En este documento se ofrece una descripción general de los registros de auditoría que proporciona Google Workspace como parte de los registros de auditoría de Cloud.
Para obtener información sobre cómo gestionar los registros de auditoría de Google Workspace, consulta el artículo Ver y gestionar registros de auditoría de Google Workspace.
Información general
Google Cloud escriben registros de auditoría para ayudarte a responder a las preguntas sobre quién hizo qué, dónde lo hizo y cuándo lo hizo. Puedes compartir tus registros de auditoría de Google Workspace con Google Cloud para almacenar, analizar, monitorizar y recibir alertas sobre tus datos de Google Workspace.
Los registros de auditoría de Google Workspace están disponibles para los clientes de Cloud Identity, Cloud Identity Premium y Google Workspace.
Si has habilitado el uso compartido de datos de Google Workspace con Google Cloud, los registros de auditoría siempre estarán habilitados en Google Workspace.
Si inhabilitas el uso compartido de datos de Google Workspace, se dejarán de enviar eventos de registro de auditoría de Google Workspace a Google Cloud. Los registros que ya tengas se conservarán durante los periodos de conservación predeterminados, a menos que hayas configurado la conservación personalizada para conservarlos durante más tiempo.
Si no habilitas la opción para compartir datos de Google Workspace con Google Cloud, no podrás ver los registros de auditoría de Google Workspace en Google Cloud.
Tipos de registros de auditoría
Los registros de auditoría de actividad de administración contienen entradas de registro de llamadas a la API u otras acciones que modifican la configuración o los metadatos de los recursos. Por ejemplo, estos registros recogen cuándo crean los usuarios instancias de VM o cambian los permisos de gestión de identidades y accesos (IAM).
Los registros de auditoría de acceso a los datos contienen llamadas a la API que leen la configuración o los metadatos de los recursos, así como llamadas a la API iniciadas por el usuario que crean, modifican o leen los datos de los recursos proporcionados por el usuario. Los registros de auditoría de acceso a datos no registran las operaciones de acceso a datos en recursos que se comparten públicamente (disponibles para todos los usuarios o todos los usuarios autenticados) o a los que se puede acceder sin iniciar sesión en una cuenta de Google Cloud, Google Workspace, Cloud Identity o Drive Enterprise.
Servicios de Google Workspace que reenvían registros de auditoría a Google Cloud
Google Workspace proporciona los siguientes registros de auditoría a nivel de organización:Google Cloud
Transparencia de acceso: los registros de Transparencia de acceso proporcionan un registro de las acciones que lleva a cabo el personal de Google cuando accede al contenido de los clientes en tus recursos de Google Workspace. A diferencia de Transparencia de acceso, Cloud Audit Logs registra las acciones que han llevado a cabo los miembros de tu Google Cloud organización en tus Google Cloud recursos.
Para obtener más información sobre la estructura de los registros de Transparencia de acceso y los tipos de acceso que se registran, consulta Descripciones de los campos de registro.
Auditoría de administrador de Google Workspace: los registros de auditoría de administrador proporcionan un historial de las acciones realizadas en la consola de administración de Google. Por ejemplo, puedes ver cuándo un administrador ha añadido a un usuario o ha activado un servicio de Google Workspace.
Admin Audit solo escribe registros de auditoría de la actividad administrativa.
Auditoría de Grupos de Enterprise de Google Workspace: los registros de auditoría de Grupos de Enterprise proporcionan un registro de las acciones realizadas en grupos y en la pertenencia a grupos. Por ejemplo, puedes ver cuándo ha añadido un administrador un usuario o cuándo ha eliminado un usuario un grupo del que es propietario.
La auditoría de grupos de Enterprise solo escribe registros de auditoría de la actividad del administrador.
Auditoría de inicio de sesión de Google Workspace: los registros de auditoría de inicio de sesión monitorizan los inicios de sesión de los usuarios en tu dominio. Estos registros solo registran el evento de inicio de sesión. No registran qué sistema se ha usado para realizar la acción de inicio de sesión.
Auditoría de inicio de sesión solo escribe registros de auditoría de acceso a datos.
