Registro de auditoria

Nesta página, descrevemos os registros de auditoria criados pelo Cloud Search como parte dos registros de auditoria do Cloud.

Visão geral

Os serviços do Google Cloud gravam registros de auditoria para ajudar você a responder "Quem fez o quê, onde e quando" nos seus recursos. Seus projetos do Cloud contêm registros de auditoria apenas para recursos diretamente no projeto. Outras entidades, como pastas, organizações e contas do Cloud Billing, têm os próprios registros de auditoria.

Para uma visão geral, consulte Registros de auditoria do Cloud. Para mais detalhes, consulte Noções básicas sobre registros de auditoria.

Os registros de auditoria do Cloud fornecem os seguintes registros para cada projeto, pasta e organização do Cloud:

  • Registros de auditoria de atividade do administrador: entradas para métodos que realizam operações de gravação do administrador.
  • Registros de auditoria de acesso a dados: entradas de métodos que realizam operações de leitura do administrador, gravação e leitura de dados.
  • Registros de auditoria de evento do sistema
  • Registros de auditoria de política negada

O Cloud Search grava registros de auditoria de atividade do administrador para registrar operações que modificam a configuração ou os metadados de recursos. Não é possível desativar esses registros.

O Cloud Search grava registros de auditoria de acesso a dados somente se você os ativar explicitamente. Esses registros contêm chamadas de API que leem a configuração ou os metadados dos recursos, além de chamadas de API orientadas pelo usuário que criam, modificam ou leem os dados dos recursos fornecidos pelo usuário.

O Cloud Search não grava registros de auditoria de eventos do sistema ou de políticas negadas.

Operações auditadas

Confira na tabela a seguir um resumo de quais operações da API correspondem a cada tipo de registro de auditoria no Cloud Search:

Categoria de registro de auditoria Operações do Cloud Search
Atividade do administrador: gravação do administrador indexing.datasources.updateSchema
indexing.datasources.deleteSchema
settings.datasources.create
settings.datasources.delete
settings.datasources.update
settings.searchapplications.create
settings.searchapplications.delete
settings.searchapplications.reset
settings.searchapplications.update
settings.updateCustomer
cloudsearch.IdentitySourceService.create
cloudsearch.IdentitySourceService.update
cloudsearch.IdentitySourceService.delete
Acesso a dados: leitura de administrador indexing.datasources.getSchema
settings.datasources.get
settings.datasources.list
settings.searchapplications.get
settings.searchapplications.list
settings.getCustomer
cloudsearch.IdentitySourceService.get
cloudsearch.IdentitySourceService.list
Acesso a dados: gravação de dados indexing.datasources.items.delete
indexing.datasources.items.deleteQueueItems
indexing.datasources.items.index
indexing.datasources.items.poll
indexing.datasources.items.push
indexing.datasources.items.unreserve
indexing.datasources.items.upload
media.upload
Acesso a dados: leitura de dados indexing.datasources.items.get
indexing.datasources.items.list
operations.get
operations.list
debug.datasources.items.checkAccess
debug.datasources.items.searchByViewUrl
stats.getIndex
stats.getQuery
stats.getSession
stats.getUser
stats.index.datasources.get
stats.query.searchapplications.get
stats.session.searchapplications.get
stats.user.search applications.get
debug.identitysources.items.listForunmappedidentity
debug.identitysources.unmappedids.list
debug.datasources.items.unmappedids.list
query.sources.list
query.suggest
query.search
stats.getSearchapplication

Formato do registro de auditoria

As entradas de registro de auditoria incluem os seguintes objetos: É possível conferir esses registros no Cloud Logging usando o Explorador de registros, a API Cloud Logging ou a ferramenta de linha de comando gcloud.

A própria entrada de registro é um objeto LogEntry. Os campos úteis incluem:

  • logName: o ID do recurso e o tipo de registro de auditoria.
  • resource: o destino da operação auditada.
  • timeStamp: o horário da operação auditada.
  • protoPayload: as informações auditadas.

Os dados de registro de auditoria são um objeto AuditLog no campo protoPayload.

As informações de auditoria opcionais específicas do serviço são um objeto específico do serviço. Para integrações anteriores, esse objeto está no campo serviceData do objeto AuditLog. Integrações posteriores usam o campo metadata.

Para mais informações, consulte Noções básicas sobre registros de auditoria.

Nome do registro

Os nomes dos recursos dos registros de auditoria do Cloud indicam o projeto ou outra entidade do Google Cloud que contém os registros e o tipo de registro de auditoria. Exemplo:

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Nome do serviço

Os registros de auditoria do Cloud Search usam o nome de serviço cloudsearch.googleapis.com.

Tipos de recurso

Os registros de auditoria do Cloud Search usam o tipo de recurso audited_resource para todos os registros. Para mais tipos de recursos, consulte Tipos de recursos monitorados.

Ativar registros de auditoria

Por padrão, a geração de registros de auditoria está desativada para a API Cloud Search. Para ativar o registro de auditoria do Cloud Search:

  1. (Opcional) Se você não tiver criado um projeto do Google Cloud para armazenar registros, consulte Configurar o acesso à API Cloud Search.
  2. Obtenha o ID do projeto do Google Cloud em que você quer armazenar registros. Consulte Como identificar projetos.
  3. Determine a categoria de registro a ser ativada para uma API específica. Consulte Operações auditadas.

