Ver y gestionar registros de auditoría de Google Workspace

En este documento se describe cómo configurar, ver y exportar registros de auditoría de Google Workspace a Google Cloud. Si enruta los registros de auditoría aGoogle Cloud, puede diagnosticar y resolver problemas habituales relacionados con la seguridad y el cumplimiento de los datos.

Para obtener información conceptual sobre los registros de auditoría de Google Workspace, consulta el artículo Registros de auditoría de Google Workspace.

Información general

Puedes compartir registros de auditoría con tu Google Cloud organización mediante tu cuenta de Google Workspace, Cloud Identity o Google Drive Enterprise. Puedes acceder a los registros de auditoría compartidos a través de Cloud Logging en Google Cloud.

Puedes acceder a los registros de auditoría de Google Workspace, Cloud Identity y Google Drive Enterprise de los siguientes servicios en Google Cloud:

  • Registros de auditoría de administrador
  • Registros de auditoría de grupos de G Suite Enterprise
  • Registros de auditoría de inicio de sesión
  • Registros de auditoría de tokens de OAuth
  • Registros de auditoría de SAML

Para obtener más información sobre los registros de auditoría de estos servicios, consulta Información específica de cada servicio.

Antes de empezar

Para ver los registros de auditoría de Google Workspace en Google Cloud, asegúrate de tener los permisos correctos para verlos.

Los permisos y roles de IAM determinan tu capacidad para acceder a los datos de los registros de auditoría en la API Logging, el Explorador de registros y la CLI de Google Cloud.

Para obtener información detallada sobre los permisos y roles de gestión de identidades y accesos a nivel de organización que puedes necesitar, consulta el artículo sobre el control de acceso con gestión de identidades y accesos de Cloud Logging.

Ver registros de auditoría en la consola de administración de Google

Puedes ver los registros de auditoría de Google Workspace directamente en la consola de administración de Google. Para saber cómo ver estos registros de auditoría, consulta los siguientes temas:

Compartir registros de auditoría con Google Cloud

Para habilitar el uso compartido de datos de Google Workspace con Google Cloud desde tu cuenta de Google Workspace, Cloud Identity o Google Drive Enterprise, sigue las instrucciones que se indican en el artículo Compartir datos con servicios de Google Cloud .

Después de habilitar el uso compartido de datos de Google Workspace con Google Cloud, Google Cloud recibe todos los registros de auditoría de Google Workspace. Para excluir determinados registros de auditoría de Google Cloud, configura sumideros con filtros de exclusión. No puedes usar la página IAM de la consola Google Cloud para inhabilitar de forma selectiva el uso compartido de los datos.

Ver registros de auditoría de Google Workspace en Google Cloud

Para ver los registros de auditoría de Google Workspace en Logging, debes usar el lenguaje de consulta de Logging para seleccionar datos. Como mínimo, debes conocer el identificador de tuGoogle Cloud organización. También puede especificar otros campos indexados de LogEntry, como resource.type, y filtrar por tipos de evento.

Estos son los nombres de los registros de auditoría que se aplican a Google Workspace:

En los nombres de registro anteriores, ORGANIZATION_ID hace referencia a laGoogle Cloud organización cuyos registros de auditoría quieres ver.

Tienes varias opciones para ver las entradas del registro de auditoría:

Consola

Para obtener las entradas del registro de auditoría de tu Google Cloud organización mediante el Explorador de registros de la Google Cloud consola, haz lo siguiente:

  1. En la Google Cloud consola, ve a la página Explorador de registros:

    Ve al Explorador de registros.

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.

  2. En el menú Selector de proyectos, selecciona una organización.

  3. En el menú desplegable Recurso, selecciona el tipo de recurso cuyos registros de auditoría quieras ver.

  4. En el menú desplegable Nombre de registro, selecciona data_access para los registros de auditoría de acceso a datos o activity para los registros de auditoría de actividad de administrador.

    Si no ves estas opciones, significa que estos registros de auditoría no están disponibles en la organización.

  5. Opcional: Puedes crear un filtro en el panel Creador de consultas para especificar aún más los registros que quieres ver. Para obtener más información sobre cómo consultar registros, consulta el artículo Crear consultas.

API

Para leer las entradas de registro de auditoría mediante la API Logging, sigue estos pasos:

  1. Ve a la sección Probar esta API de la documentación del método entries.list.

  2. Incluye lo siguiente en la parte Cuerpo de la solicitud del formulario Probar esta API. Al hacer clic en este formulario rellenado automáticamente, se rellena automáticamente el cuerpo de la solicitud, pero debes proporcionar un ORGANIZATION_ID válido en cada uno de los nombres de registro.

          {
        "resourceNames": [
          "organizations/ORGANIZATION_ID"
        ],
        "pageSize": 5,
        "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
      }

  3. Haz clic en la opción para ejecutar.

Para obtener más información sobre cómo usar la API Logging para leer registros, consulta el artículo sobre el lenguaje de consulta de Logging.

gcloud

La CLI de Google Cloud proporciona una interfaz de línea de comandos a la API de Cloud Logging. Para leer las entradas de tu registro de auditoría, ejecuta el siguiente comando:

    gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"

Sustituye ORGANIZATION_ID en cada uno de los nombres de registro por el ID de la Google Cloud organización de la que quieras leer los registros de auditoría.

Para obtener más información sobre este comando, consulta la referencia de gcloud logging read.

Cada servicio de Google Workspace que proporciona registros de auditoría captura eventos específicos del servicio. Si quieres leer los registros de un evento auditado concreto, como un inicio de sesión correcto o un acceso revocado, añade lo siguiente a tu filtro y proporciona un EVENT_NAME válido:

protoPayload.metadata.event.eventName="EVENT_NAME"
resource.type="audited_resource"

Para ver una lista de nombres de eventos válidos y sus parámetros, consulte la documentación de la API Reports y seleccione uno de los servicios que aparecen.

Por ejemplo, si quieres leer los registros de cada vez que el servicio de inicio de sesión informa de que se ha cambiado la contraseña de una cuenta, el filtro sería el siguiente:

protoPayload.metadata.event.eventName="password_edit"
resource.type="audited_resource"

Registros de auditoría de rutas de Google Cloud

Una vez que los registros de auditoría de Google Workspace estén en Google Cloud, podrás enrutar los registros a los destinos admitidos. Por ejemplo, puedes crear un receptor para enrutar registros a Splunk o BigQuery. Para obtener una descripción general conceptual de cómo se enrutan los registros desde Cloud Logging, consulta la descripción general del enrutamiento y el almacenamiento.

Como los registros de auditoría de Google Workspace son registros a nivel de organización, puede enrutarlos mediante receptores agregados a nivel de organización a estos destinos:

Para obtener instrucciones sobre cómo configurar sumideros para enrutar registros, consulta el artículo Recopilar y enrutar registros a nivel de organización a destinos admitidos.

Personalizar el periodo de conservación de datos

Los periodos de conservación de Cloud Logging se aplican a los registros de auditoría que almacenas en segmentos de registros.

Para conservar los registros de auditoría durante más tiempo que los periodos de conservación predeterminados, puede configurar la conservación personalizada.

Siguientes pasos