Auditoría de tokens de OAuth de Google Workspace: los registros de auditoría de tokens de OAuth monitorizan qué usuarios utilizan aplicaciones móviles o web de terceros en tu dominio y cuáles están empleando exactamente. Por ejemplo, cuando un usuario abre una aplicación de Google Workspace Marketplace, en el registro se guarda el nombre de la aplicación y del usuario. En el registro también se incluye una entrada cada vez que se autoriza a una aplicación de terceros a que acceda a datos de una cuenta de Google, como Contactos, Calendar o archivos de Drive (solo en Google Workspace).
La auditoría de tokens de OAuth escribe registros de auditoría de actividad de administrador y de acceso a los datos.
Auditoría de SAML de Google Workspace: los registros de auditoría de SAML monitorizan los inicios de sesión correctos y fallidos de los usuarios en aplicaciones SAML. Por lo general, las entradas aparecen menos de una hora después de que los usuarios hayan llevado a cabo la acción.
La auditoría de SAML solo escribe registros de auditoría de acceso a datos.
Información específica del servicio
A continuación, se detallan los registros de auditoría de cada servicio de Google Workspace:
Auditoría de administrador de Google Workspace
Los registros de auditoría de auditoría del administrador de Google Workspace utilizan el tipo de recurso
audited_resource
para todos los registros de auditoría.
Los registros de auditoría de auditoría del administrador de Google Workspace usan el nombre del servicio
admin.googleapis.com
.
La auditoría de administrador de Google Workspace solo escribe registros de auditoría de la actividad del administrador. Estas son las operaciones auditadas:
Tipo de actividad | AuditLog.method_name |
---|---|
AI_CLASSIFICATION_SETTINGS | google.admin.AdminService.aiClassificationInsufficientTrainingExamples google.admin.AdminService.aiClassificationModelLowScore google.admin.AdminService.aiClassificationNewModelReady |
ALERT_CENTER | google.admin.AdminService.alertCenterBatchDeleteAlerts google.admin.AdminService.alertCenterBatchUndeleteAlerts google.admin.AdminService.alertCenterCreateAlert google.admin.AdminService.alertCenterCreateFeedback google.admin.AdminService.alertCenterDeleteAlert google.admin.AdminService.alertCenterGetAlertMetadata google.admin.AdminService.alertCenterGetCustomerSettings google.admin.AdminService.alertCenterGetSitLink google.admin.AdminService.alertCenterListChange google.admin.AdminService.alertCenterListFeedback google.admin.AdminService.alertCenterListRelatedAlerts google.admin.AdminService.alertCenterUndeleteAlert google.admin.AdminService.alertCenterUpdateAlert google.admin.AdminService.alertCenterUpdateAlertMetadata google.admin.AdminService.alertCenterUpdateCustomerSettings google.admin.AdminService.alertCenterView |
APPLICATION_SETTINGS | google.admin.AdminService.changeApplicationSetting google.admin.AdminService.createApplicationSetting google.admin.AdminService.deleteApplicationSetting google.admin.AdminService.reorderGroupBasedPoliciesEvent google.admin.AdminService.gplusPremiumFeatures google.admin.AdminService.createManagedConfiguration google.admin.AdminService.deleteManagedConfiguration google.admin.AdminService.updateManagedConfiguration google.admin.AdminService.flashlightEduNonFeaturedServicesSelected |
CALENDAR_SETTINGS | google.admin.AdminService.createBuilding google.admin.AdminService.deleteBuilding google.admin.AdminService.updateBuilding google.admin.AdminService.createCalendarResource google.admin.AdminService.deleteCalendarResource google.admin.AdminService.createCalendarResourceFeature google.admin.AdminService.deleteCalendarResourceFeature google.admin.AdminService.updateCalendarResourceFeature google.admin.AdminService.renameCalendarResource google.admin.AdminService.updateCalendarResource google.admin.AdminService.changeCalendarSetting google.admin.AdminService.cancelCalendarEvents google.admin.AdminService.releaseCalendarResources |
CHAT_SETTINGS | google.admin.AdminService.meetInteropCreateGateway google.admin.AdminService.meetInteropDeleteGateway google.admin.AdminService.meetInteropModifyGateway google.admin.AdminService.changeChatSetting |
