En este documento, se describe cómo configurar, ver y enrutar registros de auditoría de Google Workspace a Google Cloud. Cuando enrutas los registros de auditoría a Google Cloud, puedes diagnosticar y resolver problemas comunes relacionados con la seguridad y el cumplimiento de los datos.
Para ver un análisis conceptual de los registros de auditoría de Google Workspace, consulta Registros de auditoría de Google Workspace.
Descripción general
Puedes compartir los registros de auditoría con tu organización de Google Cloud mediante tu cuenta de Google Workspace, Cloud Identity o Google Drive Enterprise. Puedes acceder a los registros de auditoría compartidos a través de Cloud Logging en Google Cloud.
Puedes acceder a los registros de auditoría de Google Workspace, Cloud Identity y Google Drive Enterprise de los siguientes servicios en Google Cloud:
- Registros de auditoría del administrador
- Registros de auditoría de grupos empresariales
- Registros de auditoría de accesos
- Registros de auditoría de los tokens de OAuth
- Registros de auditoría de SAML
Para obtener más información sobre los registros de auditoría de estos servicios, consulta Información específica del servicio.
Antes de comenzar
Si quieres ver los registros de auditoría de Google Workspace en Google Cloud, asegúrate de tener los permisos correctos para ver los registros de auditoría de Google Workspace.
Los permisos y las funciones de IAM determinan tu capacidad para acceder a los datos de registros de auditoría en la API de Logging, el Explorador de registros y la Google Cloud CLI.
Para obtener información detallada sobre los permisos y las funciones de IAM a nivel de organización que podrías necesitar, consulta Control de acceso con IAM de Cloud Logging.
Consulta los registros de auditoría en la Consola del administrador de Google
Puedes ver los registros de auditoría de Google Workspace directamente en la Consola del administrador de Google. Si quieres aprender a ver estos registros de auditoría, consulta los siguientes temas:
Comparte registros de auditoría con Google Cloud
Para habilitar el uso compartido de datos de Google Workspace con Google Cloud desde tu cuenta de Google Workspace, Cloud Identity o Google Drive Enterprise, sigue las instrucciones en Comparte datos con los servicios de Google Cloud.
Después de habilitar el uso compartido de datos de Google Workspace con Google Cloud, Google Cloud recibe todos los registros de auditoría de Google Workspace. Para excluir ciertos registros de auditoría de Google Cloud, configura receptores con filtros de exclusión. No puedes usar la página de IAM en la consola de Google Cloud para inhabilitar selectivamente el uso compartido de datos.
Ver registros de auditoría de Google Workspace en Google Cloud
Si quieres ver los registros de auditoría de Google Workspace en Logging, usa el lenguaje de consulta de Logging para seleccionar los datos. Como mínimo, debes conocer el identificador de tu organización de Google Cloud.
Además, puedes especificar otros campos LogEntry
indexados, como resource.type
, y filtrar por tipo de evento.
Estos son los nombres de los registros de auditoría que se aplican a Google Workspace:
Registros de auditoría de acceso a los datos:
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Registros de auditoría de actividad del administrador:
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
En los nombres de registro anteriores, ORGANIZATION_ID hace referencia a la organización de Google Cloud de la que deseas ver los registros de auditoría.
Tienes varias opciones para ver tus entradas de registro de auditoría:
Consola
Para obtener las entradas de registro de auditoría de tu organización de Google Cloud con el Explorador de registros en la consola de Google Cloud, sigue estos pasos:
-
En el panel de navegación de la consola de Google Cloud, elige Logging y, luego, Explorador de registros:
En el menú Selector de proyectos, selecciona una organización.
En el menú desplegable Recurso, selecciona el tipo de recurso cuyos registros de auditoría deseas ver.
En el menú desplegable Nombre del registro, selecciona
data_access
si deseas ver los registros de auditoría de acceso a los datos oactivity
para ver los registros de auditoría de actividad del administrador.Si no ves estas opciones, se debe a que estos registros de auditoría no están disponibles en la organización en este momento.
Puedes compilar un filtro en el panel Compilador de consultas para especificar aún más los registros que deseas ver (opcional). Para obtener más información sobre cómo consultar registros, visita Cómo compilar consultas.
API
Para leer tus entradas de registro de auditoría con la API de Logging, sigue estos pasos:
Ve a la sección Probar esta API en la documentación del método
entries.list
.Ingresa lo siguiente en la parte Cuerpo de la solicitud del formulario Probar esta API. Si haces clic en este formulario prepropagado, se completará el cuerpo de la solicitud de manera automática, pero deberás proporcionar un ORGANIZATION_ID válido para cada nombre de registro.
{ "resourceNames": [ "organizations/ORGANIZATION_ID" ], "pageSize": 5, "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" }
Haz clic en Ejecutar.
Si deseas obtener más detalles sobre cómo usar la API de Logging para leer registros, consulta Lenguaje de consulta de Logging.
gcloud
Google Cloud CLI proporciona una interfaz de línea de comandos para la API de Cloud Logging. Para leer las entradas de registro de auditoría, ejecuta el siguiente comando:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
Reemplaza ORGANIZATION_ID en cada uno de los nombres de registro por el ID de la organización de Google Cloud de la que deseas leer los registros de auditoría.
Para obtener más información sobre este comando, consulta la referencia de gcloud logging read
.
Cada servicio de Google Workspace que proporciona registros de auditoría captura eventos específicos del servicio. Si deseas leer los registros de un evento auditado en particular, como un acceso exitoso o acceso revocado, agrega lo siguiente al filtro y proporciona un EVENT_NAME válido:
protoPayload.metadata.event.eventName="EVENT_NAME" resource.type="audited_resource"
Para obtener una lista de nombres de eventos válidos y sus parámetros, consulta la documentación de la API de informes y selecciona uno de los servicios mencionados.
Por ejemplo, si deseas leer los registros cada vez que el servicio de acceso informa que se cambió una contraseña de cuenta, tu filtro se vería de la siguiente manera:
protoPayload.metadata.event.eventName="password_edit" resource.type="audited_resource"
Enruta registros de auditoría desde Google Cloud
Una vez que los registros de auditoría de Google Workspace estén en Google Cloud, puedes enrutar los registros a los destinos compatibles. Por ejemplo, puedes crear un receptor para enrutar registros a Splunk o BigQuery. Para obtener una descripción general conceptual de cómo se enrutan los registros desde Cloud Logging, consulta Descripción general del enrutamiento y el almacenamiento.
Debido a que los registros de auditoría de Google Workspace son registros a nivel de la organización, los enrutas a estos destinos mediante receptores agregados a nivel de la organización:
A fin de obtener instrucciones para configurar receptores a fin de enrutar registros, consulta Recopile y enruta registros a nivel de la organización a destinos compatibles.
Personaliza el período de retención de datos
Los períodos de retención de Cloud Logging se aplican a los registros de auditoría que almacenas en buckets de registros.
Para mantener registros de auditoría más largos que los períodos de retención predeterminados, puedes configurar la retención personalizada.
¿Qué sigue?
- Soluciona problemas con los registros de auditoría de Google Workspace.
- Revisa las prácticas recomendadas para los registros de auditoría de Cloud.
- Obtén más información sobre los registros de Transparencia de acceso para Google Workspace.