Las acciones sensibles siempre se escriben en los registros de la plataforma del servicio de acciones sensibles. Además, Google Cloud proporciona un resumen de las acciones sensibles a través de las Notificaciones de aviso.
En la notificación, se proporcionan vínculos para ver las primeras tres acciones individuales de cada tipo en los registros de la plataforma. Necesitas un rol de Identity and Access Management adecuado, como roles/logs.viewer, para poder ver los registros de Cloud Logging.
Si hay más de tres acciones sensibles de un tipo en particular, es posible que la notificación también proporcione un vínculo para ver todas las acciones en el registro. Sin embargo, este vínculo no se proporciona en todos los casos. Algunas acciones sensibles, como agregar una clave SSH a nivel del proyecto, pueden ocurrir en varios proyectos diferentes de tu organización. En este caso, Google no puede proporcionarte un solo vínculo de Logging para ver todas las acciones sensibles, ya que Logging siempre se limita a un recurso en particular (proyecto, carpeta u organización).
Visualiza todos los registros de acciones sensibles de la organización
Si deseas ver todos los registros de acciones sensibles de tu organización, puedes configurar un bucket de Logging para agregar estos registros.
Usa la siguiente consulta para incluir todos los registros de acciones sensibles en el bucket:
logName:sensitiveaction.googleapis.com%2Faction
Puedes agregar condiciones adicionales si solo deseas ciertos tipos de registros de acciones sensibles, como AND "add_ssh_key".
Configura alertas para los registros de acciones sensibles
Si quieres recibir alertas con mayor frecuencia sobre acciones sensibles, puedes configurar una alerta basada en registros. Por ejemplo, usa la siguiente consulta para que coincidan todos los registros de acciones sensibles:
logName:sensitiveaction.googleapis.com%2Faction
¿Qué sigue?
- Obtén más información sobre el registro de auditoría.