CHROME_OS_SETTINGS | google.admin.AdminService.changeChromeOsAndroidApplicationSetting google.admin.AdminService.changeChromeOsApplicationSetting google.admin.AdminService.sendChromeOsDeviceCommand google.admin.AdminService.changeChromeOsDeviceAnnotation google.admin.AdminService.changeChromeOsDeviceSetting google.admin.AdminService.changeChromeOsDeviceState google.admin.AdminService.changeChromeOsPublicSessionSetting google.admin.AdminService.insertChromeOsPrinter google.admin.AdminService.deleteChromeOsPrinter google.admin.AdminService.updateChromeOsPrinter google.admin.AdminService.changeChromeOsSetting google.admin.AdminService.changeChromeOsUserSetting google.admin.AdminService.removeChromeOsApplicationSettings |
CONTACTS_SETTINGS | google.admin.AdminService.changeContactsSetting |
DELEGATED_ADMIN_SETTINGS | google.admin.AdminService.assignRole google.admin.AdminService.createRole google.admin.AdminService.deleteRole google.admin.AdminService.addPrivilege google.admin.AdminService.removePrivilege google.admin.AdminService.renameRole google.admin.AdminService.updateRole google.admin.AdminService.unassignRole |
DEVICE_SETTINGS | google.admin.AdminService.deleteDevice google.admin.AdminService.moveDeviceToOrgUnit |
DOCS_SETTINGS | google.admin.AdminService.transferDocumentOwnership google.admin.AdminService.driveDataRestore google.admin.AdminService.changeDocsSetting |
DOMAIN_SETTINGS | google.admin.AdminService.changeAccountAutoRenewal google.admin.AdminService.addApplication google.admin.AdminService.addApplicationToWhitelist google.admin.AdminService.changeAdvertisementOption google.admin.AdminService.createAlert google.admin.AdminService.changeAlertCriteria google.admin.AdminService.deleteAlert google.admin.AdminService.alertReceiversChanged google.admin.AdminService.renameAlert google.admin.AdminService.alertStatusChanged google.admin.AdminService.addDomainAlias google.admin.AdminService.removeDomainAlias google.admin.AdminService.skipDomainAliasMx google.admin.AdminService.verifyDomainAliasMx google.admin.AdminService.verifyDomainAlias google.admin.AdminService.toggleOauthAccessToAllApis google.admin.AdminService.toggleAllowAdminPasswordReset google.admin.AdminService.enableApiAccess google.admin.AdminService.authorizeApiClientAccess google.admin.AdminService.removeApiClientAccess google.admin.AdminService.chromeLicensesRedeemed google.admin.AdminService.toggleAutoAddNewService google.admin.AdminService.changePrimaryDomain google.admin.AdminService.changeWhitelistSetting google.admin.AdminService.communicationPreferencesSettingChange google.admin.AdminService.changeConflictAccountAction google.admin.AdminService.enableFeedbackSolicitation google.admin.AdminService.toggleContactSharing google.admin.AdminService.createPlayForWorkToken google.admin.AdminService.toggleUseCustomLogo google.admin.AdminService.changeCustomLogo google.admin.AdminService.changeDataLocalizationForRussia google.admin.AdminService.changeDataLocalizationSetting google.admin.AdminService.changeDataProtectionOfficerContactInfo google.admin.AdminService.deletePlayForWorkToken google.admin.AdminService.viewDnsLoginDetails google.admin.AdminService.changeDomainDefaultLocale google.admin.AdminService.changeDomainDefaultTimezone google.admin.AdminService.changeDomainName google.admin.AdminService.toggleEnablePreReleaseFeatures google.admin.AdminService.changeDomainSupportMessage google.admin.AdminService.addTrustedDomains google.admin.AdminService.removeTrustedDomains google.admin.AdminService.changeEduType google.admin.AdminService.toggleEnableOauthConsumerKey google.admin.AdminService.toggleSsoEnabled google.admin.AdminService.toggleSsl google.admin.AdminService.changeEuRepresentativeContactInfo google.admin.AdminService.generateTransferToken google.admin.AdminService.changeLoginBackgroundColor google.admin.AdminService.changeLoginBorderColor google.admin.AdminService.changeLoginActivityTrace google.admin.AdminService.playForWorkEnroll google.admin.AdminService.playForWorkUnenroll google.admin.AdminService.mxRecordVerificationClaim google.admin.AdminService.toggleNewAppFeatures google.admin.AdminService.toggleUseNextGenControlPanel