Informações gerais

Neste laboratório, você vai saber mais sobre os Registros de auditoria do Cloud. Os Registros de auditoria do Cloud mantêm dois registros para cada projeto e organização: Atividade do administrador e Acesso a dados.

Os serviços do Google Cloud gravam entradas de auditoria nesses registros para ajudar a responder às perguntas sobre "quem fez o quê, onde e quando?" nos seus projetos do Google Cloud.

Objetivos

Neste laboratório, você vai aprender a:

• Acessar os registros de auditoria na página Atividade.
• Acessar e filtrar registros de auditoria no Cloud Logging.
• Recuperar entradas de registro com a gcloud.
• Exportar registros de auditoria.

Configuração e requisitos

Para cada laboratório, você recebe um novo projeto do Google Cloud e um conjunto de recursos por um determinado período e sem custos financeiros.

1. Faça login no Qwiklabs em uma janela anônima.

2. Confira o tempo de acesso do laboratório (por exemplo, 1:15:00) e finalize todas as atividades nesse prazo.
   Não é possível pausar o laboratório. Você pode reiniciar o desafio, mas vai precisar refazer todas as etapas.

3. Quando tudo estiver pronto, clique em Começar o laboratório.

4. Anote as credenciais (Nome de usuário e Senha). É com elas que você vai fazer login no Console do Google Cloud.

5. Clique em Abrir Console do Google.

6. Clique em Usar outra conta, depois copie e cole as credenciais deste laboratório nos locais indicados.
   Se você usar outras credenciais, vai receber mensagens de erro ou cobranças.

7. Aceite os termos e pule a página de recursos de recuperação.

Ative o Google Cloud Shell

O Google Cloud Shell é uma máquina virtual com ferramentas de desenvolvimento. Ele tem um diretório principal permanente de 5 GB e é executado no Google Cloud.

O Cloud Shell oferece acesso de linha de comando aos recursos do Google Cloud.

1. No console do Cloud, clique no botão "Abrir o Cloud Shell" na barra de ferramentas superior direita.

   

2. Clique em Continuar.

O provisionamento e a conexão do ambiente podem demorar um pouco. Quando você estiver conectado, já estará autenticado, e o projeto estará definido com seu PROJECT_ID. Exemplo:

A gcloud é a ferramenta de linha de comando do Google Cloud. Ela vem pré-instalada no Cloud Shell e aceita preenchimento com tabulação.

• Para listar o nome da conta ativa, use este comando:

gcloud auth list

Saída:

Credentialed accounts: - @.com (active)

Exemplo de saída:

Credentialed accounts: - google1623327_student@qwiklabs.net

• Para listar o ID do projeto, use este comando:

gcloud config list project

Saída:

[core] project =

Exemplo de saída:

[core] project = qwiklabs-gcp-44776a13dea667a6 Observação: a documentação completa da gcloud está disponível no guia com informações gerais sobre a gcloud CLI .

Verifique as permissões do projeto

Antes de começar a trabalhar no Google Cloud, veja se o projeto tem as permissões corretas no Identity and Access Management (IAM).

1. No console do Google Cloud, em Menu de navegação (), selecione IAM e administrador > IAM.

2. Confira se a conta de serviço padrão do Compute {project-number}-compute@developer.gserviceaccount.com está na lista e recebeu o papel de editor. O prefixo da conta é o número do projeto, que está no Menu de navegação > Visão geral do Cloud > Painel.

Observação: se a conta não estiver no IAM ou não tiver o papel de "editor", siga as etapas abaixo.

1. No console do Google Cloud, no Menu de navegação (), clique em Visão geral do Cloud > Painel.
2. Copie o número do projeto, por exemplo, 729328892908.
3. Em Menu de navegação, clique em IAM e administrador > IAM.
4. Na parte de cima da página do IAM, clique em + Conceder acesso.
5. Em Novos principais, digite:

{project-number}-compute@developer.gserviceaccount.com

6. Substitua {project-number} pelo número do seu projeto.
7. Em Selecionar um papel, clique em Projeto (ou Básico) > Editor.
8. Clique em Salvar.

