Descripción general de los registros de auditoría de Cloud

En este documento, se proporciona una descripción general conceptual de los registros de auditoría de Cloud.

Google Cloud Los servicios de escriben registros de auditoría que registran las actividades administrativas y los accesos dentro de tus Google Cloud recursos de. Los registros de auditoría te ayudan a responder "¿quién hizo qué, dónde y cuándo?" dentro de tus Google Cloud recursos con el mismo nivel de transparencia que en los entornos locales. Habilitar registros de auditoría ayuda a las entidades de seguridad, auditoría y cumplimiento a supervisar Google Cloud datos y sistemas en busca de posibles vulnerabilidades o el uso inadecuado de datos externos.

Google Cloud servicios que producen registros de auditoría

Para obtener una lista de los Google Cloud servicios que proporcionan registros de auditoría, consulta Google Cloud servicios con registros de auditoría. Con el tiempo, todos los servicios Google Cloud proporcionarán registros de auditoría.

Los servidores MCP de Google Cloud escriben registros de auditoría de acceso a los datos. Los registros de auditoría de acceso a los datos que escriben las llamadas a la API de los servidores MCP de Google Cloud son específicos del servicio y usan el formato SERVICE_NAME.googleapis.com/mcp. Puedes habilitar estos registros de acceso a los datos si activas el registro de auditoría para mcp.googleapis.com en el objeto IAM AuditConfig. Para obtener más información sobre el registro de auditoría para los servidores MCP de Google Cloud, consulta Registro de auditoría de los servidores MCP de Google Cloud.

Para obtener una descripción general de los registros de auditoría de Google Workspace, consulta Registros de auditoría de Google Workspace.

Roles obligatorios

Para ver los registros de auditoría, debes tener los permisos y roles adecuados de Identity and Access Management (IAM):

Para obtener los permisos que necesitas para obtener acceso de solo lectura a los registros de auditoría de actividad del administrador, política denegada y eventos del sistema, pídele a tu administrador que te otorgue el rol de IAM de visualizador de registros (roles/logging.viewer) en tu proyecto.

Si solo tienes el rol de visualizador de registros (roles/logging.viewer), no podrás ver los registros de auditoría de acceso a los datos que se encuentren en el bucket _Default.

Para obtener los permisos que necesitas para acceder a todos los registros de los buckets _Required y _Default, incluidos los registros de acceso a los datos, pídele a tu administrador que te otorgue el rol de IAM de visualizador de registros privados (roles/logging.privateLogViewer) en tu proyecto.

El rol de visualizador de registros privados (roles/logging.privateLogViewer) incluye los permisos que contiene el rol de visualizador de registros (roles/logging.viewer) y los necesarios para leer los registros de auditoría de acceso a los datos en el bucket _Default.

Para obtener más información de los permisos y los roles de IAM que se aplican a los datos de registros de auditoría, consulta Control de acceso con IAM.

Tipos de registros de auditoría

Los registros de auditoría de Cloud brindan los siguientes registros de auditoría para cada Google Cloud proyecto, carpeta y organización:

Registros de auditoría de actividad del administrador
Registros de auditoría de acceso a los datos
Registros de auditoría de eventos del sistema
Registros de auditoría de política denegada

Registros de auditoría de actividad del administrador

Los registros de auditoría de actividad del administrador son entradas de registro escritas por llamadas a la API controladas por el usuario o por otras acciones que modifican la configuración o los metadatos de los recursos. Por ejemplo, registran en qué momento los usuarios crean instancias de VM o cambian los permisos de Identity and Access Management.

Los registros de auditoría de actividad del administrador se escriben siempre; no puedes configurarlos, excluirlos ni inhabilitarlos. Incluso si inhabilitas la API de Cloud Logging, los registros de auditoría de actividad del administrador se generarán de todos modos.

Para obtener una lista de los servicios que escriben registros de auditoría de actividad del administrador y obtener información detallada sobre qué actividades generan esos registros, consulta Google Cloud servicios con registros de auditoría.

Registros de auditoría de acceso a los datos

Los registros de auditoría de acceso a los datos son entradas de registro escritas por llamadas a la API que leen la configuración o los metadatos de los recursos. También se escriben mediante llamadas a la API controladas por el usuario que crean, modifican o leen los datos de los recursos que proporciona el usuario.

Los recursos disponibles de forma pública que tienen las políticas de Identity and Access Management allAuthenticatedUsers o allUsers no generan registros de auditoría. Los recursos a los que se puede acceder sin acceder a una cuenta de Google Cloud, Google Workspace, Cloud Identity o Drive Enterprise no generan registros de auditoría. Esto ayuda a proteger la información y las identidades de los usuarios finales.

