Registros de auditoría de Google Workspace

En este documento se ofrece una descripción general de los registros de auditoría que proporciona Google Workspace como parte de los registros de auditoría de Cloud.

Para obtener información sobre cómo gestionar los registros de auditoría de Google Workspace, consulta el artículo Ver y gestionar registros de auditoría de Google Workspace.

Información general

Google Cloud escriben registros de auditoría para ayudarte a responder a las preguntas sobre quién hizo qué, dónde lo hizo y cuándo lo hizo. Puedes compartir tus registros de auditoría de Google Workspace con Google Cloud para almacenar, analizar, monitorizar y recibir alertas sobre tus datos de Google Workspace.

Los registros de auditoría de Google Workspace están disponibles para los clientes de Cloud Identity, Cloud Identity Premium y Google Workspace.

Si has habilitado el uso compartido de datos de Google Workspace con Google Cloud, los registros de auditoría siempre estarán habilitados en Google Workspace.

Si inhabilitas el uso compartido de datos de Google Workspace, se dejarán de enviar eventos de registro de auditoría de Google Workspace a Google Cloud. Los registros que ya tengas se conservarán durante los periodos de conservación predeterminados, a menos que hayas configurado la conservación personalizada para conservarlos durante más tiempo.

Si no habilitas la opción para compartir datos de Google Workspace con Google Cloud, no podrás ver los registros de auditoría de Google Workspace en Google Cloud.

Tipos de registros de auditoría

Los registros de auditoría de actividad de administración contienen entradas de registro de llamadas a la API u otras acciones que modifican la configuración o los metadatos de los recursos. Por ejemplo, estos registros recogen cuándo crean los usuarios instancias de VM o cambian los permisos de gestión de identidades y accesos (IAM).

Los registros de auditoría de acceso a los datos contienen llamadas a la API que leen la configuración o los metadatos de los recursos, así como llamadas a la API iniciadas por el usuario que crean, modifican o leen los datos de los recursos proporcionados por el usuario. Los registros de auditoría de acceso a datos no registran las operaciones de acceso a datos en recursos que se comparten públicamente (disponibles para todos los usuarios o todos los usuarios autenticados) o a los que se puede acceder sin iniciar sesión en una cuenta de Google Cloud, Google Workspace, Cloud Identity o Drive Enterprise.

Servicios de Google Workspace que reenvían registros de auditoría a Google Cloud

Google Workspace proporciona los siguientes registros de auditoría a nivel de organización:Google Cloud

  • Transparencia de acceso: los registros de Transparencia de acceso proporcionan un registro de las acciones que lleva a cabo el personal de Google cuando accede al contenido de los clientes en tus recursos de Google Workspace. A diferencia de Transparencia de acceso, Cloud Audit Logs registra las acciones que han llevado a cabo los miembros de tu Google Cloud organización en tus Google Cloud recursos.

    Para obtener más información sobre la estructura de los registros de Transparencia de acceso y los tipos de acceso que se registran, consulta Descripciones de los campos de registro.

  • Auditoría de administrador de Google Workspace: los registros de auditoría de administrador proporcionan un historial de las acciones realizadas en la consola de administración de Google. Por ejemplo, puedes ver cuándo un administrador ha añadido a un usuario o ha activado un servicio de Google Workspace.

    Admin Audit solo escribe registros de auditoría de la actividad administrativa.

  • Auditoría de Grupos de Enterprise de Google Workspace: los registros de auditoría de Grupos de Enterprise proporcionan un registro de las acciones realizadas en grupos y en la pertenencia a grupos. Por ejemplo, puedes ver cuándo ha añadido un administrador un usuario o cuándo ha eliminado un usuario un grupo del que es propietario.

    La auditoría de grupos de Enterprise solo escribe registros de auditoría de la actividad del administrador.

  • Auditoría de inicio de sesión de Google Workspace: los registros de auditoría de inicio de sesión monitorizan los inicios de sesión de los usuarios en tu dominio. Estos registros solo registran el evento de inicio de sesión. No registran qué sistema se ha usado para realizar la acción de inicio de sesión.

