이 문서에서는 Google Workspace가 Cloud 감사 로그의 일부로 제공하는 감사 로그의 개념을 간략히 설명합니다.
Google Workspace 감사 로그 관리에 대한 자세한 내용은 Google Workspace 감사 로그 보기 및 관리 를 참조하세요.
개요
Google Cloud 서비스는 감사 로그를 작성하여 '누가, 언제, 어디서, 무엇을 했는지'라는 질문에 답하는 데 도움을 줍니다. Google Workspace 감사 로그를 Google Cloud와 공유하여 Google Workspace 데이터를 저장, 분석, 모니터링하고 알림을 받을 수 있습니다.
Google Workspace의 감사 로그는 Cloud ID, Cloud ID Premium, 모든 Google Workspace 고객에게 제공됩니다.
Google Cloud와 Google Workspace 데이터 공유를 사용 설정 한 경우 Google Workspace에 감사 로그가 항상 사용 설정됩니다.
Google Workspace 데이터 공유를 중지하면 새 Google Workspace 감사 로그 이벤트가 Google Cloud로 전송되지 않습니다. 장기간 로그를 유지하기 위해 커스텀 보관 을 구성하지 않는 한 기존 로그는 기본 보관 기간 동안 유지됩니다.
Google Cloud와 Google Workspace 데이터 공유를 사용 설정하지 않으면 Google Cloud에서 Google Workspace의 감사 로그를 볼 수 없습니다.
참고: 일부 엔터프라이즈 그룹스 감사 멤버십 변경사항은 감사 로그의 principalEmail
필드를 cloud-support@google.com
으로 자동으로 채웁니다.
예를 들어 사용자 멤버십 만료로 인해 사용자가 자동으로 삭제되는 경우 감사 로그에 cloud-support@google.com
이 그룹에서 사용자를 삭제하는 주 구성원으로 표시될 수 있습니다.
감사 로그 유형
관리자 활동 감사 로그 에는 API 호출이나 리소스의 구성 또는 메타데이터를 수정하는 기타 작업과 관련된 로그 항목이 포함됩니다. 예를 들어 사용자가 VM 인스턴스를 만들거나 Identity and Access Management(IAM) 권한을 변경하면 로그가 기록됩니다.
데이터 액세스 감사 로그 에는 리소스의 구성 또는 메타데이터를 읽는 API 호출뿐만 아니라 사용자가 제공한 리소스 데이터를 생성, 수정 또는 읽는 사용자 주도 API 호출도 포함됩니다. 공개적으로 공유(모든 사용자 또는 모든 인증 사용자에게 제공됨)되거나 Google Cloud, Google Workspace, Cloud Identity, Drive Enterprise 계정에 로그인하지 않고도 액세스할 수 있는 리소스의 데이터 액세스 작업은 액세스 감사 로그에 기록되지 않습니다.
Google Workspace 서비스에서 Google Cloud로 감사 로그 전달
Google Workspace는 다음과 같이 Google Cloud 조직 수준에서 감사 로그를 제공합니다.
액세스 투명성 : 액세스 투명성 로그는 Google 직원이 Google Workspace 리소스의 고객 콘텐츠에 액세스할 때의 작업 기록을 제공합니다. 액세스 투명성과 달리 Cloud 감사 로그는 Google Cloud 조직 구성원이 Google Cloud 리소스에서 수행한 작업을 기록합니다.
액세스 투명성 로그의 구조와 로깅되는 액세스 유형에 관한 자세한 내용은 로그 필드 설명 을 참고하세요.
Google Workspace 관리자 감사 : 관리자 감사 로그는 Google 관리 콘솔에서 수행된 작업 기록을 제공합니다. 예를 들어 관리자가 사용자를 추가하거나 Google Workspace 서비스를 사용 설정한 시기를 볼 수 있습니다.
관리자 감사는 관리자 활동 감사 로그만 작성합니다.
참고: Google 관리 콘솔을 사용하지 않는 한 그룹 설정의 변경사항이 Google Workspace 엔터프라이즈 그룹스 감사 로그에 캡처됩니다. Google 관리 콘솔을 사용하면 그룹 설정의 변경사항이 Google Workspace 관리자 감사 로그에 캡처됩니다. 예를 들어 groups.google.com에서 그룹 이메일 주소를 변경하면 해당 변경사항이 Google Workspace 엔터프라이즈 그룹스 감사 로그에 캡처됩니다.
Google Workspace Enterprise 그룹스 감사 : 엔터프라이즈 그룹스 감사 로그는 그룹 및 그룹 멤버십에 대해 수행된 작업 기록을 제공합니다.
