In diesem Dokument wird beschrieben, wie Sie Audit-Logs für Google Workspace konfigurieren, aufrufen und an Google Cloud weiterleiten. Wenn Sie Audit-Logs an Google Cloud weiterleiten, können Sie häufige Probleme im Zusammenhang mit Datensicherheit und Compliance diagnostizieren und beheben.
Eine konzeptionelle Diskussion der Audit-Logs von Google Workspace finden Sie unter Audit-Logs für Google Workspace.
Übersicht
Sie können Audit-Logs für Ihre Google Cloud-Organisation über Ihr Google Workspace-, Cloud Identity- oder Google Drive Enterprise-Konto freigeben. Sie haben dann die Möglichkeit, in Google Cloud über Cloud Logging auf die freigegebenen Audit-Logs zuzugreifen.
Sie können in Google Cloud auf die Audit-Logs zu Google Workspace, Cloud Identity und Google Drive Enterprise zugreifen:
- Audit-Logs der Admin-Konsole
- Audit-Logs zu Unternehmensgruppen
- Audit-Logs für die Anmeldung
- Audit-Logs für das OAuth-Token
- SAML-Audit-Logs
Weitere Informationen zu den Audit-Logs dieser Dienste finden Sie unter Dienstspezifische Informationen.
Hinweis
Wenn Sie Audit-Logs von Google Workspace in Google Cloud aufrufen möchten, benötigen Sie die entsprechenden Berechtigungen zum Aufrufen von Audit-Logs von Google Workspace.
IAM-Berechtigungen und -Rollen bestimmen Ihre Fähigkeit, auf Audit-Logdaten in der Logging API, dem Log-Explorer und der Google Cloud CLI zuzugreifen.
Ausführliche Informationen zu den erforderlichen IAM-Berechtigungen und -Rollen auf Organisationsebene finden Sie unter Zugriffssteuerung auf Cloud Logging mit IAM.
Audit-Logs in der Admin-Konsole ansehen
Sie können Audit-Logs für Google Workspace direkt in der Admin-Konsole aufrufen. Informationen zum Aufrufen dieser Audit-Logs finden Sie in den folgenden Themen:
Admin-Audit-Logs von Google Workspace in der Admin-Konsole aufrufen
Audit-Logs für Google Workspace Enterprise Groups in der Admin-Konsole aufrufen
Login-Audit-Logs von Google Workspace in der Admin-Konsole aufrufen
OAuth-Token-Audit-Logs von Google Workspace in der Admin-Konsole aufrufen
SAML-Audit-Logs von Google Workspace in der Admin-Konsole aufrufen
Weitere Audit-Logs für Google Workspace in der Admin-Konsole aufrufen
Audit-Logs für Google Cloud freigeben
Informationen zur Aktivierung der gemeinsamen Nutzung von Google Workspace-Daten mit Google Cloud über ein Google Workspace-, Cloud Identity- oder Google Drive Enterprise-Konto finden Sie in der Anleitung unter Daten für Google Cloud-Dienste freigeben.
Nachdem Sie die Freigabe von Google Workspace-Daten für Google Cloud aktiviert haben, erhält Google Cloud alle Audit-Logs von Google Workspace. Wenn Sie bestimmte Audit-Logs von Google Cloud ausschließen möchten, richten Sie Senken mit Ausschlussfiltern ein. Sie können die IAM-Seite in der Google Cloud Console nicht verwenden, um die Freigabe der Daten selektiv zu deaktivieren.
Audit-Logs für Google Workspace in Google Cloud ansehen
Zur Anzeige von Audit-Logs von Google Workspace in Logging verwenden Sie die Logging-Abfragesprache, um Daten auszuwählen. Sie müssen mindestens die ID Ihrer Google Cloud-Organisation kennen.
Sie können weitere indexierte LogEntry
-Felder wie resource.type
angeben und nach Ereignistypen filtern.
Im Folgenden finden Sie die Namen der Audit-Logs, die für Google Workspace gelten:
-
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Audit-Logs zur Administratoraktivität:
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
In den vorherigen Lognamen bezieht sich ORGANIZATION_ID auf die Google Cloud-Organisation, für die Sie Audit-Logs aufrufen möchten.
Sie haben mehrere Möglichkeiten, Ihre Audit-Logeinträge aufzurufen:
Console
So rufen Sie die Audit-Log-Einträge für Ihre Google Cloud-Organisation mithilfe des Logs-Explorers in der Google Cloud Console ab:
-
Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Logging ist.
