Registro de auditoria

Esta página descreve os registros de auditoria que o Cloud Search cria como parte de registros de auditoria do Cloud.

Visão geral

Os serviços do Google Cloud gravam registros de auditoria para ajudar você a responder às perguntas "Quem fez o quê, onde e quando?" nos seus recursos. Os projetos do Cloud contêm registros de auditoria apenas para recursos diretamente no projeto. Outras entidades, como pastas, organizações e contas do Cloud Billing, contêm os próprios registros de auditoria.

Para uma visão geral, consulte Registros de auditoria do Cloud. Para mais detalhes, consulte Noções básicas sobre registros de auditoria.

Os Registros de auditoria do Cloud fornecem os seguintes registros para cada projeto na nuvem, pasta e organização:

Registros de auditoria de atividades administrativas: entradas de métodos que executam operações de gravação administrativa.
Registros de auditoria de acesso a dados: entradas de métodos que executam operações de leitura administrativa, gravação de dados e leitura de dados.
Registros de auditoria de evento do sistema
Registros de auditoria de política negada

O Cloud Search grava registros de auditoria de atividades administrativas para registrar operações que modificam a configuração ou os metadados de recursos. Não é possível desativar esses registros.

O Cloud Search grava registros de auditoria de acesso a dados somente se você os ativar explicitamente Esses registros contêm chamadas de API que leem a configuração ou os metadados dos recursos, além de chamadas de API orientadas pelo usuário que criam, modificam ou leem os dados dos recursos fornecidos pelo usuário.

O Cloud Search não grava registros de auditoria de eventos do sistema ou de política negada.

Operações auditadas

A tabela a seguir resume quais operações da API correspondem a cada tipo de registro de auditoria no Cloud Search:

Categoria de registro de auditoria	Operações do Cloud Search
Atividade administrativa: gravação administrativa	indexing.datasources.updateSchema indexing.datasources.deleteSchema settings.datasources.create settings.datasources.delete settings.datasources.update settings.searchapplications.create settings.searchapplications.delete settings.searchapplications.reset settings.searchapplications.update settings.updateCustomer cloudsearch.IdentitySourceService.create cloudsearch.IdentitySourceService.update cloudsearch.IdentitySourceService.delete
Acesso a dados: leitura administrativa	indexing.datasources.getSchema settings.datasources.get settings.datasources.list settings.searchapplications.get settings.searchapplications.list settings.getCustomer cloudsearch.IdentitySourceService.get cloudsearch.IdentitySourceService.list
Acesso a dados: gravação de dados	indexing.datasources.items.delete indexing.datasources.items.deleteQueueItems indexing.datasources.items.index indexing.datasources.items.poll indexing.datasources.items.push indexing.datasources.items.unreserve indexing.datasources.items.upload media.upload
Acesso a dados: leitura de dados	indexing.datasources.items.get indexing.datasources.items.list operations.get operations.list debug.datasources.items.checkAccess debug.datasources.items.searchByViewUrl stats.getIndex stats.getQuery stats.getSession stats.getUser stats.index.datasources.get stats.query.searchapplications.get stats.session.searchapplications.get stats.user.search applications.get debug.identitysources.items.listForunmappedidentity debug.identitysources.unmappedids.list debug.datasources.items.unmappedids.list query.sources.list query.suggest query.search stats.getSearchapplication

Formato do registro de auditoria

As entradas de registro de auditoria incluem os seguintes objetos. É possível visualizá-los no Cloud Logging usando a Análise de registros, a API Cloud Logging ou a ferramenta de linha de comando gcloud.

A entrada de registro em si é um LogEntry objeto. Os campos úteis incluem:

logName: o ID do recurso e o tipo de registro de auditoria.
resource: o destino da operação auditada.
timeStamp: a hora da operação auditada.
protoPayload: as informações auditadas.

Os dados de registro de auditoria são um AuditLog objeto no campo protoPayload.

As informações de auditoria específicas do serviço opcional são um objeto específico do serviço. Para integrações anteriores, esse objeto está no campo serviceData do objeto AuditLog. As integrações mais recentes usam o campo metadata.

Para mais informações, consulte Noções básicas sobre registros de auditoria.

Nome do registro

Os nomes dos recursos dos registros de auditoria do Cloud indicam o projeto ou outra entidade do Google Cloud que contém os registros e o tipo de registro de auditoria. Exemplo:

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Nome do serviço

Os registros de auditoria do Cloud Search usam o nome de serviço cloudsearch.googleapis.com.

Tipos de recurso

Os registros de auditoria do Cloud Search usam o tipo de recurso audited_resource para todos os registros. Para mais tipos de recursos, consulte Tipos de recursos monitorados.

