In diesem Dokument wird beschrieben, wie Sie Audit-Logs für Google Workspace konfigurieren, aufrufen und an Google Cloud weiterleiten. Wenn Sie Audit-Logs an Google Cloud weiterleiten, können Sie häufige Probleme im Zusammenhang mit Datensicherheit und Compliance diagnostizieren und beheben.
Eine konzeptionelle Diskussion der Audit-Logs von Google Workspace finden Sie unter Audit-Logs für Google Workspace.
Überblick
Sie können Audit-Logs über Ihr Google Workspace-, Cloud Identity- oder Google Drive Enterprise-Konto für Ihre Google Cloud-Organisation freigeben. Sie haben dann die Möglichkeit, in Google Cloud über Cloud Logging auf die freigegebenen Audit-Logs zuzugreifen.
Sie können auf die Audit-Logs für Google Workspace, Cloud Identity und Google Drive Enterprise der folgenden Dienste in Google Cloud zugreifen:
- Administrator-Audit-Logs
- Audit-Logs zu Unternehmensgruppen
- Audit-Logs für die Anmeldung
- Audit-Logs für das OAuth-Token
- SAML-Audit-Logs
Weitere Informationen zu den Audit-Logs dieser Dienste finden Sie unter Dienstspezifische Informationen.
Hinweise
Wenn Sie Audit-Logs von Google Workspace in Google Cloud aufrufen möchten, benötigen Sie die entsprechenden Berechtigungen zum Aufrufen von Audit-Logs von Google Workspace.
IAM-Berechtigungen und -Rollen bestimmen, ob Sie in der Logging API, im Log-Explorer und in der Google Cloud CLI auf Audit-Log-Daten zugreifen können.
Ausführliche Informationen zu den erforderlichen IAM-Berechtigungen und -Rollen auf Organisationsebene finden Sie unter Zugriffssteuerung auf Cloud Logging mit IAM.
Audit-Logs in der Admin-Konsole ansehen
Sie können Audit-Logs für Google Workspace direkt in der Google Admin-Konsole aufrufen. Informationen zum Aufrufen dieser Audit-Logs finden Sie in den folgenden Themen:
Audit-Logs für Google Workspace-Administratoren in der Admin-Konsole aufrufen
Sehen Sie sich die Audit-Logs für Google Workspace Enterprise Groups in der Admin-Konsole an.
Sehen Sie sich die Audit-Logs zu Google Workspace-Anmeldungen in der Admin-Konsole an.
OAuth-Token-Audit-Logs für Google Workspace in der Admin-Konsole aufrufen
SAML-Audit-Logs für Google Workspace in der Admin-Konsole aufrufen
Weitere Arten von Audit-Logs für Google Workspace in der Admin-Konsole ansehen
Audit-Logs für Google Cloud freigeben
Wenn Sie die Freigabe von Google Workspace-Daten für Google Cloud über Ihr Google Workspace-, Cloud Identity- oder Google Drive Enterprise-Konto aktivieren möchten, folgen Sie der Anleitung unter Daten für Google Cloud-Dienste freigeben.
Nachdem Sie die Freigabe von Google Workspace-Daten für Google Cloud aktiviert haben, erhält Google Cloud alle Audit-Logs von Google Workspace. Wenn Sie bestimmte Audit-Logs von Google Cloud ausschließen möchten, richten Sie Senken mit Ausschlussfiltern ein. Auf der IAM-Seite in der Google Cloud Console können Sie die Freigabe der Daten nicht selektiv deaktivieren.
Audit-Logs für Google Workspace in Google Cloud ansehen
Zur Anzeige von Audit-Logs von Google Workspace in Logging verwenden Sie die Logging-Abfragesprache, um Daten auszuwählen. Sie müssen mindestens die ID Ihrer Google Cloud-Organisation kennen.
Sie können weitere indexierte LogEntry-Felder wie resource.type angeben und nach Ereignistypen filtern.
Im Folgenden finden Sie die Namen der Audit-Logs, die für Google Workspace gelten:
-
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Audit-Logs zur Administratoraktivität:
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
In den vorherigen Lognamen bezieht sich ORGANIZATION_ID auf die Google Cloud-Organisation, für die Sie Audit-Logs aufrufen möchten.
Sie haben mehrere Möglichkeiten, Ihre Audit-Logeinträge aufzurufen:
Console
So rufen Sie die Audit-Logeinträge für Ihre Google Cloud-Organisation mit dem Log-Explorer in der Google Cloud Console ab:
-
Wählen Sie im Navigationsbereich der Google Cloud Console Logging und anschließend Log-Explorer aus:
Wählen Sie im Menü Projektauswahl eine Organisation aus.
