En este documento, se describen los registros de auditoría del proxy web seguro.Los servicios de Google Cloud generan registros de auditoría que registran las actividades administrativas y de acceso para tus recursos de Google Cloud . Para obtener más información sobre los Registros de auditoría de Cloud, consulta las siguientes páginas:
- Tipos de registros de auditoría
- Estructura de entradas de registro de auditoría
- Almacena y enruta registros de auditoría
- Resumen de precios de Cloud Logging
- Habilita los registros de auditoría de acceso a los datos
Registros de auditoría de Cloud
Los Registros de auditoría de Cloud para el Proxy web seguro registran los siguientes cambios y actividades:
Información relacionada con las llamadas a la API realizadas en la infraestructura y la configuración del proxy, la creación y modificación de políticas, y las verificaciones de supervisión. Para capturar las interacciones, los registros de auditoría de Cloud usan comandos de Google Cloud CLI, la API de Network Services y la API de Network Security.
Información relacionada con la creación y eliminación de instancias de Secure Web Proxy, la modificación de la configuración y la aplicación de actualizaciones. Google Cloud Los registros de la consola capturan la actividad de la consola relacionada con la configuración de Secure Web Proxy.
Estadísticas sobre los cambios realizados en la infraestructura de Secure Web Proxy
Detalles sobre los ajustes realizados en la configuración, las reglas y los parámetros del Proxy web seguro que definen su comportamiento.
Registros de las modificaciones a los privilegios del usuario y los controles de acceso dentro del Proxy web seguro.
Documentación sobre las modificaciones de la política, incluida la captura de detalles previos y posteriores a la edición
Tipos de registros de auditoría
Secure Web Proxy escribe dos tipos de registros de auditoría: registros de auditoría de actividad del administrador y registros de auditoría de acceso a los datos. Para obtener más información sobre los diferentes tipos de registros de auditoría, consulta Tipos de registros de auditoría.
Registros de auditoría sobre la actividad del administrador
Los registros de auditoría de actividad del administrador registran las llamadas a la API y otras acciones administrativas que modifican la configuración o los metadatos de tus recursos de Secure Web Proxy. Los registros de actividad del administrador siempre están habilitados.
Estos registros contienen información sobre las siguientes operaciones:
- Crear, actualizar o borrar recursos
Gateway,GatewaySecurityPolicy,GatewaySecurityPolicyRule,TlsInspectionPolicyyUrlList - Modificar las políticas de Identity and Access Management (IAM) en los recursos de Secure Web Proxy
Registros de auditoría de acceso a los datos
El registro de auditoría de acceso a los datos no se activa de forma predeterminada para el proxy web seguro. Para habilitar los registros de auditoría de acceso a los datos para Secure Web Proxy, consulta Habilita los registros de auditoría.
Formato del registro de auditoría
Los registros de auditoría de Cloud del Proxy web seguro siguen la estructura estándar de los registros de auditoría Google Cloud . Cada entrada de registro es un objeto del tipo LogEntry.
Una entrada de registro contiene los siguientes campos clave:
logName: Contiene el ID del recurso y el tipo de registro de auditoría, ya seaactivityodata_access.resource: Especifica el objetivo de la operación auditada.timeStamp: Especifica la fecha y hora en que se produjo la operación auditada.protoPayload: Contiene la información de auditoría principal y se almacena dentro de un objetoAuditLog.El objeto
AuditLogdentro deprotoPayloadcontiene los siguientes campos:serviceName: Especifica el nombre del servicio Google Cloud . Para las operaciones de Secure Web Proxy, suele sernetworkservices.googleapis.com.methodName: Identifica el nombre del método de API que se llamó, comoCreateGatewayoUpdatePolicy.resourceName: Indica el nombre completo del recurso sobre el que se realiza la acción.status,authenticationInfoyauthorizationInfo: Proporcionan detalles estándar adicionales sobre el resultado de la operación.
Para obtener más información sobre otros campos en estos objetos y cómo interpretarlos, consulta Información sobre los registros de auditoría.
Nombre del registro
Los nombres de los registros de auditoría del proxy web seguro incluyen identificadores de recursos que indican el Google Cloud proyecto, la carpeta o la organización que posee los registros de auditoría. Estos nombres de registros de auditoría también indican si un registro contiene datos de registro de auditoría de actividad del administrador, acceso a los datos, eventos del sistema o política denegada.
