En este documento, se proporciona una descripción general conceptual de los registros de auditoría que Google Workspace proporciona como parte de los registros de auditoría de Cloud.
Si deseas obtener información para administrar tus registros de auditoría de Google Workspace, consulta Visualiza y administra los registros de auditoría de Google Workspace.
Descripción general
Google Cloud escriben registros de auditoría para ayudarte a responder las preguntas “¿Quién hizo qué, dónde y cuándo?”. Puedes compartir tus registros de auditoría de Google Workspace con Google Cloud para almacenar, analizar, supervisar y generar alertas sobre tus datos de Google Workspace.
Los registros de auditoría de Google Workspace están disponibles para Cloud Identity, Cloud Identity Premium y todos los clientes de Google Workspace.
Si habilitaste el uso compartido de datos de Google Workspace con Google Cloud, los registros de auditoría siempre estarán habilitados para Google Workspace.
Si inhabilitas el uso compartido de datos de Google Workspace, los nuevos eventos de registro de auditoría de Google Workspace no se enviarán a Google Cloud. Los registros existentes se mantienen durante los períodos de retención predeterminados, a menos que hayas configurado la retención personalizada para conservarlos durante un período más largo.
Si no habilitas el uso compartido de datos de Google Workspace con Google Cloud, no podrás ver los registros de auditoría de Google Workspace en Google Cloud.
Tipos de registros de auditoría
Los registros de auditoría de actividad del administrador contienen entradas de registro para las llamadas a la API y otras acciones administrativas que modifican la configuración o los metadatos de los recursos. Por ejemplo, registran en qué momento los usuarios crean instancias de VM o cambian los permisos de Identity and Access Management (IAM).
Los registros de auditoría de acceso a los datos registros contienen llamadas a la API que leen la configuración o los metadatos de los recursos, así como llamadas a la API que controla el usuario y que crean, modifican o leen los datos de los recursos que proporciona el usuario. En los registros de auditoría de acceso a los datos, no se registran las operaciones de acceso a los datos en los recursos compartidos de manera pública (disponibles para todos los usuarios o todos los usuarios autenticados) o a los que se puede acceder sin una cuenta de Google Cloud, Google Workspace, Cloud Identity o Drive Enterprise.
Servicios de Google Workspace que reenvían registros de auditoría a Google Cloud
Google Workspace proporciona los siguientes registros de auditoría a nivel de laGoogle Cloud organización:
Transparencia de acceso: Los registros de Transparencia de acceso proporcionan un registro de las acciones cuando el personal de Google accede al contenido del cliente en tus recursos de Google Workspace. A diferencia de la Transparencia de acceso, los registros de auditoría de Cloud registran las acciones que los miembros de tu organización Google Cloud realizaron en tus recursos Google Cloud .
Para obtener más información sobre la estructura de los registros de Transparencia de acceso y los tipos de accesos que se registran, consulta Descripciones de los campos de registro.
Auditoría del administrador de Google Workspace: Los registros de auditoría del administrador proporcionan un registro de las acciones realizadas en la Consola del administrador de Google. Por ejemplo, puedes ver cuándo un administrador agregó un usuario o activó un servicio de Google Workspace.
La auditoría del administrador solo escribe registros de auditoría de actividad del administrador.
Auditoría de Grupos de Google Workspace Enterprise: Los registros de auditoría de Grupos de Enterprise proporcionan un registro de las acciones realizadas en los grupos y las membresías de los grupos. Por ejemplo, puedes ver cuándo un administrador agregó un usuario o cuándo el propietario de un grupo borró su grupo.
La auditoría de Grupos de Enterprise solo escribe registros de auditoría de actividad del administrador.
Auditoría de acceso de Google Workspace: Los registros de auditoría de acceso realizan un seguimiento de los accesos de los usuarios a tu dominio. Estos registros solo registran el evento de acceso. No registran qué sistema se usó para realizar la acción de acceso.
La auditoría de acceso solo escribe registros de auditoría de acceso a los datos.
Auditoría de tokens de OAuth de Google Workspace: Los registros de auditoría de tokens de OAuth realizan un seguimiento de los usuarios que utilizan aplicaciones web o para dispositivos móviles de terceros en tu dominio. Por ejemplo, cuando un usuario abre una app de Google Workspace Marketplace, el registro graba el nombre de la app y la persona que la usa. El registro también registra cada vez que una aplicación de terceros está autorizada para acceder a los datos de la Cuenta de Google, como los de Contactos de Google, Calendario y archivos de Drive (solo para Google Workspace).
La Auditoría de tokens de OAuth escribe registros de auditoría de actividad del administrador y de acceso a los datos.
