Nesta página, descrevemos os registros de auditoria criados pelo Cloud Search como parte dos registros de auditoria do Cloud.
Visão geral
Os serviços do Google Cloud gravam registros de auditoria para ajudar você a responder às perguntas: "Quem fez o quê, onde e quando" nos seus recursos. Seus projetos do Cloud contêm apenas os registros de auditoria dos recursos que estão diretamente nele. Outras entidades, como pastas, organizações e contas do Cloud Billing, contêm os registros de auditoria da própria entidade.
Para uma visão geral dos registros do Cloud Audit, consulte Cloud Audit Logs. Para entender melhor os registros de auditoria do Cloud, consulte Noções básicas sobre registros de auditoria.
Os registros de auditoria do Cloud fornece os seguintes registros de auditoria para cada projeto, pasta e organização do Cloud:
- Registros de auditoria de atividade do administrador que contêm entradas correspondentes a métodos que realizam operações de gravação de administrador. Os métodos correspondentes a Atividade do administrador:operações de gravação do administrador serão abordados em uma próxima seção Operações auditadas.
- Registros de auditoria de acesso a dados que contêm entradas correspondentes a métodos que realizam operações de leitura do administrador, gravação de dados e leitura de dados. Os métodos correspondentes às operações de acesso a dados:leitura do administrador, acesso a dados:gravação de dados, acesso a dados:leitura de dados serão abordados em uma próxima seção Operações auditadas.
- Registros de auditoria de evento do sistema
- Registros de auditoria de política negada
O Cloud Search grava registros de auditoria de atividade do administrador, que registram operações que modificam a configuração ou os metadados de um recurso. Não é possível desativar os registros de auditoria de Atividades do administrador.
O Cloud Search só grava registros de auditoria de acesso a dados se estiver explicitamente ativado. Os registros de auditoria de acesso a dados contêm chamadas de API que leem a configuração ou os metadados dos recursos, além de chamadas de API orientadas pelo usuário que criam, modificam ou leem os dados dos recursos inseridos pelo usuário.
O Cloud Search não grava registros de auditoria de eventos do sistema.
O Cloud Search não grava registros de auditoria de políticas negadas.
Operações auditadas
Confira abaixo um resumo de quais operações da API correspondem a cada tipo de registro de auditoria no Cloud Search:
| Categoria de registro de auditoria | Operações do Cloud Search |
|---|---|
| Atividade do administrador: gravação do administrador | indexing.datasources.updateSchema indexing.datasources.deleteSchema settings.datasources.create settings.datasources.delete settings.datasources.update settings.searchapplications.create settings.searchapplications.delete settings.searchapplications.reset settings.searchapplications.update settings.updateCustomer cloudsearch.IdentitySourceService.create cloudsearch.IdentitySourceService.update cloudsearch.IdentitySourceService.delete |
| Acesso a dados: leitura de administrador | indexing.datasources.getSchema settings.datasources.get settings.datasources.list settings.searchapplications.get settings.searchapplications.list settings.getCustomer cloudsearch.IdentitySourceService.get cloudsearch.IdentitySourceService.list |
| Acesso a dados: gravação de dados | indexing.datasources.items.delete indexing.datasources.items.deleteQueueItems indexing.datasources.items.index indexing.datasources.items.poll indexing.datasources.items.push indexing.datasources.items.unreserve indexing.datasources.items.upload media.upload |
| Acesso a dados: leitura de dados | indexing.datasources.items.get indexing.datasources.items.list operations.get operations.list debug.datasources.items.checkAccess debug.datasources.items.searchByViewUrl stats.getIndex stats.getQuery stats.getSession stats.getUser stats.index.datasources.get stats.query.searchapplications.get stats.session.searchapplications.get stats.user.search applications.get debug.identitysources.items.listForunmappedidentity debug.identitysources.unmappedids.list debug.datasources.items.unmappedids.list query.sources.list query.suggest query.search stats.getSearchapplication |
Formato do registro de auditoria
As entradas de registro de auditoria, que podem ser visualizadas no Cloud Logging usando o Explorador de registros, a API Cloud Logging ou a ferramenta de linha de comando gcloud, incluem os seguintes objetos:
A própria entrada de registro, que é um objeto do tipo
LogEntry.