google.admin.AdminService.uploadOauthCertificate google.admin.AdminService.regenerateOauthConsumerSecret google.admin.AdminService.toggleOpenIdEnabled google.admin.AdminService.changeOrganizationName google.admin.AdminService.toggleOutboundRelay google.admin.AdminService.changePasswordMaxLength google.admin.AdminService.changePasswordMinLength google.admin.AdminService.updateDomainPrimaryAdminEmail google.admin.AdminService.enableServiceOrFeatureNotifications google.admin.AdminService.removeApplication google.admin.AdminService.removeApplicationFromWhitelist google.admin.AdminService.changeRenewDomainRegistration google.admin.AdminService.changeResellerAccess google.admin.AdminService.ruleActionsChanged google.admin.AdminService.createRule google.admin.AdminService.changeRuleCriteria google.admin.AdminService.deleteRule google.admin.AdminService.renameRule google.admin.AdminService.ruleStatusChanged google.admin.AdminService.addSecondaryDomain google.admin.AdminService.removeSecondaryDomain google.admin.AdminService.skipSecondaryDomainMx google.admin.AdminService.verifySecondaryDomainMx google.admin.AdminService.verifySecondaryDomain google.admin.AdminService.updateDomainSecondaryEmail google.admin.AdminService.changeSsoSettings google.admin.AdminService.generatePin google.admin.AdminService.updateRule |
EMAIL_SETTINGS | google.admin.AdminService.dropFromQuarantine google.admin.AdminService.emailLogSearch google.admin.AdminService.emailUndelete google.admin.AdminService.changeEmailSetting google.admin.AdminService.changeGmailSetting google.admin.AdminService.createGmailSetting google.admin.AdminService.deleteGmailSetting google.admin.AdminService.rejectFromQuarantine google.admin.AdminService.releaseFromQuarantine |
GROUP_SETTINGS | google.admin.AdminService.createGroup google.admin.AdminService.deleteGroup google.admin.AdminService.changeGroupDescription google.admin.AdminService.groupListDownload google.admin.AdminService.addGroupMember google.admin.AdminService.removeGroupMember google.admin.AdminService.updateGroupMember google.admin.AdminService.updateGroupMemberDeliverySettings google.admin.AdminService.updateGroupMemberDeliverySettingsCanEmailOverride google.admin.AdminService.groupMemberBulkUpload google.admin.AdminService.groupMembersDownload google.admin.AdminService.changeGroupEmail google.admin.AdminService.changeGroupName google.admin.AdminService.changeGroupSetting google.admin.AdminService.whitelistedGroupsUpdated |
ETIQUETAS | google.admin.AdminService.labelDeleted google.admin.AdminService.labelDisabled google.admin.AdminService.labelReenabled google.admin.AdminService.labelPermissionUpdated google.admin.AdminService.labelPermissionDeleted google.admin.AdminService.labelPublished google.admin.AdminService.labelCreated google.admin.AdminService.labelUpdated |
LICENSES_SETTINGS | google.admin.AdminService.orgUsersLicenseAssignment google.admin.AdminService.orgAllUsersLicenseAssignment google.admin.AdminService.userLicenseAssignment google.admin.AdminService.changeLicenseAutoAssign google.admin.AdminService.userLicenseReassignment google.admin.AdminService.orgLicenseRevoke google.admin.AdminService.userLicenseRevoke google.admin.AdminService.updateDynamicLicense google.admin.AdminService.licenseUsageUpdate |
MOBILE_SETTINGS | google.admin.AdminService.actionCancelled google.admin.AdminService.actionRequested google.admin.AdminService.addMobileCertificate google.admin.AdminService.companyDevicesBulkCreation google.admin.AdminService.companyOwnedDeviceBlocked google.admin.AdminService.companyDeviceDeletion google.admin.AdminService.companyOwnedDeviceUnblocked google.admin.AdminService.companyOwnedDeviceWiped google.admin.AdminService.changeMobileApplicationPermissionGrant google.admin.AdminService.changeMobileApplicationPriorityOrder google.admin.AdminService.removeMobileApplicationFromWhitelist google.admin.AdminService.changeMobileApplicationSettings google.admin.AdminService.addMobileApplicationToWhitelist google.admin.AdminService.mobileDeviceApprove google.admin.AdminService.mobileDeviceBlock google.admin.AdminService.mobileDeviceDelete google.admin.AdminService.mobileDeviceWipe google.admin.AdminService.changeMobileSetting