本文档介绍如何配置、查看 Google Workspace 的审核日志并将其路由到 Google Cloud。通过将审核日志路由到 Google Cloud,您可以诊断和解决与数据安全和合规性相关的常见问题。
如需从概念上了解 Google Workspace 审核日志,请参阅 Google Workspace 审核日志。
概览
您可以使用 Google Workspace、Cloud Identity 或 Google 云端硬盘企业版帐号与 Google Cloud 组织共享审核日志。您可以通过 Google Cloud 中的 Cloud Logging 访问共享审核日志。
您可以在 Google Cloud 中访问以下服务的 Google Workspace、Cloud Identity 和 Google 云端硬盘企业版审核日志:
- 管理员审核日志
- 企业版群组审核日志
- 登录审核日志
- OAuth 令牌审核日志
- SAML 审核日志
如需详细了解这些服务的审核日志,请参阅服务专属信息。
准备工作
如需在 Google Cloud 中查看 Google Workspace 的审核日志,请确保您拥有查看 Google Workspace 审核日志的正确权限。
IAM 权限和角色决定了您在 Logging API、Logs Explorer 和 Google Cloud CLI 中访问审核日志数据的能力。
如需详细了解您可能需要的组织级层 IAM 权限和角色,请参阅 Cloud Logging 的使用 IAM 进行访问权限控制。
在 Google 管理控制台中查看审核日志
您可以直接在 Google 管理控制台中查看 Google Workspace 的审核日志。如需了解如何查看这些审核日志,请参阅以下主题:
与 Google Cloud 共享审核日志
如需通过 Google Workspace、Cloud Identity 或 Google 云端硬盘企业版帐号与 Google Cloud 共享 Google Workspace 数据,请按照与 Google Cloud 服务共享数据中的说明操作。
启用与 Google Cloud 共享 Google Workspace 数据后,Google Cloud 会收到 Google Workspace 的所有审核日志。如需从 Google Cloud 中排除某些审核日志,请使用排除项过滤条件设置接收器。您无法使用 Google Cloud 控制台中的 IAM 页面来选择性地停用数据共享。
在 Google Cloud 中查看 Google Workspace 的审核日志
要在 Logging 中查看 Google Workspace 的审核日志,请使用 Logging 查询语言来选择数据。您至少需要知道您的 Google Cloud 组织的标识符。您可以进一步指定其他已编入索引的 LogEntry 字段(例如 resource.type),并按事件类型过滤。
以下是适用于 Google Workspace 的审核日志名称:
-
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
-
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
在上述日志名称中,ORGANIZATION_ID 是指您要查看其审核日志的 Google Cloud 组织。
您可以通过多种方式来查看审核日志条目:
控制台
如需在 Google Cloud 控制台中使用日志浏览器获取 Google Cloud 组织的审核日志条目,请执行以下操作:
-
在 Google Cloud 控制台中,转到 Logs Explorer 页面。
如果您使用搜索栏查找此页面,请选择子标题为 Logging 的结果。
从项目选择器菜单中选择一个组织。
从资源下拉菜单中,选择要查看其审核日志的资源类型。
在日志名称下拉菜单中,选择
data_access以查看数据访问审核日志,或者选择activity以查看管理员活动审核日志。如果您没有看到这些选项,则表示这些审核日志目前在该组织中不可用。
可选:您可以在查询构建器窗格中构建过滤条件,以进一步指定您要查看的日志。如需详细了解如何查询日志,请参阅构建查询。
API
如需使用 Logging API 读取审核日志条目,请执行以下操作:
转到
entries.list方法文档中的试用此 API 部分。将以下内容添加到试用此 API 表单的请求正文部分。点击此预填充的表单后,系统会自动填充请求正文,但您需要在每个日志名称中提供一个有效的 ORGANIZATION_ID。
{ "resourceNames": [ "organizations/ORGANIZATION_ID" ], "pageSize": 5, "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" }点击执行。
如需详细了解如何使用 Logging API 读取日志,请参阅 Logging 查询语言。
gcloud
Google Cloud CLI 为 Cloud Logging API 提供了命令行界面。如需读取审核日志条目,请运行以下命令:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
将每个日志名称中的 ORGANIZATION_ID 替换为您要读取其审核日志的 Google Cloud 组织的 ID。
如需详细了解此命令,请参阅 gcloud logging read 参考文档。
每个提供审核日志的 Google Workspace 服务都会捕获特定于该服务的事件。如果您要读取特定审核事件(例如成功登录或撤消的访问权限)的日志,请将以下内容添加到您的过滤条件中,并提供有效的 EVENT_NAME:
protoPayload.metadata.event.eventName="EVENT_NAME" resource.type="audited_resource"
如需查看有效事件名称及其参数的列表,请参阅 Reports API 文档,然后从列出的服务中进行选择。
例如,如果您要在每次登录服务报告账号密码已更改时读取日志,则过滤条件将如下所示:
protoPayload.metadata.event.eventName="password_edit" resource.type="audited_resource"
从 Google Cloud 路由审核日志
当 Google Workspace 的审核日志发送到 Google Cloud 之中后,您可以将日志路由到支持的目标位置。例如,您可以创建一个接收器,将日志导出到 Splunk 或 BigQuery。如需从概念上大致了解如何从 Cloud Logging 路由日志,请参阅路由和存储概览。
由于 Google Workspace 的审核日志是组织级层的日志,因此您可以使用组织级层的汇总接收器将其路由到以下目标位置:
如需了解如何配置接收器以路由日志,请参阅整理组织级日志并将其路由到支持的目标位置。
自定义数据保留期限
Cloud Logging 保留期限适用于您在日志存储桶中存储的审核日志。
如需使审核日志的保留时间超过默认保留期限,您可以配置自定义保留。
后续步骤
- 排查 Google Workspace 审核日志中存在的问题。
- 查看 Cloud Audit Logs 的最佳做法
- 了解 Google Workspace 的 Access Transparency 日志。