En esta página, se describen los registros de auditoría que crea Cloud Search como parte de los registros de auditoría de Cloud.
Descripción general
Los servicios de Google Cloud escriben registros de auditoría para ayudarte a responder las preguntas “¿Quién hizo qué, dónde y cuándo?” dentro de tus recursos. Tus proyectos de Cloud contienen registros de auditoría solo para los recursos que están directamente dentro del proyecto. Otras entidades, como las carpetas, organizaciones y cuentas de Facturación de Cloud, contienen sus propios registros de auditoría.
Para obtener una descripción general, consulta Registros de auditoría de Cloud. Para obtener más detalles, consulta Comprende los registros de auditoría.
Los registros de auditoría de Cloud proporcionan los siguientes registros para cada proyecto, carpeta y organización de Cloud:
- Registros de auditoría de actividad del administrador: Entradas para los métodos que realizan operaciones de escritura de administrador.
- Registros de auditoría de acceso a los datos: Entradas para métodos que realizan operaciones de lectura de administrador, escritura de datos y lectura de datos.
- Registros de auditoría de eventos del sistema
- Registros de auditoría de política denegada
Cloud Search escribe registros de auditoría de actividad del administrador para registrar las operaciones que modifican la configuración o los metadatos de los recursos. No puedes inhabilitar los registros de auditoría de la actividad de administrador.
Cloud Search escribe registros de auditoría de acceso a los datos solo si los habilitas de forma explícita. Estos registros contienen llamadas a la API que leen la configuración o los metadatos de los recursos, y llamadas a la API controladas por el usuario que crean, modifican o leen datos de los recursos que proporciona el usuario.
Cloud Search no escribe registros de auditoría de eventos del sistema ni de políticas rechazadas.
Operaciones auditadas
En la siguiente tabla, se resumen las operaciones de la API que corresponden a cada tipo de registro de auditoría en Cloud Search:
| Categoría de registros de auditoría | Operaciones de Cloud Search |
|---|---|
| Actividad del administrador: Escritura del administrador | indexing.datasources.updateSchema indexing.datasources.deleteSchema settings.datasources.create settings.datasources.delete settings.datasources.update settings.searchapplications.create settings.searchapplications.delete settings.searchapplications.reset settings.searchapplications.update settings.updateCustomer cloudsearch.IdentitySourceService.create cloudsearch.IdentitySourceService.update cloudsearch.IdentitySourceService.delete |
| Acceso a los datos: Lectura de administrador | indexing.datasources.getSchema settings.datasources.get settings.datasources.list settings.searchapplications.get settings.searchapplications.list settings.getCustomer cloudsearch.IdentitySourceService.get cloudsearch.IdentitySourceService.list |
| Acceso a los datos: Escritura de datos | indexing.datasources.items.delete indexing.datasources.items.deleteQueueItems indexing.datasources.items.index indexing.datasources.items.poll indexing.datasources.items.push indexing.datasources.items.unreserve indexing.datasources.items.upload media.upload |
| Acceso a los datos: Lectura de datos | indexing.datasources.items.get indexing.datasources.items.list operations.get operations.list debug.datasources.items.checkAccess debug.datasources.items.searchByViewUrl stats.getIndex stats.getQuery stats.getSession stats.getUser stats.index.datasources.get stats.query.searchapplications.get stats.session.searchapplications.get stats.user.search applications.get debug.identitysources.items.listForunmappedidentity debug.identitysources.unmappedids.list debug.datasources.items.unmappedids.list query.sources.list query.suggest query.search stats.getSearchapplication |
Formato del registro de auditoría
Las entradas del registro de auditoría incluyen los siguientes objetos. Puedes verlos en Cloud Logging con el Explorador de registros, la API de Cloud Logging o la herramienta de línea de comandos de gcloud.
La entrada de registro en sí es un objeto LogEntry. Los campos útiles incluyen los siguientes:
logName: El ID del recurso y el tipo de registro de auditoría.resource: Es el destino de la operación auditada.timeStamp: Es la fecha y hora de la operación auditada.protoPayload: Es la información auditada.
Los datos de registro de auditoría son un objeto AuditLog en el campo protoPayload.
La información opcional de auditoría específica del servicio es un objeto específico del servicio. En las integraciones anteriores, este objeto se encuentra en el campo serviceData del objeto AuditLog. Las integraciones posteriores usan el campo metadata.
Para obtener más información, consulta Información sobre los registros de auditoría.
Nombre del registro
Los nombres de recursos de los registros de auditoría de Cloud indican el proyecto o cualquier otra entidad de Google Cloud que posee los registros, así como el tipo de registro de auditoría. Por ejemplo:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Nombre del servicio
Los registros de auditoría de Cloud Search usan el nombre de servicio cloudsearch.googleapis.com.
Tipos de recursos
Los registros de auditoría de Cloud Search usan el tipo de recurso audited_resource para todos los registros. Para obtener más tipos de recursos, consulta Tipos de recursos supervisados.
Habilita el registro de auditoría
De forma predeterminada, el registro de auditoría está inhabilitado para la API de Cloud Search. Para habilitar el registro de auditoría de Cloud Search, haz lo siguiente:
- (Opcional) Si no creaste un proyecto de Google Cloud para almacenar registros, consulta Configura el acceso a la API de Cloud Search.
- Obtén el ID del proyecto de Google Cloud en el que deseas almacenar los registros. Consulta Identifica proyectos.
- Determina la categoría de registro que se debe habilitar para una API específica. Consulta Operaciones auditadas.
Usa el método de la API de REST
updateCustomer()para actualizarauditLogSettingscon las categorías:- Obtén un token de acceso de OAuth 2.0. Consulta Usa OAuth 2.0 para acceder a las APIs de Google.
