Ce document explique comment configurer, afficher et acheminer les journaux d'audit Google Workspace vers Google Cloud. En acheminant les journaux d'audit vers Google Cloud, vous pouvez diagnostiquer et résoudre les problèmes courants liés à la sécurité et à la conformité des données.
Pour en savoir plus sur les journaux d'audit Google Workspace, consultez la section Journaux d'audit pour Google Workspace.
Présentation
Vous pouvez partager les journaux d'audit avec votre organisation Google Cloud à l'aide de votre compte Google Workspace, Cloud Identity ou Google Drive Enterprise. Vous pouvez accéder aux journaux d'audit partagés via Cloud Logging dans Google Cloud.
Vous pouvez accéder aux journaux d'audit Google Workspace, Cloud Identity et Google Drive Enterprise des services suivants dans Google Cloud:
- Journaux d'audit d'administration
- Journaux d'audit des groupes Enterprise
- Journaux d'audit de connexion
- Journaux d'audit des jetons OAuth
- Journaux d'audit SAML
Pour en savoir plus sur les journaux d'audit de ces services, consultez la page Informations spécifiques aux services.
Avant de commencer
Pour afficher les journaux d'audit de Google Workspace dans Google Cloud, assurez-vous de disposer des autorisations appropriées.
Les autorisations et les rôles IAM déterminent votre capacité à accéder aux données des journaux d'audit dans l'API Logging, l'explorateur de journaux et la Google Cloud CLI.
Pour plus d'informations sur les autorisations et les rôles IAM au niveau de l'organisation dont vous avez besoin, consultez la section Contrôle des accès avec IAM de Cloud Logging.
Afficher les journaux d'audit dans la console d'administration Google
Vous pouvez consulter les journaux d'audit de Google Workspace directement dans la console d'administration Google. Pour savoir comment afficher ces journaux d'audit, consultez les articles suivants :
Partager les journaux d'audit avec Google Cloud
Pour activer le partage de données Google Workspace avec Google Cloud à partir de votre compte Google Workspace, Cloud Identity ou Google Drive Enterprise, suivez les instructions de la section Partager des données avec les services Google Cloud.
Une fois que vous avez activé le partage des données Google Workspace avec Google Cloud, Google Cloud reçoit tous les journaux d'audit de Google Workspace. Pour exclure certains journaux d'audit de Google Cloud, configurez des récepteurs avec des filtres d'exclusion. Vous ne pouvez pas utiliser la page IAM de la console Google Cloud pour désactiver de manière sélective le partage des données.
Afficher les journaux d'audit pour Google Workspace dans Google Cloud
Pour afficher les journaux d'audit de Google Workspace dans Logging, utilisez le langage de requête Logging pour sélectionner des données. Vous devez au minimum connaître l'identifiant de votre organisation Google Cloud.
Vous pouvez également spécifier d'autres champs LogEntry indexés, comme resource.type, et filtrer par type d'événement.
Voici les noms des journaux d'audit qui s'appliquent à Google Workspace :
Journaux d'audit pour l'accès aux données :
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Journaux d'audit pour les activités d'administration :
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
Dans les noms de journaux précédents, ORGANIZATION_ID fait référence à l'organisation Google Cloud pour laquelle vous souhaitez afficher les journaux d'audit.
Vous avez plusieurs options pour afficher les entrées de votre journal d'audit :
Console
Pour obtenir les entrées de journal d'audit de votre organisation Google Cloud à l'aide de l'explorateur de journaux de la console Google Cloud, procédez comme suit:
-
Dans le panneau de navigation de la console Google Cloud, sélectionnez Logging, puis Explorateur de journaux :
Dans le menu Sélecteur de projet, sélectionnez une organisation.
Dans le menu déroulant Ressource, sélectionnez le type de ressource dont vous souhaitez afficher les journaux d'audit.
Dans le menu déroulant Nom du journal, sélectionnez
data_accesspour les journaux d'audit des accès aux données ouactivitypour les journaux d'audit des activités d'administration.Si ces options ne s'affichent pas, cela signifie que ces journaux d'audit ne sont actuellement pas disponibles dans l'organisation.
Facultatif : vous pouvez créer un filtre dans le volet Générateur de requêtes pour spécifier davantage les journaux que vous souhaitez afficher. Pour en savoir plus sur les requêtes de journaux, consultez la page Générer des requêtes.
API
Pour lire vos entrées de journaux d'audit à l'aide de l'API Logging, procédez comme suit :
Accédez à la section Essayer cette API dans la documentation de la méthode
entries.list.Insérez les éléments suivants dans la partie Corps de la requête du formulaire Essayer cette API. En cliquant sur ce formulaire prérempli, vous remplissez automatiquement le corps de la requête mais vous devez fournir un ID de projet ORGANIZATION_ID valide pour chaque nom de journal.
{ "resourceNames": [ "organizations/ORGANIZATION_ID" ], "pageSize": 5, "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" }Cliquez sur Exécuter.
Pour en savoir plus sur la lecture des journaux à l'aide de l'API Logging, consultez la page Langage de requête Logging.
gcloud
Google Cloud CLI fournit une interface de ligne de commande à l'API Cloud Logging. Pour lire les entrées de journal d'audit, exécutez la commande suivante :
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
Remplacez ORGANIZATION_ID dans chacun des noms de journaux par l'ID de l'organisation Google Cloud dont vous souhaitez lire les journaux d'audit.
Pour en savoir plus sur cette commande, consultez la documentation de référence sur gcloud logging read.
Chaque service Google Workspace qui fournit des journaux d'audit capture les événements spécifiques au service. Si vous souhaitez lire les journaux d'un événement audité spécifique, par exemple une connexion réussie ou un accès révoqué, ajoutez les éléments suivants à votre filtre et fournissez un EVENT_NAME valide :
protoPayload.metadata.event.eventName="EVENT_NAME" resource.type="audited_resource"
Pour obtenir la liste des noms d'événements valides et leurs paramètres, consultez la documentation de l'API Reports et sélectionnez l'un des services répertoriés.
Par exemple, si vous souhaitez lire les journaux chaque fois que le service de connexion indique qu'un mot de passe de compte a été modifié, votre filtre se présente comme suit :
protoPayload.metadata.event.eventName="password_edit" resource.type="audited_resource"
Routage des journaux d'audit depuis Google Cloud
Une fois que les journaux d'audit de Google Workspace sont disponibles dans Google Cloud, vous pouvez les acheminer vers les destinations compatibles. Par exemple, vous pouvez créer un récepteur pour router des journaux vers Splunk ou BigQuery. Pour en savoir plus sur le routage des journaux depuis Cloud Logging, consultez la page Présentation du routage et du stockage.
Les journaux d'audit de Google Workspace étant des journaux au niveau de l'organisation, vous les routez à l'aide de récepteurs agrégés au niveau de l'organisation, vers les destinations suivantes :
Pour obtenir des instructions sur la configuration des récepteurs pour acheminer les journaux, consultez la section Collecter et acheminer les journaux au niveau de l'organisation vers des destinations compatibles.
Personnaliser la durée de conservation des données
Les durées de conservation de Cloud Logging s'appliquent aux journaux d'audit que vous stockez dans des buckets de journaux.
Pour conserver les journaux d'audit plus longtemps que les durées de conservation par défaut, vous pouvez définir une conservation personnalisée.
Étapes suivantes
- Découvrez comment résoudre les problèmes liés aux journaux d'audit pour Google Workspace.
- Consultez les bonnes pratiques d'utilisation de Cloud Audit Logs.
- Apprenez-en plus sur les journaux Access Transparency pour Google Workspace.