Google se compromete a impulsar la igualdad racial para las comunidades afrodescendientes. Obtén información al respecto.

Registro de auditoría para Firebase App Check

En esta página, se describen los registros de auditoría creados por Firebase como parte de Cloud Audit Logs .

Visión de conjunto

Los servicios de Firebase escriben registros de auditoría para ayudarlo a responder las preguntas "¿Quién hizo qué, dónde y cuándo?". Estos son registros de auditoría de la nube, proporcionados como parte del proyecto de Google Cloud conectado a su proyecto de Firebase .

Cada uno de sus proyectos de Firebase contiene solo los registros de auditoría de los recursos que están directamente dentro del proyecto.

Para obtener una descripción general de los registros de auditoría de la nube, consulte Descripción general de los registros de auditoría de la nube. Para obtener una comprensión más profunda del formato del registro de auditoría, consulte Comprender los registros de auditoría .

Registros de auditoría disponibles

Los siguientes tipos de registros de auditoría están disponibles para Firebase App Check:

  • Registros de auditoría de actividad de administrador

    Incluye operaciones de "escritura de administrador" que escriben metadatos o información de configuración.

    No puede deshabilitar los registros de auditoría de la actividad del administrador.

  • Registros de auditoría de acceso a datos

    Incluye operaciones de "lectura de administrador" que leen metadatos o información de configuración. También incluye operaciones de "lectura de datos" y "escritura de datos" que leen o escriben datos proporcionados por el usuario.

    Para recibir registros de auditoría de acceso a datos, debe habilitarlos explícitamente .

Para obtener descripciones más completas de los tipos de registros de auditoría, consulte Tipos de registros de auditoría .

Operaciones auditadas

A continuación se resume qué operaciones de la API corresponden a cada tipo de registro de auditoría en Firebase App Check:

Categoría de registros de auditoría Operaciones de comprobación de aplicaciones de Firebase
operaciones del proyecto
Actividad del administrador Servicio de actualización
Servicios de actualización por lotes
Acceso a datos (ADMIN_READ) ObtenerServicio
ListServices
operaciones de la aplicación
Actividad del administrador UpdateAppAttestConfig
UpdateDeviceCheckConfig
UpdatePlayIntegrityConfig
ActualizarRecaptchaEnterpriseConfig
ActualizarRecaptchaV3Config
ActualizarSafetyNetConfig
CreateDebugToken
ActualizarDebugToken
EliminarDebugToken
Acceso a datos (ADMIN_READ) GetAppAttestConfig
BatchGetAppAttestConfigs
GetDeviceCheckConfig
BatchGetDeviceCheckConfigs
GetPlayIntegrityConfig
BatchGetPlayIntegrityConfigs
GetRecaptchaEnterpriseConfig
BatchGetRecaptchaEnterpriseConfigs
GetRecaptchaV3Config
BatchGetRecaptchaV3Configs
GetSafetyNetConfig
BatchGetSafetyNetConfigs
ObtenerDebugToken
ListDebugTokens

Formato de registro de auditoría

Las entradas del registro de auditoría incluyen los siguientes objetos:

  • La entrada de registro en sí, que es un objeto de tipo LogEntry . Los campos útiles incluyen los siguientes:

    • logName contiene el ID de recurso y el tipo de registro de auditoría.
    • El resource contiene el destino de la operación auditada.
    • El timeStamp de tiempo contiene la hora de la operación auditada.
    • El protoPayload contiene la información auditada.
  • Los datos de registro de auditoría, que es un objeto AuditLog contenido en el campo protoPayload de la entrada de registro.

  • Información de auditoría específica del servicio opcional, que es un objeto específico del servicio. Para integraciones más antiguas, este objeto se mantiene en el campo serviceData del objeto AuditLog ; las integraciones más nuevas utilizan el campo de metadata .

Para conocer otros campos de estos objetos y cómo interpretarlos, consulte Comprender los registros de auditoría .