예를 들어 관리자가 사용자를 추가하거나 그룹 소유자가 그룹을 삭제한 기록을 확인할 수 있습니다.
Enterprise 그룹스 감사는 관리자 활동 감사 로그만 작성합니다.
Google Workspace 로그인 감사 : 로그인 감사 로그는 도메인에 대한 사용자 로그인을 추적합니다. 이 로그는 로그인 이벤트만 기록합니다. 로그인 작업을 수행하는 데 사용된 시스템은 기록되지 않습니다.
로그인 감사는 데이터 액세스 감사 로그만 작성합니다.
Google Workspace OAuth 토큰 감사 : OAuth 토큰 감사 로그는 도메인에서 어떤 사용자가 어떤 타사 모바일 또는 웹 애플리케이션을 사용하고 있는지 추적합니다. 예를 들어 사용자가 Google Workspace Marketplace 앱을 열면 로그에 앱 이름과 사용자 이름이 기록됩니다. 또한 Google 주소록, 캘린더, 드라이브 파일 등 Google 계정 데이터에 액세스할 수 있는 권한을 타사 애플리케이션에 부여하는 경우에도 매번 로그에 기록됩니다(Google Workspace만 해당).
OAuth 토큰 감사는 관리자 활동 및 데이터 액세스 감사 로그를 모두 작성합니다.
Google Workspace SAML 감사 : SAML 감사 로그는 사용자의 SAML 애플리케이션 성공 및 실패 로그인을 추적합니다. 대개 로그 항목은 사용자가 작업한 후 1시간 이내에 표시됩니다.
SAML 감사는 데이터 액세스 감사 로그만 작성합니다.
서비스별 정보
각 Google Workspace 서비스의 감사 로그에 대한 세부정보는 다음과 같습니다.
모두 펼치기
Google Workspace 관리자 활동
Google Workspace 관리자 감사의 감사 로그는 모든 감사 로그에 audited_resource
리소스 유형을 사용합니다.
Google Workspace 관리자 감사의 감사 로그는 서비스 이름 admin.googleapis.com
을 사용합니다.
Google Workspace 관리자 감사는 관리자 활동 감사 로그만 작성합니다. 다음은 감사 대상 작업입니다.
활동 유형
AuditLog.method_name
AI_CLASSIFICATION_SETTINGS
google.admin.AdminService.aiClassificationInsufficientTrainingExamples
google.admin.AdminService.aiClassificationModelLowScore
google.admin.AdminService.aiClassificationNewModelReady
ALERT_CENTER
google.admin.AdminService.alertCenterBatchDeleteAlerts
google.admin.AdminService.alertCenterBatchUndeleteAlerts
google.admin.AdminService.alertCenterCreateAlert
google.admin.AdminService.alertCenterCreateFeedback
google.admin.AdminService.alertCenterDeleteAlert
google.admin.AdminService.alertCenterGetAlertMetadata
google.admin.AdminService.alertCenterGetCustomerSettings
google.admin.AdminService.alertCenterGetSitLink
google.admin.AdminService.alertCenterListChange
google.admin.AdminService.alertCenterListFeedback
google.admin.AdminService.alertCenterListRelatedAlerts
google.admin.AdminService.alertCenterUndeleteAlert
google.admin.AdminService.alertCenterUpdateAlert
google.admin.AdminService.alertCenterUpdateAlertMetadata
google.admin.AdminService.alertCenterUpdateCustomerSettings
google.admin.AdminService.alertCenterView
APPLICATION_SETTINGS
google.admin.AdminService.changeApplicationSetting
google.admin.AdminService.createApplicationSetting
google.admin.AdminService.deleteApplicationSetting
google.admin.AdminService.reorderGroupBasedPoliciesEvent
google.admin.AdminService.gplusPremiumFeatures
google.admin.AdminService.createManagedConfiguration
google.admin.AdminService.deleteManagedConfiguration
google.admin.AdminService.updateManagedConfiguration
google.admin.AdminService.flashlightEduNonFeaturedServicesSelected
CALENDAR_SETTINGS
google.admin.AdminService.createBuilding
google.admin.AdminService.deleteBuilding
google.admin.AdminService.updateBuilding
google.admin.AdminService.createCalendarResource
google.admin.AdminService.deleteCalendarResource
google.admin.AdminService.createCalendarResourceFeature
google.admin.AdminService.deleteCalendarResourceFeature
google.admin.AdminService.updateCalendarResourceFeature
google.admin.AdminService.renameCalendarResource
google.admin.AdminService.updateCalendarResource
google.admin.AdminService.changeCalendarSetting
google.admin.AdminService.cancelCalendarEvents
google.admin.AdminService.releaseCalendarResources
CHAT_SETTINGS
google.admin.AdminService.meetInteropCreateGateway
google.admin.AdminService.meetInteropDeleteGateway
google.admin.AdminService.meetInteropModifyGateway
google.admin.AdminService.changeChatSetting
CHROME_OS_SETTINGS
google.admin.AdminService.changeChromeOsAndroidApplicationSetting
google.admin.AdminService.changeChromeOsApplicationSetting
google.admin.AdminService.sendChromeOsDeviceCommand
google.admin.AdminService.changeChromeOsDeviceAnnotation
google.admin.AdminService.changeChromeOsDeviceSetting
google.admin.AdminService.changeChromeOsDeviceState
google.admin.AdminService.changeChromeOsPublicSessionSetting
google.admin.AdminService.insertChromeOsPrinter
google.admin.AdminService.deleteChromeOsPrinter