Ativar registros de auditoria

Por padrão, os registros de auditoria estão desativados para a API Cloud Search. Para ativar os registros de auditoria do Cloud Search:

(Opcional) Se você não tiver criado um projeto na nuvem do Google Cloud para armazenar logs, consulte Configurar o acesso à API Cloud Search.
Obtenha o ID do projeto do Google Cloud em que você quer armazenar registros. Consulte Como identificar projetos.
Determine a categoria de registro a ser ativada para uma API específica. Consulte Operações auditadas.
Use o updateCustomer() método da API REST para atualizar o auditLogSettings com as categorias:
1. Receber um token de acesso do OAuth 2.0. Consulte Como usar o OAuth 2.0 para acessar as APIs do Google. Use um destes escopos:
  - https://www.googleapis.com/auth/cloud_search.settings.indexing
  - https://www.googleapis.com/auth/cloud_search.settings
  - https://www.googleapis.com/auth/cloud_search
2. Execute este comando curl: bash curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer?updateMask=auditLoggingSettings&key=[YOUR_API_KEY]' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Content-Type: application/json' \ --data '{"auditLoggingSettings": { "project": "projects/PROJECT_ID", "CATEGORY1": "true", "CATEGORY2": "true" } }' Substitua YOUR_ACCESS_TOKEN, PROJECT_ID e as categorias (logAdminReadActions, logDataWriteActions ou logDataReadActions). As ações de gravação administrativa são ativadas por padrão. Para registrar métodos de consulta, ative a categoria Leitura de dados.
  
  As solicitações subsequentes à API Cloud Search geram registros no projeto especificado.
Os registros de auditoria para métodos de consulta exigem a categoria Leitura de dados. Para ativar os registros de query.sources.list, query.suggest e query.search:
1. Recupere o nome de cada app de pesquisa, no formato searchapplications/<search_application_id>.
2. Chame settings.searchapplications.update com enableAuditLog definido como true.
Para ativar os registros de auditoria para chamadas de cloudsearch.google.com, verifique se a categoria Leitura de dados está ativada e atualize searchapplications/default.

Consulte os registros na Análise de registros do console do Google Cloud. Use este filtro para registros de auditoria do Cloud Search:

protoPayload.serviceName="cloudsearch.googleapis.com"

Para mais informações, consulte Visão geral do Explorador de registros.

Permissões de registro de auditoria

As permissões do Gerenciamento de identidade e acesso (IAM) determinam quais registros podem ser visualizados ou exportados. Para saber mais, consulte Noções básicas sobre papéis.

Para ver os registros de auditoria de atividades administrativas, você precisa ter um destes papéis do IAM:

Proprietário do projeto, editor ou leitor.
O papel Visualizador de registros do Logging.
Um papel do IAM personalizado com a permissão logging.logEntries.list.

Para ver os registros de auditoria de acesso a dados, é preciso ter um destes papéis:

Proprietário do projeto.
Papel de Visualizador de registros particulares do Logging.
Um papel do IAM personalizado com a permissão do IAM logging.privateLogEntries.list

Se você estiver usando registros de auditoria de uma entidade sem projeto, como uma organização, mude os papéis do projeto na nuvem para os adequados à organização.

Ver registros

Para ver os registros, você precisa do identificador do projeto na nuvem, da pasta ou da organização. É possível especificar outros LogEntry campos, como resource.type. Consulte Criar consultas na Análise de registros.

Os nomes dos registros de auditoria seguem este formato:

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Você tem várias opções para ver as entradas de registro de auditoria.

Console

Acesse a página Geração de registros > Análise de registros no console do Google Cloud. Acessar a Análise de registros
Selecione o projeto.
No painel Criador de consultas, selecione o recurso e o tipo de registro. Para mais detalhes sobre como consultar usando o nova Análise de registros, acesse Criar consultas na Análise de registros.

gcloud

Execute este comando para registros para envolvidos no projeto:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" 

  --project=PROJECT_ID

API

Acesse a seção Testar esta API do entries.list método.

Use este corpo da solicitação, substituindo PROJECT_ID pelo ID do projeto escolhido:

{
"resourceNames": ["projects/PROJECT_ID"],
"pageSize": 5,
"filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}

Clique em Executar.

Para mais detalhes sobre consultas, acesse Linguagem de consulta do Logging.

Para ver um exemplo de entrada de registro de auditoria e instruções sobre como encontrar as informações mais importantes nesse registro, acesse Noções básicas sobre registros de auditoria.

Exporte os registros de auditoria

É possível exportar registros de auditoria como outros registros. Consulte Como exportar registros.

Exporte para o Cloud Storage, o BigQuery ou o Pub/Sub para retenção mais longa ou pesquisa avançada.
Use coletores agregados para gerenciar registros em uma organização.
Exclua os registros de acesso a dados para gerenciar as alocações de registros. Consulte Como excluir registros.

Preços e retenção

O Cloud Logging não cobra pelos registros de auditoria de atividades administrativas. O Cloud Logging cobra pelos registros de auditoria de acesso a dados. Consulte os preços do pacote de operações do Google Cloud.

Períodos de retenção para registros de auditoria do Cloud Search:

Registros de atividades administrativas: 400 dias.
Registros de acesso a dados: 30 dias.

Limitações atuais

Limitações de registros de auditoria do Cloud Search:

O tamanho da entrada de registro precisa ser menor que 512 KB. Se uma entrada exceder 512 KB, o campo response será removido. Se ainda exceder 512 KB, o campo request será removido. Se ainda exceder 512 KB, a entrada inteira será descartada.
Os corpos de resposta não são registrados para métodos list(), get() e suggest().
Somente as chamadas de consulta de cloudsearch.google.com e os aplicativos de pesquisa do cliente são registrados.
Para chamadas search(), apenas Query, RequestOptions e DataSourceRestriction são registrados na solicitação. A resposta audita apenas o URL e os metadados.
As chamadas de back-end para exportação de dados não são auditadas.