Veja alguns campos úteis:
- O
logNamecontém o ID do recurso e o tipo de registro de auditoria. - O
resourcecontém o destino da operação auditada. - O
timeStampcontém o horário da operação auditada. - O
protoPayloadcontém as informações auditadas. - Os dados de registro de auditoria, que são um objeto AuditLog localizado no campo protoPayload da entrada de registro.
Informações de auditoria opcionais e específicas do serviço, que são um objeto específico do serviço.
Para integrações anteriores, esse objeto é mantido no campo serviceData do
objeto AuditLog. Integrações posteriores usam o campo metadata.
Veja outros campos nesses objetos e como interpretá-los em Noções básicas sobre registros de auditoria.
Nome do registro
Os nomes dos recursos dos registros de auditoria do Cloud indicam o projeto do Cloud ou outra entidade do Google Cloud que possui os registros de auditoria e se eles contêm dados de registro de auditoria de atividades do administrador, acesso a dados, política negada ou eventos do sistema. Por exemplo, confira abaixo os nomes dos registros de auditoria de atividade do administrador e de acesso a dados de uma organização no nível do projeto. As variáveis indicam identificadores de projeto e organização.
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Nome do serviço
Os registros de auditoria do Cloud Search usam o nome de serviço cloudsearch.googleapis.com.
Tipos de recurso
Os registros de auditoria do Cloud Search usam o tipo de recurso audited_resource para todos os registros de auditoria.
Para ver uma lista com outros tipos de recursos, consulte Tipos de recursos monitorados.
Ativar registros de auditoria
Por padrão, a geração de registros de auditoria está desativada para a API Cloud Search. Para ativar o registro de auditoria do Google Cloud Search:
(Opcional) Se você não tiver criado um projeto do Google Cloud Platform para armazenar registros, consulte Configurar o acesso à API Google Cloud Search.
Extraia o ID do projeto do Google Cloud em que você quer armazenar os registros. Para saber como conseguir um ID do projeto, consulte Como identificar projetos.
Para ativar o registro de auditoria de uma API específica, determine a categoria de registro que será ativada. Para APIs e categorias correspondentes, consulte Operações auditadas neste documento.
Use o método da API REST
updateCustomer()para atualizar o auditLogSettings com as categorias de registro a serem ativadas:Receba um token de acesso do OAuth 2.0 do servidor de autorização do Google. Para informações sobre como conseguir o token, consulte a etapa 2 de Como usar o OAuth 2.0 para acessar as APIs do Google. Use um dos seguintes escopos do OAuth ao receber o token de acesso:
https://www.googleapis.com/auth/cloud_search.settings.indexinghttps://www.googleapis.com/auth/cloud_search.settingshttps://www.googleapis.com/auth/cloud_search
Execute o comando curl a seguir.
curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer?updateMask=auditLoggingSettings&key=[YOUR_API_KEY]' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Content-Type: application/json' \ --data '{"auditLoggingSettings": { "project": "projects/PROJECT_ID", "CATEGORY1": "true", "CATEGORY2": "true" } }'Em que:
YOUR_ACCESS_TOKENé o token de acesso do OAuth 2.0 obtido na etapa 4a.PROJECT_IDé o ID do projeto obtido na etapa 2.CATEGORY1,CATEGORY2e…são as categorias que você escolheu para ativar na etapa 3. Os valores válidos sãologAdminReadActions,logDataWriteActionselogDataReadActions. As ações de gravação do administrador são ativadas por padrão e não podem ser desativadas. Se você quiser a geração de registros de auditoria para métodos de consulta, ative a categoria "Leitura de dados".
