Descripción general

En este lab, investigarás sobre los Registros de auditoría de Cloud. Los registros de auditoría de Cloud mantienen dos registros de auditoría para cada proyecto y organización: actividad del administrador y acceso a los datos.

Los servicios de Google Cloud escriben entradas de registro de auditoría en estos registros para ayudarte a responder las preguntas como “¿Quién hizo qué, dónde y cuándo?” dentro de tus proyectos de Google Cloud.

Objetivos

En este lab, aprenderás a realizar las siguientes tareas:

• Ver los registros de auditoría en la página Actividad.
• Ver y filtrar registros de auditoría en Cloud Logging.
• Obtener entradas de registro con gcloud.
• Exportar registros de auditoría.

Configuración y requisitos

En cada lab, recibirá un proyecto de Google Cloud y un conjunto de recursos nuevos por tiempo limitado y sin costo adicional.

1. Accede a Qwiklabs desde una ventana de incógnito.

2. Ten en cuenta el tiempo de acceso del lab (por ejemplo, 1:15:00) y asegúrate de finalizarlo en el plazo asignado.
   No existe una función de pausa. Si lo necesita, puede reiniciar el lab, pero deberá hacerlo desde el comienzo.

3. Cuando esté listo, haga clic en Comenzar lab.

4. Anote las credenciales del lab (el nombre de usuario y la contraseña). Las usarás para acceder a la consola de Google Cloud.

5. Haga clic en Abrir Google Console.

6. Haga clic en Usar otra cuenta, copie las credenciales para este lab y péguelas en el mensaje emergente que aparece.
   Si usa otras credenciales, se generarán errores o incurrirá en cargos.

7. Acepta las condiciones y omite la página de recursos de recuperación.

Activa Google Cloud Shell

Google Cloud Shell es una máquina virtual que cuenta con herramientas para desarrolladores. Ofrece un directorio principal persistente de 5 GB y se ejecuta en Google Cloud.

Google Cloud Shell proporciona acceso de línea de comandos a tus recursos de Google Cloud.

1. En la consola de Cloud, en la barra de herramientas superior derecha, haz clic en el botón Abrir Cloud Shell.

   

2. Haz clic en Continuar.

El aprovisionamiento y la conexión al entorno demorarán unos minutos. Cuando te conectes, habrás completado la autenticación, y el proyecto estará configurado con tu PROJECT_ID. Por ejemplo:

gcloud es la herramienta de línea de comandos de Google Cloud. Viene preinstalada en Cloud Shell y es compatible con el completado de línea de comando.

• Puedes solicitar el nombre de la cuenta activa con este comando:

gcloud auth list

Resultado:

Credentialed accounts: - @.com (active)

Resultado de ejemplo:

Credentialed accounts: - google1623327_student@qwiklabs.net

• Puedes solicitar el ID del proyecto con este comando:

gcloud config list project

Resultado:

[core] project =

Resultado de ejemplo:

[core] project = qwiklabs-gcp-44776a13dea667a6 Nota: La documentación completa de gcloud está disponible en la guía de descripción general de gcloud CLI .

Verifica los permisos del proyecto

Antes de comenzar a trabajar en Google Cloud, asegúrate de que tu proyecto tenga los permisos correctos en Identity and Access Management (IAM).

1. En la consola de Google Cloud, en el Menú de navegación (), selecciona IAM y administración > IAM.

2. Confirma que aparezca la cuenta de servicio predeterminada de Compute {número-del-proyecto}-compute@developer.gserviceaccount.com, y que tenga asignado el rol Editor. El prefijo de la cuenta es el número del proyecto, que puedes encontrar en el Menú de navegación > Descripción general de Cloud > Panel.

Nota: Si la cuenta no aparece en IAM o no tiene asignado el rol “Editor”, sigue los pasos que se indican a continuación para asignar el rol necesario.

1. En el menú de navegación () de la consola de Google Cloud, haz clic en Descripción general de Cloud > Panel.
2. Copia el número del proyecto (p. ej., 729328892908).
3. En el Menú de navegación, selecciona IAM y administración > IAM.
4. En la parte superior de la página de IAM, haz clic en + Otorgar acceso.
5. En Principales nuevas, escribe lo siguiente:

{project-number}-compute@developer.gserviceaccount.com

6. Reemplaza {número-del-proyecto} por el número de tu proyecto.
7. En Seleccionar un rol, elige Proyecto (o Básico) > Editor.
8. Haz clic en Guardar.

