Log audit untuk Google Workspace

Dokumen ini memberikan ringkasan konseptual tentang log audit yang disediakan Google Workspace sebagai bagian dari Cloud Audit Logs.

Untuk informasi tentang cara mengelola log audit Google Workspace, lihat Melihat dan mengelola log audit untuk Google Workspace.

Ringkasan

Layanan Google Cloud menulis log audit untuk membantu Anda menjawab pertanyaan, "Siapa yang melakukan apa, di mana, dan kapan?". Anda dapat membagikan log audit Google Workspace dengan Google Cloud untuk menyimpan, menganalisis, memantau, dan mendapatkan pemberitahuan tentang data Google Workspace Anda.

Log audit untuk Google Workspace tersedia untuk Cloud Identity, Cloud Identity Premium, dan semua pelanggan Google Workspace.

Jika Anda telah mengaktifkan berbagi data Google Workspace dengan Google Cloud, log audit akan selalu diaktifkan untuk Google Workspace.

Menonaktifkan berbagi data Google Workspace akan menghentikan peristiwa log audit Google Workspace baru dikirim ke Google Cloud. Setiap log yang ada akan tetap ada selama periode retensi data default, kecuali jika Anda telah mengonfigurasi retensi kustom untuk mempertahankan log selama jangka waktu yang lebih lama.

Jika tidak mengaktifkan berbagi data Google Workspace dengan Google Cloud, Anda tidak dapat melihat log audit untuk Google Workspace di Google Cloud.

Jenis log audit

Log audit Aktivitas Admin berisi entri log untuk panggilan API atau tindakan lainnya yang mengubah konfigurasi atau metadata resource. Misalnya, log ini mencatat saat pengguna membuat instance VM atau mengubah izin Identity and Access Management (IAM).

Log audit Akses Data berisi panggilan API yang membaca konfigurasi atau metadata resource, serta panggilan API yang dilakukan pengguna untuk membuat, mengubah, atau membaca data resource yang diberikan pengguna. Log audit Akses Data tidak mencatat operasi akses data di resource yang digunakan bersama secara publik (tersedia untuk Semua Pengguna atau Semua Pengguna Terautentikasi) atau yang dapat diakses tanpa login ke akun Google Cloud, Google Workspace, Cloud Identity, atau Drive Enterprise.

Layanan Google Workspace yang meneruskan log audit ke Google Cloud

Google Workspace menyediakan log audit berikut di tingkat organisasi Google Cloud:

  • Transparansi Akses: Log Transparansi Akses memberikan catatan tindakan saat staf Google mengakses konten pelanggan di resource Google Workspace Anda. Berbeda dengan Transparansi Akses, Cloud Audit Logs mencatat tindakan yang telah dilakukan oleh anggota organisasi Google Cloud Anda di resource Google Cloud Anda.

    Untuk informasi selengkapnya tentang struktur log Transparansi Akses dan jenis akses yang dicatat ke dalam log, lihat Deskripsi kolom log.

  • Audit Admin Google Workspace: Log Audit Admin memberikan data tindakan yang dilakukan di konsol Google Admin Anda. Misalnya, Anda dapat melihat kapan administrator menambahkan pengguna atau mengaktifkan layanan Google Workspace.

    Audit Admin hanya menulis log audit Aktivitas Admin.

  • Audit Grup Enterprise Google Workspace: Log Audit Grup Enterprise menyediakan data tindakan yang dilakukan pada grup dan keanggotaan grup. Misalnya, Anda dapat melihat waktu administrator menambahkan pengguna atau ketika pemilik grup menghapus grupnya.

    Audit Grup Perusahaan hanya menulis log audit Aktivitas Admin.

  • Audit Login Google Workspace: Log Audit Login melacak login pengguna ke domain Anda. Log ini hanya mencatat peristiwa login. Log tersebut tidak mencatat sistem mana yang digunakan untuk melakukan tindakan login.

    Audit Login hanya menulis log audit Akses Data.

  • Audit Token OAuth Google Workspace: Log Audit Token OAuth melacak pengguna yang menggunakan aplikasi seluler atau web pihak ketiga di domain Anda. Misalnya, saat pengguna membuka aplikasi Google Workspace Marketplace, log akan mencatat nama aplikasi dan orang yang menggunakannya. Log ini juga mencatat setiap kali aplikasi pihak ketiga diizinkan untuk mengakses data Akun Google, seperti file Google Kontak, Kalender, dan Drive (khusus Google Workspace).

    Audit Token OAuth menulis log audit Aktivitas Admin dan Akses Data.

  • Audit SAML Google Workspace: Log Audit SAML melacak proses login pengguna yang berhasil dan gagal ke aplikasi SAML. Entri biasanya muncul dalam waktu satu jam setelah pengguna melakukan tindakan.

    SAML Audit hanya menulis log audit Akses Data.