  4. Use o método da API REST updateCustomer() para atualizar o auditLogSettings com as categorias:

    1. Receba um token de acesso do OAuth 2.0. Consulte Como usar o OAuth 2.0 para acessar as APIs do Google. Use um destes escopos:
      • https://www.googleapis.com/auth/cloud_search.settings.indexing
      • https://www.googleapis.com/auth/cloud_search.settings
      • https://www.googleapis.com/auth/cloud_search

    2. Execute este comando curl: bash curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer?updateMask=auditLoggingSettings&key=[YOUR_API_KEY]' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Content-Type: application/json' \ --data '{"auditLoggingSettings": { "project": "projects/PROJECT_ID", "CATEGORY1": "true", "CATEGORY2": "true" } }' Substitua YOUR_ACCESS_TOKEN, PROJECT_ID e as categorias (logAdminReadActions, logDataWriteActions ou logDataReadActions). As ações de gravação do administrador são ativadas por padrão. Para registrar métodos de consulta, ative a categoria "Leitura de dados".

      As solicitações subsequentes à API Cloud Search geram registros no projeto especificado.

  5. A geração de registros de auditoria para métodos de consulta exige a categoria "Leitura de dados". Para ativar o registro em log para query.sources.list, query.suggest e query.search:

    1. Recupere o nome de cada aplicativo de pesquisa no formato searchapplications/<search_application_id>.
    2. Chame settings.searchapplications.update com enableAuditLog definido como true.

  6. Para ativar a geração de registros de auditoria para chamadas de cloudsearch.google.com, verifique se a categoria "Leitura de dados" está ativada e atualize searchapplications/default.

Veja os registros no Explorador de registros do console do Google Cloud. Use este filtro para registros de auditoria do Cloud Search:

protoPayload.serviceName="cloudsearch.googleapis.com"

Para mais informações, consulte Visão geral do Explorador de registros.

Permissões de registro de auditoria

As permissões do Identity and Access Management (IAM) determinam quais registros podem ser visualizados ou exportados. Para saber mais, consulte Noções básicas sobre papéis.

Para ver os registros de auditoria de atividade do administrador, você precisa ter um destes papéis do IAM:

Para ver os registros de auditoria de acesso a dados, você precisa ter um destes papéis:

Se você estiver usando registros de auditoria de uma entidade sem projeto, como uma organização, mude os papéis do projeto do Cloud para os adequados à organização.

Ver registros

Para ver os registros, você precisa do identificador do projeto, da pasta ou da organização do Google Cloud. É possível especificar outros campos LogEntry como resource.type. Consulte Criar consultas no Explorador de registros.

Os nomes dos registros de auditoria seguem este formato: 

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy



folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy



organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Você tem várias opções para ver as entradas de registro de auditoria.

Console

  1. Acesse a página Logging > Explorador de registros no console do Google Cloud. Acessar a Análise de registros
  2. Selecione o projeto.
  3. No painel Criador de consultas, selecione o recurso e o tipo de registro. Para mais detalhes sobre como consultar usando a nova Análise de registros, acesse Criar consultas na Análise de registros.

gcloud

Execute este comando para registros no nível do projeto: 

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" 

  --project=PROJECT_ID

API

  1. Acesse a seção Testar esta API do método entries.list.
  2. Use este corpo da solicitação, substituindo PROJECT_ID pelo ID do projeto escolhido: 
    {
"resourceNames": ["projects/PROJECT_ID"],
"pageSize": 5,
"filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
  3. Clique em Executar.

Para mais detalhes sobre consultas, acesse Linguagem de consulta do Logging.

Para ver um exemplo de entrada de registro de auditoria e instruções sobre como encontrar as informações mais importantes nesse registro, acesse Noções básicas sobre registros de auditoria.

Exporte os registros de auditoria

É possível exportar registros de auditoria como outros registros. Consulte Como exportar registros.

  • Exporte para o Cloud Storage, o BigQuery ou o Pub/Sub para uma retenção mais longa ou pesquisa avançada.
  • Use coletores agregados para gerenciar registros em uma organização.
  • Exclua registros de acesso a dados para gerenciar as cotas de registros. Consulte Como excluir registros.

Preços e retenção

O Cloud Logging não cobra pelos registros de auditoria de atividade do administrador. O Cloud Logging cobra pelos registros de auditoria de acesso a dados. Consulte os preços do pacote de operações do Google Cloud.

Períodos de retenção dos registros de auditoria do Cloud Search:

  • Registros de atividade do administrador: 400 dias.
  • Registros de acesso a dados: 30 dias.

Limitações atuais

Limitações da geração de registros de auditoria do Cloud Search:

  • O tamanho da entrada de registro precisa ser menor que 512 KB. Se uma entrada exceder 512 KB, o campo response será removido. Se ainda exceder 512 KB, o campo request será removido. Se ainda exceder 512 KB, toda a entrada será descartada.
  • Os corpos de resposta não são registrados para os métodos list(), get() e suggest().
  • Somente chamadas de consulta de cloudsearch.google.com e aplicativos de pesquisa do cliente são registradas.
  • Para chamadas search(), apenas Query, RequestOptions e DataSourceRestriction são registrados na solicitação. A resposta só audita o URL e os metadados.
  • As chamadas de back-end para exportação de dados não são auditadas.