Consulta y administra registros de auditoría de Google Workspace

En este documento, se describe cómo configurar, ver y enrutar registros de auditoría de Google Workspace a Google Cloud. Cuando enrutas los registros de auditoría a Google Cloud, puedes diagnosticar y resolver problemas comunes relacionados con la seguridad y el cumplimiento de los datos.

Para ver un análisis conceptual de los registros de auditoría de Google Workspace, consulta Registros de auditoría de Google Workspace.

Descripción general

Puedes compartir los registros de auditoría con tu organización de Google Cloud mediante tu cuenta de Google Workspace, Cloud Identity o Google Drive Enterprise. Puedes acceder a los registros de auditoría compartidos a través de Cloud Logging en Google Cloud.

Puedes acceder a los registros de auditoría de Google Workspace, Cloud Identity y Google Drive Enterprise de los siguientes servicios en Google Cloud:

  • Registros de auditoría del administrador
  • Registros de auditoría de grupos empresariales
  • Registros de auditoría de accesos
  • Registros de auditoría de los tokens de OAuth
  • Registros de auditoría de SAML

Para obtener más información sobre los registros de auditoría de estos servicios, consulta Información específica del servicio.

Antes de comenzar

Si quieres ver los registros de auditoría de Google Workspace en Google Cloud, asegúrate de tener los permisos correctos para ver los registros de auditoría de Google Workspace.

Los permisos y las funciones de IAM determinan tu capacidad para acceder a los datos de registros de auditoría en la API de Logging, el Explorador de registros y la Google Cloud CLI.

Para obtener información detallada sobre los permisos y las funciones de IAM a nivel de organización que podrías necesitar, consulta Control de acceso con IAM de Cloud Logging.

Consulta los registros de auditoría en la Consola del administrador de Google

Puedes ver los registros de auditoría de Google Workspace directamente en la Consola del administrador de Google. Si quieres aprender a ver estos registros de auditoría, consulta los siguientes temas:

Comparte registros de auditoría con Google Cloud

Para habilitar el uso compartido de datos de Google Workspace con Google Cloud desde tu cuenta de Google Workspace, Cloud Identity o Google Drive Enterprise, sigue las instrucciones en Comparte datos con los servicios de Google Cloud.

Después de habilitar el uso compartido de datos de Google Workspace con Google Cloud, Google Cloud recibe todos los registros de auditoría de Google Workspace. Para excluir ciertos registros de auditoría de Google Cloud, configura receptores con filtros de exclusión. No puedes usar la página de IAM en la consola de Google Cloud para inhabilitar selectivamente el uso compartido de datos.

Ver registros de auditoría de Google Workspace en Google Cloud

Si quieres ver los registros de auditoría de Google Workspace en Logging, usa el lenguaje de consulta de Logging para seleccionar los datos. Como mínimo, debes conocer el identificador de tu organización de Google Cloud. Además, puedes especificar otros campos LogEntry indexados, como resource.type, y filtrar por tipo de evento.

Estos son los nombres de los registros de auditoría que se aplican a Google Workspace:

En los nombres de registro anteriores, ORGANIZATION_ID hace referencia a la organización de Google Cloud de la que deseas ver los registros de auditoría.

Tienes varias opciones para ver tus entradas de registro de auditoría:

Consola

Para obtener las entradas de registro de auditoría de tu organización de Google Cloud con el Explorador de registros en la consola de Google Cloud, sigue estos pasos:

  1. En el panel de navegación de la consola de Google Cloud, elige Logging y, luego, Explorador de registros:

    Ir al Explorador de registros

  2. En el menú Selector de proyectos, selecciona una organización.

  3. En el menú desplegable Recurso, selecciona el tipo de recurso cuyos registros de auditoría deseas ver.

  4. En el menú desplegable Nombre del registro, selecciona data_access si deseas ver los registros de auditoría de acceso a los datos o activity para ver los registros de auditoría de actividad del administrador.

    Si no ves estas opciones, se debe a que estos registros de auditoría no están disponibles en la organización en este momento.

  5. Puedes compilar un filtro en el panel Compilador de consultas para especificar aún más los registros que deseas ver (opcional). Para obtener más información sobre cómo consultar registros, visita Cómo compilar consultas.

API

Para leer tus entradas de registro de auditoría con la API de Logging, sigue estos pasos:

  1. Ve a la sección Probar esta API en la documentación del método entries.list.

  2. Ingresa lo siguiente en la parte Cuerpo de la solicitud del formulario Probar esta API. Si haces clic en este formulario prepropagado, se completará el cuerpo de la solicitud de manera automática, pero deberás proporcionar un ORGANIZATION_ID válido para cada nombre de registro.

          {
        "resourceNames": [
          "organizations/ORGANIZATION_ID"
        ],
        "pageSize": 5,
        "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
      }

  3. Haz clic en Ejecutar.

Si deseas obtener más detalles sobre cómo usar la API de Logging para leer registros, consulta Lenguaje de consulta de Logging.

gcloud

Google Cloud CLI proporciona una interfaz de línea de comandos para la API de Cloud Logging. Para leer las entradas de registro de auditoría, ejecuta el siguiente comando:

    gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"

Reemplaza ORGANIZATION_ID en cada uno de los nombres de registro por el ID de la organización de Google Cloud de la que deseas leer los registros de auditoría.

Para obtener más información sobre este comando, consulta la referencia de gcloud logging read.

Cada servicio de Google Workspace que proporciona registros de auditoría captura eventos específicos del servicio. Si deseas leer los registros de un evento auditado en particular, como un acceso exitoso o acceso revocado, agrega lo siguiente al filtro y proporciona un EVENT_NAME válido:

protoPayload.metadata.event.eventName="EVENT_NAME"
resource.type="audited_resource"

Para obtener una lista de nombres de eventos válidos y sus parámetros, consulta la documentación de la API de informes y selecciona uno de los servicios mencionados.

Por ejemplo, si deseas leer los registros cada vez que el servicio de acceso informa que se cambió una contraseña de cuenta, tu filtro se vería de la siguiente manera:

protoPayload.metadata.event.eventName="password_edit"
resource.type="audited_resource"

Enruta registros de auditoría desde Google Cloud

Una vez que los registros de auditoría de Google Workspace estén en Google Cloud, puedes enrutar los registros a los destinos compatibles. Por ejemplo, puedes crear un receptor para enrutar registros a Splunk o BigQuery. Para obtener una descripción general conceptual de cómo se enrutan los registros desde Cloud Logging, consulta Descripción general del enrutamiento y el almacenamiento.

Debido a que los registros de auditoría de Google Workspace son registros a nivel de la organización, los enrutas a estos destinos mediante receptores agregados a nivel de la organización:

A fin de obtener instrucciones para configurar receptores a fin de enrutar registros, consulta Recopile y enruta registros a nivel de la organización a destinos compatibles.

Personaliza el período de retención de datos

Los períodos de retención de Cloud Logging se aplican a los registros de auditoría que almacenas en buckets de registros.

Para mantener registros de auditoría más largos que los períodos de retención predeterminados, puedes configurar la retención personalizada.

¿Qué sigue?