Depois de atualizar
AuditLoggingSettings, outras solicitações à API Cloud Search geram um registro de auditoria no ID do projeto especificado emAuditLoggingSettings.A geração de registros de auditoria para métodos de consulta exige que a categoria "Leitura de dados" esteja ativada (etapa 4). Para ativar a geração de registros de auditoria para métodos de consulta (
query.sources.list,query.suggestequery.search), siga estas etapas adicionais:Para cada aplicativo de pesquisa em que você quer ativar o registro de auditoria, recupere o nome. O nome precisa estar no formato
searchapplications/<search_application_id>.Use o nome para chamar
settings.searchapplications.updatecomenableAuditLogdefinido comotrue.
Para ativar o registro de auditoria de chamadas de
cloudsearch.google.com, verifique se a categoria "Leitura de dados" está ativada (etapa 4). Além disso, faça a etapa 5b com umnamedesearchapplications/default.
Depois de ativados, os registros podem ser visualizados na seção "Explorador de registros" do console do Google Cloud. Use o filtro a seguir para ver apenas os registros de auditoria do Cloud Search:
protoPayload.serviceName="cloudsearch.googleapis.com"
Para informações sobre como visualizar registros, consulte Visão geral do Explorador de registros.
Permissões de registro de auditoria
As permissões e os papéis do gerenciamento de identidade e acesso determinam quais registros de auditoria podem ser visualizados ou exportados. Os registros residem em projetos do Cloud e em outras entidades, incluindo organizações, pastas e contas de faturamento do Cloud. Para mais informações, consulte Noções básicas sobre papéis.
Para ver os registros de auditoria de atividade do administrador, você precisa ter um dos seguintes papéis do IAM no projeto que contém os registros de auditoria:
- Proprietário, editor ou visualizador do projeto
- O papel Visualizador de registros do Logging
- Um
papel do IAM personalizado com
a permissão
logging.logEntries.listdo IAM
Para ver os registros de auditoria de acesso a dados, é preciso ter um dos seguintes papéis no projeto que contém os registros:
- Proprietário do projeto
- Papel Visualizador de registros particulares do Logging
- Um papel do IAM personalizado
com a permissão
logging.privateLogEntries.listdo IAM
Se você estiver usando registros de auditoria de uma entidade sem projeto, como uma organização, mude os papéis do projeto do Cloud para os adequados à organização.
Ver registros
Para encontrar e visualizar registros de auditoria, é preciso saber o identificador do projeto, da pasta ou da organização do Cloud que tem as informações de registro de auditoria que você quer ver. É possível especificar outros campos indexados
LogEntry
como resource.type. Para mais detalhes, consulte
Criar consultas no Explorador de registros.
Confira a seguir os nomes dos registros de auditoria que incluem variáveis para os identificadores do projeto, da pasta ou da organização do Cloud:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
Você tem várias opções para ver as entradas de registro de auditoria.
Console
Use o Explorador de registros no Console do Cloud para recuperar as entradas de registro de auditoria do projeto do Cloud:
No Console do Cloud, acesse a página Logging > Explorador de registros.
Na página Análise de registros, selecione um projeto do Cloud.
No painel Criador de consultas, faça o seguinte:
Em Recurso, selecione o tipo de recurso do Google Cloud que tem os registros de auditoria que você quer ver.
Em Nome do registro, selecione o tipo de registro de auditoria que você quer ver:
- Para os registros de auditoria da atividade do administrador, selecione Atividade.
- Para os registros de auditoria de acesso a dados, selecione data_access.
- Para os registros de auditoria de eventos do sistema, selecione system_event.
- Em "Registros de auditoria de política negada", selecione policy.
Se você não vir essas opções, então não há registros de auditoria desses tipos disponíveis no projeto do Cloud.
Para mais detalhes sobre como consultar usando o nova Análise de registros, acesse Criar consultas na Análise de registros.
gcloud
A gcloud fornece uma interface de linha de comando para a
API Logging. Insira um
PROJECT_ID, FOLDER_ID
ou ORGANIZATION_ID válido em cada um dos nomes de registro.