Auditoría de SAML de Google Workspace: Los registros de auditoría de SAML realizan un seguimiento de los accesos exitosos y fallidos de los usuarios a las aplicaciones de SAML. En general, las entradas aparecen una hora después de que los usuarios realizan una acción.
La auditoría de SAML solo escribe registros de auditoría de acceso a los datos.
Información específica del servicio
Los detalles de los registros de auditoría de cada servicio de Google Workspace son los siguientes:
Auditoría de administrador de Google Workspace
Los registros de auditoría del administrador de Google Workspace usan el tipo de recurso audited_resource para todos los registros de auditoría.
Los registros de auditoría del administrador de Google Workspace usan el nombre del servicio admin.googleapis.com.
La auditoría del administrador de Google Workspace solo escribe registros de auditoría de actividad del administrador. A continuación, se muestra una lista de las operaciones auditadas:
| Tipo de actividad | AuditLog.method_name |
|---|---|
| AI_CLASSIFICATION_SETTINGS | google.admin.AdminService.aiClassificationInsufficientTrainingExamplesgoogle.admin.AdminService.aiClassificationModelLowScoregoogle.admin.AdminService.aiClassificationNewModelReady |
| ALERT_CENTER | google.admin.AdminService.alertCenterBatchDeleteAlertsgoogle.admin.AdminService.alertCenterBatchUndeleteAlertsgoogle.admin.AdminService.alertCenterCreateAlertgoogle.admin.AdminService.alertCenterCreateFeedbackgoogle.admin.AdminService.alertCenterDeleteAlertgoogle.admin.AdminService.alertCenterGetAlertMetadatagoogle.admin.AdminService.alertCenterGetCustomerSettingsgoogle.admin.AdminService.alertCenterGetSitLinkgoogle.admin.AdminService.alertCenterListChangegoogle.admin.AdminService.alertCenterListFeedbackgoogle.admin.AdminService.alertCenterListRelatedAlertsgoogle.admin.AdminService.alertCenterUndeleteAlertgoogle.admin.AdminService.alertCenterUpdateAlertgoogle.admin.AdminService.alertCenterUpdateAlertMetadatagoogle.admin.AdminService.alertCenterUpdateCustomerSettingsgoogle.admin.AdminService.alertCenterView |
| APPLICATION_SETTINGS | google.admin.AdminService.changeApplicationSettinggoogle.admin.AdminService.createApplicationSettinggoogle.admin.AdminService.deleteApplicationSettinggoogle.admin.AdminService.reorderGroupBasedPoliciesEventgoogle.admin.AdminService.gplusPremiumFeaturesgoogle.admin.AdminService.createManagedConfigurationgoogle.admin.AdminService.deleteManagedConfigurationgoogle.admin.AdminService.updateManagedConfigurationgoogle.admin.AdminService.flashlightEduNonFeaturedServicesSelected |
| CALENDAR_SETTINGS | google.admin.AdminService.createBuildinggoogle.admin.AdminService.deleteBuildinggoogle.admin.AdminService.updateBuildinggoogle.admin.AdminService.createCalendarResourcegoogle.admin.AdminService.deleteCalendarResourcegoogle.admin.AdminService.createCalendarResourceFeaturegoogle.admin.AdminService.deleteCalendarResourceFeaturegoogle.admin.AdminService.updateCalendarResourceFeaturegoogle.admin.AdminService.renameCalendarResourcegoogle.admin.AdminService.updateCalendarResourcegoogle.admin.AdminService.changeCalendarSettinggoogle.admin.AdminService.cancelCalendarEventsgoogle.admin.AdminService.releaseCalendarResources |
| CHAT_SETTINGS | google.admin.AdminService.meetInteropCreateGatewaygoogle.admin.AdminService.meetInteropDeleteGatewaygoogle.admin.AdminService.meetInteropModifyGatewaygoogle.admin.AdminService.changeChatSetting |
| CHROME_OS_SETTINGS | google.admin.AdminService.changeChromeOsAndroidApplicationSettinggoogle.admin.AdminService.changeChromeOsApplicationSettinggoogle.admin.AdminService.sendChromeOsDeviceCommandgoogle.admin.AdminService.changeChromeOsDeviceAnnotationgoogle.admin.AdminService.changeChromeOsDeviceSettinggoogle.admin.AdminService.changeChromeOsDeviceStategoogle.admin.AdminService.changeChromeOsPublicSessionSettinggoogle.admin.AdminService.insertChromeOsPrintergoogle.admin.AdminService.deleteChromeOsPrintergoogle.admin.AdminService.updateChromeOsPrintergoogle.admin.AdminService.changeChromeOsSettinggoogle.admin.AdminService.changeChromeOsUserSettinggoogle.admin.AdminService.removeChromeOsApplicationSettings |