Tarea 1. Habilita los registros de auditoría de acceso a los datos

En esta tarea, habilitarás los registros de auditoría de acceso a los datos.

Los registros de auditoría de acceso a los datos (excepto BigQuery) están inhabilitados de forma predeterminada, así que primero debes habilitar todos los registros de auditoría. Logging cobra por el volumen de datos de registro que exceden la asignación de registros mensuales gratis.

Todos los registros recibidos por Logging se tienen en cuenta para el límite de asignación de registros, excepto los registros de auditoría de Cloud que están habilitados de forma predeterminada. Esto incluye todos los registros de auditoría de actividad del administrador de Google Cloud, los registros de eventos del sistema y los registros de auditoría de acceso a los datos solo de BigQuery.

1. Si aún no activaste Cloud Shell, en la barra de título de la consola de Google Cloud, haz clic en Activar Cloud Shell (). Si se solicita, haz clic en Continuar.
2. En el símbolo del sistema, ejecuta este comando para recuperar la política de IAM actual de tu proyecto y guárdala como policy.json:

gcloud projects get-iam-policy $DEVSHELL_PROJECT_ID \ --format=json >./policy.json

3. Haz clic en el botón de Abrir editor para ver el editor de código de Cloud Shell.

Si un error indica que no se pudo cargar el editor de código debido a que las cookies de terceros están inhabilitadas, haz clic en Abrir en una ventana nueva y cambia a la pestaña nueva.

4. En el editor de código de Cloud Shell, haz clic en el archivo policy.json para exponer su contenido.
5. Agrega el siguiente texto al archivo policy.json para habilitar los registros de auditoría de acceso a los datos para todos los servicios. Este texto debe agregarse justo después del primer { y antes de "vinculaciones": [ (asegúrate de no cambiar nada más en el archivo).

"auditConfigs": [ { "service": "allServices", "auditLogConfigs": [ { "logType": "ADMIN_READ" }, { "logType": "DATA_READ" }, { "logType": "DATA_WRITE" } ] } ],

El archivo tendrá un aspecto similar al siguiente.

6. Haz clic en el botón Abrir terminal para volver a la línea de comandos de Cloud Shell.
7. En la línea de comandos, ejecuta el siguiente comando para configurar la política de IAM:

gcloud projects set-iam-policy $DEVSHELL_PROJECT_ID \ ./policy.json

El comando devolverá y mostrará la siguiente política de IAM nueva.

Tarea 2. Genera algo de actividad de la cuenta

En esta tarea, crearás recursos que generan actividad de registro que puedes ver en los registros de auditoría de Cloud.

• En Cloud Shell, ejecuta los siguientes comandos para crear algunos recursos. Esto generará algo de actividad que podrás ver en los registros de auditoría:

gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID echo "this is a sample file" > sample.txt gcloud storage cp sample.txt gs://$DEVSHELL_PROJECT_ID gcloud compute networks create mynetwork --subnet-mode=auto gcloud compute instances create default-us-vm \ --machine-type=e2-micro \ --zone={{{ project_0.default_zone | "ZONE" }}} --network=mynetwork gcloud storage rm -r gs://$DEVSHELL_PROJECT_ID

Tarea 3. Visualiza los registros de actividad del administrador

En esta tarea, verás los registros de actividad del administrador.

Los registros de actividad del administrador contienen entradas de registro de las llamadas a la API o las otras acciones administrativas que modifican la configuración o los metadatos de los recursos. Por ejemplo, los registros inspeccionan cuándo se crean las instancias de VM y las aplicaciones de App Engine, así como cuándo se cambian los permisos.

Para ver los registros, debes tener los roles de Cloud Identity and Access Management de Registros/Visor de registros o Proyecto/Visualizador.

Los registros de actividad del administrador siempre están habilitados para que no sea necesario habilitarlos. No se te cobra por tus registros de auditoría de actividad del administrador.

