Log di controllo per Google Workspace

Questo documento fornisce una panoramica concettuale degli audit log forniti da Google Workspace come parte di Cloud Audit Logs.

Per informazioni sulla gestione degli audit log di Google Workspace, vedi Visualizzare e gestire i log di controllo per Google Workspace.

Panoramica

I servizi Google Cloud scrivono audit log per aiutarti a rispondere a domande quali "Chi ha fatto cosa, dove e quando?". Puoi condividere gli audit log di Google Workspace con Google Cloud per archiviare, analizzare, monitorare e creare avvisi per i tuoi dati di Google Workspace.

I log di controllo per Google Workspace sono disponibili per Cloud Identity, Cloud Identity Premium e tutti i clienti di Google Workspace.

Se hai attivato la condivisione dei dati di Google Workspace con Google Cloud, gli audit log sono sempre abilitati per Google Workspace.

La disattivazione della condivisione dei dati di Google Workspace interrompe l'invio a Google Cloud dei nuovi eventi dei log di controllo di Google Workspace. Tutti i log esistenti vengono applicati ai periodi di conservazione predefiniti, a meno che tu non abbia configurato la conservazione personalizzata in modo da conservare i log per un periodo più lungo.

Se non abiliti la condivisione dei dati di Google Workspace con Google Cloud, non potrai visualizzare i log di controllo per Google Workspace in Google Cloud.

Tipi di audit log

Gli audit log delle attività di amministrazione contengono voci di log per le chiamate API o altre azioni che modificano la configurazione o i metadati delle risorse. Ad esempio, questi log registrano quando gli utenti creano istanze VM o modificano le autorizzazioni IAM (Identity and Access Management).

Gli audit log di accesso ai dati contengono chiamate API che leggono la configurazione o i metadati delle risorse, nonché chiamate API guidate dall'utente che creano, modificano o leggono i dati delle risorse forniti dall'utente. I log di controllo dell'accesso ai dati non registrano le operazioni di accesso ai dati sulle risorse condivise pubblicamente (disponibili per tutti gli utenti o per tutti gli utenti autenticati) o a cui è possibile accedere senza accedere a un account Google Cloud, Google Workspace, Cloud Identity o Drive Enterprise.

Servizi Google Workspace che inoltrano gli audit log a Google Cloud

Google Workspace fornisce i seguenti audit log a livello di organizzazione Google Cloud:

  • Controllo amministrativo di Google Workspace: i log di controllo della Console di amministrazione forniscono un registro delle azioni eseguite nella Console di amministrazione Google. Ad esempio, puoi vedere quando un amministratore ha aggiunto un utente o ha attivato un servizio Google Workspace. Audit amministratore scrive solo gli audit log delle attività di amministrazione.

  • Controllo di Google Workspace Enterprise Groups: i log di controllo di Gruppi aziendali forniscono un registro delle azioni eseguite sui gruppi e sulle iscrizioni ai gruppi. Ad esempio, puoi vedere quando un amministratore ha aggiunto un utente o quando il proprietario di un gruppo ha eliminato il suo gruppo.

    Enterprise Groups Audit scrive solo gli audit log delle attività di amministrazione.

  • Controllo dell'accesso a Google Workspace: i log di controllo dell'accesso monitorano gli accessi degli utenti al tuo dominio. Questi log registrano solo l'evento di accesso. Non registrano il sistema utilizzato per eseguire l'azione di accesso.

    Login Audit scrive solo gli audit log di accesso ai dati.

  • Controllo dei token OAuth di Google Workspace: i log di controllo dei token OAuth consentono di monitorare gli utenti che utilizzano determinate applicazioni web o mobile di terze parti nel tuo dominio. Ad esempio, quando un utente apre un'app di Google Workspace Marketplace, il log registra il nome dell'app e della persona che la utilizza. Inoltre, il log registra ogni autorizzazione concessa a un'applicazione di terze parti per accedere ai dati del proprio Account Google, ad esempio Contatti Google, Calendar e file di Drive (solo Google Workspace).

    Audit del token OAuth scrive gli audit log dell'attività di amministrazione e dell'accesso ai dati.

  • Log di controllo SAML di Google Workspace: i log di controllo di SAML tengono traccia degli accessi riusciti e non riusciti degli utenti alle applicazioni SAML. Le voci di solito vengono visualizzate entro un'ora dall'azione dell'utente.

    SAML Audit scrive solo gli audit log di accesso ai dati.

Informazioni specifiche per i servizi

I dettagli dei log di controllo di ciascun servizio Google Workspace sono i seguenti:

Autorizzazioni degli audit log

Le autorizzazioni e i ruoli IAM determinano la tua possibilità di accedere ai dati degli audit log nell'API Logging, in Esplora log e in Google Cloud CLI.

