de atividades do administrador, acesso a dados, política negada ou eventos do sistema. Por exemplo, veja abaixo os nomes dos registros de auditoria de atividade do administrador e de acesso a dados de uma organização no nível do projeto. As variáveis indicam identificadores de projetos e organizações.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Nome do serviço

Os registros de auditoria do Cloud Search usam o nome de serviço cloudsearch.googleapis.com.

Tipos de recurso

Os registros de auditoria do Cloud Search usam o tipo de recurso audited_resource para todos os registros de auditoria.

Para ver uma lista com outros tipos de recursos, consulte Tipos de recursos monitorados.

Ativar registros de auditoria

Por padrão, o registro de auditoria está desativado para a API Cloud Search. Para ativar a geração de registros de auditoria do Google Cloud Search:

(Opcional) Se você não tiver criado um projeto do Google Cloud Platform para armazenar registros, consulte Configurar o acesso à API Google Cloud Search.
Consiga o ID do projeto para o Google Cloud em que você quer armazenar os registros. Para saber como conseguir um ID de projeto, consulte Como identificar projetos.
Para ativar o registro de auditoria de uma API específica, você precisa determinar a categoria do registro que será ativado. Para APIs e as categorias correspondentes, consulte a seção Operações auditadas anteriormente neste documento.
Use o método updateCustomer() da API REST para atualizar auditLogSettings com as categorias de registro a serem ativadas:
1. Conseguir um token de acesso do OAuth 2.0 do servidor de autorização do Google. Para informações sobre como receber o token, consulte a etapa 2 de Como usar o OAuth 2.0 para acessar as APIs do Google. Use um dos seguintes escopos do OAuth ao receber o token de acesso:
  - https://www.googleapis.com/auth/cloud_search.settings.indexing
  - https://www.googleapis.com/auth/cloud_search.settings
  - https://www.googleapis.com/auth/cloud_search
2. Execute o comando curl a seguir.
```
curl --request PATCH \
'https://cloudsearch.googleapis.com/v1/settings/customer?updateMask=auditLoggingSettings&key=[YOUR_API_KEY]' \
--header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
--header 'Content-Type: application/json' \
--data '{"auditLoggingSettings": { "project": "projects/PROJECT_ID", "CATEGORY1": "true", "CATEGORY2": "true" } }'
```
Em que:
- YOUR_ACCESS_TOKEN é o token de acesso do OAuth 2.0 obtido na etapa 4a.
- PROJECT_ID é o ID do projeto conseguido na etapa 2.
- CATEGORY1, CATEGORY2 e … são as categorias que você escolheu ativar na etapa 3. Os valores válidos são logAdminReadActions, logDataWriteActions e logDataReadActions. As ações de gravação do administrador são ativadas por padrão e não podem ser desativadas. Se você quiser gerar registros de auditoria para métodos de consulta, ative a categoria de leitura de dados.
Depois de atualizar AuditLoggingSettings, outras solicitações à API Cloud Search geram um registro de auditoria no ID do projeto especificado em AuditLoggingSettings.
A geração de registros de auditoria para métodos de consulta exige que a categoria de leitura de dados esteja ativada (concluído na etapa 4). Para ativar o registro de auditoria para métodos de consulta (query.sources.list, query.suggest e query.search), siga estas outras etapas:
1. Recupere o nome de cada aplicativo de pesquisa em que você quer ativar a geração de registros de auditoria. O nome precisa estar no formato searchapplications/<search_application_id>.
2. Use o nome para chamar settings.searchapplications.update com enableAuditLog definido como true.
Para ativar o registro de auditoria para chamadas de cloudsearch.google.com, verifique se a categoria de leitura de dados está ativada (etapa 4). Além disso, execute a etapa 5b com um name de searchapplications/default .

Depois de ativados, os registros podem ser visualizados na seção "Explorador de registros" do Console do Google Cloud. Use o filtro a seguir para ver somente os registros de auditoria do Cloud Search:

protoPayload.serviceName="cloudsearch.googleapis.com"

Para mais informações sobre como visualizar registros, consulte Visão geral do explorador de registros.

Permissões de registro de auditoria

As permissões e os papéis do Identity and Access Management determinam quais registros de auditoria é possível ver ou exportar. Os registros residem em projetos do Cloud e em outras entidades, incluindo organizações, pastas e contas de faturamento do Cloud. Para mais informações, consulte Noções básicas sobre papéis.

Para ver os registros de auditoria de atividade do administrador, você precisa ter um dos seguintes papéis do IAM no projeto que contém os registros de auditoria:

Proprietário, editor ou visualizador do projeto
O papel Visualizador de registros do Logging
Um papel do IAM personalizado com a permissão logging.logEntries.list do IAM

Para ver os registros de auditoria de acesso a dados, é preciso ter um dos seguintes papéis no projeto que contém os registros:

Proprietário do projeto
Papel Visualizador de registros particulares do Logging
Um papel do IAM personalizado com a permissão logging.privateLogEntries.list do IAM

Se você estiver usando registros de auditoria de uma entidade sem projeto, como uma organização, mude os papéis do projeto do Cloud para os adequados à organização.

Ler registros

Para encontrar e visualizar registros de auditoria, é preciso saber o identificador do projeto, da pasta ou da organização do Cloud com as informações de registro de auditoria que você quer ver. É possível especificar outros campos indexados LogEntry, como resource.type. Para mais detalhes, consulte Criar consultas no Explorador de registros.

Confira a seguir os nomes dos registros de auditoria que incluem variáveis para os identificadores do projeto, da pasta ou da organização do Cloud:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Você tem várias opções para ver as entradas de registro de auditoria.

