Você pode monitorar tentativas de conexão com instâncias de máquina virtual (VM) que tenham o Login do SO habilitado visualizando os logs de auditoria do Login do SO. Esses logs de auditoria estão sempre habilitados e não podem ser desabilitados usando configurações de acesso a dados .
Você também pode acompanhar eventos e atividades relacionadas ao login do SO, como adição, exclusão ou atualização de uma chave SSH ou exclusão de informações POSIX com o SDK Admin do Google Workspace .
Antes de começar
- Se ainda não o fez, configure a autenticação. Autenticação é o processo pelo qual sua identidade é verificada para acesso a Google Cloud serviços e APIs. Para executar códigos ou amostras em um ambiente de desenvolvimento local, você pode se autenticar no Compute Engine selecionando uma das seguintes opções:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
After installing the Google Cloud CLI, initialize it by running the following command:
gcloud initIf you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
- Set a default region and zone.
No console do Google Cloud, acesse a página do Logs Explorer .
No campo Consulta , insira a seguinte consulta:
protoPayload.serviceName="oslogin.googleapis.com"
Se o evento que você procura aconteceu há mais de uma hora, defina um período de tempo personalizado clicando no símbolo do relógio e inserindo um intervalo personalizado.
Clique em Executar consulta . Os resultados são exibidos na seção Resultados da consulta .
Clique na seta expansora ao lado de cada resultado para mostrar informações detalhadas.
Para saber mais sobre os tipos de logs de auditoria de login do sistema operacional e o que eles significam, continue na seção Revisar logs de auditoria de login do sistema operacional deste documento.
Visualize os registros de auditoria da nuvem usando o comando
gcloud logging read:gcloud logging read --freshness=TIME 'protoPayload.serviceName="oslogin.googleapis.com"'
Substitua
TIMEpela quantidade de tempo que você deseja consultar. Por exemplo,1hconsulta entradas de log na última hora. Para obter informações sobre formatos de data e hora, consulte o tópico gcloud datetimes .Os resultados são exibidos.
Para saber mais sobre os tipos de logs de auditoria de login do sistema operacional e o que eles significam, continue na seção Revisar logs de auditoria de login do sistema operacional deste documento.
- Para conexões de autenticação de dois fatores (2FA), uma conexão bem-sucedida é indicada por uma chamada
CheckPolicye uma chamadaContinueSessionbem-sucedidas. - Para conexões não 2FA, uma resposta bem-sucedida indica que o usuário se conectou à VM.
- Saiba mais sobre a linguagem de consulta do Logging para personalizar suas consultas de log de auditoria de login do sistema operacional.
- Saiba como as conexões SSH com VMs Linux funcionam no Compute Engine.
Ver registros de auditoria de login do sistema operacional
Para exibir uma lista de logs de auditoria de login do sistema operacional, consulte os logs de auditoria da nuvem.
Console
gcloud
Revise os registros de auditoria de login do sistema operacional
Revise o campo
methodNamedos logs de auditoria para saber mais sobre os tipos de tentativas de conexão com VMs que têm o Login do SO habilitado e os usuários que iniciaram essas tentativas de conexão.Expanda a seção
protoPayloadpara visualizar o campomethodNamepara a tentativa de conexão. Para saber o que cada campomethodNamesignifica, consulte a tabela a seguir:Método Tipo de conexão Descrição google.cloud.oslogin.dataplane.OsLoginDataPlaneService.ListLoginProfilesTodas as conexões de login do sistema operacional Indica uma solicitação para listar os usuários com perfis de Login do SO no mesmo projeto que a VM ou uma solicitação para pesquisar o perfil de um usuário individual.
Essa chamada ocorre quando um usuário tenta se conectar a uma VM. O agente de login do sistema operacional também chama esse método regularmente para atualizar o cache de login.
google.cloud.oslogin.dataplane.OsLoginDataPlaneService.CheckPolicyTodas as conexões de login do sistema operacional Indica uma tentativa de conexão com uma VM:
Expanda a seção
authenticationInfopara visualizar o campoprincipalEmail. O campoprincipalEmailmostra o endereço de email do usuário que tentou se conectar à VM.google.cloud.oslogin.dataplane.OsLoginDataPlaneService.StartSessionConexões 2FA de login do sistema operacional Indica uma nova sessão de autenticação 2FA. Numa chamada StartSession, um cliente declara suas capacidades ao servidor e obtém informações sobre os desafios disponíveis.google.cloud.oslogin.dataplane.OsLoginDataPlaneService.ContinueSessionConexões 2FA de login do sistema operacional Indica uma continuação de uma sessão de autenticação. O cliente conclui o desafio proposto pelo servidor na chamada ou solicitações anteriores
StartSessione conclui um tipo de desafio diferente. Em seguida, o métodoContinueSessionaceita a resposta ao desafio ou método e autentica ou rejeita a tentativa de autenticação.Propriedades do log de auditoria de login do SO
As seções a seguir descrevem as propriedades dos logs de auditoria. Algumas propriedades são comuns em todos os logs de auditoria e outras propriedades são específicas dos métodos
CheckPolicy,StartSessioneContinueSession.Propriedades comuns do log de auditoria de login do sistema operacional
As propriedades listadas na tabela a seguir são comuns a todos os logs de auditoria de Login do SO.
