Audit-Logs von Google Workspace

Dieses Dokument bietet eine konzeptionelle Übersicht über die Audit-Logs, die Google Workspace als Teil von Cloud-Audit-Logs bereitstellt.

Informationen zum Verwalten Ihrer Audit-Logs von Google Workspace finden Sie unter Audit-Logs von Google Workspace ansehen und verwalten.

Überblick

Google Cloud-Dienste schreiben Audit-Logs, um Ihnen Antworten auf Fragen wie "Wer hat was wo und wann getan?" zu liefern. Sie können Ihre Audit-Logs von Google Workspace für Google Cloud freigeben, um Ihre Google Workspace-Daten zu speichern, zu analysieren, zu überwachen und zu melden.

Audit-Logs von Google Workspace sind für Cloud Identity-, Cloud Identity Premium- und alle Google Workspace-Kunden verfügbar.

Wenn Sie die Google Workspace-Datenfreigabe für Google Cloud aktiviert haben, sind Audit-Logs für Google Workspace immer aktiviert.

Wenn Sie die Google Workspace-Datenfreigaben deaktivieren, werden keine neuen Audit-Log-Ereignisse von Google Workspace mehr an Google Cloud gesendet. Vorhandene Logs behalten ihre Standard-Aufbewahrungsdauer, es sei denn, Sie haben die benutzerdefinierte Aufbewahrung konfiguriert, um Ihre Logs länger zu speichern.

Wenn Sie die Google Workspace-Datenfreigabe für Google Cloud nicht aktiviert haben, können Sie keine Audit-Logs für Google Workspace in Google Cloud sehen.

Arten von Audit-Logs

Audit-Logs zur Administratoraktivität enthalten Logeinträge für API-Aufrufe oder andere Aktionen, die die Konfiguration oder Metadaten von Ressourcen ändern. In diesen Logs wird beispielsweise aufgezeichnet, wann Nutzer VM-Instanzen erstellen oder IAM-Berechtigungen (Identity and Access Management) ändern.

Audit-Logs zu Datenzugriffen​ enthalten API-Aufrufe, die die Konfiguration oder Metadaten von Ressourcen lesen, sowie nutzergesteuerte API-Aufrufe, die von Nutzern bereitgestellte Ressourcendaten erstellen, ändern oder lesen. In Audit-Logs zum Datenzugriff werden keine Vorgänge zum Datenzugriff auf Ressourcen erfasst, die öffentlich freigegeben, also für alle Nutzer oder alle authentifizierten Nutzer verfügbar sind, oder die ohne Anmeldung in Google Cloud, Google Workspace, Cloud Identity, oder im Unternehmenskonto zugänglich sind.

Google Workspace-Dienste, die Audit-Logs an Google Cloud weiterleiten

Google Workspace stellt auf der Google Cloud-Organisationsebene die folgenden Audit-Logs bereit:

  • Google Workspace-Admin-Audit: Admin-Audit-Logs enthalten Informationen zu den Aktionen, die in der Google Admin-Konsole ausgeführt wurden. Sie können beispielsweise sehen, wenn ein Administrator einen Nutzer hinzugefügt oder einen Google Workspace-Dienst aktiviert hat. Admin-Audits schreiben nur Audit-Logs zur Administratoraktivität.

  • Workspace Enterprise Groups-Audit: Audit-Logs zu Unternehmensgruppen enthalten Informationen zu den Aktionen, die für Gruppen und Gruppenmitgliedschaften ausgeführt wurden. Sie erfahren beispielsweise, wann ein Administrator einen Nutzer hinzugefügt oder ein Gruppeninhaber seine Gruppe gelöscht hat.

    Enterprise Groups Audits schreiben nur Audit-Logs zur Administratoraktivität.

  • Audit-Logs zu Anmeldeaktivitäten von Google Workspace: Audit-Logs zu Anmeldeaktivitäten erfassen Nutzeranmeldungen in Ihrer Domain. In diesen Logs wird nur das Anmeldeereignis aufgezeichnet. Es wird nicht erfasst, welches System für den Anmeldevorgang verwendet wurde.

    Bei Audit-Logs zu Anmeldeaktivitäten werden nur Audit-Logs zum Datenzugriff geschrieben.

  • OAuth-Token-Audit-Logs von Google Workspace: OAuth-Token-Audit-Logs verfolgen, welche Nutzer welche mobilen oder Webanwendungen von Drittanbietern in Ihrer Domain verwenden. Wenn ein Nutzer beispielsweise eine Google Workspace Marketplace-App öffnet, zeichnet das Protokoll den Namen der App und die Person auf, die sie verwendet. Es wird auch jedes Mal im Protokoll aufgezeichnet, wenn für eine Anwendung eines Drittanbieters der Zugriff auf Google-Kontodaten autorisiert wird, z. B. Kontakte, Kalender und Drive-Dateien (nur Google Workspace).

    Das OAuth-Token-Audit schreibt sowohl Audit-Logs zur Administratoraktivität als auch zum Datenzugriff.

  • SAML-Audit-Logs von Google Workspace: SAML-Audit-Logs erfassen erfolgreiche und fehlgeschlagene Anmeldungen von Nutzern in SAML-Anwendungen. Ein neuer Eintrag erscheint normalerweise innerhalb einer Stunde nach der Nutzeraktion.

    SAML-Audits schreiben nur Audit-Logs zum Datenzugriff.