| CONTACTS_SETTINGS | google.admin.AdminService.changeContactsSetting |
| DELEGATED_ADMIN_SETTINGS | google.admin.AdminService.assignRolegoogle.admin.AdminService.createRolegoogle.admin.AdminService.deleteRolegoogle.admin.AdminService.addPrivilegegoogle.admin.AdminService.removePrivilegegoogle.admin.AdminService.renameRolegoogle.admin.AdminService.updateRolegoogle.admin.AdminService.unassignRole |
| DEVICE_SETTINGS | google.admin.AdminService.deleteDevicegoogle.admin.AdminService.moveDeviceToOrgUnit |
| DOCS_SETTINGS | google.admin.AdminService.transferDocumentOwnershipgoogle.admin.AdminService.driveDataRestoregoogle.admin.AdminService.changeDocsSetting |
| DOMAIN_SETTINGS | google.admin.AdminService.changeAccountAutoRenewalgoogle.admin.AdminService.addApplicationgoogle.admin.AdminService.addApplicationToWhitelistgoogle.admin.AdminService.changeAdvertisementOptiongoogle.admin.AdminService.createAlertgoogle.admin.AdminService.changeAlertCriteriagoogle.admin.AdminService.deleteAlertgoogle.admin.AdminService.alertReceiversChangedgoogle.admin.AdminService.renameAlertgoogle.admin.AdminService.alertStatusChangedgoogle.admin.AdminService.addDomainAliasgoogle.admin.AdminService.removeDomainAliasgoogle.admin.AdminService.skipDomainAliasMxgoogle.admin.AdminService.verifyDomainAliasMxgoogle.admin.AdminService.verifyDomainAliasgoogle.admin.AdminService.toggleOauthAccessToAllApisgoogle.admin.AdminService.toggleAllowAdminPasswordResetgoogle.admin.AdminService.enableApiAccessgoogle.admin.AdminService.authorizeApiClientAccessgoogle.admin.AdminService.removeApiClientAccessgoogle.admin.AdminService.chromeLicensesRedeemedgoogle.admin.AdminService.toggleAutoAddNewServicegoogle.admin.AdminService.changePrimaryDomaingoogle.admin.AdminService.changeWhitelistSettinggoogle.admin.AdminService.communicationPreferencesSettingChangegoogle.admin.AdminService.changeConflictAccountActiongoogle.admin.AdminService.enableFeedbackSolicitationgoogle.admin.AdminService.toggleContactSharinggoogle.admin.AdminService.createPlayForWorkTokengoogle.admin.AdminService.toggleUseCustomLogogoogle.admin.AdminService.changeCustomLogogoogle.admin.AdminService.changeDataLocalizationForRussiagoogle.admin.AdminService.changeDataLocalizationSettinggoogle.admin.AdminService.changeDataProtectionOfficerContactInfogoogle.admin.AdminService.deletePlayForWorkTokengoogle.admin.AdminService.viewDnsLoginDetailsgoogle.admin.AdminService.changeDomainDefaultLocalegoogle.admin.AdminService.changeDomainDefaultTimezonegoogle.admin.AdminService.changeDomainNamegoogle.admin.AdminService.toggleEnablePreReleaseFeaturesgoogle.admin.AdminService.changeDomainSupportMessagegoogle.admin.AdminService.addTrustedDomainsgoogle.admin.AdminService.removeTrustedDomainsgoogle.admin.AdminService.changeEduTypegoogle.admin.AdminService.toggleEnableOauthConsumerKeygoogle.admin.AdminService.toggleSsoEnabledgoogle.admin.AdminService.toggleSslgoogle.admin.AdminService.changeEuRepresentativeContactInfogoogle.admin.AdminService.generateTransferTokengoogle.admin.AdminService.changeLoginBackgroundColorgoogle.admin.AdminService.changeLoginBorderColorgoogle.admin.AdminService.changeLoginActivityTracegoogle.admin.AdminService.playForWorkEnrollgoogle.admin.AdminService.playForWorkUnenrollgoogle.admin.AdminService.mxRecordVerificationClaimgoogle.admin.AdminService.toggleNewAppFeaturesgoogle.admin.AdminService.toggleUseNextGenControlPanelgoogle.admin.AdminService.uploadOauthCertificategoogle.admin.AdminService.regenerateOauthConsumerSecretgoogle.admin.AdminService.toggleOpenIdEnabledgoogle.admin.AdminService.changeOrganizationNamegoogle.admin.AdminService.toggleOutboundRelaygoogle.admin.AdminService.changePasswordMaxLengthgoogle.admin.AdminService.changePasswordMinLengthgoogle.admin.AdminService.