Nota: Puedes ver las entradas de registro de auditoría en el visor de registros, en Cloud Logging y en el SDK de Cloud. También puedes exportar las entradas de registro de auditoría a Pub/Sub, BigQuery o Cloud Storage.

Usa la página de Cloud Logging

1. En el menú de navegación () de la consola de Google Cloud, haz clic en Ver todos los productos > Observabilidad > Logging > Explorador de registros.

2. Copia y pega lo siguiente en el campo Compilador de consultas.

logName = ("projects/{{{ project_0.project_id | "PROJECT_ID" }}}/logs/cloudaudit.googleapis.com%2Factivity")

3. Haz clic en el botón Ejecutar consulta.

4. Localiza la entrada de registro que indica que se borró un bucket de Cloud Storage. Esta entrada se referirá a storage.googleapis.com, que llama al método storage.buckets.delete para borrar un bucket. El nombre del bucket es el mismo que tu ID del proyecto.

5. En esa entrada, haz clic en el texto storage.googleapis.com y selecciona Mostrar las entradas coincidentes.

6. Ten en cuenta que se agregó una línea al cuadro de texto de vista previa de la consulta (localizado donde estaba el compilador de consultas) para mostrar solo los eventos de almacenamiento.

   logName = ("projects/{{{ project_0.project_id | "PROJECT_ID" }}}/logs/cloudaudit.googleapis.com%2Factivity") protoPayload.serviceName="storage.googleapis.com"

   Ahora solo deberías ver las entradas de Cloud Storage.

7. En esa entrada, haz clic en el texto storage.buckets.delete y selecciona Mostrar las entradas coincidentes.

8. Ten en cuenta que se agregó una línea al cuadro de texto de vista previa de la consulta y ahora solo puedes ver las entradas de eliminación de almacenamiento.

Esta técnica permite localizar con facilidad los eventos deseados.

9. En los resultados de Consulta, expande la entrada Borrar Cloud Storage y luego expande el campo de protoPayload.

10. Expande el campo de authenticationInfo y notarás que puedes ver la dirección de correo electrónico del usuario que realizó esta acción.

Si lo deseas, puedes explorar otros campos en la entrada.

Usa el SDK de Cloud

Las entradas de registro se pueden leer con el comando SDK de Cloud.

Resultado de ejemplo:

gcloud logging read [FILTER]

• En el panel de Cloud Shell, usa este comando para recuperar solo la actividad de auditoría y borrar los buckets de almacenamiento:

Nota: Si Cloud Shell está desconectado, haz clic en Reconectar. gcloud logging read \ "logName=projects/$DEVSHELL_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity \ AND protoPayload.serviceName=storage.googleapis.com \ AND protoPayload.methodName=storage.buckets.delete"

Tarea 4. Exporta los registros de auditoría

En esta tarea, exportarás los registros de auditoría. Las entradas de registro de auditoría individuales se conservan durante un período específico y, luego, se borran. La Política de cuotas de Cloud Logging explica por cuánto tiempo se conservan las entradas de registro. No puedes borrar o modificar los registros de auditoría o sus entradas.

Tipo de registro de auditoría	Período de retención
Actividad del administrador	400 días
Acceso a los datos	30 días

Para una retención más duradera, puedes exportar entradas de registro de auditoría como cualquier otra entrada de registro de Cloud Logging y conservarlas durante el tiempo que desees.

Exporta registros de auditoría

Cuando exportas registros, el filtro actual se aplicará a lo que se exporte.

1. En el Explorador de registros, ingresa una cadena de consulta en el Compilador de consultas para mostrar todos los registros de auditoría (esto se puede hacer si se borran todas las líneas del filtro excepto la primera). Tu filtro se verá como lo que se muestra a continuación:

logName = ("projects/{{{ project_0.project_id | "PROJECT_ID" }}}/logs/cloudaudit.googleapis.com%2Factivity")

