Puede monitorear los intentos de conexión a instancias de máquinas virtuales (VM) que tienen el inicio de sesión en el sistema operativo habilitado viendo los registros de auditoría de inicio de sesión en el sistema operativo. Estos registros de auditoría siempre están habilitados y no se pueden deshabilitar mediante configuraciones de acceso a datos .
También puedes realizar un seguimiento de eventos y actividades relacionados con el inicio de sesión en el sistema operativo, como agregar, eliminar o actualizar una clave SSH o eliminar información POSIX con el SDK de administración de Google Workspace .
Antes de comenzar
- Si aún no lo has hecho, configura la autenticación. La autenticación es el proceso mediante el cual se verifica su identidad para acceder a Google Cloud servicios y API. Para ejecutar código o muestras desde un entorno de desarrollo local, puedes autenticarte en Compute Engine seleccionando una de las siguientes opciones:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
After installing the Google Cloud CLI, initialize it by running the following command:
gcloud initIf you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
- Set a default region and zone.
En la consola de Google Cloud, vaya a la página Explorador de registros .
En el campo Consulta , ingrese la siguiente consulta:
protoPayload.serviceName="oslogin.googleapis.com"
Si el evento que busca ocurrió hace más de una hora, establezca un período de tiempo personalizado haciendo clic en el símbolo del reloj e ingresando un rango personalizado.
Haga clic en Ejecutar consulta . Los resultados se muestran en la sección Resultados de la consulta .
Haga clic en la flecha de expansión junto a cada resultado para mostrar información detallada.
Para conocer los tipos de registros de auditoría de inicio de sesión del sistema operativo y lo que significan, continúe con la sección Revisar los registros de auditoría de inicio de sesión del sistema operativo de este documento.
Ver registros de auditoría de la nube usando el comando
gcloud logging read:gcloud logging read --freshness=TIME 'protoPayload.serviceName="oslogin.googleapis.com"'
Reemplace
TIMEcon la cantidad de tiempo que desea consultar. Por ejemplo, las consultas1hregistran entradas en la última hora. Para obtener información sobre los formatos de fecha y hora, consulta el tema datetimes de gcloud .Se muestran los resultados.
Para conocer los tipos de registros de auditoría de inicio de sesión del sistema operativo y lo que significan, continúe con la sección Revisar los registros de auditoría de inicio de sesión del sistema operativo de este documento.
- Para las conexiones de autenticación de dos factores (2FA), una conexión exitosa se indica mediante una llamada
CheckPolicyexitosa y una llamadaContinueSessionexitosa. - Para conexiones que no son 2FA, una respuesta exitosa indica que el usuario se conectó a la VM.
- Obtenga más información sobre el lenguaje de consulta de registro para personalizar las consultas del registro de auditoría de inicio de sesión del sistema operativo.
- Descubra cómo funcionan las conexiones SSH a máquinas virtuales Linux en Compute Engine.
Ver registros de auditoría de inicio de sesión del sistema operativo
Para mostrar una lista de registros de auditoría de inicio de sesión del sistema operativo, consulte los registros de auditoría de la nube.
Consola
nube de gcloud
Revisar los registros de auditoría de inicio de sesión del sistema operativo
Revise el campo
methodNamede los registros de auditoría para conocer los tipos de intentos de conexión a las máquinas virtuales que tienen habilitado el inicio de sesión en el sistema operativo y los usuarios que iniciaron esos intentos de conexión.Expanda la sección
protoPayloadpara ver el campomethodNamepara el intento de conexión. Para saber qué significa cada campomethodName, consulte la siguiente tabla:Método Tipo de conexión Descripción google.cloud.oslogin.dataplane.OsLoginDataPlaneService.ListLoginProfilesTodas las conexiones de inicio de sesión del sistema operativo Indica una solicitud para enumerar los usuarios con perfiles de inicio de sesión del sistema operativo en el mismo proyecto que la máquina virtual, o una solicitud para buscar el perfil de un usuario individual.
Esta llamada ocurre cuando un usuario intenta conectarse a una VM. El agente de inicio de sesión del sistema operativo también llama periódicamente a este método para actualizar la caché de inicio de sesión.
google.cloud.oslogin.dataplane.OsLoginDataPlaneService.CheckPolicyTodas las conexiones de inicio de sesión del sistema operativo Indica un intento de conexión a una VM:
Expanda la sección
authenticationInfopara ver el campoprincipalEmail. El campoprincipalEmailmuestra la dirección de correo electrónico del usuario que intentó conectarse a la VM.google.cloud.oslogin.dataplane.OsLoginDataPlaneService.StartSessionConexiones 2FA de inicio de sesión en el sistema operativo Indica una nueva sesión de autenticación 2FA. En una llamada StartSession, un cliente declara sus capacidades al servidor y obtiene información sobre los desafíos disponibles.google.cloud.oslogin.dataplane.OsLoginDataPlaneService.ContinueSessionConexiones 2FA de inicio de sesión en el sistema operativo Indica una continuación de una sesión de autenticación. El cliente completa el desafío propuesto por el servidor en la llamada o solicitud
StartSessionanterior y completa un tipo de desafío diferente. Luego, el métodoContinueSessionacepta la respuesta al desafío o método y autentica o rechaza el intento de autenticación.Propiedades del registro de auditoría de inicio de sesión del sistema operativo
Las siguientes secciones describen las propiedades de los registros de auditoría. Algunas propiedades son comunes a todos los registros de auditoría y otras propiedades son específicas de los métodos
CheckPolicy,StartSessionyContinueSession.Propiedades comunes del registro de auditoría de inicio de sesión del sistema operativo
Las propiedades enumeradas en la siguiente tabla son comunes a todos los registros de auditoría de inicio de sesión del sistema operativo.