google.admin.AdminService.changeAdminRestrictionsPin google.admin.AdminService.changeMobileWirelessNetwork google.admin.AdminService.addMobileWirelessNetwork google.admin.AdminService.removeMobileWirelessNetwork google.admin.AdminService.changeMobileWirelessNetworkPassword google.admin.AdminService.removeMobileCertificate google.admin.AdminService.enrollForGoogleDeviceManagement google.admin.AdminService.useGoogleMobileManagement google.admin.AdminService.useGoogleMobileManagementForNonIos google.admin.AdminService.useGoogleMobileManagementForIos google.admin.AdminService.mobileAccountWipe google.admin.AdminService.mobileDeviceCancelWipeThenApprove google.admin.AdminService.mobileDeviceCancelWipeThenBlock |
ORG_SETTINGS | google.admin.AdminService.chromeLicensesEnabled google.admin.AdminService.chromeApplicationLicenseReservationCreated google.admin.AdminService.chromeApplicationLicenseReservationDeleted google.admin.AdminService.chromeApplicationLicenseReservationUpdated google.admin.AdminService.assignCustomLogo google.admin.AdminService.unassignCustomLogo google.admin.AdminService.createEnrollmentToken google.admin.AdminService.revokeEnrollmentToken google.admin.AdminService.chromeLicensesAllowed google.admin.AdminService.createOrgUnit google.admin.AdminService.removeOrgUnit google.admin.AdminService.editOrgUnitDescription google.admin.AdminService.moveOrgUnit google.admin.AdminService.editOrgUnitName google.admin.AdminService.toggleServiceEnabled |
SECURITY_INVESTIGATION | google.admin.AdminService.securityInvestigationAction google.admin.AdminService.securityInvestigationActionCancellation google.admin.AdminService.securityInvestigationActionCompletion google.admin.AdminService.securityInvestigationActionRetry google.admin.AdminService.securityInvestigationActionVerificationConfirmation google.admin.AdminService.securityInvestigationActionVerificationRequest google.admin.AdminService.securityInvestigationActionVerificationRequestExpiration google.admin.AdminService.securityInvestigationChartCreate google.admin.AdminService.securityInvestigationContentAccess google.admin.AdminService.securityInvestigationDownloadAttachment google.admin.AdminService.securityInvestigationExportActionResults google.admin.AdminService.securityInvestigationExportQuery google.admin.AdminService.securityInvestigationObjectCreateDraftInvestigation google.admin.AdminService.securityInvestigationObjectDeleteInvestigation google.admin.AdminService.securityInvestigationObjectDuplicateInvestigation google.admin.AdminService.securityInvestigationObjectOwnershipTransfer google.admin.AdminService.securityInvestigationObjectSaveInvestigation google.admin.AdminService.securityInvestigationObjectUpdateDirectSharing google.admin.AdminService.securityInvestigationObjectUpdateLinkSharing google.admin.AdminService.securityInvestigationQuery google.admin.AdminService.securityInvestigationSettingUpdate |
SECURITY_SETTINGS | google.admin.AdminService.addToTrustedOauth2Apps google.admin.AdminService.allowAspWithout2Sv google.admin.AdminService.allowServiceForOauth2Access google.admin.AdminService.allowStrongAuthentication google.admin.AdminService.blockOnDeviceAccess google.admin.AdminService.changeAllowedTwoStepVerificationMethods google.admin.AdminService.changeAppAccessSettingsCollectionId google.admin.AdminService.changeCaaAppAssignments google.admin.AdminService.changeCaaDefaultAssignments google.admin.AdminService.changeCaaErrorMessage google.admin.AdminService.changeSessionLength google.admin.AdminService.changeTwoStepVerificationEnrollmentPeriodDuration google.admin.AdminService.changeTwoStepVerificationFrequency google.admin.AdminService.changeTwoStepVerificationGracePeriodDuration google.admin.AdminService.changeTwoStepVerificationStartDate google.admin.AdminService.disallowServiceForOauth2Access google.admin.AdminService.enableNonAdminUserPasswordRecovery google.admin.AdminService.enforceStrongAuthentication google.admin.AdminService.removeFromTrustedOauth2Apps google.admin.AdminService.sessionControlSettingsChange google.admin.AdminService.toggleCaaEnablement google.admin.AdminService.trustDomainOwnedOauth2Apps google.admin.AdminService.unblockOnDeviceAccess google.admin.AdminService.untrustDomainOwnedOauth2Apps google.admin.AdminService.updateErrorMsgForRestrictedOauth2Apps google.admin.AdminService.weakProgrammaticLoginSettingsChanged |