Para ler suas entradas de registro de auditoria no nível do projeto do Google Cloud, execute o comando a seguir:
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
--project=PROJECT_IDPara ler suas entradas de registro de auditoria no nível da pasta, execute o comando a seguir:
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
--folder=FOLDER_IDPara ler as entradas de registro de auditoria no nível da organização, execute o seguinte comando:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
--organization=ORGANIZATION_IDPara mais informações sobre como usar a ferramenta gcloud, consulte
gcloud logging read.
API
Ao criar consultas, substitua as variáveis por valores válidos, bem como nomes ou identificadores dos registros de auditoria adequados a nível do projeto, da pasta ou da organização, conforme listado nos nomes dos registros de auditoria. Por exemplo, se a consulta incluir um PROJECT_ID, o identificador do projeto que você fornecer precisará fazer referência ao projeto do Cloud selecionado.
Para usar a API Logging para analisar suas entradas de registro de auditoria, siga estas instruções:
Acesse a seção Testar esta API da documentação do método
entries.list.Digite o seguinte na parte do Corpo da solicitação do formulário Teste esta API. Clique nesse formulário preenchido automaticamente para preencher automaticamente o corpo da solicitação, mas é necessário inserir um
PROJECT_IDválido em cada um dos nomes de registro.{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }Clique em Executar.
Para mais detalhes sobre consultas, acesse Linguagem de consulta do Logging.
Para ver um exemplo de entrada de registro de auditoria e instruções sobre como encontrar as informações mais importantes nesse registro, acesse Noções básicas sobre registros de auditoria.
Como exportar registros de auditoria
Você pode exportar registros de auditoria da mesma forma que exporta outros tipos de registros. Para mais detalhes sobre como exportar registros, consulte este link. Veja a seguir algumas aplicações da exportação de registros de auditoria:
Para manter registros de auditoria por mais tempo ou usar recursos de pesquisa mais eficientes, exporte cópias desses registros para o Cloud Storage, o BigQuery ou o Pub/Sub. Com o Pub/Sub, é possível exportar para outros aplicativos, repositórios e terceiros.
Para gerenciar seus registros de auditoria em toda a organização, crie coletores agregados que podem exportar registros de qualquer ou todos os projetos do Cloud na organização.
Se os registros de auditoria de acesso a dados ativados estiverem fazendo com que seus projetos do Cloud excedam as cotas de registros, exporte e exclua esses registros do Logging. Saiba mais em Como excluir registros.
Preços e retenção
O Cloud Logging não cobra por registros de auditoria que não podem ser desativados, incluindo todos os registros de auditoria de atividade do administrador. O Cloud Logging cobra pelos registros de auditoria de acesso a dados que você solicita explicitamente.
Para mais informações sobre os preços dos registros de auditoria, consulte Preços do pacote de operações do Google Cloud.
A duração do armazenamento associada aos registros de auditoria do Cloud Search é:
- Registros de atividades do administrador (ou gravação do administrador): são mantidos por 400 dias.
- Registros de acesso a dados (leitura do administrador, gravação e leitura de dados): esses registros são mantidos por 30 dias.
Para mais informações sobre a duração do armazenamento, consulte Períodos de retenção dos registros.
Limitações atuais
O registro de auditoria do Cloud Search tem estas limitações atuais:
O tamanho da entrada de registro precisa ser menor que 512 KB. Se o tamanho aumentar além de 512 KB, a resposta será descartada da entrada de registro. Se isso não reduzir o tamanho para 512 KB ou menos, a solicitação será descartada. Por fim, se o tamanho ainda exceder 512 KB, a entrada de registro será descartada.
Os corpos de resposta não são registrados para os métodos
list(),get()esuggest(). No entanto, os status de resposta estão disponíveis.Somente as chamadas da API Query de
cloudsearch.google.com(se ativada) e os aplicativos de pesquisa do cliente são registradas.Para chamadas
search(), apenasQuery,RequestOptionseDataSourceRestrictionsão registrados na solicitação. Na resposta, apenas o URL e os metadados (origem eobjectType) de cadaSearchResultsão auditados.As chamadas emitidas para o back-end do Cloud Search e correspondentes à exportação de dados não são auditadas.