Registro de auditoría del proxy web seguro

En este documento, se describen los registros de auditoría de Secure Web Proxy. Google Cloud Los servicios de generan registros de auditoría que registran las actividades administrativas y de acceso para tus Google Cloud recursos de. Para obtener más información sobre los Registros de auditoría de Cloud, consulta las siguientes páginas:

Registros de auditoría de Cloud

Los Registros de auditoría de Cloud para Secure Web Proxy hacen un seguimiento de las siguientes actividades y cambios:

  • Información relacionada con las llamadas a la API que se realizan a la infraestructura y la configuración del proxy, la creación y modificación de políticas, y las verificaciones de supervisión. Para capturar las interacciones, los Registros de auditoría de Cloud usan comandos de Google Cloud CLI, la API de Network Services, y la API de Network Security.

  • Información relacionada con la creación y eliminación de instancias de Secure Web Proxy, la modificación de la configuración y la aplicación de actualizaciones. Google Cloud Los registros de la consola capturan la actividad de la consola relacionada con la configuración de Secure Web Proxy.

  • Estadísticas sobre los cambios realizados en la infraestructura de Secure Web Proxy.

  • Detalles sobre los ajustes realizados en la configuración, las reglas y los parámetros de Secure Web Proxy que dan forma al comportamiento de Secure Web Proxy.

  • Registros de modificaciones en los privilegios de usuario y los controles de acceso dentro de Secure Web Proxy.

  • Documentación sobre las modificaciones de políticas, incluida la captura de detalles previos y posteriores a la edición.

Tipos de registros de auditoría

Secure Web Proxy escribe dos tipos de registros de auditoría: registros de auditoría de actividad del administrador y registros de auditoría de acceso a los datos. Para obtener más información sobre los distintos tipos de registros de auditoría, consulta Tipos de registros de auditoría.

Registros de auditoría de actividad del administrador

Los registros de auditoría de actividad del administrador registran las llamadas a la API y otras acciones administrativas que modifican la configuración o los metadatos de tus recursos de Secure Web Proxy. Los registros de actividad del administrador siempre están habilitados.

Estos registros contienen información sobre las siguientes operaciones:

  • Crear, actualizar o borrar recursos Gateway, GatewaySecurityPolicy, GatewaySecurityPolicyRule, TlsInspectionPolicy y UrlList.
  • Modificar las políticas de Identity and Access Management (IAM) en los recursos de Secure Web Proxy.

Registros de auditoría de acceso a los datos

El registro de auditoría de acceso a los datos no se activa de forma predeterminada para Secure Web Proxy. Para habilitar los registros de auditoría de acceso a los datos para Secure Web Proxy, consulta Habilita los registros de auditoría.

Formato del registro de auditoría

Los Registros de auditoría de Cloud de Secure Web Proxy siguen la estructura estándar de los Google Cloud registros de auditoría. Cada entrada de registro es un objeto de tipo LogEntry.

Una entrada de registro contiene los siguientes campos clave:

  • logName: Contiene el ID del recurso y el tipo de registro de auditoría, ya sea activity o data_access.

  • resource: Especifica el destino de la operación auditada.

  • timeStamp: Especifica la hora en la que se produjo la operación auditada.

  • protoPayload: Contiene la información de auditoría principal y se almacena dentro de un objeto AuditLog.

    El objeto AuditLog dentro de protoPayload contiene los siguientes campos:

    • serviceName: Especifica el nombre del Google Cloud servicio. Para las operaciones de Secure Web Proxy, suele ser networkservices.googleapis.com.

    • methodName: Identifica el nombre del método de la API que se llamó, como CreateGateway o UpdatePolicy.

    • resourceName: Indica el nombre completo del recurso sobre el que se está actuando.

    • status, authenticationInfo y authorizationInfo: Proporcionan detalles estándar adicionales sobre el resultado de la operación.

Para obtener más información sobre otros campos de estos objetos y cómo interpretar los, consulta Información sobre los registros de auditoría.

Nombre del registro

Los nombres de los registros de auditoría de Secure Web Proxy incluyen identificadores de recursos que indican el Google Cloud proyecto, la carpeta o la organización que posee los registros de auditoría. Estos nombres de registros de auditoría también indican si un registro contiene datos de registro de auditoría de actividad del administrador, acceso a los datos, eventos del sistema o política denegada.

