O Google tem o compromisso de promover a igualdade racial para as comunidades negras. Saiba como.

Registro de auditoria do Firebase App Check

Esta página descreve os registros de auditoria criados pelo Firebase como parte dos registros de auditoria do Cloud .

Visão geral

Os serviços do Firebase gravam registros de auditoria para ajudar você a responder às perguntas "Quem fez o quê, onde e quando?". Estes são os registros de auditoria do Cloud, fornecidos como parte do projeto do Google Cloud conectado ao seu projeto do Firebase .

Cada um dos seus projetos do Firebase contém apenas os registros de auditoria dos recursos que estão diretamente no projeto.

Para obter uma visão geral dos registros de auditoria do Cloud, consulte Visão geral dos registros de auditoria do Cloud . Para uma compreensão mais profunda do formato do log de auditoria, consulte Entender os logs de auditoria .

Registros de auditoria disponíveis

Os seguintes tipos de registros de auditoria estão disponíveis para o Firebase App Check:

  • Registros de auditoria de atividades do administrador

    Inclui operações de "gravação de administrador" que gravam metadados ou informações de configuração.

    Você não pode desabilitar os logs de auditoria de atividades do administrador.

  • Registros de auditoria de acesso a dados

    Inclui operações de "leitura de administrador" que lêem metadados ou informações de configuração. Também inclui operações de "leitura de dados" e "gravação de dados" que lêem ou gravam dados fornecidos pelo usuário.

    Para receber logs de auditoria de acesso a dados, você deve habilitá-los explicitamente .

Para obter descrições mais completas dos tipos de log de auditoria, consulte Tipos de logs de auditoria .

Operações auditadas

Veja a seguir quais operações de API correspondem a cada tipo de registro de auditoria no Firebase App Check:

Categoria de registros de auditoria Operações do Firebase App Check
Operações do projeto
Atividade do administrador UpdateService
BatchUpdateServices
Acesso a dados (ADMIN_READ) GetService
ListServices
Operações do aplicativo
Atividade do administrador UpdateAppAttestConfig
UpdateDeviceCheckConfig
UpdatePlayIntegrityConfig
UpdateRecaptchaEnterpriseConfig
UpdateRecaptchaV3Config
UpdateSafetyNetConfig
CreateDebugToken
UpdateDebugToken
DeleteDebugToken
Acesso a dados (ADMIN_READ) GetAppAttestConfig
BatchGetAppAttestConfigs
GetDeviceCheckConfig
BatchGetDeviceCheckConfigs
GetPlayIntegrityConfig
BatchGetPlayIntegrityConfigs
GetRecaptchaEnterpriseConfig
BatchGetRecaptchaEnterpriseConfigs
GetRecaptchaV3Config
BatchGetRecaptchaV3Configs
GetSafetyNetConfig
BatchGetSafetyNetConfigs
GetDebugToken
ListarDebugTokens

Formato de registro de auditoria

As entradas do log de auditoria incluem os seguintes objetos:

  • A própria entrada de log, que é um objeto do tipo LogEntry . Os campos úteis incluem o seguinte:

    • O logName contém o ID do recurso e o tipo de log de auditoria.
    • O resource contém o destino da operação auditada.
    • O timeStamp contém a hora da operação auditada.
    • O protoPayload contém as informações auditadas.
  • Os dados de log de auditoria, que é um objeto AuditLog mantido no campo protoPayload da entrada de log.

  • Informações opcionais de auditoria específicas do serviço, que é um objeto específico do serviço. Para integrações mais antigas, esse objeto é mantido no campo serviceData do objeto AuditLog ; integrações mais recentes usam o campo de metadata .

Para outros campos nesses objetos e como interpretá-los, consulte Entender os logs de auditoria .

Nome do registro

Os nomes dos recursos dos registros de auditoria do Cloud indicam o projeto do Firebase ou outra entidade do Google Cloud que possui os registros de auditoria e se o registro contém dados de registro de auditoria de atividade do administrador, acesso a dados, política negada ou evento do sistema. Por exemplo, a seguir mostra os nomes dos logs para logs de auditoria de atividades administrativas em nível de projeto e logs de auditoria de acesso a dados de uma organização. As variáveis ​​denotam identificadores de projeto e organização do Firebase.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Nome do Serviço

Os registros de auditoria do Firebase App Check usam o nome de serviço firebaseappcheck.googleapis.com .

Para obter uma lista completa de todos os nomes de serviço da API Cloud Logging e seu tipo de recurso monitorado correspondente, consulte Mapear serviços para recursos .

Tipos de recursos

Os registros de auditoria do Firebase App Check usam o tipo de recurso audited_resource para todos os registros de auditoria.

Para obter uma lista de todos os tipos de recursos monitorados do Cloud Logging e informações descritivas, consulte Tipos de recursos monitorados .

Ativar registro de auditoria

Os logs de auditoria de atividades do administrador estão sempre ativados; você não pode desativá-los.

Os registros de auditoria de acesso a dados são desativados por padrão e não são gravados, a menos que sejam explicitamente ativados (a exceção são os registros de auditoria de acesso a dados para BigQuery, que não podem ser desativados).

Para obter instruções sobre como habilitar alguns ou todos os logs de auditoria de acesso a dados, consulte Configurar logs de acesso a dados .

Permissões e funções

As permissões e os papéis do Cloud IAM determinam sua capacidade de acessar dados de registros de auditoria nos recursos do Google Cloud.

Ao decidir quais permissões e funções específicas do Logging se aplicam ao seu caso de uso, considere o seguinte:

  • A função Visualizador de logs ( roles/logging.viewer ) oferece acesso somente leitura aos logs de auditoria de atividade do administrador, política negada e eventos do sistema. Se você tiver apenas essa função, não poderá visualizar os logs de auditoria de acesso a dados que estão no bucket _Default .

