配置、查看和导出 Google Workspace 审核日志

概览

本页面介绍如何配置、查看 Google Workspace 和 Cloud Identity 审核日志并将其导出到 Google Cloud。通过将 Google Workspace 和 Cloud Identity 审核日志导出到 Google Cloud,您可以诊断和解决常见问题。

Google Cloud 中的 Google Workspace 审核日志

您可以将 Google Workspace、Cloud Identity 或云端硬盘企业版帐号中的审核日志与贵组织的 Cloud Billing 帐号共享。您可以通过 Google Cloud 中的 Cloud Logging 访问共享审核日志。

您可以在 Google Cloud 中访问以下类型的 Google Workspace、Cloud Identity 和云端硬盘企业版审核日志:

  • Google Workspace 管理员审核。管理员审核日志提供了在 Google Workspace 管理员控制台中执行的操作的记录。举例来说,您可以查看管理员何时添加了用户,或者何时启用了某项 Google Workspace 服务。如需详细了解 Google Workspace 管理员审核日志,请参阅“管理员活动报告事件名称”页面

  • Google Workspace 登录审核。登录审核日志跟踪用户登录您网域的情况。登录日志只会记录登录事件。不会记录执行登录操作所使用的系统。

    登录方式可以是以下任何一种:

    • Google Workspace 管理员控制台

    • Google Cloud Console

    • Cloud Identity API

    • gcloud 命令行工具

    • Google 帐号界面

    如需详细了解 Google Workspace 登录审核日志,请参阅“登录审核活动事件”页面

  • Google Workspace 企业版群组审核。企业版群组审核日志会记录对群组和群组成员资格执行的操作。例如,您可以查看管理员何时添加了用户,或者群组所有者何时删除了其群组。

    群组和群组成员资格操作可以通过以下任意方式执行:

    • Google Workspace 管理员控制台

    • Google Cloud Console

    • Admin SDK/API

    • Cloud Identity API

    • Google 网上论坛界面

    如需详细了解 Google Workspace 企业版群组审核日志,请参阅“企业群组审核活动事件”页面

目前不会与 Google Cloud 共享其他类型的 Google Workspace 审核日志。

在 Google Workspace 管理员控制台中查看 Google Workspace 审核日志

您可以通过 Google Workspace 管理员控制台管理员控制台查看 Google Workspace 审核日志。如需了解如何查看 Google Workspace 审核日志,请参阅以下主题:

通过 Google Cloud 配置和查看 Google Workspace 审核日志

如需在 Google Cloud 中查看 Google Workspace 审核日志,您必须执行以下操作:

  1. 配置与 Google Cloud 共享的 Google Workspace 审核日志。

  2. 配置 Google Cloud 权限以查看 Google Workspace 审核日志。

配置与 Google Cloud 共享的 Google Workspace 审核日志

如需启用通过 Google Workspace、Cloud Identity 或云端硬盘企业版帐号与 Cloud Audit Logs 共享 Google Workspace 数据的功能,请按照 Google Workspace 管理员帮助文章与 Google Cloud 服务共享数据的说明操作。

如果您启用了与 Google Cloud 共享 Google Workspace 数据的功能,则无法使用 Google Cloud Console >IAM 和管理 > 审核日志页面选择性地停用 Google Workspace 审核日志。这意味着 Google Cloud 会收到所有 Google Workspace 审核日志。如果要从 Google Cloud 移除某些审核日志,请在 Cloud Logging 中设置日志排除项

启用与 Google Cloud 的 Google Workspace 数据共享后,Google Workspace 审核日志始终会发送到 Google Cloud。停用 Google Workspace 数据共享会停止将新的 Google Workspace 审核日志发送到 Google Cloud。但是,Google Cloud 中的所有现有日志都只会保留默认的保留期限,除非您配置自定义保留期限以延长存储时间。

配置 Google Cloud 权限以查看 Google Workspace 审核日志

Google Workspace 审核日志位于 Google Cloud 组织中。因此,Identity and Access Management (IAM) 权限和角色决定用户可以查看或导出的审核日志。

在 Google Cloud Console 中查看 Google Workspace 审核日志

您可以通过以下方式查看 Google Cloud 中的 Google Workspace 审核日志:

从 Google Cloud 导出 Google Workspace 审核日志

在 Google Workspace 审核日志进入 Google Cloud 后,您可以将这些日志导出到其他 Google Cloud 存储目标位置或 Google Cloud 之外的存储目标位置。例如,您可以创建一个接收器,将日志导出到 Splunk 或 BigQuery。如需从概念上大致了解如何从 Cloud Logging 导出日志,请参阅日志导出概览

由于 Google Workspace 审核日志是组织级层的日志,因此您可以通过组织级层的汇总导出将它们导出到以下目标位置:

自定义 Cloud Logging 中的日志数据保留期限

Cloud Logging 将日志存储在两个存储分区中:_Default 存储分区和 _Required 存储分区。_Default 存储分区用于存储 Google Cloud 和用户生成的日志。_Required 存储分区用于存储管理员活动审核日志、系统事件审核日志和 Access Transparency 日志。如需详细了解 Cloud Logging 存储分区,请参阅存储日志

Google Workspace 登录审核日志。Google Workspace 审核日志存储在 _Default 存储分区中。您可以配置 Cloud Logging,将 _Default 日志存储分区中的日志保留 1 到 3650 天。如需更新 _Default 日志存储分区的保留期限,请参阅“存储日志”页面上的自定义保留期限部分

Google Workspace 管理员和 Google Workspace 企业版群组审核日志。Google Workspace 管理员和 Google Workspace 企业版群组审核日志存储在 _Required 存储分区中。您不能更改 _Required 存储分区的保留期限。