updateDomainPrimaryAdminEmailgoogle.admin.AdminService.enableServiceOrFeatureNotificationsgoogle.admin.AdminService.removeApplicationgoogle.admin.AdminService.removeApplicationFromWhitelistgoogle.admin.AdminService.changeRenewDomainRegistrationgoogle.admin.AdminService.changeResellerAccessgoogle.admin.AdminService.ruleActionsChangedgoogle.admin.AdminService.createRulegoogle.admin.AdminService.changeRuleCriteriagoogle.admin.AdminService.deleteRulegoogle.admin.AdminService.renameRulegoogle.admin.AdminService.ruleStatusChangedgoogle.admin.AdminService.addSecondaryDomaingoogle.admin.AdminService.removeSecondaryDomaingoogle.admin.AdminService.skipSecondaryDomainMxgoogle.admin.AdminService.verifySecondaryDomainMxgoogle.admin.AdminService.verifySecondaryDomaingoogle.admin.AdminService.updateDomainSecondaryEmailgoogle.admin.AdminService.changeSsoSettingsgoogle.admin.AdminService.generatePingoogle.admin.AdminService.updateRule |
| EMAIL_SETTINGS | google.admin.AdminService.dropFromQuarantinegoogle.admin.AdminService.emailLogSearchgoogle.admin.AdminService.emailUndeletegoogle.admin.AdminService.changeEmailSettinggoogle.admin.AdminService.changeGmailSettinggoogle.admin.AdminService.createGmailSettinggoogle.admin.AdminService.deleteGmailSettinggoogle.admin.AdminService.rejectFromQuarantinegoogle.admin.AdminService.releaseFromQuarantine |
| GROUP_SETTINGS | google.admin.AdminService.createGroupgoogle.admin.AdminService.deleteGroupgoogle.admin.AdminService.changeGroupDescriptiongoogle.admin.AdminService.groupListDownloadgoogle.admin.AdminService.addGroupMembergoogle.admin.AdminService.removeGroupMembergoogle.admin.AdminService.updateGroupMembergoogle.admin.AdminService.updateGroupMemberDeliverySettingsgoogle.admin.AdminService.updateGroupMemberDeliverySettingsCanEmailOverridegoogle.admin.AdminService.groupMemberBulkUploadgoogle.admin.AdminService.groupMembersDownloadgoogle.admin.AdminService.changeGroupEmailgoogle.admin.AdminService.changeGroupNamegoogle.admin.AdminService.changeGroupSettinggoogle.admin.AdminService.whitelistedGroupsUpdated |
| ETIQUETAS | google.admin.AdminService.labelDeletedgoogle.admin.AdminService.labelDisabledgoogle.admin.AdminService.labelReenabledgoogle.admin.AdminService.labelPermissionUpdatedgoogle.admin.AdminService.labelPermissionDeletedgoogle.admin.AdminService.labelPublishedgoogle.admin.AdminService.labelCreatedgoogle.admin.AdminService.labelUpdated |
| LICENSES_SETTINGS | google.admin.AdminService.orgUsersLicenseAssignmentgoogle.admin.AdminService.orgAllUsersLicenseAssignmentgoogle.admin.AdminService.userLicenseAssignmentgoogle.admin.AdminService.changeLicenseAutoAssigngoogle.admin.AdminService.userLicenseReassignmentgoogle.admin.AdminService.orgLicenseRevokegoogle.admin.AdminService.userLicenseRevokegoogle.admin.AdminService.updateDynamicLicensegoogle.admin.AdminService.licenseUsageUpdate |
| MOBILE_SETTINGS | google.admin.AdminService.actionCancelledgoogle.admin.AdminService.actionRequestedgoogle.admin.AdminService.addMobileCertificategoogle.admin.AdminService.companyDevicesBulkCreationgoogle.admin.AdminService.companyOwnedDeviceBlockedgoogle.admin.AdminService.companyDeviceDeletiongoogle.admin.AdminService.companyOwnedDeviceUnblockedgoogle.admin.AdminService.companyOwnedDeviceWipedgoogle.admin.AdminService.changeMobileApplicationPermissionGrantgoogle.admin.AdminService.changeMobileApplicationPriorityOrdergoogle.admin.AdminService.removeMobileApplicationFromWhitelistgoogle.admin.AdminService.changeMobileApplicationSettingsgoogle.admin.AdminService.addMobileApplicationToWhitelistgoogle.admin.AdminService.mobileDeviceApprovegoogle.admin.AdminService.mobileDeviceBlockgoogle.admin.AdminService.mobileDeviceDeletegoogle.admin.AdminService.mobileDeviceWipegoogle.admin.AdminService.changeMobileSettinggoogle.admin.AdminService.changeAdminRestrictionsPingoogle.admin.AdminService.changeMobileWirelessNetworkgoogle.admin.AdminService.addMobileWirelessNetworkgoogle.admin.AdminService.removeMobileWirelessNetworkgoogle.admin.AdminService.changeMobileWirelessNetworkPasswordgoogle.admin.AdminService.removeMobileCertificategoogle.admin.AdminService.enrollForGoogleDeviceManagementgoogle.admin.AdminService.useGoogleMobileManagementgoogle.admin.AdminService.useGoogleMobileManagementForNonIosgoogle.admin.AdminService.useGoogleMobileManagementForIosgoogle.admin.AdminService.mobileAccountWipegoogle.admin.AdminService.mobileDeviceCancelWipeThenApprovegoogle.admin.AdminService.mobileDeviceCancelWipeThenBlock |