Tarefa 1: ativar registros de auditoria de acesso a dados

Nesta tarefa, você vai ativar os registros de auditoria de acesso a dados.

Registros de auditoria de acesso a dados são desativados por padrão (exceto para o BigQuery), por isso todos os registros de auditoria precisam ser ativados. O Logging faz cobranças com base no volume de dados de registros que exceder a cota mensal gratuita de registros.

Todos os registros recebidos pelo Logging contam para o limite de cota, exceto pelos Registros de auditoria do Cloud ativados por padrão. Isso inclui todos os registros de auditoria de atividade do administrador do Google Cloud, logs de eventos do sistema e registros de auditoria de acesso a dados apenas do BigQuery.

1. Se você ainda não tiver feito isso, na barra de título do console do Google Cloud, clique em Ativar Cloud Shell (). Se for solicitado, clique em Continuar.
2. No prompt de comando, execute o comando a seguir para recuperar a política IAM atual para seu projeto e salvá-la como policy.json:

gcloud projects get-iam-policy $DEVSHELL_PROJECT_ID \ --format=json >./policy.json

3. Clique no botão Abrir editor para acessar o editor de código do Cloud Shell.

Se um erro indicar que não foi possível carregar o editor porque os cookies de terceiros estavam desativados, clique em Abrir em uma nova janela e mude para a nova guia.

4. No editor de código do Cloud Shell, clique no arquivo policy.json para expor o conteúdo dele.
5. Adicione o texto a seguir ao arquivo policy.json para ativar os registros de auditoria de acesso a dados para todos os serviços. O texto a seguir precisa ser adicionado logo após a primeira { e antes de "bindings": [. (Tome cuidado para não mudar nada além disso no arquivo).

"auditConfigs": [ { "service": "allServices", "auditLogConfigs": [ { "logType": "ADMIN_READ" }, { "logType": "DATA_READ" }, { "logType": "DATA_WRITE" } ] } ],

O arquivo ficará como indicado abaixo.

6. Clique no botão Abrir terminal para voltar à linha de comando do Cloud Shell.
7. Na linha de comando, execute o seguinte seguir para definir a política do IAM:

gcloud projects set-iam-policy $DEVSHELL_PROJECT_ID \ ./policy.json

O comando vai retornar e exibir a nova política do IAM.

Tarefa 2: gerar atividade na conta

Nesta tarefa, você vai criar recursos que geram atividades de registro que podem ser acessados nos Registros de auditoria do Cloud.

• No Cloud Shell, execute os comandos a seguir para criar alguns recursos. Isso vai gerar uma atividade que pode ser consultada nos registros de auditoria:

gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID echo "este é um arquivo de amostra" > sample.txt gcloud storage cp sample.txt gs://$DEVSHELL_PROJECT_ID gcloud compute networks create mynetwork --subnet-mode=auto gcloud compute instances create default-us-vm \ --machine-type=e2-micro \ --zone={{{ project_0.default_zone | "ZONE" }}} --network=mynetwork gcloud storage rm -r gs://$DEVSHELL_PROJECT_ID

Tarefa 3: acessar os registros de atividades do administrador

Nesta tarefa, você vai acessar os registros de atividades do administrador.

Os registros de atividade do administrador contêm entradas de registros para chamadas de API ou de outras ações administrativas que modificam a configuração ou os metadados dos recursos. Por exemplo, os registros são gravados quando instâncias de VM e aplicativos do App Engine são criados e quando permissões são alteradas.

Para consultar os registros, é necessário ter os papéis Geração de registros/Visualizador de registros ou Projeto/Leitor do Cloud Identity and Access Management.

Os registros de atividades do administrador estão sempre ativados. Portanto, isso não precisa ser feito. Os registros de auditoria de atividades do administrador não são cobrados.