Nombre de registro

Los nombres de los recursos de Cloud Audit Logs indican el proyecto de Firebase u otra entidad de Google Cloud que posee los registros de auditoría y si el registro contiene datos de registro de auditoría de actividad administrativa, acceso a datos, política denegada o evento del sistema. Por ejemplo, a continuación se muestran los nombres de registro para los registros de auditoría de actividad administrativa a nivel de proyecto y los registros de auditoría de acceso a datos de una organización. Las variables denotan identificadores de proyectos y organizaciones de Firebase.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Nombre del Servicio

Los registros de auditoría de Firebase App Check usan el nombre de servicio firebaseappcheck.googleapis.com .

Para obtener una lista completa de todos los nombres de servicio de la API de Cloud Logging y su tipo de recurso monitoreado correspondiente, consulte Asignar servicios a recursos .

Tipos de recursos

Los registros de auditoría de Firebase App Check usan el tipo de recurso audited_resource para todos los registros de auditoría.

Para obtener una lista de todos los tipos de recursos monitoreados de Cloud Logging e información descriptiva, consulte Tipos de recursos monitoreados .

Habilitar el registro de auditoría

Los registros de auditoría de la actividad del administrador siempre están habilitados; no puedes deshabilitarlos.

Los registros de auditoría de acceso a datos están deshabilitados de forma predeterminada y no se escriben a menos que se habiliten explícitamente (la excepción son los registros de auditoría de acceso a datos para BigQuery, que no se pueden deshabilitar).

Para obtener instrucciones sobre cómo habilitar algunos o todos sus registros de auditoría de acceso a datos, consulte Configurar registros de acceso a datos .

Permisos y roles

Los permisos y las funciones de Cloud IAM determinan su capacidad para acceder a los datos de registros de auditoría en los recursos de Google Cloud.

Al decidir qué permisos y roles específicos de Logging se aplican a su caso de uso, tenga en cuenta lo siguiente:

  • El rol de Visor de registros ( roles/logging.viewer ) le brinda acceso de solo lectura a los registros de auditoría de actividad administrativa, política denegada y eventos del sistema. Si solo tiene este rol, no puede ver los registros de auditoría de acceso a datos que están en el depósito _Default .

  • La función Visor de registros privados (roles/logging.privateLogViewer ) incluye los permisos contenidos en roles/logging.viewer , además de la capacidad de leer los registros de auditoría de acceso a datos en el depósito _Default .

    Tenga en cuenta que si estos registros privados se almacenan en depósitos definidos por el usuario, cualquier usuario que tenga permisos para leer registros en esos depósitos puede leer los registros privados. Para obtener más información sobre depósitos de registro, consulte Descripción general de enrutamiento y almacenamiento .

Para obtener más información sobre los permisos y las funciones de Cloud IAM que se aplican a los datos de registros de auditoría, consulte Control de acceso .

Ver los registros

Para buscar y ver los registros de auditoría, debe conocer el identificador del proyecto, la carpeta o la organización de Firebase cuya información de registro de auditoría desea ver. Puede especificar además otros campos LogEntry indexados, como resource.type ; para obtener más información, consulte Buscar entradas de registro rápidamente .

Los siguientes son los nombres de los registros de auditoría; incluyen variables para los identificadores del proyecto, la carpeta o la organización de Firebase:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Puedes ver los registros de auditoría en Cloud Logging con GCP Console, la herramienta de línea de comandos de gcloud o la API de Logging.

Consola

Puedes usar Logs Explorer en GCP Console para recuperar tus entradas de registro de auditoría para tu proyecto, carpeta u organización de Firebase:

  1. En GCP Console, ve a la página Logging > Logs Explorer .

    Ir a la página del Explorador de registros

  2. En la página Logs Explorer , seleccione un proyecto, carpeta u organización de Firebase existente.

  3. En el panel del generador de consultas , haga lo siguiente:

    • En Tipo de recurso , seleccione el recurso de Google Cloud cuyos registros de auditoría desea ver.