Los registros de auditoría de acceso a los datos, excepto los registros de auditoría de acceso a los datos de BigQuery, están inhabilitados de forma predeterminada porque los registros de auditoría pueden ser bastante grandes. Si deseas que se escriban los registros de auditoría de acceso a los datos para los servicios que no sean Google Cloud BigQuery, debes habilitarlos de manera explícita. Los registros de auditoría de acceso a los datos se escriben en el Google Cloud proyecto cuyos datos se acceden. Si los habilitas, es posible que se cobre el uso de registros adicionales en tu Google Cloud proyecto. Si deseas obtener instrucciones para habilitar y configurar los registros de auditoría de acceso a los datos, consulta Habilita los registros de auditoría de acceso a los datos.

Para obtener una lista de los servicios que escriben registros de auditoría de acceso a los datos y obtener información detallada sobre qué actividades generan esos registros, consulta Google Cloud servicios con registros de auditoría.

Los registros de auditoría de acceso a los datos se almacenan en el _Default bucket de registros, a menos que los hayas enrutado a otro lugar. Para obtener más información, consulta la sección Almacena y enruta registros de auditoría de esta página.

Registros de auditoría de eventos del sistema

Los registros de auditoría de eventos del sistema son entradas de registro escritas por Google Cloud sistemas que modifican la configuración de los recursos. Los registros de auditoría de eventos del sistema no se generan por la acción directa del usuario. Por ejemplo, se escribe un registro de auditoría de eventos del sistema cuando las VMs se agregan o quitan automáticamente de los grupos de instancias administrados (MIGs) debido al ajuste de escala automático.

Los registros de auditoría de eventos del sistema se escriben siempre; no puedes configurarlos, excluirlos ni inhabilitarlos.

Para obtener una lista de los servicios que escriben registros de auditoría de eventos del sistema y obtener información detallada sobre qué actividades generan esos registros, consulta Google Cloud servicios con registros de auditoría.

Registros de auditoría de política denegada

Los registros de auditoría de política denegada son entradas de registro escritas cuando un Google Cloud servicio rechaza el acceso a un usuario o a una cuenta de servicio debido a un incumplimiento de política de seguridad.

Los registros de auditoría de política denegada se generan de forma predeterminada y se cobra el almacenamiento de registros en tu Google Cloud proyecto. No puedes inhabilitar los registros de auditoría de política denegada, pero puedes usar filtros de exclusión para evitar que los registros de auditoría de política denegada se almacenen en Cloud Logging.

Para obtener una lista de los servicios que escriben registros de auditoría de política denegada y obtener información detallada sobre qué actividades generan esos registros, consulta Google Cloud servicios con registros de auditoría.

Estructura de entrada de registro de auditoría

Cada entrada de registro de auditoría en Cloud Logging es un objeto del tipo LogEntry. Lo que distingue una entrada de registro de auditoría de otras entradas de registro es el campo protoPayload; este contiene un objeto AuditLog que almacena los datos del registro de auditoría.

Para aprender a leer y a interpretar las entradas del registro de auditoría, y para obtener una muestra de una entrada de registro de auditoría, consulta Descripción de los registros de auditoría.

Nombre del registro

Los nombres de los registros de auditoría de Cloud incluyen lo siguiente:

Identificadores de recursos que indican el Google Cloud proyecto o la otra Google Cloud entidad que posee los registros de auditoría.
La string cloudaudit.googleapis.com.
Una cadena que indica si el registro contiene datos de registro de auditoría de actividad del administrador, acceso a los datos, política denegada o eventos del sistema.

A continuación, se muestran los nombres de los registros de auditoría, incluidas las variables para los identificadores de recursos:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Identidades de los emisores en los registros de auditoría

Los registros de auditoría registran la identidad que realizó las operaciones registradas en el Google Cloud recurso. La identidad del emisor se encuentra en el AuthenticationInfo campo de AuditLog objetos.

El registro de auditoría no oculta la dirección de correo electrónico principal del emisor para ningún acceso que se realice correctamente ni para ninguna operación de escritura.

Para las operaciones de solo lectura que fallan con un error de “permiso denegado”, el registro de auditoría puede ocultar la dirección de correo electrónico principal del emisor, a menos que el emisor sea una cuenta de servicio.

Además de las condiciones mencionadas anteriormente, se aplica lo siguiente a ciertos Google Cloud servicios:

API de App Engine heredada: No se recopilan las identidades.

BigQuery: Las identidades y las direcciones IP de los emisores, así como algunos nombres de recursos, están ocultos en los registros de auditoría, a menos que se cumplan algunas de las siguientes condiciones:
Cloud Storage: Cuando se habilitan los registros de uso de Cloud Storage, Cloud Storage escribe datos de uso en el bucket de Cloud Storage, lo que genera registros de auditoría de acceso a los datos para el bucket. El registro de auditoría de acceso a los datos generado tiene su identidad de emisor oculta.