Observação: as entradas dos registros de auditoria podem ser acessadas no visualizador de registros, no Cloud Logging e no SDK Cloud. Também é possível exportar entradas de registro de auditoria para o Pub/Sub, o BigQuery ou o Cloud Storage.

Use a página do Cloud Logging

1. No console do Google Cloud, no Menu de navegação (), clique em Ver todos os produtos > Observabilidade > Geração de registros > Análise de registros.

2. Copie e cole o código a seguir no campo Criador de consultas.

logName = ("projects/{{{ project_0.project_id | "PROJECT_ID" }}}/logs/cloudaudit.googleapis.com%2Factivity")

3. Clique no botão Executar consulta.

4. Localize a entrada de registro que indica se um bucket do Cloud Storage foi excluído. A entrada vai se referir a storage.googleapis.com, que chama o método storage.buckets.delete para excluir um bucket. O nome do bucket é o mesmo do seu ID do projeto.

5. Nessa entrada, clique no texto storage.googleapis.com e selecione Mostrar entradas correspondentes.

6. Uma linha foi adicionada à caixa de texto de prévia da consulta (onde o criador de consultas estava) para mostrar apenas eventos do Storage.

   logName = ("projects/{{{ project_0.project_id | "PROJECT_ID" }}}/logs/cloudaudit.googleapis.com%2Factivity") protoPayload.serviceName="storage.googleapis.com"

   Agora só as entradas do Cloud Storage vão aparecer.

7. Nessa entrada, clique no texto storage.buckets.delete e selecione Mostrar entradas correspondentes.

8. Outra linha foi adicionada à caixa de texto de prévia da consulta e agora apenas as entradas de exclusão do Storage aparecem.

Esta técnica pode ser usada para localizar eventos desejados com facilidade.

9. Nos resultados da consulta, expanda a entrada exclusão do Cloud Storage e o campo protoPayload.

10. Expanda o campo authenticationInfo e repare que o endereço de e-mail do usuário que realizou a ação está aparecendo.

Fique à vontade para consultar os outros campos da entrada.

Use o SDK Cloud

As entradas de registro também podem ser lidas usando o comando do SDK Cloud:

Exemplo de saída:

gcloud logging read [FILTER]

• No painel do Cloud Shell, use o comando a seguir para recuperar apenas a atividade de auditoria para exclusão de buckets do Storage:

Observação: se o Cloud Shell estiver desconectado, clique em Reconectar. gcloud logging read \ "logName=projects/$DEVSHELL_PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity \ AND protoPayload.serviceName=storage.googleapis.com \ AND protoPayload.methodName=storage.buckets.delete"

Tarefa 4: exportar os registros de auditoria

Nesta tarefa, você vai exportar registros de auditoria. Entradas individuais de registro de auditoria são mantidas por um período específico e depois excluídas. A política de cotas do Cloud Logging explica por quanto tempo as entradas de registro são mantidas. Não é possível excluir nem modificar os registros de auditoria ou as entradas deles.

Tipo de registro de auditoria	Período de armazenamento
Atividade do administrador	400 dias
Acesso aos dados	30 dias

Para retenções mais longas, é possível exportar entradas de registro de auditoria como qualquer outra entrada de registro do Cloud Logging e mantê-las pelo tempo que for necessário.

Exporte os registros de auditoria

O filtro atual será aplicado aos registros que forem exportados.

1. Na Análise de registros, insira uma string de consulta no Criador de consultas para mostrar todos os registros de auditoria (para isso, basta excluir todas as linhas no filtro, exceto a última). Seu filtro será como mostrado abaixo:

logName = ("projects/{{{ project_0.project_id | "PROJECT_ID" }}}/logs/cloudaudit.googleapis.com%2Factivity")

