配置、查看和导出 G Suite 审核日志

概览

本页面介绍如何配置、查看 G Suite 和 Cloud Identity 审核日志并将其导出到 Google Cloud。通过将 G Suite 和 Cloud Identity 审核日志导出到 Google Cloud,您可以诊断和解决常见问题。

Google Cloud 中的 G Suite 审核日志

您可以将 G Suite、Cloud Identity 或云端硬盘企业版帐号中的审核日志与贵组织的 Google Cloud 帐号共享。您可以通过 Google Cloud 中的 Cloud Logging 访问共享审核日志。

您可以在 Google Cloud 中访问以下类型的 G Suite、Cloud Identity 和云端硬盘企业版审核日志:

  • G Suite 管理员审核日志。管理审核日志提供了在 G Suite 管理控制台中执行的操作的记录。举例来说,您可以查看管理员何时添加了用户,或者何时启用了某项 G Suite 服务。如需详细了解 G Suite 管理员审核日志,请参阅“管理员活动报告事件名称”页面

  • G Suite 登录审核日志。登录审核日志跟踪用户登录您网域的情况。登录日志只会记录登录事件。不会记录执行登录操作所使用的系统。

    登录方式可以是以下任何一种:

    • G Suite 管理控制台

    • Google Cloud Console

    • Cloud Identity API

    • gcloud 命令行工具

    • Google 帐号界面

    如需详细了解 G Suite 登录审核日志,请参阅“登录审核活动事件”页面

  • G Suite 企业版群组审核日志。企业版群组审核日志会记录对群组和群组成员资格执行的操作。例如,您可以查看管理员何时添加了用户,或者群组所有者何时删除了其群组。

    群组和群组成员资格操作可以通过以下任意方式执行:

    • G Suite 管理控制台

    • Google Cloud Console

    • Admin SDK/API

    • Cloud Identity API

    • Google 网上论坛界面

    如需详细了解 G Suite 企业版群组审核日志,请参阅“企业群组审核活动事件”页面

目前不会与 Google Cloud 共享其他类型的 G Suite 审核日志。

在 G Suite 管理控制台中查看 G Suite 审核日志

您可以通过 G Suite 管理控制台查看 G Suite 审核日志。如需了解如何查看 G Suite 审核日志,请参阅以下主题:

使用 Google Cloud 配置和查看 G Suite 审核日志

如需在 Google Cloud 中查看 G Suite 审核日志,必须执行以下操作:

  1. 配置与 Google Cloud 共享的 G Suite 审核日志。

  2. 配置 Google Cloud 权限以查看 G Suite 审核日志。

配置与 Google Cloud 共享的 G Suite 审核日志

要允许与 G Suite、Cloud Identity 或云端硬盘企业版帐号的 Cloud Audit Logs 共享 G Suite 数据,请按照 G Suite 管理员帮助文章与 Google Cloud 服务共享数据中的说明操作。

如果您启用了与 Google Cloud 共享 G Suite 数据的功能,则无法使用 Google Cloud Console > IAM 和管理 > 审核日志页面选择性地停用 G Suite 审核日志。这意味着 Google Cloud 会收到所有 G Suite 审核日志。如果要从 Google Cloud 移除某些审核日志,请在 Cloud Logging 中设置日志排除项

启用与 Google Cloud 的 G Suite 数据共享后,G Suite 审核日志始终会发送到 Google Cloud。停用 G Suite 数据共享会停止将新的 G Suite 审核日志发送到 Google Cloud。但是,Google Cloud 中的所有现有日志都只会保留默认的保留期限,除非您配置自定义保留期限以延长存储时间。

配置 Google Cloud 权限以查看 G Suite 审核日志

G Suite 审核日志位于 Google Cloud 组织中。因此,Identity and Access Management (IAM) 权限和角色决定用户可以查看或导出的审核日志。

在 Google Cloud Console 中查看 G Suite 审核日志

您可以通过以下方式在 Google Cloud 中查看 G Suite 审核日志:

从 Google Cloud 导出 G Suite 审核日志

在 G Suite 审核日志进入 Google Cloud 后,您可以将这些日志导出到其他 Google Cloud 存储目标位置或 Google Cloud 之外的存储目标位置。例如,您可以创建一个接收器,将日志导出到 Splunk 或 BigQuery。如需从概念上大致了解如何从 Cloud Logging 导出日志,请参阅日志导出概览

由于 G Suite 审核日志是组织级层的日志,因此您可以通过组织级层的汇总导出将它们导出到以下目标位置:

自定义 Cloud Logging 中的日志数据保留期限

Cloud Logging 将日志存储在两个存储分区中:_Default 存储分区和 _Required 存储分区。_Default 存储分区用于存储 Google Cloud 和用户生成的日志。_Required 存储分区用于存储管理员活动审核日志、系统事件审核日志和 Access Transparency 日志。如需详细了解 Cloud Logging 存储分区,请参阅存储日志

G Suite 登录审核日志。G Suite 审核日志存储在 _Default 存储分区中。您可以配置 Cloud Logging,将 _Default 日志存储分区中的日志保留 1 到 3650 天。如需更新 _Default 日志存储分区的保留期限,请参阅“存储日志”页面上的自定义保留期限部分

G Suite Admin 和 G Suite Enterprise Group 审核日志。G Suite 管理员和 G Suite 企业版群组审核日志存储在 _Required 存储分区中。您不能更改 _Required 存储分区的保留期限。