En este documento, se describe cómo configurar, visualizar y enrutar los registros de auditoría de de Google Workspace a Google Cloud. Si enrutas los registros de auditoría a Google Cloud, puedes diagnosticar y resolver problemas habituales relacionados con los datos la seguridad y el cumplimiento.
Para ver un análisis conceptual de los registros de auditoría de Google Workspace, consulta Registros de auditoría de Google Workspace.
Descripción general
Puedes compartir registros de auditoría con tu organización de Google Cloud usando tu Cuenta de Google Workspace, Cloud Identity o Google Drive Enterprise. Puedes acceder a los registros de auditoría compartidos a través de Cloud Logging en Google Cloud.
Puedes acceder a los siguientes servicios Google Workspace, Cloud Identity y Registros de auditoría de Google Drive Enterprise en Google Cloud:
- Registros de auditoría del administrador
- Registros de auditoría de Grupos empresariales
- Registros de auditoría de acceso
- Registros de auditoría de token de OAuth
- Registros de auditoría de SAML
Para obtener más información sobre las campañas registros de auditoría, consulta Información específica del servicio.
Antes de comenzar
Para ver los registros de auditoría de Google Workspace en Google Cloud, asegúrate de haber los permisos correctos para ver los registros de auditoría de Google Workspace.
Los permisos y roles de IAM determinan tu capacidad para acceder a los registra datos en la API de Logging, la el Explorador de registros y el Google Cloud CLI.
Para obtener información detallada sobre los roles de IAM permisos y roles que podrías necesitar, consulta Cloud Logging Control de acceso con la IAM.
Ver registros de auditoría en la Consola del administrador de Google
Puedes ver registros de auditoría de Google Workspace directamente en el Consola del administrador de Google Si quieres aprender a visualizar estos registros de auditoría, consulta la los siguientes temas:
Comparte registros de auditoría con Google Cloud
Para habilitar el uso compartido de datos de Google Workspace con Google Cloud desde tu de Google Workspace, Cloud Identity o Google Drive Enterprise sigue las instrucciones de Comparte datos con los servicios de Google Cloud.
Después de habilitar el uso compartido de datos de Google Workspace con Google Cloud, Google Cloud recibe todos los registros de auditoría de Google Workspace. Para excluir ciertos registros de auditoría de Google Cloud, configura receptores con filtros de exclusión. No puedes usar la página de IAM en la consola de Google Cloud para inhabilitar de forma selectiva el uso compartido de los datos.
Consulta los registros de auditoría de Google Workspace en Google Cloud
Para ver los registros de auditoría de Google Workspace en
Logging, usas el
Lenguaje de consulta de Logging para seleccionar
de datos no estructurados. Debe conocer como mínimo el identificador de su
organización de Google Cloud.
Además, puedes especificar otros campos LogEntry indexados, como
resource.type y filtra por tipos de evento.
Estos son los nombres de los registros de auditoría que se aplican a Google Workspace:
Registros de auditoría de acceso a los datos:
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Registros de auditoría de actividad del administrador:
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
En los nombres de registro anteriores, ORGANIZATION_ID se refiere al Organización de Google Cloud de la que quieres ver registros de auditoría.
Tienes varias opciones para ver tus entradas de registro de auditoría:
Console
Para obtener las entradas de registro de auditoría de tu organización de Google Cloud con el Explorador de registros en la consola de Google Cloud, haz lo siguiente:
-
En la consola de Google Cloud, ve a la página Explorador de registros.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
En el menú Selector de proyectos, selecciona una organización.
En el menú desplegable Recurso, selecciona el tipo de recurso cuyo registros de auditoría que quieres ver.
En el menú desplegable Nombre del registro, selecciona
data_accesssi deseas ver los registros de auditoría de acceso a los datos oactivitypara ver los registros de auditoría de actividad del administrador.Si no ves estas opciones, se debe a que estos registros de auditoría no están disponibles en la organización en este momento.
Opcional: Puedes crear un filtro en el panel del Compilador de consultas para hacer lo siguiente: especifica más detalles sobre los registros que quieres ver. Para obtener más información sobre las consultas de seguridad, consulta Compila consultas.
API
Para leer tus entradas de registro de auditoría con la API de Logging, sigue estos pasos:
Ve a la sección Probar esta API en la documentación del método
entries.list.Ingresa lo siguiente en la parte Cuerpo de la solicitud del formulario Probar esta API. Si haces clic en este formulario prepropagado, se completará el cuerpo de la solicitud de manera automática, pero deberás proporcionar un ORGANIZATION_ID válido para cada nombre de registro.
{ "resourceNames": [ "organizations/ORGANIZATION_ID" ], "pageSize": 5, "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" }Haz clic en Ejecutar.
Si deseas obtener más detalles sobre cómo usar la API de Logging para leer registros, consulta Lenguaje de consulta de Logging.
gcloud
Google Cloud CLI proporciona una interfaz de línea de comandos para la API de Cloud Logging. Para leer las entradas del registro de auditoría, ejecuta el siguiente comando:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
Reemplaza ORGANIZATION_ID en cada uno de los nombres de registro por el ID. de la organización de Google Cloud para la que quieres leer los registros del sistema operativo.
Para obtener más información sobre este comando, consulta la
Referencia de gcloud logging read.
Cada servicio de Google Workspace que proporciona registros de auditoría captura eventos específicos del servicio. Si deseas leer los registros de un evento auditado en particular, como un acceso exitoso o acceso revocado, agrega lo siguiente al filtro y proporciona un EVENT_NAME válido:
protoPayload.metadata.event.eventName="EVENT_NAME" resource.type="audited_resource"
Para obtener una lista de nombres de eventos válidos y sus parámetros, consulta la documentación de la API de informes y selecciona uno de los servicios mencionados.
Por ejemplo, si deseas leer los registros cada vez que el servicio de acceso informa que se cambió una contraseña de cuenta, tu filtro se vería de la siguiente manera:
protoPayload.metadata.event.eventName="password_edit" resource.type="audited_resource"
Enruta registros de auditoría desde Google Cloud
Después de que los registros de auditoría de Google Workspace estén en Google Cloud, puedes enrutar el en destinos compatibles. Por ejemplo, puedes crear un receptor para enrutar registros a Splunk o BigQuery. Para obtener una descripción general conceptual de cómo se enrutan los registros desde Cloud Logging, consulta Descripción general del enrutamiento y el almacenamiento.
Como los registros de auditoría de Google Workspace son registros a nivel de la organización, con receptores agregados en el de la organización a estos destinos:
Si deseas obtener instrucciones sobre cómo configurar receptores para enrutar los registros, consulta Recopila y enruta registros a nivel de la organización a destinos compatibles.
Personaliza el período de retención de datos
Los períodos de retención de Cloud Logging se aplican a los registros de auditoría que almacenas en buckets de registros.
Para mantener los registros de auditoría por más tiempo períodos de retención predeterminados, puedes configurar la retención personalizada.
¿Qué sigue?
- Solucionar problemas relacionados con registros de auditoría de Google Workspace.
- Revisa las prácticas recomendadas para los registros de auditoría de Cloud.
- Obtén más información sobre los registros de Transparencia de acceso de Google Workspace.