Console

Use a Análise de registros no Console do Cloud para recuperar as entradas de registros de auditoria do seu projeto do Cloud:

No Console do Cloud, acesse a página Logging > Explorador de registros.

Acessar a página Explorador de registros

Observação :se você estiver usando a página Visualizador de registros legado, mude para a página Explorador de registros.
Na página Buscador de registros, selecione um projeto do Cloud.
No painel Criador de consultas, faça o seguinte:
- Em Recurso, selecione o tipo de recurso do Google Cloud que tem os registros de auditoria que você quer ver.
- Em Nome do registro, selecione o tipo de registro de auditoria que você quer ver:
  - Para os registros de auditoria da atividade do administrador, selecione Atividade.
  - Para os registros de auditoria de acesso a dados, selecione data_access.
  - Para os registros de auditoria de eventos do sistema, selecione system_event.
  - Em "Registros de auditoria de política negada", selecione policy.
Se você não vir essas opções, não há registros de auditoria desse tipo disponíveis no projeto do Cloud.

Para mais detalhes sobre como consultar usando o novo Explorador de registros, acesse Criar consultas no Explorador de registros.

gcloud

A gcloud fornece uma interface de linha de comando para a API Logging. Insira um PROJECT_ID, FOLDER_ID ou ORGANIZATION_ID válido em cada um dos nomes de registro.

Para ler suas entradas de registro de auditoria no nível do projeto do Google Cloud, execute o comando a seguir:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Para ler suas entradas de registro de auditoria no nível da pasta, execute o comando a seguir:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Para ler as entradas de registro de auditoria no nível da organização, execute o seguinte comando:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Para mais informações sobre como usar a ferramenta gcloud, consulte gcloud logging read.

API

Ao criar consultas, substitua as variáveis por valores válidos, bem como nomes ou identificadores dos registros de auditoria adequados a nível do projeto, da pasta ou da organização, conforme listado nos nomes dos registros de auditoria. Por exemplo, se a consulta incluir um PROJECT_ID, o identificador do projeto que você fornecer precisará fazer referência ao projeto do Cloud selecionado.

Para usar a API Logging para analisar suas entradas de registro de auditoria, siga estas instruções:

Acesse a seção Testar esta API da documentação do método entries.list.
Digite o seguinte na parte do Corpo da solicitação do formulário Teste esta API. Clique nesse formulário preenchido automaticamente para preencher automaticamente o corpo da solicitação, mas é necessário inserir um PROJECT_ID válido em cada um dos nomes de registro.
```
{
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
```
Clique em Executar.

Para mais detalhes sobre consultas, acesse Linguagem de consulta do Logging.

Para ver um exemplo de entrada de registro de auditoria e instruções sobre como encontrar as informações mais importantes nesse registro, acesse Noções básicas sobre registros de auditoria.

Como exportar registros de auditoria

Você pode exportar registros de auditoria da mesma forma que exporta outros tipos de registros. Para mais detalhes sobre como exportar registros, consulte este artigo. Veja a seguir algumas aplicações da exportação de registros de auditoria:

Para manter os registros de auditoria por um período mais longo ou para usar recursos de pesquisa mais avançados, exporte cópias dos seus registros de auditoria para o Cloud Storage, o BigQuery ou o Pub/Sub. Com o Pub/Sub, é possível exportar para outros aplicativos, repositórios e terceiros.
Para gerenciar os registros de auditoria em toda a organização, crie coletores agregados que podem exportar registros de qualquer um ou de todos os projetos do Cloud na organização.
Se os registros ativados de auditoria de acesso a dados estiverem fazendo seus projetos do Cloud ultrapassarem a cota de registros, exporte e exclua esses registros do Logging. Saiba mais em Como excluir registros.

Preços e retenção

O Cloud Logging não cobra por registros de auditoria que não podem ser desativados, incluindo todos os registros de auditoria de atividade do administrador. O Cloud Logging cobra pelos registros de auditoria de acesso a dados que você solicita explicitamente.

Para mais informações sobre os preços dos registros de auditoria, consulte Preços do pacote de operações do Google Cloud.

A duração do armazenamento associado aos registros de auditoria do Cloud Search é:

Registros de atividade do administrador (ou gravação do administrador): esses registros são mantidos por 400 dias.
Registros de acesso a dados (leitura de administrador, gravação de dados e leitura de dados): esses registros são mantidos por 30 dias.

Para mais informações sobre a duração do armazenamento, consulte Períodos de armazenamento dos registros.

Limitações atuais

A geração de registros de auditoria do Cloud Search tem estas limitações atuais:

O tamanho da entrada de registro precisa ser menor que 512 KB. Se o tamanho ultrapassar 512 KB, a resposta será descartada da entrada de registro. Se isso não reduzir o tamanho para 512 KB ou menos, a solicitação será descartada. Por fim, se o tamanho ainda exceder 512 KB, a entrada de registro será descartada.
Os corpos das respostas não são registrados para os métodos list(), get() e suggest(). No entanto, os status das respostas estão disponíveis.
Somente as chamadas da API Query de cloudsearch.google.com (se ativado) e de aplicativos de pesquisa de clientes são registradas.
Para chamadas search(), apenas Query, RequestOptions e DataSourceRestriction são registrados na solicitação. Na resposta, apenas o URL e os metadados (origem e objectType) de cada SearchResult são auditados.
As chamadas emitidas para o back-end do Cloud Search e correspondentes à exportação de dados não são auditadas.