Ver e gerenciar registros de auditoria do Google Workspace

Neste documento, descrevemos como configurar, visualizar e rotear registros de auditoria do Google Workspace para o Google Cloud. Ao rotear os registros de auditoria para o Google Cloud, é possível diagnosticar e resolver problemas comuns relacionados à segurança e à conformidade dos dados.

Para uma discussão conceitual sobre os registros de auditoria do Google Workspace, consulte Registros de auditoria do Google Workspace.

Visão geral

É possível compartilhar registros de auditoria com sua organização do Google Cloud usando sua conta do Google Workspace, Cloud Identity ou Google Drive Enterprise. É possível acessar os registros de auditoria compartilhados por meio do Cloud Logging no Google Cloud.

É possível acessar os seguintes registros de auditoria do Google Workspace, Cloud Identity e Drive Enterprise no Google Cloud:

  • Registros de auditoria do administrador
  • Registros de auditoria do Grupos do Google Enterprise
  • Registros de auditoria de login
  • Registros de auditoria do token OAuth
  • Registros de auditoria do SAML

Para mais informações sobre os registros de auditoria desses serviços, consulte Informações específicas do serviço.

Antes de começar

Para ver os registros de auditoria do Google Workspace no Google Cloud, verifique se você tem as permissões corretas para visualizar os registros de auditoria do Google Workspace.

As permissões e os papéis do IAM determinam sua capacidade de acessar dados de registros de auditoria na API Logging, no Explorador de registros e na Google Cloud CLI.

Para informações detalhadas sobre as permissões do IAM e os papéis no nível da organização que são necessários, consulte Controle de acesso com o IAM do Cloud Logging.

Acessar os registros de auditoria no Google Admin Console

É possível conferir os registros de auditoria do Google Workspace diretamente no Google Admin console. Para saber como visualizar esses registros de auditoria, consulte os seguintes tópicos:

Compartilhar registros de auditoria com o Google Cloud

Para ativar o compartilhamento de dados do Google Workspace com o Google Cloud na sua conta do Google Workspace, Cloud Identity ou Google Drive Enterprise, siga as instruções em Compartilhar dados com os serviços do Google Cloud.

Depois que você ativa o compartilhamento de dados do Google Workspace com o Google Cloud, o Google Cloud recebe todos os registros de auditoria dessa plataforma. Para excluir determinados registros de auditoria do Google Cloud, configure coletores com filtros de exclusão. Não é possível usar a página do IAM no console do Google Cloud para desativar seletivamente o compartilhamento dos dados.

Ver registros de auditoria do Google Workspace no Google Cloud

Para ver os registros de auditoria do Google Workspace no Logging, use a linguagem de consulta do Logging para selecionar dados. Você precisa pelo menos saber o identificador da sua organização do Google Cloud. É possível especificar outros campos LogEntry indexados, como resource.type, e filtrar por tipos de evento.

Estes são os nomes dos registros de auditoria que se aplicam ao Google Workspace:

Nos nomes de registros anteriores, ORGANIZATION_ID refere-se à organização do Google Cloud de que você quer ver os registros de auditoria.

Você tem várias opções para visualizar suas entradas de registros de auditoria:

Console

Para conferir as entradas de registro de auditoria da sua organização do Google Cloud usando o Explorador de registros no console do Google Cloud, faça o seguinte:

  1. No console do Google Cloud, acesse a página Análise de registros:

    Acessar a Análise de registros

    Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Logging.

  2. No menu Seletor de projetos, selecione uma organização.

  3. No menu suspenso Recurso, selecione o tipo de recurso que contém os registros de auditoria você quer ver.

  4. No menu suspenso Nome do registro, selecione data_access para registros de auditoria de acesso a dados ou activity para registros de auditoria de atividade do administrador.

    Caso não veja essas opções, é porque esses registros de auditoria não estão disponíveis na organização.

  5. (Opcional) É possível criar um filtro no painel Criador de consultas para especificar ainda mais os registros que você quer ver. Para saber mais sobre como consultar registros, consulte Criar consultas.

API

Para ler as entradas de registro de auditoria usando a API de Logging, faça o seguinte:

  1. Acesse a seção Testar esta API da documentação do método entries.list.

  2. Digite o seguinte na parte do Corpo da solicitação do formulário Teste esta API. Clique nesse formulário preenchido automaticamente para preencher automaticamente o corpo da solicitação, mas é necessário inserir um ORGANIZATION_ID válido em cada um dos nomes de registro.

          {
            "resourceNames": [
              "organizations/ORGANIZATION_ID"
            ],
            "pageSize": 5,
            "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
          }
  3. Clique em Executar.

Para mais detalhes sobre como usar a API Logging para ler registros, consulte Linguagem de consulta do Logging.

gcloud

A Google Cloud CLI fornece uma interface de linha de comando para a API Cloud Logging. Para ler suas entradas de registro de auditoria, execute o comando a seguir:

    gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"

Substitua ORGANIZATION_ID em cada um dos nomes de registro pelo ID da organização do Google Cloud de que você quer ler os registros de auditoria.

Para mais informações sobre esse comando, consulte as referências do gcloud logging read.

Cada serviço do Google Workspace que fornece registros de auditoria captura eventos específicos do serviço. Se você quiser ler os registros de um evento auditado específico, como um login ou acesso revogado, adicione o seguinte ao seu filtro e forneça um EVENT_NAME válido:

protoPayload.metadata.event.eventName="EVENT_NAME"
resource.type="audited_resource"

Para ver uma lista de nomes de eventos válidos e os respectivos parâmetros, consulte a documentação da API Reports e selecione um dos serviços listados.

Por exemplo, se você quiser ler registros para cada vez que o serviço de login informar que uma senha de conta foi alterada, seu filtro será semelhante a este:

protoPayload.metadata.event.eventName="password_edit"
resource.type="audited_resource"

Encaminhar registros de auditoria do Google Cloud

Depois que os registros de auditoria do Go xogle Workspace estiverem no Google Cloud, será possível rotear os registros para destinos compatíveis. Por exemplo, é possível criar um coletor para rotear registros para o Splunk ou o BigQuery. Para uma visão geral conceitual de como os registros são roteados do Cloud Logging, consulte Visão geral do roteamento e armazenamento.

Como os registros de auditoria do Google Workspace são registros no nível da organização, você os encaminha usando coletores agregados no nível organizacional para estes destinos:

Para instruções sobre como configurar coletores para rotear registros, consulte Agrupar e rotear registros no nível da organização para destinos compatíveis.

Personalizar período de armazenamento de dados

Os períodos de armazenamento do Cloud Logging se aplicam aos registros de auditoria que você armazena em buckets de registro.

Para manter os registros de auditoria por mais tempo do que os períodos de armazenamento padrão, configure a retenção personalizada.

A seguir