Wählen Sie im Drop-down-Menü Ressource den Ressourcentyp aus, dessen Audit-Logs angezeigt werden sollen.
Wählen Sie im Drop-down-Menü Logname die Option
data_accessfür Audit-Logs zum Datenzugriff oderactivityfür Audit-Logs zur Administratoraktivität aus.Wenn diese Optionen nicht angezeigt werden, sind diese Audit-Logs derzeit nicht in der Organisation verfügbar.
Optional: Im Bereich Query Builder können Sie einen Filter erstellen, um die gewünschten Logs weiter anzugeben. Weitere Informationen zum Abfragen von Logs finden Sie unter Abfragen erstellen.
API
So lesen Sie Ihre Audit-Logeinträge mithilfe der Logging API:
Rufen Sie den Abschnitt Diese API testen in der Dokumentation für die Methode
entries.listauf.Geben Sie im Teil Anfragetext des Formulars Diese API testen Folgendes ein. Wenn Sie auf dieses vorausgefüllte Formular klicken, wird der Anfragetext automatisch übernommen. Sie müssen jedoch in jedem der Lognamen eine gültige ORGANIZATION_ID angeben.
{ "resourceNames": [ "organizations/ORGANIZATION_ID" ], "pageSize": 5, "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" }Klicken Sie auf Ausführen.
Weitere Informationen zur Verwendung der Logging API zum Lesen von Logs finden Sie unter Logging-Abfragesprache.
gcloud
Die Google Cloud CLI bietet eine Befehlszeile für die Cloud Logging API. Führen Sie den folgenden Befehl aus, um Ihre Audit-Logeinträge zu lesen:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
Ersetzen Sie ORGANIZATION_ID in jedem Lognamen durch die ID der Google Cloud-Organisation, für die Sie Audit-Logs lesen möchten.
Weitere Informationen zu diesem Befehl finden Sie in der Referenz zu gcloud logging read.
Jeder Google Workspace-Dienst, der Audit-Logs bereitstellt, erfasst für den Dienst spezifische Ereignisse. Wenn Sie Logs für ein bestimmtes geprüftes Ereignis lesen möchten, z. B. eine erfolgreiche Anmeldung oder einen widerrufenen Zugriff, fügen Sie dem Filter Folgendes hinzu und geben Sie eine gültige EVENT_NAME an:
protoPayload.metadata.event.eventName="EVENT_NAME" resource.type="audited_resource"
Eine Liste gültiger Ereignisnamen und ihrer Parameter finden Sie in der Reports API-Dokumentation. Wählen Sie einen der aufgeführten Dienste aus.
Wenn Sie beispielsweise jedes Mal, wenn der Anmeldedienst die Änderung eines Kontopassworts anzeigt, ein Log lesen mächten, sieht der Filter so aus:
protoPayload.metadata.event.eventName="password_edit" resource.type="audited_resource"
Audit-Logs aus Google Cloud weiterleiten
Sobald sich Audit-Logs von Google Workspace in Google Cloud befinden, können Sie die Logs an unterstützte Ziele weiterleiten. Beispielsweise haben Sie die Möglichkeit, eine Senke zu erstellen, um Logs nach Splunk oder BigQuery weiterzuleiten. Eine konzeptionelle Übersicht über das Routing von Logs aus Cloud Logging finden Sie unter Routing und Speicher – Übersicht.
Da es sich bei Audit-Logs von Google Workspace um Logs auf Organisationsebene handelt, leiten Sie sie mithilfe von aggregierten Senken auf Organisationsebene an diese Ziele weiter:
Eine Anleitung zum Konfigurieren von Senken zum Weiterleiten von Logs finden Sie unter Logs auf Organisationsebene sortieren und an unterstützte Ziele weiterleiten.
Aufbewahrungsdauer für Daten anpassen
Die Aufbewahrungsdauer von Cloud Logging gilt für die Audit-Logs, die Sie in Log-Buckets speichern.
Wenn Sie Audit-Logs länger als die standardmäßige Aufbewahrungsdauer aufbewahren möchten, können Sie die benutzerdefinierte Aufbewahrung konfigurieren.
Nächste Schritte
- Probleme mit Audit-Logs von Google Workspace beheben
- Beachten Sie die Best Practices für Cloud-Audit-Logs.
- Weitere Informationen zu Access Transparency-Logs für Google Workspace