Propriedade Valor serviceNameoslogin.googleapis.comresourceNameUma string contendo o número do projeto que indica a qual solicitação de login pertence o log de auditoria. Por exemplo, projects/myproject12345.severityO nível de gravidade da mensagem de log. Por exemplo, INFOouWARNING. Para saber mais sobre os níveis de gravidade, consulte LogSeverity .authenticationInfo.principalEmailO endereço de e-mail do usuário que o método está autenticando. request.numericProjectIdO número do projeto do Google Cloud. Propriedades do log de auditoria
ListLoginProfilesAs propriedades listadas na tabela a seguir se aplicam aos logs de auditoria
ListLoginProfiles.Propriedade Valor methodNamegoogle.cloud.oslogin.dataplane.OsLoginDataPlaneService.ListLoginProfilesrequest.@typetype.googleapis.com/google.cloud.oslogin.dataplane.ListLoginProfilesRequestPropriedades do log de auditoria
CheckPolicyAs propriedades listadas na tabela a seguir se aplicam aos logs de auditoria
CheckPolicy.Propriedade Valor methodNamegoogle.cloud.oslogin.dataplane.OsLoginDataPlaneService.CheckPolicyrequest.@typetype.googleapis.com/google.cloud.oslogin.dataplane.CheckPolicyRequestrequest.policyA permissão que está sendo verificada. Ou LOGIN, que verifica se o usuário está autorizado a efetuar login na VM, ouADMIN_LOGIN, que verifica se o usuário está autorizado a ter acesso administrativo na VM.response.successO resultado da verificação request.policyLOGINouADMIN_LOGIN.trueoufalse, dependendo se o usuário está autorizado para a política especificada.Propriedades do log de auditoria
StartSessionAs propriedades listadas na tabela a seguir se aplicam aos logs de auditoria
StartSession, para VMs que têm o Login do SO 2FA habilitado.Propriedade Valor methodNamegoogle.cloud.oslogin.dataplane.OsLoginDataPlaneService.StartSessionrequest.@typetype.googleapis.com/google.cloud.oslogin.dataplane.StartSessionRequestrequest.supportedChallengeTypesA lista de tipos de desafio ou métodos 2FA que você pode escolher. response.authenticationStatusStatus da sessão. Um entre Authenticated,Challenge requiredouChallenge pending.response.sessionIdUma string de ID que identifica exclusivamente a sessão. Esse ID de sessão é passado para a chamada ContinueSessionna sequência.response.challengesO conjunto de desafios que você pode tentar superar durante esta rodada de autenticação. No máximo, um desses desafios é iniciado e tem o status READY. Os demais são fornecidos como opções que o usuário pode especificar como alternativa ao desafio principal proposto.Propriedades do log de auditoria
ContinueSessionAs propriedades listadas na tabela a seguir se aplicam aos logs de auditoria
ContinueSession, para VMs que têm o Login do SO 2FA habilitado.Propriedade Valor methodNamegoogle.cloud.oslogin.dataplane.OsLoginDataPlaneService.ContinueSessionrequest.sessionIdUma string de ID que identifica exclusivamente a sessão anterior. Este ID de sessão é passado pela chamada StartSession.request.@typetype.googleapis.com/google.cloud.oslogin.dataplane.ContinueSessionRequestrequest.challengeIdUma string de ID que identifica qual desafio iniciar ou executar. Esse ID deve pertencer a um tipo de desafio retornado da response.challengesna respostaStartSession.request.actionA ação a ser executada para completar o desafio. response.authenticationStatusStatus da sessão. Por exemplo, Authenticated,Challenge requiredouChallenge pending.response.challenges.statusSUCCESSindica que um usuário se conectou com sucesso à VM.response.challengesO conjunto de desafios que você pode tentar superar nesta rodada de autenticação. No máximo, um desses desafios é iniciado e tem o status READY. Os demais são fornecidos como opções que o usuário pode especificar como alternativa ao desafio principal proposto.O que vem a seguir?
Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.
Última atualização 2025-04-21 UTC.
-