| ORG_SETTINGS | google.admin.AdminService.chromeLicensesEnabledgoogle.admin.AdminService.chromeApplicationLicenseReservationCreatedgoogle.admin.AdminService.chromeApplicationLicenseReservationDeletedgoogle.admin.AdminService.chromeApplicationLicenseReservationUpdatedgoogle.admin.AdminService.assignCustomLogogoogle.admin.AdminService.unassignCustomLogogoogle.admin.AdminService.createEnrollmentTokengoogle.admin.AdminService.revokeEnrollmentTokengoogle.admin.AdminService.chromeLicensesAllowedgoogle.admin.AdminService.createOrgUnitgoogle.admin.AdminService.removeOrgUnitgoogle.admin.AdminService.editOrgUnitDescriptiongoogle.admin.AdminService.moveOrgUnitgoogle.admin.AdminService.editOrgUnitNamegoogle.admin.AdminService.toggleServiceEnabled |
| SECURITY_INVESTIGATION | google.admin.AdminService.securityInvestigationActiongoogle.admin.AdminService.securityInvestigationActionCancellationgoogle.admin.AdminService.securityInvestigationActionCompletiongoogle.admin.AdminService.securityInvestigationActionRetrygoogle.admin.AdminService.securityInvestigationActionVerificationConfirmationgoogle.admin.AdminService.securityInvestigationActionVerificationRequestgoogle.admin.AdminService.securityInvestigationActionVerificationRequestExpirationgoogle.admin.AdminService.securityInvestigationChartCreategoogle.admin.AdminService.securityInvestigationContentAccessgoogle.admin.AdminService.securityInvestigationDownloadAttachmentgoogle.admin.AdminService.securityInvestigationExportActionResultsgoogle.admin.AdminService.securityInvestigationExportQuerygoogle.admin.AdminService.securityInvestigationObjectCreateDraftInvestigationgoogle.admin.AdminService.securityInvestigationObjectDeleteInvestigationgoogle.admin.AdminService.securityInvestigationObjectDuplicateInvestigationgoogle.admin.AdminService.securityInvestigationObjectOwnershipTransfergoogle.admin.AdminService.securityInvestigationObjectSaveInvestigationgoogle.admin.AdminService.securityInvestigationObjectUpdateDirectSharinggoogle.admin.AdminService.securityInvestigationObjectUpdateLinkSharinggoogle.admin.AdminService.securityInvestigationQuerygoogle.admin.AdminService.securityInvestigationSettingUpdate |
| SECURITY_SETTINGS | google.admin.AdminService.addToTrustedOauth2Appsgoogle.admin.AdminService.allowAspWithout2Svgoogle.admin.AdminService.allowServiceForOauth2Accessgoogle.admin.AdminService.allowStrongAuthenticationgoogle.admin.AdminService.blockOnDeviceAccessgoogle.admin.AdminService.changeAllowedTwoStepVerificationMethodsgoogle.admin.AdminService.changeAppAccessSettingsCollectionIdgoogle.admin.AdminService.changeCaaAppAssignmentsgoogle.admin.AdminService.changeCaaDefaultAssignmentsgoogle.admin.AdminService.changeCaaErrorMessagegoogle.admin.AdminService.changeSessionLengthgoogle.admin.AdminService.changeTwoStepVerificationEnrollmentPeriodDurationgoogle.admin.AdminService.changeTwoStepVerificationFrequencygoogle.admin.AdminService.changeTwoStepVerificationGracePeriodDurationgoogle.admin.AdminService.changeTwoStepVerificationStartDategoogle.admin.AdminService.disallowServiceForOauth2Accessgoogle.admin.AdminService.enableNonAdminUserPasswordRecoverygoogle.admin.AdminService.enforceStrongAuthenticationgoogle.admin.AdminService.removeFromTrustedOauth2Appsgoogle.admin.AdminService.sessionControlSettingsChangegoogle.admin.AdminService.toggleCaaEnablementgoogle.admin.AdminService.trustDomainOwnedOauth2Appsgoogle.admin.AdminService.unblockOnDeviceAccessgoogle.admin.AdminService.untrustDomainOwnedOauth2Appsgoogle.admin.AdminService.updateErrorMsgForRestrictedOauth2Appsgoogle.admin.AdminService.weakProgrammaticLoginSettingsChanged |
