配置和管理 Google Workspace 审核日志

本文档介绍如何配置、查看 Google Workspace 审核日志并将其路由到 Google Cloud。通过将 Google Workspace 审核日志路由到 Google Cloud,您可以诊断和解决与数据安全和合规性相关的问题。

如需从概念上了解 Google Workspace 审核日志,请参阅 Google Workspace 审核日志记录信息

概览

您可以将 Google Workspace、Cloud Identity 或云端硬盘企业版帐号中的审核日志与您的 Google Cloud 组织共享。您可以通过 Google Cloud 中的 Cloud Logging 访问共享审核日志。

您可以在 Google Cloud 中访问以下类型的 Google Workspace、Cloud Identity 和云端硬盘企业版审核日志:

  • Google Workspace 管理员审核:管理员审核日志提供了在 Google Workspace 管理员控制台中执行的操作的记录。举例来说,您可以查看管理员何时添加了用户,或者何时启用了 Google Workspace 服务。

    如需详细了解 Google Workspace 管理员审核日志,请参阅管理员活动报告事件名称

  • Google Workspace 企业版群组审核:“Google Workspace 企业版群组审核”日志提供了对群组和群组成员资格执行的操作的记录。举例来说,您可以查看管理员何时添加了用户,或者群组所有者何时删除了自己的群组。

    群组和群组成员资格操作可以通过以下任意方式执行:

    • Google Workspace 管理员控制台

    • Google Cloud Console

    • Admin SDK/API

    • Cloud Identity API

    • Google 网上论坛界面

    如需详细了解 Google Workspace 企业版群组审核日志,请参阅 Google Workspace 企业版群组审核活动事件

  • Google Workspace 登录审核:登录审核日志跟踪用户登录您的网域的情况。登录日志仅会记录登录事件,不会记录用来执行登录操作的系统。

    登录方式可以是以下任何一种:

    • Google Workspace 管理员控制台

    • Google Cloud Console

    • Cloud Identity API

    • gcloud 命令行工具

    • Google 帐号界面

    如需详细了解 Google Workspace 登录审核日志,请参阅登录审核活动事件

  • Google Workspace SAML 审核:SAML 审核日志可跟踪用户登录 SAML 应用的成功和失败情况。系统通常会在用户操作后 1 小时内显示相关条目。

    如需详细了解 Google Workspace SAML 审核日志,请参阅 SAML 审核活动事件。其他类型的 Google Workspace 审核日志不会与 Google Cloud 共享。

在 Google Workspace 管理员控制台中查看 Google Workspace 审核日志

您可以直接在 Google Workspace 管理员控制台中查看 Google Workspace 审核日志。如需了解如何查看 Google Workspace 审核日志,请参阅以下主题:

通过 Google Cloud 配置和查看 Google Workspace 审核日志

如需在 Google Cloud 中查看 Google Workspace 审核日志,请执行以下操作:

  1. 与 Google Cloud 共享 Google Workspace 审核日志。

  2. 配置 Google Cloud 权限以查看 Google Workspace 审核日志。

与 Google Cloud 共享 Google Workspace 审核日志

如需启用通过 Google Workspace、Cloud Identity 或云端硬盘企业版帐号与 Google Cloud 共享 Google Workspace 数据的功能,请参阅与 Google Cloud 服务共享数据中的说明。

如果您启用了与 Google Cloud 共享 Google Workspace 数据的功能,则无法使用 Google Cloud Console > IAM 和管理 > 审核日志页面选择性地停用 Google Workspace 审核日志。这意味着 Google Cloud 会收到所有 Google Workspace 审核日志。如果要从 Google Cloud 排除某些审核日志,请使用排除项过滤条件设置接收器。

配置 Google Cloud 权限以查看 Google Workspace 审核日志

IAM 权限和角色确定您能否在 Logging APILogs Explorergcloud 命令行工具中访问日志数据。

如需详细了解您可能需要的组织级层 IAM 权限和角色,请参阅访问权限控制指南

在 Google Cloud 中查看 Google Workspace 审核日志

如需在 Logging 中查看 Google Workspace 审核日志,请使用 Logging 查询语言来选择数据。您至少需要知道您的 Google Cloud 组织的标识符。您可以进一步指定其他已编入索引的 LogEntry 字段(例如 resource.type),并按事件类型过滤。

以下是 Google Workspace 审核日志的名称:

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

您可以通过多种方式来查看审核日志条目:

CONSOLE

如需在 Google Cloud Console 中使用日志浏览器获取您的 Google Cloud 组织的审核日志条目,请执行以下操作:

  1. 转到 Logging > 日志浏览器

    转到“日志浏览器”页面

  2. 项目选择器菜单中选择一个组织。

  3. 资源下拉菜单中,选择要查看其审核日志的资源类型。

  4. 日志名称下拉菜单中,选择 data_access 以查看数据访问审核日志,或者选择 activity 以查看管理员活动审核日志。

    如果您没有看到这些选项,则表示这些审核日志目前在该组织中不可用。

  5. (可选)您可以在查询构建器窗格中构建过滤条件,以进一步指定您要查看的日志。如需详细了解如何查询日志,请参阅构建查询

API

如需使用 Logging API 读取审核日志条目,请执行以下操作:

  1. 转到 entries.list 方法文档中的试用此 API 部分。

  2. 将以下内容添加到试用此 API 表单的请求正文部分。点击此预填充的表单后,系统会自动填充请求正文,但您需要在每个日志名称中提供一个有效的 ORGANIZATION_ID

          {
            "resourceNames": [
              "organizations/ORGANIZATION_ID"
            ],
            "pageSize": 5,
            "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
          }
    
  3. 点击执行

如需详细了解如何使用 Logging API 读取日志,请参阅 Logging 查询语言

GCLOUD

gcloud 命令行工具提供了用于 Cloud Logging API 的命令行界面。如需读取您的日志条目,请运行以下命令。在每个日志名称中提供有效的 ORGANIZATION_ID

    gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"

如需详细了解如何使用 gcloud 命令行工具,请参阅读取日志条目

每个提供审核日志的 Google Workspace 服务都会捕获特定于该服务的事件。如果您要读取特定审核事件(例如成功登录或访问权限被撤消)的日志,请将以下内容添加到过滤条件中,并提供有效的 EVENT_NAME

protoPayload.metadata.event.eventName="EVENT_NAME"
resource.type="audited_resource"

如需查看有效事件名称及其参数的列表,请参阅 Reports API 文档,然后从列出的服务中进行选择。

例如,如果您要在每次登录服务报告帐号密码已更改时读取日志,则过滤条件将如下所示:

protoPayload.metadata.event.eventName="password_edit"
resource.type="audited_resource"

从 Google Cloud 路由 Google Workspace 审核日志

在 Google Workspace 审核日志进入 Google Cloud 后,可以路由到受支持的目标位置。例如,您可以创建一个接收器,将日志路由到 Splunk 或 BigQuery。如需从概念上大致了解如何从 Cloud Logging 路由日志,请参阅路由和存储概览

由于 Google Workspace 审核日志是组织级层日志,因此您可以使用组织级层的汇总接收器将其路由到以下目标位置:

如需了解如何配置接收器以路由 Google Workspace 审核日志,请参阅配置汇总接收器

自定义日志数据保留期限

如需使审核日志的保留时间超过默认保留期限,您可以配置自定义保留