Audit-Logs für Google Workspace abrufen und verwalten

In diesem Dokument wird beschrieben, wie Sie Audit-Logs für Google Workspace konfigurieren, aufrufen und an Google Cloud weiterleiten. Durch die Weiterleitung von Audit-Logs an Google Cloud können Sie häufige Probleme im Zusammenhang mit Datensicherheit und Compliance diagnostizieren und beheben.

Eine konzeptionelle Beschreibung von Audit-Logs für Google Workspace finden Sie unter Audit-Logs für Google Workspace.

Übersicht

Sie können Audit-Logs für Ihre Google Cloud-Organisation über Ihr Google Workspace-, Cloud Identity- oder Drive Enterprise-Konto freigeben. Sie haben dann die Möglichkeit, in Google Cloud über Cloud Logging auf die freigegebenen Audit-Logs zuzugreifen.

Sie können in Google Cloud auf die Audit-Logs Google Workspace, Cloud Identity und Drive Enterprise der folgenden Dienste zugreifen:

  • Audit-Logs für Administratoren
  • Audit-Logs für Unternehmensgruppen
  • Audit-Logs zu Anmeldeaktivitäten
  • Audit-Logs für OAuth-Token
  • SAML-Audit-Logs

Weitere Informationen zu den Audit-Logs dieser Dienste finden Sie unter Dienstspezifische Informationen.

Hinweis

Wenn Sie Audit-Logs für Google Workspace in Google Cloud aufrufen möchten, benötigen Sie die entsprechenden Berechtigungen.

IAM-Berechtigungen und -Rollen bestimmen Ihre Fähigkeit, auf Audit-Logdaten in der Logging API, dem Log-Explorer und dem gcloud-Befehlszeilentool zuzugreifen.

Ausführliche Informationen zu den möglicherweise erforderlichen IAM-Berechtigungen und -Rollen auf Organisationsebene finden Sie in Cloud Logging unter Zugriffssteuerung mit IAM.

Audit-Logs in der Google Workspace-Admin-Konsole ansehen

Sie können Audit-Logs für Google Workspace direkt in der Google Workspace-Admin-Konsole aufrufen. Informationen zum Aufrufen dieser Audit-Logs finden Sie in den folgenden Themen:

Audit-Logs für Google Cloud freigeben

Informationen zur Aktivierung der gemeinsamen Nutzung von Google Workspace-Daten mit Google Cloud über ein Google Workspace-, Cloud Identity- oder Drive Enterprise-Konto finden Sie in der Anleitung unter Daten für Google Cloud-Dienste freigeben.

Nachdem Sie die Freigabe von Google Workspace-Daten für Google Cloud aktiviert haben, erhält Google Cloud alle Audit-Logs für Google Workspace. Wenn Sie bestimmte Audit-Logs aus Google Cloud ausschließen möchten, richten Sie Senken mit Ausschlussfiltern ein. In der Google Cloud Console können Sie auf der Seite IAMIAM“ nicht selektiv die Freigabe von Daten deaktivieren.

Audit-Logs für Google Workspace in Google Cloud ansehen

Zum Aufrufen von Audit-Logs für Google Workspace in Logging verwenden Sie die Logging-Abfragesprache, um Daten auszuwählen. Sie benötigen mindestens die Kennung Ihrer Google Cloud-Organisation. Sie können weitere indexierte LogEntry-Felder angeben, z. B. resource.type, und nach Ereignistyp filtern.

Hier sind die Namen der Audit-Logs, die für Google Workspace gelten:

In den vorherigen Lognamen bezieht sich ORGANIZATION_ID auf die Google Cloud-Organisation, für die Sie Audit-Logs aufrufen möchten.

Sie haben mehrere Möglichkeiten, Ihre Audit-Logeinträge aufzurufen:

Console

So rufen Sie die Audit-Logeinträge für Ihre Google Cloud-Organisation mit dem Log-Explorer in der Google Cloud Console ab:

  1. Rufen Sie die Seite Log-Explorer auf.

    Zum Log-Explorer

  2. Wählen Sie im Menü Projektauswahl eine Organisation aus.

  3. Wählen Sie im Drop-down-Menü Ressource den Ressourcentyp aus, dessen Audit-Logs angezeigt werden sollen.

  4. Wählen Sie im Drop-down-Menü Logname die Option data_access für Audit-Logs zum Datenzugriff oder activity für Audit-Logs zur Administratoraktivität aus.