2. Haz clic en el botón Ejecutar consulta.
3. Haz clic en el botón Acciones > Crear receptor.
4. Para el Nombre del receptor, ingresa AuditLogsExport y haz clic en Siguiente.
5. En Selecciona el servicio del receptor, selecciona Conjunto de datos de BigQuery.
6. En Selecciona un conjunto de datos de BigQuery, selecciona Crear nuevo conjunto de datos de BigQuery.
7. En ID del conjunto de datos, ingresa auditlogs_dataset y luego haz clic en Crear conjunto de datos.
8. Desmarca la casilla de verificación Usar tablas particionadas, si ya está seleccionada, y haz clic en Siguiente.
9. En el cuadro de lista de Crea un filtro de inclusión, asegúrate de que este filtro de texto sea el siguiente:

logName = ("projects/{{{ project_0.project_id | "PROJECT_ID" }}}/logs/cloudaudit.googleapis.com%2Factivity")

10. Haz clic en el botón Crear receptor. Aparecerá la página Receptores de enrutadores de registros. Ahora, haz clic en Enrutador de registros.

En esta página, deberías poder ver el receptor AuditLogsExport.

11. A la derecha del receptor AuditLogsExport, haz clic en el botón con tres puntos () y selecciona Ver detalles del receptor.

Esto mostrará información sobre el receptor que creaste.

12. Haz clic en Cancelar cuando termines.

Nota: También podrías exportar entradas de registro a Pub/Sub o a Cloud Storage. Exportar a Pub/Sub puede ser útil si deseas pasar por un proceso ETL antes de almacenar en una base de datos (Cloud Operations > PubSub > Dataflow > BigQuery/Bigtable). Cuando exportas a Cloud Storage, las entradas se procesarán por lotes y se escribirán en objetos de Cloud Storage aproximadamente una vez por hora. Nota: Todos los registros futuros se exportarán ahora a BigQuery y las herramientas de BigQuery podrán usarse para realizar análisis de los datos del registro de auditoría. La exportación no exporta las entradas de registro existentes.

13. En Cloud Shell, ejecuta los siguientes comandos para generar más actividad que verás en los registros de auditoría exportados a BigQuery:

gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID-test echo "this is another sample file" > sample2.txt gcloud storage cp sample.txt gs://$DEVSHELL_PROJECT_ID-test gcloud compute instances delete --zone={{{ project_0.default_zone | "ZONE" }}} \ --delete-disks=all default-us-vm

Si se solicita, ingresa y.

gcloud storage rm -r gs://$DEVSHELL_PROJECT_ID gcloud storage rm -r gs://$DEVSHELL_PROJECT_ID-test

Tarea 5. Usa BigQuery para analizar los registros

En esta tarea, exportarás los registros al conjunto de datos de BigQuery. Luego analizarás los registros con el editor de Consultas.

Nota: Cuando exportas registros a un conjunto de datos de BigQuery, Cloud Logging crea tablas con fecha para contener las entradas de registro exportadas. Las entradas de registro se colocan en tablas cuyos nombres se basan en los nombres de las entradas de registro.

1. En el menú de navegación () de la consola de Google Cloud, haz clic en BigQuery y, luego, en Listo.

2. En el panel izquierdo, en la sección Explorar, haz clic en tu proyecto. Este comienza con (qwiklabs-gcp-xxx). Deberías ver un conjunto de datos auditlogs_dataset debajo.

3. Verifica que el conjunto de datos de BigQuery tiene los permisos adecuados para permitir que el escritor de exportación almacene entradas de registro. Haz clic en el conjunto de datos auditlogs_dataset.

4. En el menú desplegable de Compartir, selecciona Permisos.

5. En la página de Permisos de conjunto de datos, verás que la cuenta de servicio aparece como miembro de Editor de datos de BigQuery. Si todavía no figura en la lista, puedes agregar una cuenta de servicio desde Agregar principal y otorgarle el rol de editor de datos.