2. Clique no botão Executar consulta.
3. Clique no botão Ações > Criar coletor.
4. Em Nome do coletor, insira AuditLogsExport e clique em Próxima.
5. Em Selecionar serviço do coletor, escolha o Conjunto de dados do BigQuery.
6. Em Selecionar conjunto de dados do BigQuery, clique em Criar novo conjunto de dados do BigQuery.
7. Em ID do conjunto de dados, insira auditlogs_dataset e clique em Criar conjunto de dados.
8. Desmarque a caixa de seleção Usar tabelas particionadas se ela estiver selecionada. Depois, clique em Próximo.
9. Na caixa de listagem "Criar filtro de inclusão", confirme se o texto do filtro está assim:

logName = ("projects/{{{ project_0.project_id | "PROJECT_ID" }}}/logs/cloudaudit.googleapis.com%2Factivity")

10. Clique no botão Criar coletor. A página "Coletores do Roteador de registros" será exibida. Agora clique em Roteador de registros.

Nessa página, você poderá consultar o coletor AuditLogsExport.

11. À direita do coletor AuditLogsExport, clique no botão com três pontos () e selecione Visualizar detalhes do coletor.

Isso vai mostrar informações sobre o coletor que você criou.

12. Clique em Cancelar quando estiver concluído.

Observação: também é possível exportar as entradas de registros para o Pub/Sub ou o Cloud Storage. Exportar para o Pub/Sub pode ser útil se você quiser passar por um processo ETL antes do armazenamento em um banco de dados (Operações do Cloud > PubSub > Dataflow > BigQuery/Bigtable). Exportar para o Cloud Storage vai agrupar as entradas e gravá-las nos objetos do Cloud Storage aproximadamente uma vez a cada hora. Observação: todos os registros futuros serão exportados para o BigQuery, e as ferramentas do BigQuery poderão ser usadas para fazer análises nos dados de registros de auditoria. A exportação não afeta as entradas de registro atuais.

13. No Cloud Shell, execute os comandos a seguir para gerar mais atividades, que vão aparecer nos registros de auditoria exportados para o BigQuery:

gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID-test echo "este é outro arquivo de amostra" > sample2.txt gcloud storage cp sample.txt gs://$DEVSHELL_PROJECT_ID-test gcloud compute instances delete --zone={{{ project_0.default_zone | "ZONE" }}} \ --delete-disks=all default-us-vm

Quando solicitado, digite y.

gcloud storage rm -r gs://$DEVSHELL_PROJECT_ID gcloud storage rm -r gs://$DEVSHELL_PROJECT_ID-test

Tarefa 5: usar o BigQuery para analisar registros

Nesta tarefa, você vai exportar registros para um conjunto de dados do BigQuery e depois usar o Editor de consultas para analisar os registros.

Observação: quando você exporta registros para um conjunto de dados do BigQuery, o Cloud Logging cria tabelas datadas para manter as entradas exportadas. Essas entradas de registro são colocadas em tabelas com nomes baseados nas entradas.

1. No console do Google Cloud, no Menu de navegação (), clique em BigQuery e em Concluído.

2. No painel esquerdo, abaixo da seção Navegador, clique no seu projeto. Ele começa com (qwiklabs-gcp-xxx). O conjunto de dados auditlogs_dataset vai aparecer logo abaixo.

3. Verifique se o conjunto de dados do BigQuery tem permissões apropriadas para permitir que o gravador de exportação armazene as entradas de registro. Clique no conjunto de dados auditlogs_dataset.

4. No menu suspenso Compartilhamento, selecione Permissões.

5. Na página de permissões do conjunto de dados, a conta de serviço vai aparecer listada como um membro do Editor de dados do BigQuery. Se ela ainda não estiver listada, é possível adicionar uma conta de serviço em Adicionar Principal e conceder o papel de editor de dados a ela.