google.admin.AdminService.updateChromeOsPrinter
google.admin.AdminService.changeChromeOsSetting
google.admin.AdminService.changeChromeOsUserSetting
google.admin.AdminService.removeChromeOsApplicationSettings
CONTACTS_SETTINGS
google.admin.AdminService.changeContactsSetting
DELEGATED_ADMIN_SETTINGS
google.admin.AdminService.assignRole
google.admin.AdminService.createRole
google.admin.AdminService.deleteRole
google.admin.AdminService.addPrivilege
google.admin.AdminService.removePrivilege
google.admin.AdminService.renameRole
google.admin.AdminService.updateRole
google.admin.AdminService.unassignRole
DEVICE_SETTINGS
google.admin.AdminService.deleteDevice
google.admin.AdminService.moveDeviceToOrgUnit
DOCS_SETTINGS
google.admin.AdminService.transferDocumentOwnership
google.admin.AdminService.driveDataRestore
google.admin.AdminService.changeDocsSetting
DOMAIN_SETTINGS
google.admin.AdminService.changeAccountAutoRenewal
google.admin.AdminService.addApplication
google.admin.AdminService.addApplicationToWhitelist
google.admin.AdminService.changeAdvertisementOption
google.admin.AdminService.createAlert
google.admin.AdminService.changeAlertCriteria
google.admin.AdminService.deleteAlert
google.admin.AdminService.alertReceiversChanged
google.admin.AdminService.renameAlert
google.admin.AdminService.alertStatusChanged
google.admin.AdminService.addDomainAlias
google.admin.AdminService.removeDomainAlias
google.admin.AdminService.skipDomainAliasMx
google.admin.AdminService.verifyDomainAliasMx
google.admin.AdminService.verifyDomainAlias
google.admin.AdminService.toggleOauthAccessToAllApis
google.admin.AdminService.toggleAllowAdminPasswordReset
google.admin.AdminService.enableApiAccess
google.admin.AdminService.authorizeApiClientAccess
google.admin.AdminService.removeApiClientAccess
google.admin.AdminService.chromeLicensesRedeemed
google.admin.AdminService.toggleAutoAddNewService
google.admin.AdminService.changePrimaryDomain
google.admin.AdminService.changeWhitelistSetting
google.admin.AdminService.communicationPreferencesSettingChange
google.admin.AdminService.changeConflictAccountAction
google.admin.AdminService.enableFeedbackSolicitation
google.admin.AdminService.toggleContactSharing
google.admin.AdminService.createPlayForWorkToken
google.admin.AdminService.toggleUseCustomLogo
google.admin.AdminService.changeCustomLogo
google.admin.AdminService.changeDataLocalizationForRussia
google.admin.AdminService.changeDataLocalizationSetting
google.admin.AdminService.changeDataProtectionOfficerContactInfo
google.admin.AdminService.deletePlayForWorkToken
google.admin.AdminService.viewDnsLoginDetails
google.admin.AdminService.changeDomainDefaultLocale
google.admin.AdminService.changeDomainDefaultTimezone
google.admin.AdminService.changeDomainName
google.admin.AdminService.toggleEnablePreReleaseFeatures
google.admin.AdminService.changeDomainSupportMessage
google.admin.AdminService.addTrustedDomains
google.admin.AdminService.removeTrustedDomains
google.admin.AdminService.changeEduType
google.admin.AdminService.toggleEnableOauthConsumerKey
google.admin.AdminService.toggleSsoEnabled
google.admin.AdminService.toggleSsl
google.admin.AdminService.changeEuRepresentativeContactInfo
google.admin.AdminService.generateTransferToken
google.admin.AdminService.changeLoginBackgroundColor
google.admin.AdminService.changeLoginBorderColor
google.admin.AdminService.changeLoginActivityTrace
google.admin.AdminService.playForWorkEnroll
google.admin.AdminService.playForWorkUnenroll
google.admin.AdminService.mxRecordVerificationClaim
google.admin.AdminService.toggleNewAppFeatures
google.admin.AdminService.toggleUseNextGenControlPanel
google.admin.AdminService.uploadOauthCertificate
google.admin.AdminService.regenerateOauthConsumerSecret
google.admin.AdminService.toggleOpenIdEnabled
google.admin.AdminService.changeOrganizationName
google.admin.AdminService.toggleOutboundRelay
google.admin.AdminService.changePasswordMaxLength
google.admin.AdminService.changePasswordMinLength
