Google Workspace 감사 로그 보기 및 관리

이 문서에서는 Google Workspace의 감사 로그를 구성, 확인, Google Cloud로 라우팅하는 방법을 설명합니다. 감사 로그를 Google Cloud로 라우팅하면 데이터 보안 및 규정 준수와 관련된 일반적인 문제를 진단하고 해결할 수 있습니다.

Google Workspace 감사 로그의 개념 설명은 Google Workspace 감사 로그를 참조하세요.

개요

Google Workspace, Cloud ID, Google 기업용 Drive 계정을 사용하여 Google Cloud 조직과 감사 로그를 공유할 수 있습니다. Google Cloud의 Cloud Logging을 통해 공유 감사 로그에 액세스할 수 있습니다.

Google Cloud에서 다음 서비스의 Google Workspace, Cloud ID, Google 기업용 Drive 감사 로그에 액세스할 수 있습니다.

  • 관리 감사 로그
  • Enterprise 그룹스 감사 로그
  • 로그인 감사 로그
  • OAuth 토큰 감사 로그
  • SAML 감사 로그

이러한 서비스의 감사 로그에 대한 자세한 내용은 서비스별 정보를 참조하세요.

시작하기 전에

Google Cloud에서 Google Workspace의 감사 로그를 보려면 Google Workspace의 감사 로그를 볼 수 있는 올바른 권한이 있는지 확인합니다.

IAM 권한 및 역할에 따라 Logging API, 로그 탐색기, Google Cloud CLI의 감사 로그 데이터에 액세스할 수 있는지 여부가 결정됩니다.

필요할 수 있는 조직 수준 IAM 권한 및 역할에 대한 자세한 내용은 Cloud Logging IAM으로 액세스 제어를 참조하세요.

Google 관리 콘솔에서 감사 로그 보기

Google 관리 콘솔에서 Google Workspace의 감사 로그를 직접 볼 수 있습니다. 이러한 감사 로그를 보는 방법은 다음 주제를 참조하세요.

Google Cloud와 감사 로그 공유

Google Workspace, Cloud ID, Google 기업용 Drive 계정에서 Google Workspace 데이터를 Google Cloud와 공유하려면 Google Cloud 서비스와 데이터 공유의 안내를 따르세요.

Google Workspace 데이터를 Google Cloud와 공유하도록 사용 설정하면 Google Cloud는 Google Workspace의 모든 감사 로그를 수신합니다. Google Cloud에서 특정 감사 로그를 제외하려면 제외 필터로 싱크를 설정합니다. 데이터 공유를 선택적으로 사용 중지하는 데 Google Cloud Console의 IAM 페이지를 사용할 수 없습니다.

Google Cloud에서 Google Workspace의 감사 로그 보기

Logging에서 Google Workspace에 대한 감사 로그를 보려면 Logging 쿼리 언어를 사용하여 데이터를 선택합니다. 최소한 Google Cloud 조직의 식별자를 알아야 합니다. 색인 생성된 다른 LogEntry 필드(예: resource.type)를 더 구체적으로 지정하고 이벤트 유형별로 필터링할 수 있습니다.

Google Workspace에 적용되는 감사 로그 이름은 다음과 같습니다.

앞의 로그 이름에서 ORGANIZATION_ID는 감사 로그를 보려는 Google Cloud 조직을 나타냅니다.

여러 가지 방법으로 감사 로그 항목을 볼 수 있습니다.

콘솔

Google Cloud 콘솔의 로그 탐색기를 사용하여 Google Cloud 조직의 감사 로그 항목을 가져오려면 다음을 수행합니다.

  1. Google Cloud 콘솔의 탐색 패널에서 Logging을 선택한 후 로그 탐색기를 선택합니다.

    로그 탐색기로 이동

  2. 프로젝트 선택기 메뉴에서 조직을 선택합니다.

  3. 리소스 드롭다운 메뉴에서 감사 로그를 보려는 리소스 유형을 선택합니다.

  4. 로그 이름 드롭다운 메뉴에서 데이터 액세스 감사 로그에 data_access를, 관리자 활동 감사 로그에 activity를 선택합니다.

    이 옵션이 표시되지 않으면 현재 조직에서 감사 로그를 사용할 수 없는 의미입니다.

  5. 선택사항: 쿼리 빌더 창에서 필터를 빌드하여 보려는 로그를 추가로 지정할 수 있습니다. 로그 쿼리에 대한 자세한 내용은 쿼리 빌드를 참조하세요.

API

Logging API를 사용하여 감사 로그 항목을 읽으려면 다음 안내를 따르세요.

  1. entries.list 메서드 문서의 API 사용해 보기 섹션으로 이동합니다.

  2. API 사용해 보기 양식의 요청 본문 부분에 다음을 입력합니다. 미리 채워진 양식을 클릭하면 요청 본문이 자동으로 입력되지만 각 로그 이름에 유효한 ORGANIZATION_ID를 입력해야 합니다.

          {
        "resourceNames": [
          "organizations/ORGANIZATION_ID"
        ],
        "pageSize": 5,
        "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
      }

  3. 실행을 클릭합니다.

Logging API를 사용하여 로그를 읽는 자세한 방법은 Logging 쿼리 언어를 참조하세요.

gcloud

Google Cloud CLI는 Cloud Logging API에 명령줄 인터페이스를 제공합니다. 감사 로그 항목을 읽으려면 다음 명령어를 실행합니다.

    gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"

각 로그 이름의 ORGANIZATION_ID를 감사 로그를 읽으려는 Google Cloud 조직의 ID로 바꿉니다.

이 명령어에 대한 자세한 내용은 gcloud logging read 참조를 확인하세요.

감사 로그를 제공하는 각 Google Workspace 서비스는 해당 서비스와 관련된 이벤트를 캡처합니다. 로그인 성공, 액세스 권한 취소와 같은 특정 감사 이벤트의 로그를 읽으려면 필터에 다음을 추가하고 유효한 EVENT_NAME을 제공합니다.

protoPayload.metadata.event.eventName="EVENT_NAME"
resource.type="audited_resource"

유효한 이벤트 이름과 해당 매개변수의 목록을 보려면 Reports API 문서에 나열된 서비스 중에서 선택하세요.

예를 들어 로그인 서비스에서 계정 비밀번호 변경을 보고할 때마다 로그를 읽으려면 다음과 같은 필터를 사용합니다.

protoPayload.metadata.event.eventName="password_edit"
resource.type="audited_resource"

Google Cloud에서 감사 로그 라우팅

Google Workspace의 감사 로그가 Google Cloud에 저장된 후에는 로그를 지원되는 대상으로 라우팅할 수 있습니다. 예를 들어 Splunk 또는 BigQuery로 로그를 라우팅하는 싱크를 만들 수 있습니다. Cloud Logging에서 로그가 라우팅되는 방식에 대한 개념적 소개는 라우팅 및 스토리지 개요를 참조하세요.

Google Workspace의 감사 로그는 조직 수준 로그이므로 조직 수준의 집계 싱크를 사용하여 이러한 대상으로 라우팅합니다.

로그를 라우팅하도록 싱크를 구성하는 방법은 조직 수준 로그를 수집하여 지원되는 대상으로 라우팅을 참조하세요.

데이터 보관 기간 맞춤설정

Cloud Logging 보관 기간은 로그 버킷에 저장하는 감사 로그에 적용됩니다.

감사 로그를 기본 보관 기간보다 오래 보관하려면 커스텀 보관을 구성하면 됩니다.

다음 단계