Per informazioni dettagliate sulle autorizzazioni e i ruoli IAM a livello di organizzazione di cui potresti aver bisogno, consulta Controllo dell'accesso con IAM.

Formato degli audit log

Le voci del log di controllo di Google Workspace includono i seguenti oggetti:

  • La voce di log stessa, che è un oggetto di tipo LogEntry. Durante l'esame dei dati dell'audit logging, potresti trovare utile quanto segue:

    • logName contiene l'ID organizzazione e il tipo di log di controllo.
    • resource contiene il target dell'operazione controllata.
    • timeStamp contiene la durata dell'operazione sottoposta ad audit.
    • protoPayload contiene il log di controllo di Google Workspace nel campo metadata.

Il campo protoPayload.metadata contiene le informazioni verificate di Google Workspace. Di seguito è riportato un esempio di log di controllo dell'accesso:

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "test-user@example.net"
    },
    "requestMetadata": {
      "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "login.googleapis.com",
    "methodName": "google.login.LoginService.loginFailure",
    "resourceName": "organizations/123",
    "metadata": {
      "event": [
        {
          "eventName": "login_failure",
          "eventType": "login",
          "parameter": [
            {
              "value": "google_password",
              "type": "TYPE_STRING",
              "name": "login_type",
            },
            {
              "name": "login_challenge_method",
              "type": "TYPE_STRING",
              "label": "LABEL_REPEATED",
              "multiStrValue": [
                "password",
                "idv_preregistered_phone",
                "idv_preregistered_phone"
              ]
            },
          ]
        }
      ],
      "activityId": {
        "uniqQualifier": "358068855354",
        "timeUsec": "1632500217183212"
      },
      "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto"
    }
  },
  "insertId": "-nahbepd4l1x",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "method": "google.login.LoginService.loginFailure",
      "service": "login.googleapis.com"
    }
  },
  "timestamp": "2021-09-24T16:16:57.183212Z",
  "severity": "NOTICE",
  "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2021-09-24T17:51:25.034361197Z"
}

Per informazioni sui campi di audit logging specifici dei servizi e su come interpretarli, scegli tra i servizi elencati in Audit log disponibili.

Visualizza i log

Per informazioni sulla visualizzazione dei log di controllo di Google Workspace, vedi Visualizzare e gestire i log di controllo per Google Workspace.

Audit log del routing

Puoi instradare gli audit log di Google Workspace da Cloud Logging a destinazioni supportate, inclusi altri bucket di Logging.

Di seguito sono riportate alcune applicazioni per il routing degli audit log:

  • Per utilizzare funzionalità di ricerca più potenti, puoi instradare copie degli audit log a Cloud Storage, BigQuery o Pub/Sub. Con Pub/Sub puoi instradare ad altre applicazioni, altri repository e terze parti.

  • Per gestire gli audit log in un'intera organizzazione, puoi creare sink aggregati che combinano e indirizzano i log di tutti i progetti, gli account di fatturazione e le cartelle di Google Cloud contenuti all'interno della tua organizzazione. Ad esempio, puoi aggregare e instradare voci di audit log dalle cartelle di un'organizzazione a un bucket Cloud Storage.

Per istruzioni sui log di routing, vedi Eseguire il routing dei log verso destinazioni supportate.

Aree geografiche

Non puoi scegliere una regione in cui archiviare i log di Google Workspace. I log di Google Workspace non sono coperti dai Criteri per le regioni di dati di Google Workspace.

Periodi di conservazione

Ai dati degli audit log si applicano i seguenti periodi di conservazione:

Per ogni organizzazione, Cloud Logging archivia automaticamente i log in due bucket: un bucket _Default e un bucket _Required. Il bucket _Required contiene gli audit log dell'attività di amministrazione, gli audit log degli eventi di sistema e i log di Access Transparency. Il bucket _Default contiene tutte le altre voci di log non archiviate nel bucket _Required. Per ulteriori informazioni sui bucket di Logging, consulta Panoramica del routing e dell'archiviazione.

Puoi configurare Cloud Logging in modo che conservi i log nel bucket di log _Default per un periodo di tempo compreso tra 1 e 3650 giorni.

Per aggiornare il periodo di conservazione per il bucket di log _Default, consulta Conservazione personalizzata.

Non puoi modificare il periodo di conservazione nel bucket _Required.

Quote e limiti

Le stesse quote si applicano agli audit log per Google Workspace e Cloud Audit Logs.

Per maggiori dettagli su questi limiti di utilizzo, incluse le dimensioni massime degli audit log, consulta Quote e limiti.

Prezzi

I log a livello di organizzazione di Google Workspace sono gratuiti.

Passaggi successivi