google.admin.AdminService.updateDomainPrimaryAdminEmail
google.admin.AdminService.enableServiceOrFeatureNotifications
google.admin.AdminService.removeApplication
google.admin.AdminService.removeApplicationFromWhitelist
google.admin.AdminService.changeRenewDomainRegistration
google.admin.AdminService.changeResellerAccess
google.admin.AdminService.ruleActionsChanged
google.admin.AdminService.createRule
google.admin.AdminService.changeRuleCriteria
google.admin.AdminService.deleteRule
google.admin.AdminService.renameRule
google.admin.AdminService.ruleStatusChanged
google.admin.AdminService.addSecondaryDomain
google.admin.AdminService.removeSecondaryDomain
google.admin.AdminService.skipSecondaryDomainMx
google.admin.AdminService.verifySecondaryDomainMx
google.admin.AdminService.verifySecondaryDomain
google.admin.AdminService.updateDomainSecondaryEmail
google.admin.AdminService.changeSsoSettings
google.admin.AdminService.generatePin
google.admin.AdminService.updateRule
EMAIL_SETTINGS
google.admin.AdminService.dropFromQuarantine
google.admin.AdminService.emailLogSearch
google.admin.AdminService.emailUndelete
google.admin.AdminService.changeEmailSetting
google.admin.AdminService.changeGmailSetting
google.admin.AdminService.createGmailSetting
google.admin.AdminService.deleteGmailSetting
google.admin.AdminService.rejectFromQuarantine
google.admin.AdminService.releaseFromQuarantine
GROUP_SETTINGS
google.admin.AdminService.createGroup
google.admin.AdminService.deleteGroup
google.admin.AdminService.changeGroupDescription
google.admin.AdminService.groupListDownload
google.admin.AdminService.addGroupMember
google.admin.AdminService.removeGroupMember
google.admin.AdminService.updateGroupMember
google.admin.AdminService.updateGroupMemberDeliverySettings
google.admin.AdminService.updateGroupMemberDeliverySettingsCanEmailOverride
google.admin.AdminService.groupMemberBulkUpload
google.admin.AdminService.groupMembersDownload
google.admin.AdminService.changeGroupEmail
google.admin.AdminService.changeGroupName
google.admin.AdminService.changeGroupSetting
google.admin.AdminService.whitelistedGroupsUpdated
라벨
google.admin.AdminService.labelDeleted
google.admin.AdminService.labelDisabled
google.admin.AdminService.labelReenabled
google.admin.AdminService.labelPermissionUpdated
google.admin.AdminService.labelPermissionDeleted
google.admin.AdminService.labelPublished
google.admin.AdminService.labelCreated
google.admin.AdminService.labelUpdated
LICENSES_SETTINGS
google.admin.AdminService.orgUsersLicenseAssignment
google.admin.AdminService.orgAllUsersLicenseAssignment
google.admin.AdminService.userLicenseAssignment
google.admin.AdminService.changeLicenseAutoAssign
google.admin.AdminService.userLicenseReassignment
google.admin.AdminService.orgLicenseRevoke
google.admin.AdminService.userLicenseRevoke
google.admin.AdminService.updateDynamicLicense
google.admin.AdminService.licenseUsageUpdate
MOBILE_SETTINGS
google.admin.AdminService.actionCancelled
google.admin.AdminService.actionRequested
google.admin.AdminService.addMobileCertificate
google.admin.AdminService.companyDevicesBulkCreation
google.admin.AdminService.companyOwnedDeviceBlocked
google.admin.AdminService.companyDeviceDeletion
google.admin.AdminService.companyOwnedDeviceUnblocked
google.admin.AdminService.companyOwnedDeviceWiped
google.admin.AdminService.changeMobileApplicationPermissionGrant
google.admin.AdminService.changeMobileApplicationPriorityOrder
google.admin.AdminService.removeMobileApplicationFromWhitelist
google.admin.AdminService.changeMobileApplicationSettings
google.admin.AdminService.addMobileApplicationToWhitelist
google.admin.AdminService.mobileDeviceApprove
google.admin.AdminService.mobileDeviceBlock
google.admin.AdminService.mobileDeviceDelete
google.admin.AdminService.mobileDeviceWipe
google.admin.AdminService.changeMobileSetting
google.admin.AdminService.changeAdminRestrictionsPin
google.admin.AdminService.changeMobileWirelessNetwork
google.admin.AdminService.addMobileWirelessNetwork
