Afficher et gérer les journaux d'audit pour Google Workspace

Ce document explique comment configurer, afficher et acheminer les journaux d'audit pour Google Workspace vers Google Cloud. En acheminant les journaux d'audit vers Google Cloud, vous pouvez diagnostiquer et résoudre les problèmes courants liés à la sécurité et à la conformité des données.

Pour en savoir plus sur les journaux d'audit Google Workspace, consultez la page Journaux d'audit pour Google Workspace.

Présentation

Vous pouvez partager des journaux d'audit avec votre organisation Google Cloud à l'aide de votre compte Google Workspace, Cloud Identity ou Drive Enterprise. Vous pouvez accéder aux journaux d'audit partagés via Cloud Logging dans Google Cloud.

Vous pouvez accéder aux journaux d'audit Google Workspace, Cloud Identity et Drive Enterprise dans les services suivants dans Google Cloud:

  • Journaux d'audit de la console d'administration
  • Journaux d'audit Enterprise Groupes
  • Journaux d'audit de connexion
  • Journaux d'audit des jetons OAuth
  • Journaux d'audit SAML

Pour en savoir plus sur les journaux d'audit de ces services, consultez la section Informations spécifiques aux services.

Avant de commencer

Pour afficher les journaux d'audit de Google Workspace dans Google Cloud, assurez-vous de disposer des autorisations appropriées.

Les autorisations et les rôles IAM déterminent votre capacité à accéder aux données des journaux d'audit dans l'API Logging, l'explorateur de journaux et l'outil de ligne de commande gcloud.

Pour en savoir plus sur les autorisations et les rôles IAM au niveau de l'organisation dont vous pourriez avoir besoin, consultez la page Contrôle des accès avec Cloud IAM.

Afficher les journaux d'audit dans la console d'administration Google Workspace

Vous pouvez afficher les journaux d'audit Google Workspace directement dans la console d'administration Google Workspace. Pour savoir comment afficher ces journaux d'audit, consultez les rubriques suivantes:

Partager des journaux d'audit avec Google Cloud

Pour activer le partage des données Google Workspace avec Google Cloud depuis votre compte Google Workspace, Cloud Identity ou Drive Enterprise, suivez les instructions de la section Partager des données avec les services Google Cloud.

Une fois que vous avez activé le partage des données Google Workspace avec Google Cloud, Google Cloud reçoit tous les journaux d'audit associés. Pour exclure certains journaux d'audit de Google Cloud, configurez des récepteurs avec des filtres d'exclusion. Vous ne pouvez pas utiliser la page IAM de Google Cloud Console pour désactiver le partage des données de manière sélective.

Afficher les journaux d'audit pour Google Workspace dans Google Cloud

Pour afficher les journaux d'audit de Google Workspace dans Logging, vous devez sélectionner les données à l'aide du langage de requête Logging. Au minimum, vous devez connaître l'identifiant de votre organisation Google Cloud. Vous pouvez également spécifier d'autres champs LogEntry indexés, tels que resource.type, et filtrer par types d'événements.

Voici les noms des journaux d'audit qui s'appliquent à Google Workspace:

Dans les noms de journaux précédents, ORGANIZATION_ID fait référence à l'organisation Google Cloud pour laquelle vous souhaitez afficher les journaux d'audit.

Vous avez plusieurs options pour afficher les entrées de votre journal d'audit :

Console

Pour obtenir les entrées du journal d'audit de votre organisation Google Cloud à l'aide de l'explorateur de journaux de Google Cloud Console, procédez comme suit:

  1. Accédez à la page Explorateur de journaux.

    Accéder à l'explorateur de journaux

  2. Dans le menu Sélecteur de projet, sélectionnez une organisation.

  3. Dans le menu déroulant Ressource, sélectionnez le type de ressource dont vous souhaitez afficher les journaux d'audit.

  4. Dans le menu déroulant Nom du journal, sélectionnez data_access pour les journaux d'audit des accès aux données ou activity pour les journaux d'audit des activités d'administration.

    Si ces options ne s'affichent pas, cela signifie que ces journaux d'audit ne sont actuellement pas disponibles dans l'organisation.

  5. Facultatif: vous pouvez créer un filtre dans le volet Générateur de requêtes pour préciser davantage les journaux que vous souhaitez afficher. Pour en savoir plus sur l'interrogation de journaux, consultez la page Générer des requêtes.

API

Pour lire vos entrées de journaux d'audit à l'aide de l'API Logging, procédez comme suit :

  1. Accédez à la section Essayer cette API dans la documentation de la méthode entries.list.

  2. Insérez les éléments suivants dans la partie Corps de la requête du formulaire Essayer cette API. En cliquant sur ce formulaire prérempli, vous remplissez automatiquement le corps de la requête mais vous devez fournir un ID de projet ORGANIZATION_ID valide pour chaque nom de journal.

          {
            "resourceNames": [
              "organizations/ORGANIZATION_ID"
            ],
            "pageSize": 5,
            "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
          }
    
  3. Cliquez sur Exécuter.

Pour en savoir plus sur la lecture des journaux à l'aide de l'API Logging, consultez la page Langage de requête Logging.

gcloud

L'outil de ligne de commande gcloud fournit une interface de ligne de commande à l'API Cloud Logging. Pour lire les entrées de journal d'audit, exécutez la commande suivante:

    gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"

Remplacez ORGANIZATION_ID dans chacun des noms de journaux par l'ID de l'organisation Google Cloud dont vous souhaitez lire les journaux d'audit.

Pour plus d'informations sur cette commande, consultez la documentation de référence sur gcloud logging read.

Chaque service Google Workspace qui fournit des journaux d'audit capture les événements spécifiques au service. Si vous souhaitez lire les journaux d'un événement audité particulier, tel qu'une connexion réussie ou un accès révoqué, ajoutez les éléments suivants à votre filtre et fournissez un EVENT_NAME valide:

protoPayload.metadata.event.eventName="EVENT_NAME"
resource.type="audited_resource"

Pour obtenir la liste des noms d'événements valides et leurs paramètres, consultez la documentation de l'API Reports et sélectionnez l'un des services répertoriés.

Par exemple, si vous souhaitez lire les journaux chaque fois que le service de connexion indique qu'un mot de passe de compte a été modifié, votre filtre se présente comme suit :

protoPayload.metadata.event.eventName="password_edit"
resource.type="audited_resource"

Acheminer les journaux d'audit à partir de Google Cloud

Une fois que les journaux d'audit Google Workspace se trouvent dans Google Cloud, vous pouvez les acheminer vers des destinations compatibles. Par exemple, vous pouvez créer un récepteur pour router des journaux vers Splunk ou BigQuery. Pour en savoir plus sur le routage des journaux depuis Cloud Logging, consultez la page Présentation du routage et du stockage.

Les journaux d'audit Google Workspace étant des journaux au niveau de l'organisation, ils sont acheminés vers les destinations suivantes à l'aide de récepteurs agrégés:

Pour savoir comment configurer des récepteurs pour acheminer les journaux, consultez la page Configurer les récepteurs agrégés.

Personnaliser la durée de conservation des données

Les durées de conservation de Cloud Logging s'appliquent aux journaux d'audit que vous stockez dans les buckets de journaux.

Pour conserver les journaux d'audit plus longtemps que la durée de conservation par défaut, vous pouvez configurer une conservation personnalisée.

Étape suivante