Melihat dan mengelola log audit untuk Google Workspace

Dokumen ini menjelaskan cara mengonfigurasi, melihat, dan merutekan log audit untuk Google Workspace ke Google Cloud. Dengan merutekan log audit ke Google Cloud, Anda dapat mendiagnosis dan menyelesaikan masalah umum terkait keamanan dan kepatuhan data.

Untuk diskusi konseptual tentang log audit Google Workspace, lihat Log audit untuk Google Workspace.

Ringkasan

Anda dapat membagikan log audit ke organisasi Google Cloud menggunakan akun Google Workspace, Cloud Identity, atau Google Drive Enterprise. Anda dapat mengakses log audit yang dibagikan melalui Cloud Logging di Google Cloud.

Anda dapat mengakses log audit Google Workspace, Cloud Identity, dan Google Drive Enterprise layanan berikut di Google Cloud:

  • Log Audit Admin
  • Log audit Enterprise Groups
  • Log audit Login
  • Log Audit Token OAuth
  • Log Audit SAML

Untuk mengetahui informasi selengkapnya tentang log audit layanan ini, lihat Informasi khusus layanan.

Sebelum memulai

Untuk melihat log audit Google Workspace di Google Cloud, pastikan Anda memiliki izin yang benar untuk melihat log audit Google Workspace.

Izin dan peran IAM menentukan kemampuan Anda untuk mengakses data log audit di Logging API, Logs Explorer, dan Google Cloud CLI.

Untuk mengetahui informasi mendetail tentang izin dan peran IAM tingkat organisasi yang mungkin Anda perlukan, lihat Kontrol akses dengan IAM Cloud Logging.

Melihat log audit di konsol Google Admin

Anda dapat melihat log audit untuk Google Workspace langsung di konsol Google Admin. Untuk mempelajari cara melihat log audit ini, lihat topik berikut:

Membagikan log audit ke Google Cloud

Untuk mengaktifkan berbagi data Google Workspace dengan Google Cloud dari akun Google Workspace, Cloud Identity, atau Google Drive Enterprise Anda, ikuti petunjuk di Membagikan data dengan layanan Google Cloud.

Setelah Anda mengaktifkan berbagi data Google Workspace dengan Google Cloud, Google Cloud akan menerima semua log audit untuk Google Workspace. Untuk mengecualikan log audit tertentu dari Google Cloud, siapkan sink dengan filter pengecualian. Anda tidak dapat menggunakan halaman IAM di konsol Google Cloud untuk menonaktifkan berbagi data secara selektif.

Melihat log audit untuk Google Workspace di Google Cloud

Untuk melihat log audit Google Workspace di Logging, Anda menggunakan Bahasa kueri logging untuk memilih data. Minimal, Anda perlu mengetahui ID organisasi Google Cloud. Anda dapat menentukan lebih lanjut kolom LogEntry lainnya yang diindeks, seperti resource.type, dan memfilter menurut jenis peristiwa.

Berikut adalah nama log audit yang berlaku untuk Google Workspace:

Dalam nama log sebelumnya, ORGANIZATION_ID mengacu pada organisasi Google Cloud yang log auditnya ingin Anda lihat.

Anda memiliki beberapa opsi untuk melihat entri log audit Anda:

Konsol

Untuk mendapatkan entri log audit untuk organisasi Google Cloud Anda menggunakan Logs Explorer di konsol Google Cloud, lakukan hal berikut:

  1. Di konsol Google Cloud, buka halaman Logs Explorer:

    Buka Logs Explorer

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.

  2. Dari menu Project selector, pilih organisasi.

  3. Dari menu drop-down Resource, pilih jenis resource yang log auditnya ingin Anda lihat.

  4. Di menu drop-down Log name, pilih data_access untuk log audit Akses Data atau activity untuk log audit Aktivitas Admin.

    Jika Anda tidak melihat opsi ini, log audit ini saat ini tidak tersedia di organisasi.

  5. Opsional: Anda dapat membuat filter di panel Query Builder untuk lebih lanjut menentukan log yang ingin Anda lihat. Untuk mempelajari lebih lanjut cara membuat kueri log, lihat Mem-build kueri.

API

Untuk membaca entri log audit Anda menggunakan Logging API, lakukan langkah berikut:

  1. Buka bagian Coba API ini dalam dokumentasi untuk metode entries.list.

  2. Masukkan string berikut ke dalam bagian Isi permintaan di formulir Coba API ini. Mengklik formulir yang telah diisi otomatis ini akan otomatis mengisi bagian permintaan, tetapi Anda harus memberikan ORGANIZATION_ID yang valid di setiap nama log.

          {
            "resourceNames": [
              "organizations/ORGANIZATION_ID"
            ],
            "pageSize": 5,
            "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
          }
  3. Klik Jalankan.

Untuk mengetahui detail selengkapnya tentang penggunaan Logging API untuk membaca log, lihat Bahasa kueri logging.

gcloud

Google Cloud CLI menyediakan antarmuka command line ke Cloud Logging API. Untuk membaca entri log audit, jalankan perintah berikut:

    gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"

Ganti ORGANIZATION_ID di setiap nama log dengan ID organisasi Google Cloud yang log auditnya ingin Anda baca.

Untuk informasi selengkapnya tentang perintah ini, lihat referensi gcloud logging read.

Setiap layanan Google Workspace yang menyediakan log audit merekam peristiwa khusus untuk layanan tersebut. Jika Anda ingin membaca log untuk peristiwa audit tertentu, seperti login yang berhasil atau akses yang dicabut, tambahkan hal berikut ke filter dan berikan EVENT_NAME yang valid:

protoPayload.metadata.event.eventName="EVENT_NAME"
resource.type="audited_resource"

Untuk mengetahui daftar nama peristiwa yang valid beserta parameternya, lihat dokumentasi Reports API dan pilih dari layanan yang tercantum.

Misalnya, jika Anda ingin membaca log setiap kali layanan Login melaporkan bahwa sandi akun telah diubah, filter Anda akan terlihat seperti ini:

protoPayload.metadata.event.eventName="password_edit"
resource.type="audited_resource"

Merutekan log audit dari Google Cloud

Setelah log audit untuk Google Workspace berada di Google Cloud, Anda dapat merutekan log ke tujuan yang didukung. Misalnya, Anda dapat membuat sink untuk merutekan log ke Splunk atau BigQuery. Untuk ringkasan konseptual tentang cara log dirutekan dari Cloud Logging, lihat Ringkasan pemilihan rute dan penyimpanan.

Karena log audit untuk Google Workspace adalah log tingkat organisasi, Anda merutekannya menggunakan sink gabungan di tingkat organisasi ke tujuan berikut:

Untuk mendapatkan petunjuk tentang cara mengonfigurasi sink untuk merutekan log, lihat Menggabungkan dan merutekan log tingkat organisasi ke tujuan yang didukung.

Menyesuaikan periode retensi data

Periode retensi Cloud Logging berlaku untuk log audit yang Anda simpan di bucket log.

Untuk menyimpan log audit lebih lama dari periode retensi data default, Anda dapat mengonfigurasi retensi kustom.

Langkah selanjutnya