| SITES_SETTINGS | google.admin.AdminService.addWebAddressgoogle.admin.AdminService.deleteWebAddressgoogle.admin.AdminService.changeSitesSettinggoogle.admin.AdminService.changeSitesWebAddressMappingUpdatesgoogle.admin.AdminService.viewSiteDetails |
| USER_SETTINGS | google.admin.AdminService.delete2SvScratchCodesgoogle.admin.AdminService.generate2SvScratchCodesgoogle.admin.AdminService.revoke3LoDeviceTokensgoogle.admin.AdminService.revoke3LoTokengoogle.admin.AdminService.addRecoveryEmailgoogle.admin.AdminService.addRecoveryPhonegoogle.admin.AdminService.grantAdminPrivilegegoogle.admin.AdminService.revokeAdminPrivilegegoogle.admin.AdminService.revokeAspgoogle.admin.AdminService.toggleAutomaticContactSharinggoogle.admin.AdminService.bulkUploadgoogle.admin.AdminService.bulkUploadNotificationSentgoogle.admin.AdminService.cancelUserInvitegoogle.admin.AdminService.changeUserCustomFieldgoogle.admin.AdminService.changeUserExternalIdgoogle.admin.AdminService.changeUserGendergoogle.admin.AdminService.changeUserImgoogle.admin.AdminService.enableUserIpWhitelistgoogle.admin.AdminService.changeUserKeywordgoogle.admin.AdminService.changeUserLanguagegoogle.admin.AdminService.changeUserLocationgoogle.admin.AdminService.changeUserOrganizationgoogle.admin.AdminService.changeUserPhoneNumbergoogle.admin.AdminService.changeRecoveryEmailgoogle.admin.AdminService.changeRecoveryPhonegoogle.admin.AdminService.changeUserRelationgoogle.admin.AdminService.changeUserAddressgoogle.admin.AdminService.createEmailMonitorgoogle.admin.AdminService.createDataTransferRequestgoogle.admin.AdminService.grantDelegatedAdminPrivilegesgoogle.admin.AdminService.deleteAccountInfoDumpgoogle.admin.AdminService.deleteEmailMonitorgoogle.admin.AdminService.deleteMailboxDumpgoogle.admin.AdminService.changeFirstNamegoogle.admin.AdminService.gmailResetUsergoogle.admin.AdminService.changeLastNamegoogle.admin.AdminService.mailRoutingDestinationAddedgoogle.admin.AdminService.mailRoutingDestinationRemovedgoogle.admin.AdminService.addNicknamegoogle.admin.AdminService.removeNicknamegoogle.admin.AdminService.changePasswordgoogle.admin.AdminService.changePasswordOnNextLogingoogle.admin.AdminService.downloadPendingInvitesListgoogle.admin.AdminService.removeRecoveryEmailgoogle.admin.AdminService.removeRecoveryPhonegoogle.admin.AdminService.requestAccountInfogoogle.admin.AdminService.requestMailboxDumpgoogle.admin.AdminService.resendUserInvitegoogle.admin.AdminService.resetSigninCookiesgoogle.admin.AdminService.securityKeyRegisteredForUsergoogle.admin.AdminService.revokeSecurityKeygoogle.admin.AdminService.userInvitegoogle.admin.AdminService.viewTempPasswordgoogle.admin.AdminService.turnOff2StepVerificationgoogle.admin.AdminService.unblockUserSessiongoogle.admin.AdminService.unenrollUserFromTitaniumgoogle.admin.AdminService.archiveUsergoogle.admin.AdminService.updateBirthdategoogle.admin.AdminService.createUsergoogle.admin.AdminService.deleteUsergoogle.admin.AdminService.downgradeUserFromGplusgoogle.admin.AdminService.userEnrolledInTwoStepVerificationgoogle.admin.AdminService.downloadUserlistCsvgoogle.admin.AdminService.moveUserToOrgUnitgoogle.admin.AdminService.userPutInTwoStepVerificationGracePeriodgoogle.admin.AdminService.renameUsergoogle.admin.AdminService.unenrollUserFromStrongAuthgoogle.admin.AdminService.suspendUsergoogle.admin.AdminService.unarchiveUsergoogle.admin.AdminService.undeleteUsergoogle.admin.AdminService.unsuspendUsergoogle.admin.AdminService.upgradeUserToGplusgoogle.admin.AdminService.usersBulkUploadgoogle.admin.AdminService.usersBulkUploadNotificationSent |
Auditoría de Grupos de Google Workspace Enterprise
Los registros de auditoría de Grupos de Google Workspace Enterprise usan el tipo de recurso audited_resource para todos los registros de auditoría.