    Auditoría de inicio de sesión solo escribe registros de auditoría de acceso a datos.

  • Auditoría de tokens de OAuth de Google Workspace: los registros de auditoría de tokens de OAuth monitorizan qué usuarios utilizan aplicaciones móviles o web de terceros en tu dominio y cuáles están empleando exactamente. Por ejemplo, cuando un usuario abre una aplicación de Google Workspace Marketplace, en el registro se guarda el nombre de la aplicación y del usuario. En el registro también se incluye una entrada cada vez que se autoriza a una aplicación de terceros a que acceda a datos de una cuenta de Google, como Contactos, Calendar o archivos de Drive (solo en Google Workspace).

    La auditoría de tokens de OAuth escribe registros de auditoría de actividad de administrador y de acceso a los datos.

  • Auditoría de SAML de Google Workspace: los registros de auditoría de SAML monitorizan los inicios de sesión correctos y fallidos de los usuarios en aplicaciones SAML. Por lo general, las entradas aparecen menos de una hora después de que los usuarios hayan llevado a cabo la acción.

    La auditoría de SAML solo escribe registros de auditoría de acceso a datos.

Información específica del servicio

A continuación, se detallan los registros de auditoría de cada servicio de Google Workspace:

Auditoría de administrador de Google Workspace

Los registros de auditoría de auditoría del administrador de Google Workspace utilizan el tipo de recurso audited_resource para todos los registros de auditoría.

Los registros de auditoría de auditoría del administrador de Google Workspace usan el nombre del servicio admin.googleapis.com.

La auditoría de administrador de Google Workspace solo escribe registros de auditoría de la actividad del administrador. Estas son las operaciones auditadas:

Tipo de actividad AuditLog.method_name
AI_CLASSIFICATION_SETTINGS google.admin.AdminService.aiClassificationInsufficientTrainingExamples
google.admin.AdminService.aiClassificationModelLowScore
google.admin.AdminService.aiClassificationNewModelReady
ALERT_CENTER google.admin.AdminService.alertCenterBatchDeleteAlerts
google.admin.AdminService.alertCenterBatchUndeleteAlerts
google.admin.AdminService.alertCenterCreateAlert
google.admin.AdminService.alertCenterCreateFeedback
google.admin.AdminService.alertCenterDeleteAlert
google.admin.AdminService.alertCenterGetAlertMetadata
google.admin.AdminService.alertCenterGetCustomerSettings
google.admin.AdminService.alertCenterGetSitLink
google.admin.AdminService.alertCenterListChange
google.admin.AdminService.alertCenterListFeedback
google.admin.AdminService.alertCenterListRelatedAlerts
google.admin.AdminService.alertCenterUndeleteAlert
google.admin.AdminService.alertCenterUpdateAlert
google.admin.AdminService.alertCenterUpdateAlertMetadata
google.admin.AdminService.alertCenterUpdateCustomerSettings
google.admin.AdminService.alertCenterView
APPLICATION_SETTINGS google.admin.AdminService.changeApplicationSetting
google.admin.AdminService.createApplicationSetting
google.admin.AdminService.deleteApplicationSetting
google.admin.AdminService.reorderGroupBasedPoliciesEvent
google.admin.AdminService.gplusPremiumFeatures
google.admin.AdminService.createManagedConfiguration
google.admin.AdminService.deleteManagedConfiguration
google.admin.AdminService.updateManagedConfiguration
google.admin.AdminService.flashlightEduNonFeaturedServicesSelected
CALENDAR_SETTINGS google.admin.AdminService.createBuilding
google.admin.AdminService.deleteBuilding
google.admin.AdminService.updateBuilding
google.admin.AdminService.createCalendarResource
google.admin.AdminService.deleteCalendarResource
google.admin.AdminService.createCalendarResourceFeature
google.admin.AdminService.deleteCalendarResourceFeature
google.admin.AdminService.updateCalendarResourceFeature
google.admin.AdminService.renameCalendarResource
google.admin.AdminService.updateCalendarResource
google.admin.AdminService.changeCalendarSetting
google.admin.AdminService.cancelCalendarEvents
google.admin.AdminService.releaseCalendarResources
CHAT_SETTINGS google.admin.AdminService.meetInteropCreateGateway
google.admin.AdminService.meetInteropDeleteGateway
google.admin.AdminService.meetInteropModifyGateway
google.admin.AdminService.changeChatSetting
CHROME_OS_SETTINGS google.admin.AdminService.changeChromeOsAndroidApplicationSetting
google.admin.AdminService.changeChromeOsApplicationSetting
google.admin.AdminService.sendChromeOsDeviceCommand
google.admin.AdminService.changeChromeOsDeviceAnnotation
google.admin.AdminService.changeChromeOsDeviceSetting
google.admin.AdminService.changeChromeOsDeviceState
google.admin.AdminService.changeChromeOsPublicSessionSetting
google.admin.AdminService.insertChromeOsPrinter
google.admin.AdminService.deleteChromeOsPrinter
google.admin.AdminService.updateChromeOsPrinter
google.admin.AdminService.changeChromeOsSetting
google.admin.AdminService.changeChromeOsUserSetting
google.admin.AdminService.removeChromeOsApplicationSettings
CONTACTS_SETTINGS google.admin.AdminService.changeContactsSetting
DELEGATED_ADMIN_SETTINGS google.admin.AdminService.assignRole
google.admin.AdminService.createRole
google.admin.AdminService.deleteRole
google.admin.AdminService.addPrivilege
google.admin.AdminService.removePrivilege
google.admin.AdminService.renameRole
google.admin.AdminService.updateRole
google.admin.AdminService.unassignRole
DEVICE_SETTINGS google.admin.AdminService.deleteDevice
google.admin.AdminService.moveDeviceToOrgUnit
DOCS_SETTINGS google.admin.AdminService.transferDocumentOwnership
google.admin.AdminService.driveDataRestore
google.admin.AdminService.changeDocsSetting
DOMAIN_SETTINGS google.admin.AdminService.changeAccountAutoRenewal
google.admin.AdminService.addApplication
google.admin.AdminService.addApplicationToWhitelist
google.admin.AdminService.changeAdvertisementOption
google.admin.AdminService.createAlert
google.admin.AdminService.changeAlertCriteria