A continuación, se muestran los nombres de los registros de auditoría, incluidas las variables para los identificadores de recursos:

  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
  organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Funciones y permisos

Para ver los registros de auditoría de Secure Web Proxy, asegúrate de tener las siguientes funciones y permisos:

  • Para los registros de actividad del administrador: Función Visor de registros (roles/logging.viewer) o una función personalizada con el logging.logEntries.list permiso.

  • Para los registros de acceso a los datos: Función Visualizador de registros privados (roles/logging.privateLogViewer) o una función personalizada con el logging.privateLogEntries.list permiso.

Nombre del servicio

Los registros de auditoría de Secure Web Proxy, en particular para las operaciones y configuraciones de la puerta de enlace, usan el nombre de servicio networkservices.googleapis.com.

Para filtrar este servicio, usa lo siguiente:

protoPayload.serviceName="networkservices.googleapis.com"

Además, puedes filtrar los registros de auditoría de Secure Web Proxy por tipo de recurso para la puerta de enlace:

resource.type="networkservices.googleapis.com/Gateway"

Ver registros de auditoría

Puedes consultar todos los registros de auditoría de Secure Web Proxy o registros específicos por su nombre de registro de auditoría. El nombre del registro de auditoría incluye el identificador del recurso del proyecto de, la carpeta, la cuenta de facturación o la organización cuya información de registros de auditoría quieres consultar. Google Cloud Tus consultas pueden especificar los campos LogEntry indexados. Si usas la página Análisis de registros, que admite consultas de SQL, puedes visualizar los resultados de consultas con un gráfico.

Para obtener más información para consultar tus registros, consulta las siguientes páginas:

Puedes ver los registros de auditoría en Cloud Logging a través de la Google Cloud consola, Google Cloud CLI o la API de Logging.

Console

En la Google Cloud consola de, puedes usar el Explorador de registros para recuperar las entradas de registro de auditoría de tu Google Cloud organización, proyecto, o carpeta de.

  1. En la Google Cloud consola de, accede a la página Explorador de registros.

    Ir al Explorador de registros

  2. Selecciona tu Google Cloud proyecto, organización o carpeta.

  3. Para mostrar todos los registros de auditoría de Secure Web Proxy, ingresa la siguiente consulta general en el campo del editor de consultas y, luego, haz clic en Ejecutar consulta:

    logName:"cloudaudit.googleapis.com"
resource.type="networkservices.googleapis.com/Gateway"

    Como alternativa, para usar el compilador de consultas y mostrar los registros de auditoría de un recurso específico y un tipo de registro de auditoría, sigue estos pasos:

    1. En Tipo de recurso, selecciona networkservices.googleapis.com/Gateway.

    2. En Nombre del registro, selecciona el tipo de registro de auditoría que quieres ver. Solo se muestran los tipos de registros que están disponibles en tu proyecto.

      • En el caso de los registros de auditoría de la actividad del administrador, selecciona activity.
      • En el caso de los registros de auditoría de acceso a los datos, selecciona data_access.
      • En el caso de los registros de auditoría de eventos del sistema, selecciona system_event.
      • En el caso de los registros de auditoría de política denegada, selecciona policy.

    3. Haz clic en Ejecutar consulta.

Si tienes algún problema para ver los registros en el Explorador de registros, entonces consulta los detalles para solucionar problemas.

Para obtener más información de las consultas con el Explorador de registros, visita Compila consultas en el Explorador de registros.

gcloud

La Google Cloud CLI proporciona una interfaz de línea de comandos a la API de Logging. Especifica un identificador de recurso válido en cada nombre de registro.

Para leer las entradas de registros de auditoría de Secure Web Proxy a nivel de proyecto, usa el gcloud logging read comando.

gcloud logging read 'logName:projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND resource.type="networkservices.googleapis.com/Gateway"' \
    --project=PROJECT_ID

Reemplaza PROJECT_ID por el ID de tu Google Cloud proyecto.

Agrega la marca --freshness flag a tu comando para leer los registros que tienen más de un día.

API

Para usar la API de Cloud Logging y ver tus entradas de registro de auditoría de Secure Web Proxy, especifica el PROJECT_ID adecuado en el campo resourceNames y filtra los resultados.

Por ejemplo, si quieres usar la API de Logging para ver las entradas de registros de auditoría a nivel de proyecto, sigue estos pasos:

  1. En la página del método entries.list, ve a la sección Probar esta API.

  2. En el cuerpo de la solicitud , ingresa el siguiente fragmento:

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND
  resource.type=\"networkservices.googleapis.com/Gateway\""
}

    Reemplaza PROJECT_ID por el ID de tu Google Cloud proyecto.

  3. Haz clic en Ejecutar.

Próximos pasos