SITES_SETTINGS | google.admin.AdminService.addWebAddress google.admin.AdminService.deleteWebAddress google.admin.AdminService.changeSitesSetting google.admin.AdminService.changeSitesWebAddressMappingUpdates google.admin.AdminService.viewSiteDetails |
USER_SETTINGS | google.admin.AdminService.delete2SvScratchCodes google.admin.AdminService.generate2SvScratchCodes google.admin.AdminService.revoke3LoDeviceTokens google.admin.AdminService.revoke3LoToken google.admin.AdminService.addRecoveryEmail google.admin.AdminService.addRecoveryPhone google.admin.AdminService.grantAdminPrivilege google.admin.AdminService.revokeAdminPrivilege google.admin.AdminService.revokeAsp google.admin.AdminService.toggleAutomaticContactSharing google.admin.AdminService.bulkUpload google.admin.AdminService.bulkUploadNotificationSent google.admin.AdminService.cancelUserInvite google.admin.AdminService.changeUserCustomField google.admin.AdminService.changeUserExternalId google.admin.AdminService.changeUserGender google.admin.AdminService.changeUserIm google.admin.AdminService.enableUserIpWhitelist google.admin.AdminService.changeUserKeyword google.admin.AdminService.changeUserLanguage google.admin.AdminService.changeUserLocation google.admin.AdminService.changeUserOrganization google.admin.AdminService.changeUserPhoneNumber google.admin.AdminService.changeRecoveryEmail google.admin.AdminService.changeRecoveryPhone google.admin.AdminService.changeUserRelation google.admin.AdminService.changeUserAddress google.admin.AdminService.createEmailMonitor google.admin.AdminService.createDataTransferRequest google.admin.AdminService.grantDelegatedAdminPrivileges google.admin.AdminService.deleteAccountInfoDump google.admin.AdminService.deleteEmailMonitor google.admin.AdminService.deleteMailboxDump google.admin.AdminService.changeFirstName google.admin.AdminService.gmailResetUser google.admin.AdminService.changeLastName google.admin.AdminService.mailRoutingDestinationAdded google.admin.AdminService.mailRoutingDestinationRemoved google.admin.AdminService.addNickname google.admin.AdminService.removeNickname google.admin.AdminService.changePassword google.admin.AdminService.changePasswordOnNextLogin google.admin.AdminService.downloadPendingInvitesList google.admin.AdminService.removeRecoveryEmail google.admin.AdminService.removeRecoveryPhone google.admin.AdminService.requestAccountInfo google.admin.AdminService.requestMailboxDump google.admin.AdminService.resendUserInvite google.admin.AdminService.resetSigninCookies google.admin.AdminService.securityKeyRegisteredForUser google.admin.AdminService.revokeSecurityKey google.admin.AdminService.userInvite google.admin.AdminService.viewTempPassword google.admin.AdminService.turnOff2StepVerification google.admin.AdminService.unblockUserSession google.admin.AdminService.unenrollUserFromTitanium google.admin.AdminService.archiveUser google.admin.AdminService.updateBirthdate google.admin.AdminService.createUser google.admin.AdminService.deleteUser google.admin.AdminService.downgradeUserFromGplus google.admin.AdminService.userEnrolledInTwoStepVerification google.admin.AdminService.downloadUserlistCsv google.admin.AdminService.moveUserToOrgUnit google.admin.AdminService.userPutInTwoStepVerificationGracePeriod google.admin.AdminService.renameUser google.admin.AdminService.unenrollUserFromStrongAuth google.admin.AdminService.suspendUser google.admin.AdminService.unarchiveUser google.admin.AdminService.undeleteUser google.admin.AdminService.unsuspendUser google.admin.AdminService.upgradeUserToGplus google.admin.AdminService.usersBulkUpload google.admin.AdminService.usersBulkUploadNotificationSent |
Auditoría de grupos de Google Workspace Enterprise
Los registros de auditoría de Grupos de Enterprise de Google Workspace utilizan el tipo de recurso audited_resource
para todos los registros de auditoría.
Los registros de auditoría de auditoría de grupos de Enterprise de Google Workspace usan el nombre del servicio cloudidentity.googleapis.com
.