Firestore: Si se usó un token web JSON (JWT) para la autenticación de terceros, el thirdPartyPrincipal campo incluye el encabezado y la carga útil del token. Por ejemplo, los registros de auditoría para solicitudes autenticadas con Firebase Authentication incluyen el token de autenticación de esa solicitud.

Controles del servicio de VPC: Para los registros de auditoría de política denegada, se produce la siguiente ocultación:
- Es posible que se oculten partes de las direcciones de correo electrónico del emisor y se reemplacen por tres caracteres de punto ....
- Algunas direcciones de correo electrónico del emisor que pertenecen al dominio google.com se ocultan y se reemplazan por google-internal.

Política de la organización: Es posible que se oculten partes de las direcciones de correo electrónico del emisor y se reemplacen por tres caracteres de punto ....

Dirección IP del emisor en los registros de auditoría

La dirección IP del emisor se encuentra en el campo RequestMetadata.callerIp de el AuditLog objeto:

Para una persona que llama desde Internet, la dirección es una dirección IPv4 o IPv6 pública.
Para las llamadas realizadas desde la red de producción interna de un Google Cloud servicio a otro, el callerIp se oculta a "private".
Para una persona que llama desde una VM de Compute Engine con una dirección IP externa, la callerIp es la dirección externa de la VM.
Para una persona que llama desde una VM de Compute Engine sin una dirección IP externa, si la VM está en la misma organización o proyecto que el recurso al que se accede, callerIp es la dirección IPv4 interna de la VM. De lo contrario, la callerIp se oculta a “gce-internal-ip”. Para obtener más información, consulta Descripción general de la red de VPC.

Consultar registros de auditoría

Puedes consultar todos los registros de auditoría o uno en particular a través de su nombre. El nombre del registro de auditoría incluye el identificador del recurso del proyecto de Google Cloud , la carpeta, la cuenta de facturación o la organización cuya información de registros de auditoría quieres consultar. En las consultas, puedes especificar campos LogEntry indexados. Para obtener más información sobre cómo consultar registros, visita Crea consultas en el Explorador de registros.

El Explorador de registros permite ver y filtrar entradas de registro individuales. Si quieres usar SQL para analizar grupos de entradas de registro, usa la página Análisis de registros. Para obtener más información, consulta las secciones siguientes:

La mayoría de los registros de auditoría se pueden ver en Cloud Logging con la consola deGoogle Cloud , la Google Cloud CLI o la API de Logging. Sin embargo, para los registros de auditoría relacionados con la facturación, solo puedes usar la Google Cloud CLI o la API de Logging.

Consola

En la consola de Google Cloud , puedes usar el Explorador de registros para recuperar las entradas de registro de auditoría de tu organización, proyecto o carpeta de Google Cloud :

En la Google Cloud consola de, ve a la Explorador de registros del segmento:
Ir al Explorador de registros

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
Elige una organización, un proyecto o una carpeta de Google Cloud existentes.
Para que se muestren todos los registros de auditoría, ingresa cualquiera de las consultas siguientes en el campo del editor de consultas y, luego, haz clic en Ejecutar consulta:
```
logName:"cloudaudit.googleapis.com"
```
```
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog"
```
Para que se muestren los registros de auditoría de un recurso específico y un tipo de registro de auditoría, en el panel Compilador de consultas, haz lo siguiente:
- En Tipo de recurso, elige el recurso de Google Cloud cuyos registros de auditoría quieres consultar.
- En Nombre del registro, selecciona el tipo de registro de auditoría que quieres ver:
  - En el caso de los registros de auditoría de la actividad del administrador, selecciona activity.
  - En los registros de auditoría de acceso a los datos, selecciona data_access.
  - En el caso de los registros de auditoría de eventos del sistema, selecciona system_event.
  - En el caso de los registros de auditoría de política denegada, selecciona policy.
- Haz clic en Ejecutar consulta.
Si no ves estas opciones, significa que no hay registros de auditoría de ese tipo disponibles en el proyecto, la carpeta o la organización de Google Cloud .

Si no puedes ver los registros en el Explorador de registros, consulta la información para solucionar problemas.

Para obtener más información sobre cómo hacer consultas con el Explorador de registros, visita Crea consultas en el Explorador de registros.

gcloud

La Google Cloud CLI proporciona una interfaz de línea de comandos a la API de Logging. Proporciona un identificador de recurso válido en cada uno de los nombres de registro. Por ejemplo, si la consulta incluye un PROJECT_ID, el identificador del proyecto que proporciones debe hacer referencia al proyecto de Google Cloud seleccionado en este momento.