Usa uno de estos permisos:
https://www.googleapis.com/auth/cloud_search.settings.indexinghttps://www.googleapis.com/auth/cloud_search.settingshttps://www.googleapis.com/auth/cloud_search
Ejecuta este comando curl:
bash curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer?updateMask=auditLoggingSettings&key=[YOUR_API_KEY]' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Content-Type: application/json' \ --data '{"auditLoggingSettings": { "project": "projects/PROJECT_ID", "CATEGORY1": "true", "CATEGORY2": "true" } }'ReemplazaYOUR_ACCESS_TOKEN,PROJECT_IDy las categorías (logAdminReadActions,logDataWriteActionsologDataReadActions). Las acciones de escritura del administrador están habilitadas de forma predeterminada. Para registrar los métodos de consulta, habilita la categoría Lectura de datos.Las solicitudes posteriores a la API de Cloud Search generan registros en el proyecto especificado.
- Obtén un token de acceso de OAuth 2.0. Consulta Usa OAuth 2.0 para acceder a las APIs de Google.
Usa uno de estos permisos:
El registro de auditoría de los métodos de consulta requiere la categoría Lectura de datos. Para habilitar el registro de
query.sources.list,query.suggestyquery.search, haz lo siguiente:- Recupera el nombre de cada aplicación de búsqueda, en el formato
searchapplications/<search_application_id>. - Llama a
settings.searchapplications.updateconenableAuditLogestablecido entrue.
- Recupera el nombre de cada aplicación de búsqueda, en el formato
Para habilitar el registro de auditoría de las llamadas desde
cloudsearch.google.com, asegúrate de que la categoría Lectura de datos esté habilitada y actualizasearchapplications/default.
Consulta los registros en el Explorador de registros de la consola de Google Cloud. Usa este filtro para los registros de auditoría de Cloud Search:
protoPayload.serviceName="cloudsearch.googleapis.com"
Para obtener más información, consulta la Descripción general del Explorador de registros.
Permisos de registro de auditoría
Los permisos de Identity and Access Management (IAM) determinan qué registros puedes ver o exportar. Para obtener más información, consulta Comprende las funciones.
Para ver los registros de auditoría de actividad del administrador, debes tener una de estas funciones de IAM:
- Propietario, editor o visualizador del proyecto
- La función Visualizador de registros de Logging.
- Una función de IAM personalizada con el permiso
logging.logEntries.list
Para ver los registros de auditoría de acceso a los datos, debes tener uno de los siguientes roles:
- Propietario del proyecto
- Función de visor de registros privados de Logging
- Una función de IAM personalizada con el permiso de IAM
logging.privateLogEntries.list
Si usas registros de auditoría de una entidad ajena al proyecto, como una organización, debes cambiar las funciones del proyecto de Cloud a las funciones adecuadas de la organización.
Ver registros
Para ver los registros, necesitas el identificador del proyecto, la carpeta o la organización de Cloud. Puedes especificar otros campos LogEntry, como resource.type. Consulta Crea consultas en el Explorador de registros.
Los nombres de los registros de auditoría siguen este formato:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicyfolders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
Tienes varias opciones para ver las entradas de registro de auditoría.
Console
- Ve a la página Logging > Explorador de registros en la consola de Google Cloud. Ir al Explorador de registros
- Elige tu proyecto.
- En el panel Compilador de consultas, selecciona el recurso y el tipo de registro. Para obtener más detalles sobre cómo crear consultas con el nuevo Explorador de registros, consulta Crea consultas en el Explorador de registros.
gcloud
Ejecuta este comando para los registros a nivel del proyecto:
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
--project=PROJECT_ID
API
- Ve a la sección Probar esta API del método
entries.list. - Usa este cuerpo de la solicitud y reemplaza
PROJECT_IDpor el ID del proyecto que elegiste:{ "resourceNames": ["projects/PROJECT_ID"], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" } - Haz clic en Ejecutar.
Para obtener más detalles sobre las consultas, visita Lenguaje de consulta de registro.
Para obtener una entrada de registro de auditoría de muestra y aprender a buscar la información más importante en ella, consulta Información sobre los registros de auditoría.
Exporta registros de auditoría
Puedes exportar registros de auditoría como otros registros. Consulta Exporta registros.
- Exporta a Cloud Storage, BigQuery o Pub/Sub para una retención más prolongada o una búsqueda avanzada.
- Usa receptores agregados para administrar los registros en toda una organización.
- Excluye los registros de acceso a los datos para administrar las asignaciones de registros. Consulta Excluye registros.
Precios y retención
Cloud Logging no cobra por los registros de auditoría de actividad del administrador. Cloud Logging cobra por los registros de auditoría de acceso a los datos. Consulta los precios de Google Cloud's operations suite.
Períodos de retención de los registros de auditoría de Cloud Search:
- Registros de actividad del administrador: 400 días
- Registros de acceso a los datos: 30 días
Limitaciones actuales
Limitaciones del registro de auditoría de Cloud Search:
- El tamaño de la entrada de registro debe ser inferior a 512 KB. Si una entrada supera los 512 KB, se quita el campo
response. Si aún supera los 512 KB, se quita el camporequest. Si aún supera los 512 KB, se descarta toda la entrada. - Los cuerpos de respuesta no se registran para los métodos
list(),get()ysuggest(). - Solo se registran las llamadas de consulta de
cloudsearch.google.comy las aplicaciones de búsqueda del cliente. - En el caso de las llamadas a
search(), solo se registranQuery,RequestOptionsyDataSourceRestrictionen la solicitud. La respuesta solo audita la URL y los metadatos. - No se auditan las llamadas de backend para la exportación de datos.