La auditoría de Grupos de Enterprise de Google Workspace solo escribe registros de auditoría de la actividad del administrador. Estas son las operaciones auditadas:
Categoría de registros de auditoría
|
AuditLog.method_name
|
---|---|
Registros de auditoría de la actividad administrativa | google.apps.cloudidentity.groups.v1.GroupsService.UpdateGroup google.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership |
Auditoría de inicio de sesión de Google Workspace
Todos los registros de auditoría de inicio de sesión de Google Workspace utilizan el tipo de recurso audited_resource
.
Los registros de auditoría de inicio de sesión de Google Workspace utilizan el nombre de servicio login.googleapis.com
.
El registro de auditoría de inicio de sesión de Google Workspace solo escribe registros de auditoría de acceso a datos. Estas son las operaciones auditadas. Hay registros de ejemplo disponibles para cada operación.
Categoría de registros de auditoría | AuditLog.method_name |
---|---|
Registros de auditoría de acceso a los datos | google.login.LoginService.2svDisable google.login.LoginService.2svEnroll google.login.LoginService.accountDisabledPasswordLeak google.login.LoginService.accountDisabledGeneric google.login.LoginService.accountDisabledSpammingThroughRelay google.login.LoginService.accountDisabledSpamming google.login.LoginService.accountDisabledHijacked google.login.LoginService.emailForwardingOutOfDomain google.login.LoginService.govAttackWarning google.login.LoginService.loginChallenge google.login.LoginService.loginFailure google.login.LoginService.loginVerification google.login.LoginService.logout google.login.LoginService.loginSuccess google.login.LoginService.passwordEdit google.login.LoginService.recoveryEmailEdit google.login.LoginService.recoveryPhoneEdit google.login.LoginService.recoverySecretQaEdit google.login.LoginService.riskySensitiveActionAllowed google.login.LoginService.riskySensitiveActionBlocked google.login.LoginService.suspiciousLogin google.login.LoginService.suspiciousLoginLessSecureApp google.login.LoginService.suspiciousProgrammaticLogin google.login.LoginService.titaniumEnroll google.login.LoginService.titaniumUnenroll |
Auditoría de tokens de OAuth de Google Workspace
Los registros de auditoría de tokens de OAuth de Google Workspace utilizan el tipo de recurso audited_resource
para todos los registros de auditoría.
Los registros de auditoría de tokens de OAuth de Google Workspace usan el nombre de servicio oauth2.googleapis.com
.
Google Workspace OAuth Token Audit escribe registros de auditoría de actividad del administrador y de acceso a los datos. Estas son las operaciones auditadas:
Categoría de registros de auditoría
|
AuditLog.method_name
|
---|---|
Registros de auditoría de la actividad administrativa | google.identity.oauth2.Deny google.identity.oauth2.GetToken google.identity.oauth2.Request google.identity.oauth2.RevokeToken |
Registros de auditoría de acceso a los datos | google.identity.oauth2.GetTokenInfo |
Auditoría de SAML de Google Workspace
Los registros de auditoría de auditoría de SAML de Google Workspace utilizan el tipo de recurso audited_resource
para todos los registros de auditoría.
Los registros de auditoría de auditoría de SAML de Google Workspace utilizan el nombre de servicio
login.googleapis.com
.
La auditoría de SAML de Google Workspace solo escribe registros de auditoría de acceso a datos. Estas son las operaciones auditadas:
Categoría de registros de auditoría
|
AuditLog.method_name
|
---|---|
Registros de auditoría de acceso a los datos | google.apps.login.v1.SamlLoginFailed |
google.apps.login.v1.SamlLoginSucceeded |
Permisos de registro de auditoría
Los permisos y roles de IAM determinan tu capacidad para acceder a los datos de los registros de auditoría en la API Logging, el Explorador de registros y la CLI de Google Cloud.
Para obtener información detallada sobre los permisos y roles de gestión de identidades y accesos a nivel de organización que puedes necesitar, consulta el artículo sobre el control de acceso con gestión de identidades y accesos.
Formato del registro de auditoría
Las entradas de los registros de auditoría de Google Workspace incluyen los siguientes objetos:
La entrada de registro en sí, que es un objeto de tipo
LogEntry
. Cuando examine los datos de registro de auditoría, puede que le resulte útil lo siguiente:logName
contiene el ID de la organización y el tipo de registro de auditoría.resource
contiene el objetivo de la operación auditada.timeStamp
contiene la hora de la operación auditada.protoPayload
contiene el registro de auditoría de Google Workspace en su campometadata
.
