Neste documento, descrevemos a geração de registros de auditoria do Secure Web Proxy.Os serviços do Google Cloud geram registros de auditoria das atividades administrativas e de acesso nos recursos do Google Cloud . Para mais informações sobre os Registros de auditoria do Cloud, consulte as seguintes páginas:
- Tipos de registros de auditoria
- Estrutura da entrada de registro de auditoria
- Como armazenar e rotear registros de auditoria
- Resumo dos preços do Cloud Logging
- Ativar registros de auditoria de acesso aos dados
Registros de auditoria do Cloud
Os registros de auditoria do Cloud para o Secure Web Proxy rastreiam as seguintes atividades e mudanças:
Informações relacionadas às chamadas de API feitas para a infraestrutura e a configuração de proxy, a criação e modificação de políticas e as verificações de monitoramento. Para capturar as interações, os registros de auditoria do Cloud usam comandos da Google Cloud CLI, a API Network Services e a API Network Security.
Informações relacionadas à criação e exclusão de instâncias do Secure Web Proxy, modificação de configurações e aplicação de atualizações.Os Google Cloud registros do console capturam a atividade do console relacionada à configuração do Secure Web Proxy.
Insights sobre as mudanças feitas na infraestrutura do Secure Web Proxy.
Detalhes sobre ajustes feitos nas configurações, regras e parâmetros do Secure Web Proxy que moldam o comportamento dele.
Registros de modificações nos privilégios do usuário e controles de acesso no Proxy seguro da Web.
Documentação sobre modificações na política, incluindo a captura de detalhes antes e depois da edição.
Tipos de registros de auditoria
O Secure Web Proxy grava dois tipos de registros de auditoria: de atividade do administrador e de acesso a dados. Para mais informações sobre os vários tipos de registro de auditoria, consulte Tipos de registros de auditoria.
Registros de auditoria de atividade do administrador
Os registros de auditoria de atividade do administrador registram chamadas de API e outras ações administrativas que modificam a configuração ou os metadados dos recursos do Secure Web Proxy. Os registros de atividades do administrador estão sempre ativados.
Esses registros contêm informações sobre as seguintes operações:
- Criar, atualizar ou excluir recursos
Gateway,GatewaySecurityPolicy,GatewaySecurityPolicyRule,TlsInspectionPolicyeUrlList. - Modificar políticas do Identity and Access Management (IAM) em recursos do Secure Web Proxy.
Registros de auditoria de acesso a dados
O registro de auditoria de acesso a dados não é ativado por padrão para o Secure Web Proxy. Para ativar os registros de auditoria de acesso a dados do Secure Web Proxy, consulte Ativar registros de auditoria.
Formato do registro de auditoria
Os registros de auditoria do Cloud do Secure Web Proxy seguem a estrutura padrão Google Cloud (link em inglês). Cada entrada de registro é um objeto do tipo LogEntry.
Uma entrada de registro contém os seguintes campos principais:
logName: contém o ID do recurso e indica o tipo de registro de auditoria,activityoudata_access.resource: especifica o destino da operação auditada.timeStamp: especifica o horário em que a operação auditada ocorreu.protoPayload: contém as principais informações de auditoria e é armazenado em um objetoAuditLog.O objeto
AuditLogemprotoPayloadcontém os seguintes campos:serviceName: especifica o nome do serviço Google Cloud . Para operações do Secure Web Proxy, esse valor é normalmentenetworkservices.googleapis.com.methodName: identifica o nome do método de API que foi chamado, comoCreateGatewayouUpdatePolicy.resourceName: indica o nome completo do recurso que está sendo afetado.status,authenticationInfoeauthorizationInfo: fornecem detalhes padrão adicionais sobre o resultado da operação.
Para mais informações sobre outros campos nesses objetos e como interpretá-los, consulte Noções básicas sobre registros de auditoria.
Nome do registro
Os nomes registro de auditoria do Secure Web Proxy incluem identificadores de recursos que indicam o projeto, a pasta ou a organização do Google Cloud que contém os registros de auditoria. Esses nomes também indicam se um registro contém dados de registro de auditoria de atividade do administrador, acesso a dados, evento do sistema ou política negada.