google.admin.AdminService.removeMobileWirelessNetwork
google.admin.AdminService.changeMobileWirelessNetworkPassword
google.admin.AdminService.removeMobileCertificate
google.admin.AdminService.enrollForGoogleDeviceManagement
google.admin.AdminService.useGoogleMobileManagement
google.admin.AdminService.useGoogleMobileManagementForNonIos
google.admin.AdminService.useGoogleMobileManagementForIos
google.admin.AdminService.mobileAccountWipe
google.admin.AdminService.mobileDeviceCancelWipeThenApprove
google.admin.AdminService.mobileDeviceCancelWipeThenBlock
ORG_SETTINGS
google.admin.AdminService.chromeLicensesEnabled
google.admin.AdminService.chromeApplicationLicenseReservationCreated
google.admin.AdminService.chromeApplicationLicenseReservationDeleted
google.admin.AdminService.chromeApplicationLicenseReservationUpdated
google.admin.AdminService.assignCustomLogo
google.admin.AdminService.unassignCustomLogo
google.admin.AdminService.createEnrollmentToken
google.admin.AdminService.revokeEnrollmentToken
google.admin.AdminService.chromeLicensesAllowed
google.admin.AdminService.createOrgUnit
google.admin.AdminService.removeOrgUnit
google.admin.AdminService.editOrgUnitDescription
google.admin.AdminService.moveOrgUnit
google.admin.AdminService.editOrgUnitName
google.admin.AdminService.toggleServiceEnabled
SECURITY_INVESTIGATION
google.admin.AdminService.securityInvestigationAction
google.admin.AdminService.securityInvestigationActionCancellation
google.admin.AdminService.securityInvestigationActionCompletion
google.admin.AdminService.securityInvestigationActionRetry
google.admin.AdminService.securityInvestigationActionVerificationConfirmation
google.admin.AdminService.securityInvestigationActionVerificationRequest
google.admin.AdminService.securityInvestigationActionVerificationRequestExpiration
google.admin.AdminService.securityInvestigationChartCreate
google.admin.AdminService.securityInvestigationContentAccess
google.admin.AdminService.securityInvestigationDownloadAttachment
google.admin.AdminService.securityInvestigationExportActionResults
google.admin.AdminService.securityInvestigationExportQuery
google.admin.AdminService.securityInvestigationObjectCreateDraftInvestigation
google.admin.AdminService.securityInvestigationObjectDeleteInvestigation
google.admin.AdminService.securityInvestigationObjectDuplicateInvestigation
google.admin.AdminService.securityInvestigationObjectOwnershipTransfer
google.admin.AdminService.securityInvestigationObjectSaveInvestigation
google.admin.AdminService.securityInvestigationObjectUpdateDirectSharing
google.admin.AdminService.securityInvestigationObjectUpdateLinkSharing
google.admin.AdminService.securityInvestigationQuery
google.admin.AdminService.securityInvestigationSettingUpdate
SECURITY_SETTINGS
google.admin.AdminService.addToTrustedOauth2Apps
google.admin.AdminService.allowAspWithout2Sv
google.admin.AdminService.allowServiceForOauth2Access
google.admin.AdminService.allowStrongAuthentication
google.admin.AdminService.blockOnDeviceAccess
google.admin.AdminService.changeAllowedTwoStepVerificationMethods
google.admin.AdminService.changeAppAccessSettingsCollectionId
google.admin.AdminService.changeCaaAppAssignments
google.admin.AdminService.changeCaaDefaultAssignments
google.admin.AdminService.changeCaaErrorMessage
google.admin.AdminService.changeSessionLength
google.admin.AdminService.changeTwoStepVerificationEnrollmentPeriodDuration
google.admin.AdminService.changeTwoStepVerificationFrequency
google.admin.AdminService.changeTwoStepVerificationGracePeriodDuration
google.admin.AdminService.changeTwoStepVerificationStartDate
google.admin.AdminService.disallowServiceForOauth2Access
google.admin.AdminService.enableNonAdminUserPasswordRecovery
google.admin.AdminService.enforceStrongAuthentication
google.admin.AdminService.removeFromTrustedOauth2Apps
google.admin.AdminService.sessionControlSettingsChange
google.admin.AdminService.toggleCaaEnablement
google.admin.AdminService.trustDomainOwnedOauth2Apps