Wählen Sie im Menü Projektauswahl eine Organisation aus.
Wählen Sie im Drop-down-Menü Ressource den Ressourcentyp aus, dessen Audit-Logs angezeigt werden sollen.
Wählen Sie im Drop-down-Menü Logname die Option
data_access
für Audit-Logs zum Datenzugriff oderactivity
für Audit-Logs zur Administratoraktivität aus.Wenn diese Optionen nicht angezeigt werden, sind diese Audit-Logs derzeit nicht in der Organisation verfügbar.
Optional: Im Bereich Query Builder können Sie einen Filter erstellen, um die gewünschten Logs weiter anzugeben. Weitere Informationen zum Abfragen von Logs finden Sie unter Abfragen erstellen.
API
So lesen Sie Ihre Audit-Logeinträge mithilfe der Logging API:
Rufen Sie den Abschnitt Diese API testen in der Dokumentation für die Methode
entries.list
auf.Geben Sie im Teil Anfragetext des Formulars Diese API testen Folgendes ein. Wenn Sie auf dieses vorausgefüllte Formular klicken, wird der Anfragetext automatisch übernommen. Sie müssen jedoch in jedem der Lognamen eine gültige ORGANIZATION_ID angeben.
{ "resourceNames": [ "organizations/ORGANIZATION_ID" ], "pageSize": 5, "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" }
Klicken Sie auf Ausführen.
Weitere Informationen zur Verwendung der Logging API zum Lesen von Logs finden Sie unter Logging-Abfragesprache.
gcloud
Die Google Cloud CLI bietet eine Befehlszeile für die Cloud Logging API. Führen Sie den folgenden Befehl aus, um Ihre Audit-Logeinträge zu lesen:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
Ersetzen Sie ORGANIZATION_ID in jedem Lognamen durch die ID der Google Cloud-Organisation, für die Sie Audit-Logs lesen möchten.
Weitere Informationen zu diesem Befehl finden Sie in der Referenz zu gcloud logging read
.
Jeder Google Workspace-Dienst, der Audit-Logs bereitstellt, erfasst für den Dienst spezifische Ereignisse. Wenn Sie Logs für ein bestimmtes geprüftes Ereignis lesen möchten, z. B. eine erfolgreiche Anmeldung oder einen widerrufenen Zugriff, fügen Sie dem Filter Folgendes hinzu und geben Sie eine gültige EVENT_NAME an:
protoPayload.metadata.event.eventName="EVENT_NAME" resource.type="audited_resource"
Eine Liste gültiger Ereignisnamen und ihrer Parameter finden Sie in der Reports API-Dokumentation. Wählen Sie einen der aufgeführten Dienste aus.
Wenn Sie beispielsweise jedes Mal, wenn der Anmeldedienst die Änderung eines Kontopassworts anzeigt, ein Log lesen mächten, sieht der Filter so aus:
protoPayload.metadata.event.eventName="password_edit" resource.type="audited_resource"
Audit-Logs aus Google Cloud weiterleiten
Sobald sich Audit-Logs von Google Workspace in Google Cloud befinden, können Sie die Logs an unterstützte Ziele weiterleiten. Beispielsweise haben Sie die Möglichkeit, eine Senke zu erstellen, um Logs nach Splunk oder BigQuery weiterzuleiten. Eine konzeptionelle Übersicht über das Routing von Logs aus Cloud Logging finden Sie unter Routing und Speicher – Übersicht.
Da es sich bei Audit-Logs von Google Workspace um Logs auf Organisationsebene handelt, leiten Sie sie mithilfe von aggregierten Senken auf Organisationsebene an diese Ziele weiter:
Eine Anleitung zum Konfigurieren von Senken zum Weiterleiten von Logs finden Sie unter Logs auf Organisationsebene sortieren und an unterstützte Ziele weiterleiten.
Aufbewahrungsdauer für Daten anpassen
Die Aufbewahrungsdauer von Cloud Logging gilt für die Audit-Logs, die Sie in Log-Buckets speichern.
Wenn Sie Audit-Logs länger als die standardmäßige Aufbewahrungsdauer aufbewahren möchten, können Sie die benutzerdefinierte Aufbewahrung konfigurieren.
Nächste Schritte
- Probleme mit Audit-Logs von Google Workspace beheben
- Beachten Sie die Best Practices für Cloud-Audit-Logs.
- Weitere Informationen zu Access Transparency-Logs für Google Workspace