Estes são os nomes dos registros de auditoria, que incluem variáveis para os identificadores de recursos:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
Papéis e permissões
Para acessar os registros de auditoria do Secure Web Proxy, verifique se você tem as seguintes funções e permissões:
Para registros de atividade do administrador: papel de visualizador de registros (
roles/logging.viewer) ou um papel personalizado com a permissãologging.logEntries.list.Para registros de acesso a dados: papel de leitor de registros particulares (
roles/logging.privateLogViewer) ou um papel personalizado com a permissãologging.privateLogEntries.list.
Nome do serviço
Os registros de auditoria do Secure Web Proxy, principalmente para operações e configurações de gateway, usam o nome de serviço networkservices.googleapis.com.
Para filtrar por esse serviço, use o seguinte:
protoPayload.serviceName="networkservices.googleapis.com"
Além disso, é possível filtrar os registros de auditoria do Secure Web Proxy por tipo de recurso para o gateway:
resource.type="networkservices.googleapis.com/Gateway"
Acessar registros de auditoria
É possível consultar todos os registros de auditoria do proxy da Web seguro ou registros específicos pelo nome. O nome do registro de auditoria inclui o identificador de recurso do projeto, da pasta, da conta de faturamento ou da organização do Google Cloud com as informações de registro de auditoria que você quer consultar.
As consultas podem especificar campos LogEntry indexados. Se você usar a página Análise de dados de registros, que é compatível com consultas SQL, será possível conferir os resultados da consulta como um gráfico.
Para mais informações sobre como consultar seus registros, consulte as seguintes páginas:
- Criar consultas na Análise de registros
- Consultar e visualizar registros na Análise de dados de registros
- Amostras de consultas para insights de segurança
É possível conferir os registros de auditoria no Cloud Logging usando o console doGoogle Cloud , a Google Cloud CLI ou a API Logging.
Console
No console do Google Cloud , é possível usar a Análise de registros para recuperar as entradas de registro de auditoria do projeto, da pasta ou da organização do Google Cloud .
No console do Google Cloud , acesse a página Análise de registros.
Selecione o Google Cloud projeto, a pasta ou a organização.
Para mostrar todos os registros de auditoria do Secure Web Proxy, insira a seguinte consulta geral no campo do editor de consultas e clique em Executar consulta:
logName:"cloudaudit.googleapis.com" resource.type="networkservices.googleapis.com/Gateway"
Se preferir, use o criador de consultas para mostrar os registros de auditoria de um recurso e tipo específicos. Para isso, siga estas etapas:
Em Tipo de recurso, selecione
networkservices.googleapis.com/Gateway.Em Nome do registro, selecione o tipo de registro de auditoria que você quer acessar. Somente os tipos de registro disponíveis no seu projeto são listados.
- Para os registros de auditoria da atividade do administrador, selecione Atividade.
- Para registros de auditoria de acesso a dados, selecione data_access.
- Para registros de auditoria de eventos do sistema, selecione system_event.
- Para registros de auditoria de política negada, selecione policy.
Clique em Executar consulta.
Se você tiver problemas para conferir registros no Explorador de registros, consulte os detalhes de solução de problemas.
Para mais informações sobre como consultar usando a Análise de Registros, consulte Criar consultas na Análise de Registros.
gcloud
A Google Cloud CLI fornece uma interface de linha de comando para a API Logging. Especifique um identificador de recurso válido em cada nome de registro.
Para ler as entradas de registro de auditoria do Secure Web Proxy no nível do projeto, use o
comando gcloud logging read.
gcloud logging read 'logName:projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND resource.type="networkservices.googleapis.com/Gateway"' \
--project=PROJECT_ID
Substitua PROJECT_ID pelo ID do seu projeto do Google Cloud.
Adicione a flag --freshness ao comando para ler registros com mais de um dia.
API
Para usar a API Cloud Logging e ver as entradas de registro de auditoria do Secure Web Proxy,
especifique o PROJECT_ID adequado no campo
resourceNames e filtre os resultados.
Por exemplo, para usar a API Logging para visualizar as entradas de registro de auditoria para envolvidos no projeto:
Na página do método
entries.list, acesse a seção Testar esta API.Para o Corpo da solicitação , insira o seguinte snippet:
{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com AND resource.type=\"networkservices.googleapis.com/Gateway\"" }Substitua
PROJECT_IDpelo ID do seu projeto do Google Cloud.Clique em Executar.