Propiedad Valor serviceNameoslogin.googleapis.comresourceNameUna cadena que contiene el número de proyecto que indica a qué solicitud de inicio de sesión pertenece el registro de auditoría. Por ejemplo, projects/myproject12345.severityEl nivel de gravedad del mensaje de registro. Por ejemplo, INFOoWARNING. Para obtener más información sobre los niveles de gravedad, consulte LogSeverity .authenticationInfo.principalEmailLa dirección de correo electrónico del usuario que el método está autenticando. request.numericProjectIdEl número de proyecto del proyecto de Google Cloud. Propiedades del registro de auditoría
ListLoginProfilesLas propiedades enumeradas en la siguiente tabla se aplican a los registros de auditoría
ListLoginProfiles.Propiedad Valor methodNamegoogle.cloud.oslogin.dataplane.OsLoginDataPlaneService.ListLoginProfilesrequest.@typetype.googleapis.com/google.cloud.oslogin.dataplane.ListLoginProfilesRequestPropiedades del registro de auditoría
CheckPolicyLas propiedades enumeradas en la siguiente tabla se aplican a los registros de auditoría
CheckPolicy.Propiedad Valor methodNamegoogle.cloud.oslogin.dataplane.OsLoginDataPlaneService.CheckPolicyrequest.@typetype.googleapis.com/google.cloud.oslogin.dataplane.CheckPolicyRequestrequest.policyEl permiso que se está verificando. Ya sea LOGIN, que verifica si el usuario está autorizado a iniciar sesión en la VM, oADMIN_LOGIN, que verifica si el usuario está autorizado a tener acceso administrativo en la VM.response.successEl resultado de la verificación de request.policyLOGINoADMIN_LOGIN.trueofalse, dependiendo de si el usuario está autorizado para la política especificada.Propiedades del registro de auditoría
StartSessionLas propiedades enumeradas en la siguiente tabla se aplican a los registros de auditoría
StartSession, para máquinas virtuales que tienen habilitado el inicio de sesión en el sistema operativo 2FA.Propiedad Valor methodNamegoogle.cloud.oslogin.dataplane.OsLoginDataPlaneService.StartSessionrequest.@typetype.googleapis.com/google.cloud.oslogin.dataplane.StartSessionRequestrequest.supportedChallengeTypesLa lista de tipos de desafíos o métodos 2FA entre los que puede elegir. response.authenticationStatusEstado de la sesión. Uno de Authenticated,Challenge requiredoChallenge pending.response.sessionIdUna cadena de identificación que identifica de forma única la sesión. Este ID de sesión se pasa a la llamada ContinueSessionen la secuencia.response.challengesEl conjunto de desafíos que puede intentar superar durante esta ronda de autenticación. Como máximo, uno de estos desafíos está iniciado y tiene el estado READY. Los demás se proporcionan como opciones que el usuario puede especificar como alternativa al desafío principal propuesto.ContinueSessiondel registro de auditoría de sesiónLas propiedades enumeradas en la siguiente tabla se aplican a los registros de auditoría
ContinueSession, para máquinas virtuales que tienen habilitado el inicio de sesión en el sistema operativo 2FA.Propiedad Valor methodNamegoogle.cloud.oslogin.dataplane.OsLoginDataPlaneService.ContinueSessionrequest.sessionIdUna cadena de identificación que identifica de forma única la sesión anterior. Este ID de sesión se pasa desde la llamada StartSession.request.@typetype.googleapis.com/google.cloud.oslogin.dataplane.ContinueSessionRequestrequest.challengeIdUna cadena de identificación que identifica qué desafío iniciar o ejecutar. Este ID debe pertenecer a un tipo de desafío devuelto por la llamada response.challengesen la respuestaStartSession.request.actionLa acción a realizar para completar el desafío. response.authenticationStatusEstado de la sesión. Por ejemplo, Authenticated,Challenge requiredoChallenge pending.response.challenges.statusSUCCESSindica que un usuario se ha conectado correctamente a la VM.response.challengesEl conjunto de desafíos que puede intentar para superar esta ronda de autenticación. Como máximo, uno de estos desafíos está iniciado y tiene el estado READY. Los demás se proporcionan como opciones que el usuario puede especificar como alternativa al desafío principal propuesto.¿Qué sigue?
A menos que se indique lo contrario, el contenido de esta página está sujeto a la licencia Reconocimiento 4.0 de Creative Commons y las muestras de código están sujetas a la licencia Apache 2.0. Para obtener más información, consulta las políticas del sitio web de Google Developers. Java es una marca registrada de Oracle o sus afiliados.
Última actualización: 2025-04-21 (UTC).
-