    • En Nombre de registro , seleccione el tipo de registro de auditoría que desea ver:

      • Para los registros de auditoría de la actividad del administrador, seleccione actividad .
      • Para los registros de auditoría de acceso a datos, seleccione data_access .
      • Para los registros de auditoría de eventos del sistema, seleccione system_event .
      • Para los registros de auditoría de política denegada, seleccione la política .

    Si no ve estas opciones, significa que no hay ningún registro de auditoría de ese tipo disponible en el proyecto, la carpeta o la organización de Firebase.

    Para obtener más detalles sobre cómo realizar consultas con Logs Explorer, consulte Crear consultas de registro .

gcloud

La herramienta de línea de comandos de gcloud proporciona una interfaz de línea de comandos para la API de Cloud Logging. Proporcione un PROJECT_ID , FOLDER_ID o ORGANIZATION_ID válido en cada uno de los nombres de registro.

Para leer las entradas del registro de auditoría a nivel de proyecto de Firebase, ejecute el siguiente comando:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID

Para leer las entradas del registro de auditoría a nivel de carpeta, ejecute el siguiente comando:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID

Para leer las entradas del registro de auditoría a nivel de organización, ejecute el siguiente comando:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID

Para obtener más información sobre el uso de la herramienta gcloud , consulta Leer entradas de registro .

API

Al crear sus consultas, reemplace las variables con valores válidos, sustituya el nombre del registro de auditoría adecuado a nivel de proyecto, nivel de carpeta o nivel de organización o los identificadores que se enumeran en los nombres de registro de auditoría. Por ejemplo, si su consulta incluye un PROJECT_ID , el identificador del proyecto que proporcione debe hacer referencia al proyecto de Firebase seleccionado actualmente.

Para utilizar la API de registro para ver las entradas del registro de auditoría, haga lo siguiente:

  1. Vaya a la sección Pruebe esta API en la documentación del método entries.list .

  2. Coloque lo siguiente en la parte del cuerpo de la solicitud del formulario Pruebe esta API . Al hacer clic en este formulario rellenado automáticamente, se completa automáticamente el cuerpo de la solicitud, pero debe proporcionar un PROJECT_ID válido en cada uno de los nombres de registro.

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
    
  3. Haga clic en Ejecutar .

Para obtener más detalles sobre las consultas, consulte Registro de lenguaje de consulta .

Para ver un ejemplo de una entrada de registro de auditoría y cómo encontrar la información más importante en ella, consulte Ejemplo de entrada de registro de auditoría .

Ruta de registros de auditoría

Puede enrutar registros de auditoría a destinos admitidos de la misma manera que puede enrutar otros tipos de registros. Aquí hay algunas razones por las que podría querer enrutar sus registros de auditoría:

  • Para mantener los registros de auditoría durante un período de tiempo más prolongado o para usar capacidades de búsqueda más potentes, puede enrutar copias de sus registros de auditoría a Google Cloud Storage, BigQuery o Google Cloud Pub/Sub. Con Cloud Pub/Sub, puede enrutar a otras aplicaciones, otros repositorios y a terceros.

  • Para administrar sus registros de auditoría en toda una organización, puede crear sumideros agregados que pueden enrutar registros de cualquiera o todos los proyectos de Firebase en la organización.

  • Si sus registros de auditoría de acceso a datos habilitados están impulsando sus proyectos de Firebase sobre sus asignaciones de registros, puede crear sumideros que excluyan los registros de auditoría de acceso a datos de Logging.

Para obtener instrucciones sobre el enrutamiento de registros, consulte Configurar sumideros .

Precios

Los registros de auditoría de actividad del administrador y los registros de auditoría de eventos del sistema no tienen costo.

Los registros de auditoría de acceso a datos y los registros de auditoría de política denegada son cobrables.

Para obtener más información sobre los precios de Cloud Logging, consulta los precios de la suite de operaciones de Google Cloud: Cloud Logging .