A continuación, se muestran los nombres de los registros de auditoría, incluidas las variables para los identificadores de recursos:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
Roles y permisos
Para ver los registros de auditoría del Proxy web seguro, asegúrate de tener los siguientes roles y permisos:
Para los registros de actividad del administrador: Rol de Visualizador de registros (
roles/logging.viewer) o un rol personalizado con el permisologging.logEntries.list.Para los registros de acceso a los datos: rol de visualizador de registros privados (
roles/logging.privateLogViewer) o un rol personalizado con el permisologging.privateLogEntries.list
Nombre del servicio
Los registros de auditoría de Secure Web Proxy, en particular para las operaciones y configuraciones de la puerta de enlace, usan el nombre de servicio networkservices.googleapis.com.
Para filtrar este servicio, usa lo siguiente:
protoPayload.serviceName="networkservices.googleapis.com"
Además, puedes filtrar los registros de auditoría de Secure Web Proxy por tipo de recurso para la puerta de enlace:
resource.type="networkservices.googleapis.com/Gateway"
Ver registros de auditoría
Puedes consultar todos los registros de auditoría del proxy web seguro o registros específicos por su nombre. El nombre del registro de auditoría incluye el identificador del recurso del proyecto Google Cloud , la carpeta, la cuenta de facturación o la organización cuya información de registro de auditoría deseas ver.
En las consultas, puedes especificar campos LogEntry indexados. Si usas la página Análisis de registros, que admite consultas en SQL, puedes ver los resultados de tus consultas como un gráfico.
Para obtener más información para consultar tus registros, consulta las siguientes páginas:
- Crea consultas en el Explorador de registros
- Consulta y visualiza registros en Análisis de registros
- Consultas de muestra para estadísticas de seguridad
Puedes ver los registros de auditoría en Cloud Logging a través de laGoogle Cloud consola, Google Cloud CLI o la API de Logging.
Console
En la consola de Google Cloud , puedes usar el Explorador de registros para recuperar las entradas de registro de auditoría de tu organización, proyecto o carpeta de Google Cloud .
En la consola de Google Cloud , accede a la página Explorador de registros.
Selecciona tu Google Cloud proyecto, carpeta u organización.
Para mostrar todos los registros de auditoría del proxy web seguro, ingresa la siguiente consulta general en el campo del editor de consultas y, luego, haz clic en Ejecutar consulta:
logName:"cloudaudit.googleapis.com" resource.type="networkservices.googleapis.com/Gateway"
Como alternativa, para usar el compilador de consultas y mostrar los registros de auditoría de un recurso específico y un tipo de registro de auditoría, sigue estos pasos:
En Tipo de recurso, selecciona
networkservices.googleapis.com/Gateway.En Nombre del registro, selecciona el tipo de registro de auditoría que deseas ver. Solo se enumeran los tipos de registros que están disponibles en tu proyecto.
- En el caso de los registros de auditoría sobre la actividad del administrador, selecciona Actividad.
- En el caso de los registros de auditoría de acceso a los datos, selecciona data_access.
- En el caso de los registros de auditoría de eventos del sistema, selecciona system_event.
- En el caso de los registros de auditoría de política denegada, selecciona Política.
Haz clic en Ejecutar consulta.
Si tienes problemas para ver los registros en el Explorador de registros, consulta los detalles para solucionar problemas.
Para obtener más información sobre cómo hacer consultas con el Explorador de registros, visita Crea consultas en el Explorador de registros.
gcloud
La Google Cloud CLI proporciona una interfaz de línea de comandos a la API de Logging. Especifica un identificador de recurso válido en cada nombre de registro.
Para leer las entradas del registro de auditoría de Proxy web seguro a nivel del proyecto, usa el comando gcloud logging read.
gcloud logging read 'logName:projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND resource.type="networkservices.googleapis.com/Gateway"' \
--project=PROJECT_ID
Reemplaza PROJECT_ID por el ID de tu proyecto Google Cloud.
Agrega la marca --freshness
al comando para leer los registros que tienen más de un día de antigüedad.
API
Para usar la API de Cloud Logging y ver las entradas del registro de auditoría del Proxy web seguro, especifica el PROJECT_ID adecuado en el campo resourceNames y filtra los resultados.
Por ejemplo, si quieres usar la API de Logging para ver las entradas de registros de auditoría a nivel de proyecto, sigue estos pasos:
En la página del método
entries.list, ve a la sección Prueba esta API.En Cuerpo de la solicitud , ingresa el siguiente fragmento:
{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND resource.type=\"networkservices.googleapis.com/Gateway\"" }Reemplaza
PROJECT_IDpor el ID de tu proyecto Google Cloud.Haz clic en Ejecutar.
Próximos pasos
- Descripción general de los registros y las métricas
- Cómo ver los registros de transacciones del proxy