google.admin.AdminService.unblockOnDeviceAccess
google.admin.AdminService.untrustDomainOwnedOauth2Apps
google.admin.AdminService.updateErrorMsgForRestrictedOauth2Apps
google.admin.AdminService.weakProgrammaticLoginSettingsChanged
SITES_SETTINGS
google.admin.AdminService.addWebAddress
google.admin.AdminService.deleteWebAddress
google.admin.AdminService.changeSitesSetting
google.admin.AdminService.changeSitesWebAddressMappingUpdates
google.admin.AdminService.viewSiteDetails
USER_SETTINGS
google.admin.AdminService.delete2SvScratchCodes
google.admin.AdminService.generate2SvScratchCodes
google.admin.AdminService.revoke3LoDeviceTokens
google.admin.AdminService.revoke3LoToken
google.admin.AdminService.addRecoveryEmail
google.admin.AdminService.addRecoveryPhone
google.admin.AdminService.grantAdminPrivilege
google.admin.AdminService.revokeAdminPrivilege
google.admin.AdminService.revokeAsp
google.admin.AdminService.toggleAutomaticContactSharing
google.admin.AdminService.bulkUpload
google.admin.AdminService.bulkUploadNotificationSent
google.admin.AdminService.cancelUserInvite
google.admin.AdminService.changeUserCustomField
google.admin.AdminService.changeUserExternalId
google.admin.AdminService.changeUserGender
google.admin.AdminService.changeUserIm
google.admin.AdminService.enableUserIpWhitelist
google.admin.AdminService.changeUserKeyword
google.admin.AdminService.changeUserLanguage
google.admin.AdminService.changeUserLocation
google.admin.AdminService.changeUserOrganization
google.admin.AdminService.changeUserPhoneNumber
google.admin.AdminService.changeRecoveryEmail
google.admin.AdminService.changeRecoveryPhone
google.admin.AdminService.changeUserRelation
google.admin.AdminService.changeUserAddress
google.admin.AdminService.createEmailMonitor
google.admin.AdminService.createDataTransferRequest
google.admin.AdminService.grantDelegatedAdminPrivileges
google.admin.AdminService.deleteAccountInfoDump
google.admin.AdminService.deleteEmailMonitor
google.admin.AdminService.deleteMailboxDump
google.admin.AdminService.changeFirstName
google.admin.AdminService.gmailResetUser
google.admin.AdminService.changeLastName
google.admin.AdminService.mailRoutingDestinationAdded
google.admin.AdminService.mailRoutingDestinationRemoved
google.admin.AdminService.addNickname
google.admin.AdminService.removeNickname
google.admin.AdminService.changePassword
google.admin.AdminService.changePasswordOnNextLogin
google.admin.AdminService.downloadPendingInvitesList
google.admin.AdminService.removeRecoveryEmail
google.admin.AdminService.removeRecoveryPhone
google.admin.AdminService.requestAccountInfo
google.admin.AdminService.requestMailboxDump
google.admin.AdminService.resendUserInvite
google.admin.AdminService.resetSigninCookies
google.admin.AdminService.securityKeyRegisteredForUser
google.admin.AdminService.revokeSecurityKey
google.admin.AdminService.userInvite
google.admin.AdminService.viewTempPassword
google.admin.AdminService.turnOff2StepVerification
google.admin.AdminService.unblockUserSession
google.admin.AdminService.unenrollUserFromTitanium
google.admin.AdminService.archiveUser
google.admin.AdminService.updateBirthdate
google.admin.AdminService.createUser
google.admin.AdminService.deleteUser
google.admin.AdminService.downgradeUserFromGplus
google.admin.AdminService.userEnrolledInTwoStepVerification
google.admin.AdminService.downloadUserlistCsv
google.admin.AdminService.moveUserToOrgUnit
google.admin.AdminService.userPutInTwoStepVerificationGracePeriod
google.admin.AdminService.renameUser
google.admin.AdminService.unenrollUserFromStrongAuth
google.admin.AdminService.suspendUser
google.admin.AdminService.unarchiveUser
google.admin.AdminService.undeleteUser
google.admin.AdminService.unsuspendUser
google.admin.AdminService.upgradeUserToGplus
google.admin.AdminService.usersBulkUpload
google.admin.AdminService.usersBulkUploadNotificationSent
Google Workspace 엔터프라이즈 그룹스
Google Workspace Enterprise 그룹스 감사의 감사 로그는 모든 감사 로그에 리소스 유형
audited_resource
를 사용합니다.