6. Haz clic en el botón Cerrar para cerrar la pantalla de Compartir conjunto de datos.
7. Expande el conjunto de datos para ver la tabla con tus registros exportados (haz clic en el ícono de expandir para expandir el conjunto de datos).
8. Haz clic en el nombre de la tabla y tómate un momento para revisar los esquemas y detalles de las tablas que están en uso.
9. Haz clic en el botón Consulta.
10. En Cloud Shell, ejecuta los siguientes comandos otra vez para generar más actividad que verás en los registros de auditoría exportados a BigQuery:

gcloud compute instances create default-us-vm \ --zone={{{ project_0.default_zone | "ZONE" }}} --network=mynetwork gcloud compute instances delete --zone={{{ project_0.default_zone | "ZONE" }}} \ --delete-disks=all default-us-vm

Si se solicita, ingresa y.

gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID-test gcloud storage rm -r gs://$DEVSHELL_PROJECT_ID gcloud storage rm -r gs://$DEVSHELL_PROJECT_ID-test

11. Borra el texto que aparece en la ventana Editor de consultas y pega la consulta de abajo. Esta consulta mostrará los usuarios que borraron máquinas virtuales en los últimos 7 días.

#standardSQL SELECT timestamp, resource.labels.instance_id, protopayload_auditlog.authenticationInfo.principalEmail, protopayload_auditlog.resourceName, protopayload_auditlog.methodName FROM `auditlogs_dataset.cloudaudit_googleapis_com_activity_*` WHERE PARSE_DATE('%Y%m%d', _TABLE_SUFFIX) BETWEEN DATE_SUB(CURRENT_DATE(), INTERVAL 7 DAY) AND CURRENT_DATE() AND resource.type = "gce_instance" AND operation.first IS TRUE AND protopayload_auditlog.methodName = "v1.compute.instances.delete" ORDER BY timestamp, resource.labels.instance_id LIMIT 1000

12. Haz clic en el botón Ejecutar. Después de un par de segundos, verás cada vez que alguien ha borrado una máquina virtual en los últimos 7 días. Deberías ver dos entradas, que es la actividad que generaste en este lab. Recuerda que en BigQuery solo se muestra la actividad desde que se creó la exportación.
13. Borra el texto en la ventana de Editor de consulta y pega la consulta de abajo. Esta consulta mostrará los usuarios que borraron buckets de almacenamiento en los últimos 7 días.

#standardSQL SELECT timestamp, resource.labels.bucket_name, protopayload_auditlog.authenticationInfo.principalEmail, protopayload_auditlog.resourceName, protopayload_auditlog.methodName FROM `auditlogs_dataset.cloudaudit_googleapis_com_activity_*` WHERE PARSE_DATE('%Y%m%d', _TABLE_SUFFIX) BETWEEN DATE_SUB(CURRENT_DATE(), INTERVAL 7 DAY) AND CURRENT_DATE() AND resource.type = "gcs_bucket" AND protopayload_auditlog.methodName = "storage.buckets.delete" ORDER BY timestamp, resource.labels.instance_id LIMIT 1000

14. Haz clic en el botón Ejecutar. Después de un par de segundos, verás entradas que muestran cada vez que alguien ha borrado un bucket de almacenamiento en los últimos 7 días.

Nota: Como puedes ver, la habilidad para analizar los registros de auditoría en BigQuery es muy poderosa. En esta actividad, viste solo dos ejemplos de consulta de registros de auditoría.

Haz clic en Revisar mi progreso para verificar el objetivo. Exportar registros de auditoría y usar BigQuery para analizar registros

Felicitaciones

En este lab, hiciste lo siguiente:

• Viste los registros de auditoría en la página Actividad.

• Viste y filtraste los registros de auditoría en Cloud Operations.

• Recuperaste entradas de registros con gcloud.

• Exportaste registros de auditoría.

Finalice su lab

Cuando haya completado el lab, haga clic en Finalizar lab. Google Cloud Skills Boost quitará los recursos que usó y limpiará la cuenta.

Tendrá la oportunidad de calificar su experiencia en el lab. Seleccione la cantidad de estrellas que corresponda, ingrese un comentario y haga clic en Enviar.

La cantidad de estrellas indica lo siguiente:

• 1 estrella = Muy insatisfecho
• 2 estrellas = Insatisfecho
• 3 estrellas = Neutral
• 4 estrellas = Satisfecho
• 5 estrellas = Muy satisfecho

Puede cerrar el cuadro de diálogo si no desea proporcionar comentarios.

Para enviar comentarios, sugerencias o correcciones, use la pestaña Asistencia.

Copyright 2025 Google LLC. Todos los derechos reservados. Google y el logotipo de Google son marcas de Google LLC. El resto de los nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que están asociados.