Los registros de auditoría de Grupos de Google Workspace Enterprise usan el nombre del servicio cloudidentity.googleapis.com.
La auditoría de Grupos de Google Workspace solo escribe registros de auditoría de actividad de administrador. A continuación, se muestra una lista de las operaciones auditadas:
Categoría de registros de auditoría
|
AuditLog.method_name
|
|---|---|
| Registros de auditoría de actividad del administrador | google.apps.cloudidentity.groups.v1.GroupsService.UpdateGroupgoogle.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership |
Auditoría de acceso de Google Workspace
Todos los registros de auditoría de acceso de Google Workspace usan el tipo de recurso audited_resource.
Los registros de auditoría de acceso de Google Workspace usan el nombre del servicio login.googleapis.com.
La auditoría de acceso de Google Workspace solo escribe registros de auditoría de acceso a los datos. A continuación, se muestran las operaciones auditadas. También están disponibles muestras de registros para cada operación.
| Categoría de registros de auditoría | AuditLog.method_name |
|---|---|
| Registros de auditoría de acceso a los datos | google.login.LoginService.2svDisable google.login.LoginService.2svEnroll google.login.LoginService.accountDisabledPasswordLeak google.login.LoginService.accountDisabledGeneric google.login.LoginService.accountDisabledSpammingThroughRelay google.login.LoginService.accountDisabledSpamming google.login.LoginService.accountDisabledHijacked google.login.LoginService.emailForwardingOutOfDomain google.login.LoginService.govAttackWarning google.login.LoginService.loginChallenge google.login.LoginService.loginFailure google.login.LoginService.loginVerification google.login.LoginService.logout google.login.LoginService.loginSuccess google.login.LoginService.passwordEdit google.login.LoginService.recoveryEmailEdit google.login.LoginService.recoveryPhoneEdit google.login.LoginService.recoverySecretQaEdit google.login.LoginService.riskySensitiveActionAllowed google.login.LoginService.riskySensitiveActionBlocked google.login.LoginService.suspiciousLogin google.login.LoginService.suspiciousLoginLessSecureApp google.login.LoginService.suspiciousProgrammaticLogin google.login.LoginService.titaniumEnroll google.login.LoginService.titaniumUnenroll |
Auditoría de tokens de OAuth de Google Workspace
Los registros de auditoría de OAuth Token Audit de Google Workspace usan el tipo de recurso audited_resource para todos los registros de auditoría.
Los registros de auditoría de OAuth Token Audit de Google Workspace usan el nombre del servicio oauth2.googleapis.com.
La auditoría de tokens de OAuth de Google Workspace escribe registros de auditoría de actividad del administrador y de acceso a los datos. A continuación, se muestra una lista de las operaciones auditadas:
Categoría de registros de auditoría
|
AuditLog.method_name
|
|---|---|
| Registros de auditoría de actividad del administrador | google.identity.oauth2.Denygoogle.identity.oauth2.GetTokengoogle.identity.oauth2.Requestgoogle.identity.oauth2.RevokeToken |
| Registros de auditoría de acceso a los datos | google.identity.oauth2.GetTokenInfo |
Auditoría de SAML de Google Workspace
Los registros de auditoría de SAML Google Workspace usan el tipo de recurso audited_resource para todos los registros de auditoría.
Los registros de auditoría de SAML de Google Workspace usan el nombre del servicio login.googleapis.com.
La auditoría de SAML de Google Workspace solo escribe registros de auditoría de acceso a los datos. A continuación, se muestra una lista de las operaciones auditadas:
Categoría de registros de auditoría
|
AuditLog.method_name
|
|---|---|
| Registros de auditoría de acceso a los datos | google.apps.login.v1.SamlLoginFailed |
google.apps.login.v1.SamlLoginSucceeded |
Permisos de registro de auditoría
Los permisos y las funciones de IAM determinan tu capacidad para acceder a los datos de registros de auditoría en la API de Logging, el Explorador de registros y la CLI de Google Cloud.
Para obtener información detallada sobre los permisos y roles de IAM a nivel de la organización que podrías necesitar, consulta Control de acceso con IAM.