google.admin.AdminService.deleteAlert
google.admin.AdminService.alertReceiversChanged
google.admin.AdminService.renameAlert
google.admin.AdminService.alertStatusChanged
google.admin.AdminService.addDomainAlias
google.admin.AdminService.removeDomainAlias
google.admin.AdminService.skipDomainAliasMx
google.admin.AdminService.verifyDomainAliasMx
google.admin.AdminService.verifyDomainAlias
google.admin.AdminService.toggleOauthAccessToAllApis
google.admin.AdminService.toggleAllowAdminPasswordReset
google.admin.AdminService.enableApiAccess
google.admin.AdminService.authorizeApiClientAccess
google.admin.AdminService.removeApiClientAccess
google.admin.AdminService.chromeLicensesRedeemed
google.admin.AdminService.toggleAutoAddNewService
google.admin.AdminService.changePrimaryDomain
google.admin.AdminService.changeWhitelistSetting
google.admin.AdminService.communicationPreferencesSettingChange
google.admin.AdminService.changeConflictAccountAction
google.admin.AdminService.enableFeedbackSolicitation
google.admin.AdminService.toggleContactSharing
google.admin.AdminService.createPlayForWorkToken
google.admin.AdminService.toggleUseCustomLogo
google.admin.AdminService.changeCustomLogo
google.admin.AdminService.changeDataLocalizationForRussia
google.admin.AdminService.changeDataLocalizationSetting
google.admin.AdminService.changeDataProtectionOfficerContactInfo
google.admin.AdminService.deletePlayForWorkToken
google.admin.AdminService.viewDnsLoginDetails
google.admin.AdminService.changeDomainDefaultLocale
google.admin.AdminService.changeDomainDefaultTimezone
google.admin.AdminService.changeDomainName
google.admin.AdminService.toggleEnablePreReleaseFeatures
google.admin.AdminService.changeDomainSupportMessage
google.admin.AdminService.addTrustedDomains
google.admin.AdminService.removeTrustedDomains
google.admin.AdminService.changeEduType
google.admin.AdminService.toggleEnableOauthConsumerKey
google.admin.AdminService.toggleSsoEnabled
google.admin.AdminService.toggleSsl
google.admin.AdminService.changeEuRepresentativeContactInfo
google.admin.AdminService.generateTransferToken
google.admin.AdminService.changeLoginBackgroundColor
google.admin.AdminService.changeLoginBorderColor
google.admin.AdminService.changeLoginActivityTrace
google.admin.AdminService.playForWorkEnroll
google.admin.AdminService.playForWorkUnenroll
google.admin.AdminService.mxRecordVerificationClaim
google.admin.AdminService.toggleNewAppFeatures
google.admin.AdminService.toggleUseNextGenControlPanel
google.admin.AdminService.uploadOauthCertificate
google.admin.AdminService.regenerateOauthConsumerSecret
google.admin.AdminService.toggleOpenIdEnabled
google.admin.AdminService.changeOrganizationName
google.admin.AdminService.toggleOutboundRelay
google.admin.AdminService.changePasswordMaxLength
google.admin.AdminService.changePasswordMinLength
google.admin.AdminService.updateDomainPrimaryAdminEmail
google.admin.AdminService.enableServiceOrFeatureNotifications
google.admin.AdminService.removeApplication
google.admin.AdminService.removeApplicationFromWhitelist
google.admin.AdminService.changeRenewDomainRegistration
google.admin.AdminService.changeResellerAccess
google.admin.AdminService.ruleActionsChanged
google.admin.AdminService.createRule
google.admin.AdminService.changeRuleCriteria
google.admin.AdminService.deleteRule
google.admin.AdminService.renameRule
google.admin.AdminService.ruleStatusChanged
google.admin.AdminService.addSecondaryDomain
google.admin.AdminService.removeSecondaryDomain
google.admin.AdminService.skipSecondaryDomainMx
google.admin.AdminService.verifySecondaryDomainMx
google.admin.AdminService.verifySecondaryDomain
google.admin.AdminService.updateDomainSecondaryEmail
google.admin.AdminService.changeSsoSettings
google.admin.AdminService.generatePin
google.admin.AdminService.updateRule
EMAIL_SETTINGS google.admin.AdminService.dropFromQuarantine
google.admin.AdminService.emailLogSearch
google.admin.AdminService.emailUndelete
google.admin.AdminService.changeEmailSetting
google.admin.AdminService.changeGmailSetting
google.admin.AdminService.createGmailSetting
google.admin.AdminService.deleteGmailSetting
