Melihat dan mengelola log audit untuk Google Workspace

Dokumen ini menjelaskan cara mengonfigurasi, melihat, dan merutekan log audit untuk Google Workspace ke Google Cloud. Dengan mengarahkan log audit ke Google Cloud, Anda dapat mendiagnosis dan menyelesaikan masalah umum terkait keamanan dan kepatuhan data.

Untuk diskusi konseptual tentang log audit Google Workspace, lihat Log audit untuk Google Workspace.

Ringkasan

Anda dapat berbagi log audit dengan organisasi Google Cloud menggunakan akun Google Workspace, Cloud Identity, atau Google Drive Enterprise. Anda dapat mengakses log audit bersama melalui Cloud Logging di Google Cloud.

Anda dapat mengakses log audit Google Workspace, Cloud Identity, dan Google Drive Enterprise untuk layanan berikut di Google Cloud:

  • Log Audit Admin
  • Log audit Enterprise Groups
  • Log audit Login
  • Log Audit Token OAuth
  • Log Audit SAML

Untuk mengetahui informasi lebih lanjut tentang log audit layanan ini, lihat Informasi khusus layanan.

Sebelum memulai

Agar dapat melihat log audit Google Workspace di Google Cloud, pastikan Anda memiliki izin yang benar untuk melihat log audit Google Workspace.

Izin dan peran IAM menentukan kemampuan Anda untuk mengakses data log audit di Logging API, Logs Explorer, dan Google Cloud CLI.

Untuk mengetahui informasi mendetail tentang izin dan peran IAM tingkat organisasi yang mungkin Anda perlukan, lihat Kontrol akses dengan IAM Cloud Logging.

Melihat log audit di konsol Google Admin

Anda dapat melihat log audit untuk Google Workspace langsung di konsol Google Admin. Untuk mempelajari cara melihat log audit ini, lihat topik berikut:

Membagikan log audit dengan Google Cloud

Untuk mengaktifkan berbagi data Google Workspace dengan Google Cloud dari akun Google Workspace, Cloud Identity, atau Google Drive Enterprise, ikuti petunjuk dalam artikel Berbagi data dengan layanan Google Cloud.

Setelah Anda mengaktifkan berbagi data Google Workspace dengan Google Cloud, Google Cloud akan menerima semua log audit untuk Google Workspace. Untuk mengecualikan log audit tertentu dari Google Cloud, siapkan sink dengan filter pengecualian. Anda tidak dapat menggunakan halaman IAM di Konsol Google Cloud untuk menonaktifkan berbagi data secara selektif.

Melihat log audit untuk Google Workspace di Google Cloud

Untuk melihat log audit Google Workspace di Logging, gunakan Bahasa kueri logging untuk memilih data. Anda setidaknya perlu mengetahui ID organisasi Google Cloud Anda. Anda dapat menentukan lebih lanjut kolom LogEntry lainnya yang diindeks, seperti resource.type, dan memfilter berdasarkan jenis peristiwa.

Berikut adalah nama log audit yang berlaku untuk Google Workspace:

Dalam nama log sebelumnya, ORGANIZATION_ID mengacu pada organisasi Google Cloud yang log auditnya ingin Anda lihat.

Anda memiliki beberapa opsi untuk melihat entri log audit Anda:

Konsol

Agar dapat memperoleh entri log audit untuk organisasi Google Cloud Anda menggunakan Logs Explorer di Konsol Google Cloud, lakukan hal berikut:

  1. Pada panel navigasi Google Cloud Console, pilih Logging, lalu pilih Logs Explorer:

    Buka Logs Explorer

  2. Dari menu Pemilih project, pilih organisasi.

  3. Dari menu drop-down Resource, pilih jenis resource yang log auditnya ingin Anda lihat.

  4. Di menu drop-down Log name, pilih data_access untuk log audit Akses Data atau activity untuk log audit Aktivitas Admin.

    Jika Anda tidak melihat opsi ini, berarti log audit ini saat ini tidak tersedia di organisasi.

  5. Opsional: Anda dapat mem-build filter di panel Query Builder untuk menentukan log lebih lanjut yang ingin dilihat. Untuk mempelajari log kueri lebih lanjut, lihat Mem-build kueri.

API

Untuk membaca entri log audit Anda menggunakan Logging API, lakukan hal berikut:

  1. Buka bagian Coba API ini dalam dokumentasi untuk metode entries.list.

  2. Masukkan string berikut ke dalam bagian Isi permintaan di formulir Coba API ini. Mengklik formulir yang telah diisi otomatis ini akan otomatis mengisi bagian permintaan, tetapi Anda harus memberikan ORGANIZATION_ID yang valid di setiap nama log.

          {
            "resourceNames": [
              "organizations/ORGANIZATION_ID"
            ],
            "pageSize": 5,
            "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
          }
  3. Klik Jalankan.

Untuk mengetahui detail lebih lanjut tentang cara menggunakan Logging API untuk membaca log, lihat Bahasa kueri logging.

gcloud

Google Cloud CLI menyediakan antarmuka command line ke Cloud Logging API. Untuk membaca entri log audit Anda, jalankan perintah berikut:

    gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"

Ganti ORGANIZATION_ID di setiap nama log dengan ID organisasi Google Cloud yang log auditnya ingin Anda baca.

Untuk mengetahui informasi selengkapnya tentang perintah ini, lihat referensi gcloud logging read.

Setiap layanan Google Workspace yang menyediakan log audit akan mencatat peristiwa khusus untuk layanan tersebut. Jika Anda ingin membaca log untuk peristiwa tertentu yang diaudit, seperti login yang berhasil atau akses yang dicabut, tambahkan baris berikut ke filter Anda dan berikan EVENT_NAME yang valid:

protoPayload.metadata.event.eventName="EVENT_NAME"
resource.type="audited_resource"

Untuk mengetahui daftar nama peristiwa yang valid dan parameternya, lihat dokumentasi Reports API dan pilih dari layanan yang tercantum.

Misalnya, jika Anda ingin membaca log setiap kali Layanan login melaporkan bahwa sandi akun diubah, filter Anda akan terlihat seperti ini:

protoPayload.metadata.event.eventName="password_edit"
resource.type="audited_resource"

Merutekan log audit dari Google Cloud

Setelah log audit untuk Google Workspace berada di Google Cloud, Anda dapat merutekan log ke tujuan yang didukung. Misalnya, Anda dapat membuat sink untuk merutekan log ke Splunk atau BigQuery. Untuk ringkasan konseptual tentang cara rute log dari Cloud Logging, lihat Ringkasan pemilihan rute dan penyimpanan.

Karena log audit untuk Google Workspace adalah log tingkat organisasi, Anda mengarahkannya menggunakan sink gabungan di tingkat organisasi ke tujuan berikut:

Untuk mengetahui petunjuk tentang cara mengonfigurasi sink guna merutekan log, lihat Mengompilasi dan merutekan log tingkat organisasi ke tujuan yang didukung.

Menyesuaikan periode retensi data

Periode retensi Cloud Logging berlaku untuk log audit yang Anda simpan di bucket log.

Untuk menyimpan log audit lebih lama dari periode retensi default, Anda dapat mengonfigurasi retensi kustom.

Langkah selanjutnya