  • A função Visualizador de logs privados (roles/logging.privateLogViewer ) inclui as permissões contidas em roles/logging.viewer , além da capacidade de ler logs de auditoria de acesso a dados no bucket _Default .

    Observe que, se esses logs privados forem armazenados em buckets definidos pelo usuário, qualquer usuário que tenha permissões para ler os logs nesses buckets poderá ler os logs privados. Para obter mais informações sobre buckets de log, consulte Visão geral de roteamento e armazenamento .

Para obter mais informações sobre as permissões e os papéis do Cloud IAM que se aplicam aos dados de registros de auditoria, consulte Controle de acesso .

Ver registros

Para encontrar e visualizar registros de auditoria, você precisa saber o identificador do projeto, pasta ou organização do Firebase para o qual deseja visualizar as informações de registro de auditoria. Você pode especificar ainda outros campos LogEntry indexados, como resource.type ; para obter detalhes, consulte Localizar entradas de registro rapidamente .

A seguir estão os nomes dos logs de auditoria; eles incluem variáveis ​​para os identificadores do projeto, pasta ou organização do Firebase:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Você pode visualizar os registros de auditoria no Cloud Logging usando o Console do GCP, a ferramenta de linha de comando gcloud ou a API Logging.

Console

Você pode usar o Logs Explorer no console do GCP para recuperar suas entradas de registro de auditoria para seu projeto, pasta ou organização do Firebase:

  1. No Console do GCP, acesse a página Logging > Logs Explorer .

    Acesse a página do Explorador de registros

  2. Na página do Explorador de registros , selecione um projeto, pasta ou organização existente do Firebase.

  3. No painel Construtor de consultas , faça o seguinte:

    • Em Tipo de recurso , selecione o recurso do Google Cloud cujos registros de auditoria você deseja ver.

    • Em Log name , selecione o tipo de log de auditoria que você deseja ver:

      • Para logs de auditoria de atividades do administrador, selecione activity .
      • Para logs de auditoria de acesso a dados, selecione data_access .
      • Para logs de auditoria de eventos do sistema, selecione system_event .
      • Para logs de auditoria de política negada, selecione política .

    Se você não vir essas opções, não há registros de auditoria desse tipo disponíveis no projeto, pasta ou organização do Firebase.

    Para obter mais detalhes sobre como consultar usando o Logs Explorer, consulte Criar consultas de log .

gcloud

A ferramenta de linha de comando gcloud fornece uma interface de linha de comando para a API Cloud Logging. Forneça um PROJECT_ID , FOLDER_ID ou ORGANIZATION_ID válido em cada um dos nomes de log.

Para ler as entradas do registro de auditoria no nível do projeto do Firebase, execute o seguinte comando:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID

Para ler suas entradas de log de auditoria em nível de pasta, execute o seguinte comando:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID

Para ler as entradas do log de auditoria no nível da organização, execute o seguinte comando:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID

Para obter mais informações sobre como usar a ferramenta gcloud , consulte Ler entradas de registro .

API

Ao criar suas consultas, substitua as variáveis ​​por valores válidos, substitua o nome ou os identificadores apropriados do log de auditoria no nível do projeto, no nível da pasta ou no nível da organização, conforme listado nos nomes do log de auditoria. Por exemplo, se sua consulta incluir um PROJECT_ID , o identificador de projeto que você fornecer deverá se referir ao projeto do Firebase atualmente selecionado.

Para usar a API Logging para analisar suas entradas de registro de auditoria, faça o seguinte:

  1. Vá para a seção Experimente esta API na documentação do método entries.list .

  2. Coloque o seguinte na parte do corpo da solicitação do formulário Experimente esta API . Clicar neste formulário pré- preenchido preenche automaticamente o corpo da solicitação, mas você precisa fornecer um PROJECT_ID válido em cada um dos nomes de log.

    {
      "resourceNames": [
        "projects/PROJECT_ID"
      ],
      "pageSize": 5,
      "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
    }
    
  3. Clique em Executar .

Para obter mais detalhes sobre consultas, consulte Linguagem de consulta de log .

Para obter um exemplo de uma entrada de log de auditoria e como encontrar as informações mais importantes nela, consulte Exemplo de entrada de log de auditoria .

Rotear registros de auditoria

Você pode rotear logs de auditoria para destinos com suporte da mesma forma que pode rotear outros tipos de logs. Aqui estão alguns motivos pelos quais você pode querer rotear seus logs de auditoria:

  • Para manter os registros de auditoria por mais tempo ou usar recursos de pesquisa mais avançados, você pode rotear cópias de seus registros de auditoria para o Google Cloud Storage, BigQuery ou Google Cloud Pub/Sub. Usando o Cloud Pub/Sub, você pode rotear para outros aplicativos, outros repositórios e terceiros.

  • Para gerenciar seus registros de auditoria em toda a organização, você pode criar coletores agregados que podem rotear registros de qualquer um ou de todos os projetos do Firebase na organização.

  • Se os registros de auditoria de acesso a dados ativados estiverem enviando seus projetos do Firebase para as cotas de registros, você poderá criar coletores que excluam os registros de auditoria de acesso a dados do Logging.

Para obter instruções sobre os logs de roteamento, consulte Configurar coletores .

Preços

Os logs de auditoria de atividades do administrador e os logs de auditoria de eventos do sistema são gratuitos.

Os logs de auditoria de acesso a dados e os logs de auditoria de política negada são cobrados.

Para obter mais informações sobre os preços do Cloud Logging, consulte os preços do pacote de operações do Google Cloud: Cloud Logging .