Dienstspezifische Informationen

Im Folgenden finden Sie Informationen zu den Audit-Logs jedes Google Workspace-Dienstes:

Berechtigungen für Audit-Logs

Ihre Fähigkeit zum Zugriff auf die Prüfung wird durch IAM-Berechtigungen und -Rollen bestimmt in der Logging API protokolliert, Log-Explorer und den Google Cloud CLI

Ausführliche Informationen zu den eventuell erforderlichen IAM-Berechtigungen und zu Rollen auf Organisationsebene finden Sie unter Zugriffssteuerung mit IAM.

Audit-Log-Format

Google Workspace-Audit-Logeinträge umfassen folgende Objekte:

  • Den Logeintrag selbst. Dabei handelt es sich um ein Objekt vom Typ LogEntry. Bei der Untersuchung von Audit-Logging-Daten kann Folgendes hilfreich sein:

    • logName enthält die Organisations-ID und den Audit-Logtyp.
    • resource enthält das Ziel zum geprüften Vorgang.
    • timeStamp enthält die Uhrzeit des geprüften Vorgangs.
    • protoPayload enthält das Audit-Log für Google Workspace im metadata-Feld.

Das protoPayload.metadata-Feld enthält die geprüften Google Workspace-Informationen. Das folgende Beispiel zeigt ein Audit-Log zu Anmeldeaktivitäten:

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "test-user@example.net"
    },
    "requestMetadata": {
      "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "login.googleapis.com",
    "methodName": "google.login.LoginService.loginFailure",
    "resourceName": "organizations/123",
    "metadata": {
      "event": [
        {
          "eventName": "login_failure",
          "eventType": "login",
          "parameter": [
            {
              "value": "google_password",
              "type": "TYPE_STRING",
              "name": "login_type",
            },
            {
              "name": "login_challenge_method",
              "type": "TYPE_STRING",
              "label": "LABEL_REPEATED",
              "multiStrValue": [
                "password",
                "idv_preregistered_phone",
                "idv_preregistered_phone"
              ]
            },
          ]
        }
      ],
      "activityId": {
        "uniqQualifier": "358068855354",
        "timeUsec": "1632500217183212"
      },
      "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto"
    }
  },
  "insertId": "-nahbepd4l1x",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "method": "google.login.LoginService.loginFailure",
      "service": "login.googleapis.com"
    }
  },
  "timestamp": "2021-09-24T16:16:57.183212Z",
  "severity": "NOTICE",
  "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2021-09-24T17:51:25.034361197Z"
}

Informationen zu dienstspezifischen Audit-Logging-Feldern und deren Interpretation finden Sie unter den unter Verfügbare Audit-Logs aufgeführten Diensten.

Logs ansehen

Informationen zum Aufrufen Ihrer Audit-Logs von Google Workspace finden Sie unter Audit-Logs von Google Workspace ansehen und verwalten.

Audit-Logs weiterleiten

Sie können Audit-Logs von Google Workspace von Cloud Logging an unterstützte Ziele weiterleiten, einschließlich anderer Logging-Buckets.

Im Folgenden finden Sie einige Anwendungen für das Routing von Audit-Logs:

  • Wenn Sie leistungsfähigere Suchfunktionen nutzen möchten, können Sie Kopien Ihrer Audit-Logs in Cloud Storage, BigQuery oder Pub/Sub weiterleiten. Bei Verwendung von Pub/Sub haben Sie die Möglichkeit, die Logs in andere Anwendungen, andere Repositories und Drittanbietersysteme weiterzuleiten.

  • Um Ihre Audit-Logs organisationsweit zu verwalten, können Sie aggregierten Senken, die Logs aus allen Google Cloud-Projekten, Rechnungskonten und Ordner, die in Ihrer Organisation enthalten sind. Sie haben damit beispielsweise die Möglichkeit, Audit-Logeinträge aus den Ordnern einer Organisation zusammenzufassen und an einen Cloud Storage-Bucket zu leiten.

Eine Anleitung zu Routing-Logs finden Sie unter Logs an unterstützte Ziele weiterleiten

Regionalisierung

Sie können keine Region auswählen, in der Ihre Google Workspace-Logs gespeichert werden. Google Workspace-Logs sind nicht durch die Google Workspace-Richtlinie für Speicherorte abgedeckt.

Aufbewahrungsdauer

Für Ihre Audit-Logdaten gelten die folgenden Aufbewahrungszeiträume:

Cloud Logging speichert für jede Organisation automatisch Logs in zwei Buckets: in einem _Default- und einem _Required-Bucket. Der _Required-Bucket enthält Audit-Logs zur Administratoraktivität, Audit-Logs zu Systemereignissen und Logs zu Access Transparency. Der Bucket _Default enthält alle anderen Logeinträge, die nicht im _Required Bucket. Weitere Informationen zu Log-Buckets finden Sie unter Routing und Speicher.

Sie können in Cloud Logging festlegen, dass die Logs im _Default-Log-Bucket für einen Zeitraum von 1 Tag bis zu 3.650 Tagen aufbewahrt werden.

Informationen zum Ändern der Aufbewahrungsdauer für den _Default-Log-Bucket finden Sie unter Benutzerdefinierte Aufbewahrung.

Sie können die Aufbewahrungsdauer für den _Required-Bucket nicht ändern.

Kontingente und Limits

Für Audit-Logs von Google Workspace- und Cloud-Audit-Logs gelten die gleichen Kontingente.

Weitere Informationen zu diesen Nutzungslimits, einschließlich der maximalen Größe von Audit-Logs, finden Sie unter Kontingente und Limits.

Preise

Die Logs auf Organisationsebene von Google Workspace sind kostenlos.

Nächste Schritte