Google Workspace 엔터프라이즈 그룹스 감사의 감사 로그는 cloudidentity.googleapis.com
이라는 서비스 이름을 사용합니다.
Google Workspace 엔터프라이즈 그룹스 감사는 관리자 활동 감사 로그만 작성합니다. 다음은 감사 대상 작업입니다.
감사 로그 범주
AuditLog.method_name
관리자 활동 감사 로그
google.apps.cloudidentity.groups.v1.GroupsService.UpdateGroup
google.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership
Google Workspace 로그인 감사
모든 Google Workspace 로그인 감사의 감사 로그는 리소스 유형
audited_resource
를 사용합니다.
Google Workspace 로그인 감사의 감사 로그는 서비스 이름 login.googleapis.com
을 사용합니다.
Google Workspace 로그인 감사는 데이터 액세스 감사 로그만 작성합니다. 다음은 감사 대상 작업입니다. 각 작업의 로그 샘플 을 확인할 수 있습니다.
감사 로그 범주
AuditLog.method_name
데이터 액세스 감사 로그
google.login.LoginService.2svDisable
google.login.LoginService.2svEnroll
google.login.LoginService.accountDisabledPasswordLeak
google.login.LoginService.accountDisabledGeneric
google.login.LoginService.accountDisabledSpammingThroughRelay
google.login.LoginService.accountDisabledSpamming
google.login.LoginService.accountDisabledHijacked
google.login.LoginService.emailForwardingOutOfDomain
google.login.LoginService.govAttackWarning
google.login.LoginService.loginChallenge
google.login.LoginService.loginFailure
google.login.LoginService.loginVerification
google.login.LoginService.logout
google.login.LoginService.loginSuccess
google.login.LoginService.passwordEdit
google.login.LoginService.recoveryEmailEdit
google.login.LoginService.recoveryPhoneEdit
google.login.LoginService.recoverySecretQaEdit
google.login.LoginService.riskySensitiveActionAllowed
google.login.LoginService.riskySensitiveActionBlocked
google.login.LoginService.suspiciousLogin
google.login.LoginService.suspiciousLoginLessSecureApp
google.login.LoginService.suspiciousProgrammaticLogin
google.login.LoginService.titaniumEnroll
google.login.LoginService.titaniumUnenroll
Google Workspace OAuth 토큰
Google Workspace OAuth 토큰 감사 로그는 모든 감사 로그에
audited_resource
리소스 유형을 사용합니다.
Google Workspace OAuth 토큰 감사 로그는 서비스 이름 oauth2.googleapis.com
을 사용합니다.
Google Workspace OAuth 토큰 감사는 관리자 활동 및 데이터 액세스 감사 로그를 모두 작성합니다. 다음은 감사 대상 작업입니다.
감사 로그 범주
AuditLog.method_name
관리자 활동 감사 로그
google.identity.oauth2.Deny
google.identity.oauth2.GetToken
google.identity.oauth2.Request
google.identity.oauth2.RevokeToken
데이터 액세스 감사 로그
google.identity.oauth2.GetTokenInfo
Google Workspace SAML
Google Workspace SAML 감사의 감사 로그는 모든 감사 로그에
audited_resource
리소스 유형을 사용합니다.
Google Workspace SAML 감사의 감사 로그는 서비스 이름 login.googleapis.com
을 사용합니다.
Google Workspace SAML 감사는 데이터 액세스 감사 로그만 작성합니다. 다음은 감사 대상 작업입니다.
감사 로그 범주
AuditLog.method_name
데이터 액세스 감사 로그
google.apps.login.v1.SamlLoginFailed
google.apps.login.v1.SamlLoginSucceeded
감사 로그 권한
IAM 권한 및 역할에 따라 Logging API , 로그 탐색기 , Google Cloud CLI 의 감사 로그 데이터에 액세스할 수 있는지 여부가 결정됩니다.
필요할 수 있는 조직 수준 IAM 권한 및 역할에 대한 자세한 내용은 IAM으로 액세스 제어 를 참조하세요.
Google Workspace 감사 로그 항목에는 다음과 같은 객체가 포함됩니다.
protoPayload.metadata
필드에는 감사된 Google Workspace 정보가 포함됩니다. 다음은 로그인 감사 로그의 예시입니다.
