Questa pagina è stata tradotta dall'API Cloud Translation.

Visualizza e gestisci i log di controllo per Google Workspace

Questo documento descrive come configurare, visualizzare e indirizzare gli audit log per da Google Workspace a Google Cloud. Indirizzando gli audit log a in Google Cloud, puoi diagnosticare e risolvere i problemi comuni relativi ai dati sicurezza e conformità.

Per una discussione concettuale sui log di controllo di Google Workspace, consulta Log di controllo per Google Workspace.

Panoramica

Puoi condividere gli audit log con la tua organizzazione Google Cloud utilizzando Account Google Workspace, Cloud Identity o Google Drive Enterprise. Tu possono accedere agli audit log condivisi tramite Cloud Logging in in Google Cloud.

Puoi accedere ai seguenti servizi Google Workspace, Cloud Identity e Audit log di Google Drive Enterprise in Google Cloud:

Audit log amministrativi
Log di controllo di Enterprise Groups
Audit log degli accessi
Log di controllo del token OAuth
Audit log SAML

Per ulteriori informazioni su questi servizi per gli audit log, consulta Informazioni specifiche per i servizi.

Prima di iniziare

Per visualizzare gli audit log per Google Workspace in Google Cloud, assicurati di avere le autorizzazioni corrette per visualizzare i log di controllo per Google Workspace.

Le autorizzazioni e i ruoli IAM determinano la tua capacità di accedere all'audit registra i dati nell'API Logging, Esplora log e Google Cloud CLI.

Per informazioni dettagliate sulle istanze IAM a livello di organizzazione le autorizzazioni e i ruoli di cui potresti aver bisogno, consulta Cloud Logging Controllo dell'accesso con IAM.

Visualizza i log di controllo nella Console di amministrazione Google

Puoi visualizzare i log di controllo per Google Workspace direttamente nel Console di amministrazione Google. Per scoprire come visualizzare questi audit log, consulta i seguenti argomenti:

Condividi gli audit log con Google Cloud

Per attivare la condivisione dei dati di Google Workspace con Google Cloud dal tuo un account Google Workspace, Cloud Identity o Google Drive Enterprise segui le istruzioni in Condividere i dati con i servizi Google Cloud.

Dopo aver attivato la condivisione dei dati di Google Workspace con Google Cloud, Google Cloud riceve tutti gli audit log per Google Workspace. Per escludere determinati gli audit log di Google Cloud, configura i sink filtri di esclusione. Non puoi utilizzare la pagina IAM nella console Google Cloud per disabilitare selettivamente la condivisione dei dati.

Visualizza gli audit log per Google Workspace in Google Cloud

Per visualizzare i log di controllo per Google Workspace in Logging, utilizzi Lingua di query di Logging da selezionare. e i dati di Google Cloud. Come minimo, devi conoscere l'identificatore del tuo organizzazione Google Cloud. Puoi specificare ulteriormente altri campi LogEntry indicizzati, come resource.type e filtra per tipo di evento.

Ecco i nomi degli audit log che si applicano a Google Workspace:

Audit log degli accessi ai dati:

organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Audit log delle attività di amministrazione:

organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity

Nei nomi dei log precedenti, ORGANIZATION_ID si riferisce alla Organizzazione Google Cloud per la quale vuoi visualizzare gli audit log.

Sono disponibili diverse opzioni per visualizzare le voci del log di controllo:

Console

Per ottenere le voci di audit log per la tua organizzazione Google Cloud utilizzando Esplora log nella console Google Cloud, segui questi passaggi:

Nella console Google Cloud, vai alla pagina Esplora log:
Vai a Esplora log

Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.
Dal menu Selettore progetti, seleziona un'organizzazione.
Nel menu a discesa Risorsa, seleziona il tipo di risorsa di controllo degli audit log che vuoi visualizzare.
Nel menu a discesa Nome log, seleziona data_access per Dati. Accedi agli audit log o a activity per gli audit log delle attività di amministrazione.

Se non vedi queste opzioni, significa che I log non sono attualmente disponibili nell'organizzazione.
(Facoltativo) Puoi creare un filtro nel riquadro Query Builder per e specificare ulteriormente i log che vuoi visualizzare. Per scoprire di più sulle query i log, consulta Creare query.

API

Per leggere le voci di audit log utilizzando l'API Logging, esegui la seguenti:

Vai alla sezione Prova questa API della documentazione per entries.list .
Inserisci quanto segue nella parte del corpo della richiesta della sezione Prova questa API. Fai clic su questo modulo precompilato. compila automaticamente il corpo della richiesta, ma devi specifica un valore ORGANIZATION_ID valido in ogni log names.
```
      {
        "resourceNames": [
          "organizations/ORGANIZATION_ID"
        ],
        "pageSize": 5,
        "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
      }
```
Fai clic su Execute (Esegui).

Per maggiori dettagli sull'utilizzo dell'API Logging per leggere i log, consulta Linguaggio di query di Logging.

gcloud

Google Cloud CLI fornisce un'interfaccia a riga di comando l'API Cloud Logging. Per leggere le voci di audit log, esegui questo comando:

    gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"

Sostituisci ORGANIZATION_ID in ogni nome di log con l'ID dell'organizzazione Google Cloud per cui vuoi leggere l'audit logaritmi.

Per ulteriori informazioni su questo comando, consulta gcloud logging read.

Ogni servizio di Google Workspace che fornisce i log di controllo acquisisce eventi specifiche del servizio. Se vuoi leggere i log per un determinato controllo come un accesso riuscito o un accesso revocato, aggiungi quanto segue e fornisci un valore EVENT_NAME valido:

protoPayload.metadata.event.eventName="EVENT_NAME"
resource.type="audited_resource"

Per un elenco di nomi di eventi validi e dei relativi parametri, consulta Documentazione dell'API Reports e scegli tra i servizi elencati.

Ad esempio, se vuoi leggere i log ogni volta che il servizio di accesso genera un report che un è stata modificata la password dell'account, il filtro avrà il seguente aspetto:

protoPayload.metadata.event.eventName="password_edit"
resource.type="audited_resource"

Esegui il routing degli audit log da Google Cloud

Quando gli audit log per Google Workspace saranno disponibili in Google Cloud, puoi eseguire il routing i log delle destinazioni supportate. Ad esempio, puoi creare un sink per instradare i log in Splunk o BigQuery. Per una panoramica concettuale di come vengono i log il routing da Cloud Logging, Panoramica su routing e archiviazione.

Poiché i log di controllo per Google Workspace sono a livello di organizzazione, devi eseguire il routing utilizzando sink aggregati a livello organizzazione per le seguenti destinazioni:

Per istruzioni sulla configurazione dei sink per il routing dei log, consulta Facolta e instrada i log a livello di organizzazione verso le destinazioni supportate.

Personalizza il periodo di conservazione dei dati

I periodi di conservazione di Cloud Logging si applicano agli audit log archiviati in bucket di log.

Per conservare gli audit log più a lungo del periodi di conservazione predefiniti, puoi configurare la conservazione personalizzata.

Passaggi successivi

Risolvi i problemi relativi a log di controllo per Google Workspace.
Consulta le best practice per Cloud Audit Logs.
Scopri di più sui log di Access Transparency per Google Workspace.