google.admin.AdminService.rejectFromQuarantine
google.admin.AdminService.releaseFromQuarantine
GROUP_SETTINGS google.admin.AdminService.createGroup
google.admin.AdminService.deleteGroup
google.admin.AdminService.changeGroupDescription
google.admin.AdminService.groupListDownload
google.admin.AdminService.addGroupMember
google.admin.AdminService.removeGroupMember
google.admin.AdminService.updateGroupMember
google.admin.AdminService.updateGroupMemberDeliverySettings
google.admin.AdminService.updateGroupMemberDeliverySettingsCanEmailOverride
google.admin.AdminService.groupMemberBulkUpload
google.admin.AdminService.groupMembersDownload
google.admin.AdminService.changeGroupEmail
google.admin.AdminService.changeGroupName
google.admin.AdminService.changeGroupSetting
google.admin.AdminService.whitelistedGroupsUpdated
ETIQUETAS google.admin.AdminService.labelDeleted
google.admin.AdminService.labelDisabled
google.admin.AdminService.labelReenabled
google.admin.AdminService.labelPermissionUpdated
google.admin.AdminService.labelPermissionDeleted
google.admin.AdminService.labelPublished
google.admin.AdminService.labelCreated
google.admin.AdminService.labelUpdated
LICENSES_SETTINGS google.admin.AdminService.orgUsersLicenseAssignment
google.admin.AdminService.orgAllUsersLicenseAssignment
google.admin.AdminService.userLicenseAssignment
google.admin.AdminService.changeLicenseAutoAssign
google.admin.AdminService.userLicenseReassignment
google.admin.AdminService.orgLicenseRevoke
google.admin.AdminService.userLicenseRevoke
google.admin.AdminService.updateDynamicLicense
google.admin.AdminService.licenseUsageUpdate
MOBILE_SETTINGS google.admin.AdminService.actionCancelled
google.admin.AdminService.actionRequested
google.admin.AdminService.addMobileCertificate
google.admin.AdminService.companyDevicesBulkCreation
google.admin.AdminService.companyOwnedDeviceBlocked
google.admin.AdminService.companyDeviceDeletion
google.admin.AdminService.companyOwnedDeviceUnblocked
google.admin.AdminService.companyOwnedDeviceWiped
google.admin.AdminService.changeMobileApplicationPermissionGrant
google.admin.AdminService.changeMobileApplicationPriorityOrder
google.admin.AdminService.removeMobileApplicationFromWhitelist
google.admin.AdminService.changeMobileApplicationSettings
google.admin.AdminService.addMobileApplicationToWhitelist
google.admin.AdminService.mobileDeviceApprove
google.admin.AdminService.mobileDeviceBlock
google.admin.AdminService.mobileDeviceDelete
google.admin.AdminService.mobileDeviceWipe
google.admin.AdminService.changeMobileSetting
google.admin.AdminService.changeAdminRestrictionsPin
google.admin.AdminService.changeMobileWirelessNetwork
google.admin.AdminService.addMobileWirelessNetwork
google.admin.AdminService.removeMobileWirelessNetwork
google.admin.AdminService.changeMobileWirelessNetworkPassword
google.admin.AdminService.removeMobileCertificate
google.admin.AdminService.enrollForGoogleDeviceManagement
google.admin.AdminService.useGoogleMobileManagement
google.admin.AdminService.useGoogleMobileManagementForNonIos
google.admin.AdminService.useGoogleMobileManagementForIos
google.admin.AdminService.mobileAccountWipe
google.admin.AdminService.mobileDeviceCancelWipeThenApprove
google.admin.AdminService.mobileDeviceCancelWipeThenBlock
ORG_SETTINGS google.admin.AdminService.chromeLicensesEnabled
google.admin.AdminService.chromeApplicationLicenseReservationCreated
google.admin.AdminService.chromeApplicationLicenseReservationDeleted
google.admin.AdminService.chromeApplicationLicenseReservationUpdated
google.admin.AdminService.assignCustomLogo
google.admin.AdminService.unassignCustomLogo
google.admin.AdminService.createEnrollmentToken
google.admin.AdminService.revokeEnrollmentToken
google.admin.AdminService.chromeLicensesAllowed
google.admin.AdminService.createOrgUnit
google.admin.AdminService.removeOrgUnit
google.admin.AdminService.editOrgUnitDescription
google.admin.AdminService.moveOrgUnit
google.admin.AdminService.editOrgUnitName
google.admin.AdminService.toggleServiceEnabled
SECURITY_INVESTIGATION google.admin.AdminService.securityInvestigationAction
google.admin.AdminService.securityInvestigationActionCancellation