Formato del registro de auditoría
Las entradas de registro de auditoría de Google Workspace incluyen los siguientes objetos:
La entrada de registro, que es un objeto de tipo
LogEntry. Cuando examines los datos de registro de auditoría, puede que te resulte útil lo siguiente:logNamecontiene el ID de la organización y el tipo de registro de auditoría.resourcecontiene el objetivo de la operación auditada.timeStampcontiene la hora de la operación auditada.protoPayloadcontiene el registro de auditoría de Google Workspace en su campometadata.
El campo protoPayload.metadata contiene la información auditada de Google Workspace. El siguiente es un ejemplo de un registro de auditoría de acceso:
{ "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": "test-user@example.net" }, "requestMetadata": { "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff", "requestAttributes": {}, "destinationAttributes": {} }, "serviceName": "login.googleapis.com", "methodName": "google.login.LoginService.loginFailure", "resourceName": "organizations/123", "metadata": { "event": [ { "eventName": "login_failure", "eventType": "login", "parameter": [ { "value": "google_password", "type": "TYPE_STRING", "name": "login_type", }, { "name": "login_challenge_method", "type": "TYPE_STRING", "label": "LABEL_REPEATED", "multiStrValue": [ "password", "idv_preregistered_phone", "idv_preregistered_phone" ] }, ] } ], "activityId": { "uniqQualifier": "358068855354", "timeUsec": "1632500217183212" }, "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto" } }, "insertId": "-nahbepd4l1x", "resource": { "type": "audited_resource", "labels": { "method": "google.login.LoginService.loginFailure", "service": "login.googleapis.com" } }, "timestamp": "2021-09-24T16:16:57.183212Z", "severity": "NOTICE", "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access", "receiveTimestamp": "2021-09-24T17:51:25.034361197Z" }
Para obtener información sobre los campos de registro de auditoría específicos del servicio y cómo interpretarlos, selecciona los servicios enumerados en Registros de auditoría disponibles.
Ver registros
Si deseas obtener información para ver tus registros de auditoría de Google Workspace, consulta Visualiza y administra los registros de auditoría de Google Workspace.
Enruta registros de auditoría
Puedes enrutar los registros de auditoría de Google Workspace de Cloud Logging a destinos compatibles, incluidos otros buckets de Logging.
Estas son algunas de las aplicaciones para enrutar los registros de auditoría:
Para usar capacidades de búsqueda más potentes, puedes enrutar copias de los registros de auditoría a Cloud Storage, BigQuery o Pub/Sub. Con Pub/Sub, puedes enrutar a otras aplicaciones, a otros repositorios y a terceros.
Para administrar los registros de auditoría en toda la organización, puedes crear receptores agregados que combinen y enruten registros de todos los Google Cloud proyectos, las cuentas de facturación y las carpetas que contiene tu organización. Por ejemplo, puedes agregar y enrutar las entradas de registro de auditoría de las carpetas de una organización a un bucket de Cloud Storage.
Para obtener instrucciones sobre el enrutamiento de registros, consulta Enruta registros a destinos compatibles.
Regionalización
No puedes elegir una región en la que se almacenen tus registros de Google Workspace. Los registros de Google Workspace no están cubiertos por la Política de la Región de Datos de Google Workspace.
Períodos de retención
Los siguientes períodos de retención se aplican a los datos de tus registros de auditoría:
Para cada organización, Cloud Logging almacena de forma automática los registros en dos buckets: un bucket _Default y un bucket _Required. El bucket _Required contiene registros de auditoría de la actividad del administrador, registros de auditoría de eventos del sistema y registros de Transparencia de acceso.
El bucket _Default contiene todas las demás entradas de registro que no se almacenan en el bucket _Required. Para obtener más información sobre los buckets de Logging, consulta Descripción general del enrutamiento y el almacenamiento.
Puedes configurar Cloud Logging para retener los registros en el bucket de registros _Default durante un período de 1 día a 3,650 días.
A fin de actualizar el período de retención del bucket de registros _Default, consulta Retención personalizada.
No puedes cambiar el período de retención en el bucket _Required.
Cuotas y límites
Las mismas cuotas se aplican a los registros de auditoría de Google Workspace y Registros de auditoría de Cloud.
Para obtener más información sobre estos límites de uso, incluidos los tamaños máximos de los registros de auditoría, consulta Cuotas y límites.
Precios
Para obtener información sobre los precios, consulta Precios de Google Cloud Observability.
¿Qué sigue?
- Obtén más información para configurar y administrar los registros de auditoría de Google Workspace.
- Revisa las prácticas recomendadas para los registros de auditoría de Cloud.
- Obtén información para ver y comprender los registros de Transparencia de acceso de Google Workspace.