Informasi khusus layanan

Detail untuk setiap log audit layanan Google Workspace adalah sebagai berikut:

Izin log audit

Izin dan peran IAM menentukan kemampuan Anda untuk mengakses data log audit di Logging API, Logs Explorer, dan Google Cloud CLI.

Untuk mengetahui informasi mendetail tentang izin dan peran IAM tingkat organisasi yang mungkin Anda perlukan, lihat Kontrol akses dengan IAM.

Format log audit

Entri log audit Google Workspace mencakup objek berikut:

  • Entri log itu sendiri, yang merupakan objek dengan jenis LogEntry. Saat memeriksa data logging audit, Anda mungkin menemukan hal berikut berguna:

    • logName berisi ID organisasi dan jenis log audit.
    • resource berisi target operasi yang diaudit.
    • timeStamp berisi waktu operasi yang diaudit.
    • protoPayload berisi log audit Google Workspace di kolom metadata-nya.

Kolom protoPayload.metadata menyimpan informasi Google Workspace yang diaudit. Berikut adalah contoh log Audit Login:

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "test-user@example.net"
    },
    "requestMetadata": {
      "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "login.googleapis.com",
    "methodName": "google.login.LoginService.loginFailure",
    "resourceName": "organizations/123",
    "metadata": {
      "event": [
        {
          "eventName": "login_failure",
          "eventType": "login",
          "parameter": [
            {
              "value": "google_password",
              "type": "TYPE_STRING",
              "name": "login_type",
            },
            {
              "name": "login_challenge_method",
              "type": "TYPE_STRING",
              "label": "LABEL_REPEATED",
              "multiStrValue": [
                "password",
                "idv_preregistered_phone",
                "idv_preregistered_phone"
              ]
            },
          ]
        }
      ],
      "activityId": {
        "uniqQualifier": "358068855354",
        "timeUsec": "1632500217183212"
      },
      "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto"
    }
  },
  "insertId": "-nahbepd4l1x",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "method": "google.login.LoginService.loginFailure",
      "service": "login.googleapis.com"
    }
  },
  "timestamp": "2021-09-24T16:16:57.183212Z",
  "severity": "NOTICE",
  "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2021-09-24T17:51:25.034361197Z"
}

Untuk informasi tentang kolom logging audit khusus layanan, dan cara menafsirkannya, pilih dari layanan yang tercantum di Log audit yang tersedia.

Lihat log

Untuk informasi tentang cara melihat log audit Google Workspace, lihat Melihat dan mengelola log audit untuk Google Workspace.

Rutekan log audit

Anda dapat merutekan log audit Google Workspace dari Cloud Logging ke tujuan yang didukung, termasuk bucket Logging lainnya.

Berikut adalah beberapa penerapan untuk merutekan log audit:

  • Untuk menggunakan kemampuan penelusuran yang lebih andal, Anda dapat merutekan salinan log audit Anda ke Cloud Storage, BigQuery, atau Pub/Sub. Dengan Pub/Sub, Anda dapat merutekan ke aplikasi lain, repositori lain, dan ke pihak ketiga.

  • Untuk mengelola log audit di seluruh organisasi, Anda dapat membuat sink gabungan yang menggabungkan dan merutekan log dari semua project Google Cloud, akun penagihan, dan folder yang dimiliki organisasi Anda. Misalnya, Anda dapat menggabungkan dan merutekan entri log audit dari folder organisasi ke bucket Cloud Storage.

Untuk mengetahui petunjuk tentang cara merutekan log, lihat Merutekan log ke tujuan yang didukung.

Regionalisasi

Anda tidak dapat memilih region tempat log Google Workspace Anda disimpan. Log Google Workspace tidak tercakup dalam Kebijakan Region Data Google Workspace.

Periode retensi data

Periode retensi berikut berlaku untuk data log audit Anda:

Untuk setiap organisasi, Cloud Logging otomatis menyimpan log dalam dua bucket: bucket _Default dan bucket _Required. Bucket _Required menyimpan log audit Aktivitas Admin, log audit Peristiwa Sistem, dan log Transparansi Akses. Bucket _Default menyimpan semua entri log lainnya yang tidak disimpan di bucket _Required. Untuk informasi selengkapnya tentang bucket Logging, lihat Ringkasan perutean dan penyimpanan.

Anda dapat mengonfigurasi Cloud Logging untuk mempertahankan log di bucket log _Default selama periode mulai dari 1 hari hingga 3.650 hari.

Untuk memperbarui periode retensi data untuk bucket log _Default, lihat Retensi kustom.

Anda tidak dapat mengubah periode retensi data di bucket _Required.

Kuota dan batas

Kuota yang sama berlaku untuk log audit Google Workspace dan Cloud Audit Logs.

Untuk mengetahui detail tentang batas penggunaan ini, termasuk ukuran log audit maksimum, lihat Kuota dan batas.

Harga

Log tingkat organisasi Google Workspace gratis.

Langkah selanjutnya