    Wenn diese Optionen nicht angezeigt werden, sind diese Audit-Logs derzeit nicht in der Organisation verfügbar.

  5. Optional: Sie können einen Filter im Bereich Query Builder erstellen, um die anzuzeigenden Logs weiter anzugeben. Weitere Informationen zum Abfragen von Logs finden Sie unter Abfragen erstellen.

API

So lesen Sie Ihre Audit-Logeinträge mithilfe der Logging API:

  1. Rufen Sie den Abschnitt Diese API testen in der Dokumentation für die Methode entries.list auf.

  2. Geben Sie im Teil Anfragetext des Formulars Diese API testen Folgendes ein. Wenn Sie auf dieses vorausgefüllte Formular klicken, wird der Anfragetext automatisch übernommen. Sie müssen jedoch in jedem der Lognamen eine gültige ORGANIZATION_ID angeben.

          {
            "resourceNames": [
              "organizations/ORGANIZATION_ID"
            ],
            "pageSize": 5,
            "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
          }
    
  3. Klicken Sie auf Ausführen.

Weitere Informationen zur Verwendung der Logging API zum Lesen von Logs finden Sie unter Logging-Abfragesprache.

gcloud

Das gcloud-Befehlszeilentool bietet eine Befehlszeile für die Cloud Logging API. Führen Sie den folgenden Befehl aus, um Ihre Audit-Logeinträge zu lesen:

    gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"

Ersetzen Sie in jedem Lognamen ORGANIZATION_ID durch die ID der Google Cloud-Organisation, für die Sie Audit-Logs lesen möchten.

Weitere Informationen zu diesem Befehl finden Sie in der Referenz zu gcloud logging read.

Jeder Google Workspace-Dienst, der Audit-Logs bereitstellt, erfasst für den Dienst spezifische Ereignisse. Wenn Sie Logs für ein bestimmtes geprüftes Ereignis lesen möchten, z. B. eine erfolgreiche Anmeldung oder einen widerrufenen Zugriff, fügen Sie dem Filter Folgendes hinzu und geben Sie eine gültige EVENT_NAME an:

protoPayload.metadata.event.eventName="EVENT_NAME"
resource.type="audited_resource"

Eine Liste gültiger Ereignisnamen und ihrer Parameter finden Sie in der Reports API-Dokumentation. Wählen Sie einen der aufgeführten Dienste aus.

Wenn Sie beispielsweise jedes Mal, wenn der Anmeldedienst die Änderung eines Kontopassworts anzeigt, ein Log lesen mächten, sieht der Filter so aus:

protoPayload.metadata.event.eventName="password_edit"
resource.type="audited_resource"

Audit-Logs von Google Cloud weiterleiten

Sobald sich Audit-Logs für Google Workspace in Google Cloud befinden, können Sie die Logs an unterstützte Ziele weiterleiten. Beispielsweise haben Sie die Möglichkeit, eine Senke zu erstellen, um Logs nach Splunk oder BigQuery weiterzuleiten. Eine konzeptionelle Übersicht über das Routing von Logs aus Cloud Logging finden Sie unter Routing und Speicher – Übersicht.

Da Audit-Logs für Google Workspace Logs auf Organisationsebene sind, können Sie sie mithilfe von aggregierten Senken auf Organisationsebene an folgende Ziele weiterleiten:

Eine Anleitung zum Konfigurieren von Senken zum Weiterleiten von Logs finden Sie unter Aggregierte Senken konfigurieren.

Aufbewahrungsdauer für Daten anpassen

Die Aufbewahrungsdauer von Cloud Logging gilt für die Audit-Logs, die Sie in Log-Buckets speichern.

Wenn Sie Audit-Logs länger als die Standard-Aufbewahrungsdauer aufbewahren möchten, können Sie die benutzerdefinierte Aufbewahrung konfigurieren.

Nächste Schritte