El campo protoPayload.metadata
contiene la información auditada de Google Workspace. A continuación, se muestra un ejemplo de registro de auditoría de inicio de sesión:
{ "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": "test-user@example.net" }, "requestMetadata": { "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff", "requestAttributes": {}, "destinationAttributes": {} }, "serviceName": "login.googleapis.com", "methodName": "google.login.LoginService.loginFailure", "resourceName": "organizations/123", "metadata": { "event": [ { "eventName": "login_failure", "eventType": "login", "parameter": [ { "value": "google_password", "type": "TYPE_STRING", "name": "login_type", }, { "name": "login_challenge_method", "type": "TYPE_STRING", "label": "LABEL_REPEATED", "multiStrValue": [ "password", "idv_preregistered_phone", "idv_preregistered_phone" ] }, ] } ], "activityId": { "uniqQualifier": "358068855354", "timeUsec": "1632500217183212" }, "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto" } }, "insertId": "-nahbepd4l1x", "resource": { "type": "audited_resource", "labels": { "method": "google.login.LoginService.loginFailure", "service": "login.googleapis.com" } }, "timestamp": "2021-09-24T16:16:57.183212Z", "severity": "NOTICE", "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access", "receiveTimestamp": "2021-09-24T17:51:25.034361197Z" }
Para obtener información sobre los campos de registro de auditoría específicos de cada servicio y cómo interpretarlos, selecciona uno de los servicios que se indican en Registros de auditoría disponibles.
Ver registros
Para obtener información sobre cómo ver los registros de auditoría de Google Workspace, consulta el artículo Ver y gestionar registros de auditoría de Google Workspace.
Registros de auditoría de rutas
Puedes enrutar los registros de auditoría de Google Workspace de Cloud Logging a destinos compatibles, como otros contenedores de Logging.
Estos son algunos de los usos que tiene el enrutamiento de registros de auditoría:
Si quieres usar funciones de búsqueda más potentes, puedes enrutar copias de tus registros de auditoría a Cloud Storage, BigQuery o Pub/Sub. Con Pub/Sub, puedes dirigir datos a otras aplicaciones, otros repositorios y a terceros.
Si quieres gestionar los registros de auditoría de toda una organización, puedes crear sumideros agregados que combinen y enruten los registros de todos los Google Cloud proyectos, las cuentas de facturación y las carpetas que contenga tu organización. Por ejemplo, puedes agregar y enrutar entradas de registro de auditoría de las carpetas de una organización a un segmento de Cloud Storage.
Para obtener instrucciones sobre cómo enrutar registros, consulta el artículo Enrutar registros a destinos admitidos.
Regionalización
No puedes elegir la región en la que se almacenan tus registros de Google Workspace. Los registros de Google Workspace no están cubiertos por la Política de regiones de datos de Google Workspace.
Periodos de conservación
Los siguientes periodos de conservación se aplican a los datos de los registros de auditoría:
En cada organización, Cloud Logging almacena automáticamente los registros en dos segmentos: _Default
y _Required
. El _Required
contiene registros de auditoría de la actividad del administrador y de los eventos del sistema, así como registros de Transparencia de acceso.
El segmento _Default
contiene todas las demás entradas de registro que no se almacenan en el segmento _Required
. Para obtener más información sobre los segmentos de Logging, consulta la información general sobre el enrutamiento y el almacenamiento.
Puedes configurar Cloud Logging para que conserve los registros del segmento _Default
durante un periodo de entre 1 y 3650 días.
Para actualizar el periodo de conservación del segmento de registros _Default
, consulta Conservación personalizada.
No puedes cambiar el periodo de conservación del contenedor _Required
.
Cuotas y límites
Se aplican las mismas cuotas a los registros de auditoría de Google Workspace y a los registros de auditoría de Cloud.
Para obtener más información sobre estos límites de uso, incluido el tamaño máximo de los registros de auditoría, consulta Cuotas y límites.
Precios
Para obtener información sobre los precios, consulta los precios de Google Cloud Observability.
Siguientes pasos
- Consulta cómo configurar y gestionar los registros de auditoría de Google Workspace.
- Consulta las prácticas recomendadas de Cloud Audit Logs.
- Consulta cómo ver e interpretar los registros de Transparencia de acceso de Google Workspace.