6. Clique no botão Fechar para fechar a tela Compartilhar conjunto de dados.
7. Expanda o conjunto de dados para conferir a tabela com seus registros de fluxo exportados (expanda o conjunto de dados clicando no ícone de expansão).
8. Clique no nome da tabela e revise os esquemas e detalhes das tabelas que estão em uso.
9. Clique no botão Consulta.
10. No Cloud Shell, execute os comandos a seguir outra vez para gerar mais atividades, que vão aparecer nos registros de auditoria exportados para o BigQuery:

gcloud compute instances create default-us-vm \ --zone={{{ project_0.default_zone | "ZONE" }}} --network=mynetwork gcloud compute instances delete --zone={{{ project_0.default_zone | "ZONE" }}} \ --delete-disks=all default-us-vm

Quando solicitado, digite y.

gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID-test gcloud storage rm -r gs://$DEVSHELL_PROJECT_ID gcloud storage rm -r gs://$DEVSHELL_PROJECT_ID-test

11. Exclua o texto na janela Editor de consultas e cole a consulta a seguir. Ela vai retornar os usuários que excluíram máquinas virtuais nos últimos 7 dias.

#standardSQL SELECT timestamp, resource.labels.instance_id, protopayload_auditlog.authenticationInfo.principalEmail, protopayload_auditlog.resourceName, protopayload_auditlog.methodName FROM `auditlogs_dataset.cloudaudit_googleapis_com_activity_*` WHERE PARSE_DATE('%Y%m%d', _TABLE_SUFFIX) BETWEEN DATE_SUB(CURRENT_DATE(), INTERVAL 7 DAY) AND CURRENT_DATE() AND resource.type = "gce_instance" AND operation.first IS TRUE AND protopayload_auditlog.methodName = "v1.compute.instances.delete" ORDER BY timestamp, resource.labels.instance_id LIMIT 1000

12. Clique no botão Executar. Depois de alguns segundos, vão aparecer todas as exclusões de máquina virtual realizadas nos últimos 7 dias. Duas entradas serão exibidas, que são a atividade que você gerou neste laboratório. Lembre-se que o BigQuery só está mostrando a atividade posterior à criação da exportação.
13. Exclua o texto na janela Query_editor e cole a consulta abaixo. Ela vai retornar os usuários que excluíram buckets do Storage nos últimos 7 dias.

#standardSQL SELECT timestamp, resource.labels.bucket_name, protopayload_auditlog.authenticationInfo.principalEmail, protopayload_auditlog.resourceName, protopayload_auditlog.methodName FROM `auditlogs_dataset.cloudaudit_googleapis_com_activity_*` WHERE PARSE_DATE('%Y%m%d', _TABLE_SUFFIX) BETWEEN DATE_SUB(CURRENT_DATE(), INTERVAL 7 DAY) AND CURRENT_DATE() AND resource.type = "gcs_bucket" AND protopayload_auditlog.methodName = "storage.buckets.delete" ORDER BY timestamp, resource.labels.instance_id LIMIT 1000

14. Clique no botão Executar. Depois de alguns segundos, vão aparecer as entradas que mostram todas as vezes que buckets do Storage foram excluídos nos últimos 7 dias.

Observação: a capacidade de analisar registros de auditoria no BigQuery é muito útil. Nesta atividade, você conferiu dois exemplos de consultas aos registros de auditoria.

Clique em Verificar meu progresso para conferir o objetivo. Exportar registros de auditoria e usar o BigQuery para analisar registros

Parabéns!

Neste laboratório, você:

• Acessou registros de auditoria na página Atividade.

• Acessou e filtrou registros de auditoria nas Operações do Cloud.

• Recuperou as entradas de registro com a gcloud.

• Exportou registros de auditoria.

Finalize o laboratório

Clique em Terminar o laboratório após a conclusão. O Google Cloud Ensina remove os recursos usados e limpa a conta por você.

Você vai poder avaliar sua experiência no laboratório. Basta selecionar o número de estrelas, digitar um comentário e clicar em Enviar.

O número de estrelas indica o seguinte:

• 1 estrela = muito insatisfeito
• 2 estrelas = insatisfeito
• 3 estrelas = neutro
• 4 estrelas = satisfeito
• 5 estrelas = muito satisfeito

Feche a caixa de diálogo se não quiser enviar feedback.

Para enviar seu feedback, fazer sugestões ou correções, use a guia Suporte.

Copyright 2025 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos podem ser marcas registradas das empresas a que estão associados.