Para leer las entradas de registros de auditoría a nivel de proyecto de Google Cloud , ejecuta el comando siguiente:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Para leer las entradas de registros de auditoría a nivel de carpetas, ejecuta el comando siguiente:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Para leer las entradas del registro de auditoría a nivel de organización, ejecuta el siguiente comando:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Para leer las entradas de registros de auditoría a nivel de la cuenta de Facturación de Cloud, ejecuta el comando siguiente:

gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
    --billing-account=BILLING_ACCOUNT_ID

Agrega la marca --freshness al comando para leer los registros que tienen más de 1 día de antigüedad.

Para obtener más información sobre el uso de la gcloud CLI, consulta gcloud logging read.

REST

Cuando crees consultas, proporciona un identificador de recurso válido en cada uno de los nombres de registro. Por ejemplo, si la consulta incluye un PROJECT_ID, el identificador del proyecto que proporciones debe hacer referencia al proyecto de Google Cloud seleccionado en este momento.

Por ejemplo, si quieres usar la API de Logging para ver las entradas de registros de auditoría a nivel de proyecto, haz lo siguiente:

Accede a la sección Probar esta API en la documentación del método entries.list.
Ingresa lo siguiente en el cuerpo de la solicitud del formulario Prueba esta API. Cuando haces clic en este formulario prepropagado, se completará automáticamente el cuerpo de la solicitud, pero deberás proporcionar un PROJECT_ID válido para cada nombre de registro.
```
{
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
```
Haz clic en Ejecutar.

Almacena y enruta registros de auditoría

Cloud Logging usa buckets de registro como contenedores que almacenan y organizan los datos de registros. Para cada cuenta de facturación, Google Cloud proyecto, carpeta y organización, Logging crea de forma automática dos buckets de registros, _Required y _Default, y los receptores correspondientes.

Los buckets _Required de Cloud Logging almacenan registros de auditoría de actividad del administrador y registros de auditoría de eventos del sistema. No puedes evitar que se almacenen los registros de auditoría de actividad del administrador o de eventos del sistema. Tampoco puedes configurar el receptor que enruta las entradas de registro a los buckets _Required.

Los registros de auditoría de actividad del administrador y los registros de auditoría de eventos del sistema siempre se almacenan en el bucket _Required del proyecto en el que se generaron los registros.

Si enrutas los registros de auditoría de actividad del administrador y los registros de auditoría de eventos del sistema a un proyecto diferente, esos registros no pasan por el receptor _Default o _Required del proyecto de destino. Por lo tanto, estos registros no se almacenan en el bucket de registros _Default ni en el bucket de registros _Required del proyecto de destino. Para almacenar estos registros, crea un receptor de registros en el proyecto de destino. Para obtener más información, consulta Enruta registros a destinos admitidos.

De forma predeterminada, los buckets _Default almacenan los registros de auditoría de acceso a los datos habilitados, así como los registros de auditoría de política denegada. Para evitar que los registros de auditoría de acceso a los datos se almacenen en los buckets _Default, puedes inhabilitarlos. Para evitar que los registros de auditoría de política denegada se almacenen en los buckets _Default, puedes excluirlos si modificas los filtros de sus receptores.

También puedes enrutar tus entradas de registro de auditoría a buckets de Cloud Logging definidos por el usuario a nivel de Google Cloud proyecto o a destinos compatibles fuera de Logging mediante receptores. Para obtener instrucciones sobre el enrutamiento de registros, consulta Enruta registros a destinos compatibles.

Cuando configuras los filtros de los receptores de registros, debes especificar los tipos de registros de auditoría que deseas enrutar. Para ver ejemplos de filtrado, consulta Consultas de seguridad de registros.

Si deseas enrutar las entradas de registro de auditoría para una Google Cloud organización, carpeta o cuenta de facturación, y para sus elementos secundarios, consulta Descripción general de los receptores agregados.

Retención de registros de auditoría

Para obtener detalles sobre cuánto tiempo Logging retiene las entradas de registro, consulta la información sobre retención en Cuotas y límites: períodos de retención de registros.

Control de acceso

Los permisos y los roles de IAM determinan tu capacidad para acceder a los datos de registros de auditoría en la API de Logging, el Explorador de registros y la Google Cloud CLI.

Para obtener información detallada sobre los permisos y roles de IAM que podrías necesitar, consulta Control de acceso con IAM.

Cuotas y límites

Para obtener más información sobre los límites de uso de registros, incluidos los tamaños máximos de los registros de auditoría, consulta Cuotas y límites.

Precios

Para obtener información sobre los precios, consulta la página de precios de Google Cloud Observability. Si enrutas datos de registro a otros Google Cloud servicios, consulta los siguientes documentos:

¿Qué sigue?

Obtén información para leer y comprender los registros de auditoría.
Obtén más información para habilitar los registros de auditoría de acceso a los datos.
Revisa las prácticas recomendadas para los registros de auditoría de Cloud.

Obtén información sobre Transparencia de acceso, que proporciona registros de las acciones que realiza el Google Cloud personal cuando accede a tu Google Cloud contenido.