{
"protoPayload" : {
"@type" : "type.googleapis.com/google.cloud.audit.AuditLog" ,
"authenticationInfo" : {
"principalEmail" : "test-user@example.net"
},
"requestMetadata" : {
"callerIp" : "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff" ,
"requestAttributes" : {},
"destinationAttributes" : {}
},
"serviceName" : "login.googleapis.com" ,
"methodName" : "google.login.LoginService.loginFailure" ,
"resourceName" : "organizations/123" ,
"metadata" : {
"event" : [
{
"eventName" : "login_failure" ,
"eventType" : "login" ,
"parameter" : [
{
"value" : "google_password" ,
"type" : "TYPE_STRING" ,
"name" : "login_type" ,
},
{
"name" : "login_challenge_method" ,
"type" : "TYPE_STRING" ,
"label" : "LABEL_REPEATED" ,
"multiStrValue" : [
"password" ,
"idv_preregistered_phone" ,
"idv_preregistered_phone"
]
},
]
}
],
"activityId" : {
"uniqQualifier" : "358068855354" ,
"timeUsec" : "1632500217183212"
},
"@type" : "type.googleapis.com/ccc_hosted_reporting.ActivityProto"
}
},
"insertId" : "-nahbepd4l1x" ,
"resource" : {
"type" : "audited_resource" ,
"labels" : {
"method" : "google.login.LoginService.loginFailure" ,
"service" : "login.googleapis.com"
}
},
"timestamp" : "2021-09-24T16:16:57.183212Z" ,
"severity" : "NOTICE" ,
"logName" : "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access" ,
"receiveTimestamp" : "2021-09-24T17:51:25.034361197Z"
}
서비스별 감사 로깅 필드 및 해석 방법에 대한 자세한 내용은 사용 가능한 감사 로그 에 나열된 서비스에서 선택합니다.
로그 보기
Google Workspace 감사 로그를 보는 방법은 Google Workspace 감사 로그 보기 및 관리 를 참조하세요.
감사 로그 라우팅
Cloud Logging에서 Google Workspace 감사 로그를 다른 Logging 버킷을 포함하여 지원되는 대상으로 라우팅할 수 있습니다.
다음은 감사 로그를 라우팅하는 몇 가지 응용 방법입니다.
보다 강력한 검색 기능을 사용하려면 감사 로그의 복사본을 Cloud Storage, BigQuery 또는 Pub/Sub으로 라우팅하면 됩니다.
Pub/Sub을 사용하면 다른 애플리케이션, 다른 저장소, 제3자에게 라우팅할 수 있습니다.
조직 전체의 감사 로그를 관리하려면 조직에 포함되는 모든 Google Cloud 프로젝트, 결제 계정, 폴더의 로그를 결합하고 라우팅하는 집계 싱크 를 만들면 됩니다. 예를 들어 조직 폴더의 감사 로그 항목을 집계하여 Cloud Storage 버킷으로 라우팅할 수 있습니다.
로그 라우팅에 대한 안내는 지원되는 대상으로 로그 라우팅 을 참조하세요.
리전화
Google Workspace 로그가 저장되는 리전을 선택할 수 없습니다.
Google Workspace 로그에는 Google Workspace 데이터 리전 정책 이 적용되지 않습니다.
보관 기간
감사 로그 데이터의 보관 기간에는 다음이 적용됩니다.
각 조직에서 Cloud Logging은 _Default
버킷과 _Required
버킷이라는 두 가지 버킷에 로그를 자동으로 저장합니다. _Required
버킷에는 관리자 활동 감사 로그, 시스템 이벤트 감사 로그, 액세스 투명성 로그 가 있습니다.
_Default
버킷에는 _Required
버킷에 저장되지 않은 다른 모든 로그 항목이 포함됩니다. Logging 버킷에 대한 자세한 내용은 라우팅 및 스토리지 개요 를 참조하세요.
_Default
로그 버킷의 로그를 1~3,650일 동안 보관하도록 Cloud Logging을 구성할 수 있습니다.
_Default
로그 버킷의 보관 기간을 업데이트하려면 커스텀 보관 을 참조하세요.
_Required
버킷의 보관 기간을 변경할 수 없습니다.
할당량 및 한도
Google Workspace 및 Cloud 감사 로그의 감사 로그에도 동일한 할당량이 적용됩니다.
감사 로그의 최대 크기를 비롯하여 이러한 사용량 한도에 대한 자세한 내용은 할당량 및 한도 를 참조하세요.
가격 책정
Google Workspace의 조직 수준 로그는 무료입니다.
다음 단계