google.admin.AdminService.securityInvestigationActionCompletion
google.admin.AdminService.securityInvestigationActionRetry
google.admin.AdminService.securityInvestigationActionVerificationConfirmation
google.admin.AdminService.securityInvestigationActionVerificationRequest
google.admin.AdminService.securityInvestigationActionVerificationRequestExpiration
google.admin.AdminService.securityInvestigationChartCreate
google.admin.AdminService.securityInvestigationContentAccess
google.admin.AdminService.securityInvestigationDownloadAttachment
google.admin.AdminService.securityInvestigationExportActionResults
google.admin.AdminService.securityInvestigationExportQuery
google.admin.AdminService.securityInvestigationObjectCreateDraftInvestigation
google.admin.AdminService.securityInvestigationObjectDeleteInvestigation
google.admin.AdminService.securityInvestigationObjectDuplicateInvestigation
google.admin.AdminService.securityInvestigationObjectOwnershipTransfer
google.admin.AdminService.securityInvestigationObjectSaveInvestigation
google.admin.AdminService.securityInvestigationObjectUpdateDirectSharing
google.admin.AdminService.securityInvestigationObjectUpdateLinkSharing
google.admin.AdminService.securityInvestigationQuery
google.admin.AdminService.securityInvestigationSettingUpdate
SECURITY_SETTINGS google.admin.AdminService.addToTrustedOauth2Apps
google.admin.AdminService.allowAspWithout2Sv
google.admin.AdminService.allowServiceForOauth2Access
google.admin.AdminService.allowStrongAuthentication
google.admin.AdminService.blockOnDeviceAccess
google.admin.AdminService.changeAllowedTwoStepVerificationMethods
google.admin.AdminService.changeAppAccessSettingsCollectionId
google.admin.AdminService.changeCaaAppAssignments
google.admin.AdminService.changeCaaDefaultAssignments
google.admin.AdminService.changeCaaErrorMessage
google.admin.AdminService.changeSessionLength
google.admin.AdminService.changeTwoStepVerificationEnrollmentPeriodDuration
google.admin.AdminService.changeTwoStepVerificationFrequency
google.admin.AdminService.changeTwoStepVerificationGracePeriodDuration
google.admin.AdminService.changeTwoStepVerificationStartDate
google.admin.AdminService.disallowServiceForOauth2Access
google.admin.AdminService.enableNonAdminUserPasswordRecovery
google.admin.AdminService.enforceStrongAuthentication
google.admin.AdminService.removeFromTrustedOauth2Apps
google.admin.AdminService.sessionControlSettingsChange
google.admin.AdminService.toggleCaaEnablement
google.admin.AdminService.trustDomainOwnedOauth2Apps
google.admin.AdminService.unblockOnDeviceAccess
google.admin.AdminService.untrustDomainOwnedOauth2Apps
google.admin.AdminService.updateErrorMsgForRestrictedOauth2Apps
google.admin.AdminService.weakProgrammaticLoginSettingsChanged
SITES_SETTINGS google.admin.AdminService.addWebAddress
google.admin.AdminService.deleteWebAddress
google.admin.AdminService.changeSitesSetting
google.admin.AdminService.changeSitesWebAddressMappingUpdates
google.admin.AdminService.viewSiteDetails
USER_SETTINGS google.admin.AdminService.delete2SvScratchCodes
google.admin.AdminService.generate2SvScratchCodes
google.admin.AdminService.revoke3LoDeviceTokens
google.admin.AdminService.revoke3LoToken
google.admin.AdminService.addRecoveryEmail
google.admin.AdminService.addRecoveryPhone
google.admin.AdminService.grantAdminPrivilege
google.admin.AdminService.revokeAdminPrivilege
google.admin.AdminService.revokeAsp
google.admin.AdminService.toggleAutomaticContactSharing
google.admin.AdminService.bulkUpload
google.admin.AdminService.bulkUploadNotificationSent
google.admin.AdminService.cancelUserInvite
google.admin.AdminService.changeUserCustomField
google.admin.AdminService.changeUserExternalId
google.admin.AdminService.changeUserGender
google.admin.AdminService.changeUserIm
google.admin.AdminService.enableUserIpWhitelist
google.admin.AdminService.changeUserKeyword
google.admin.AdminService.changeUserLanguage
google.admin.AdminService.changeUserLocation
google.admin.AdminService.changeUserOrganization
google.admin.AdminService.changeUserPhoneNumber
google.admin.AdminService.changeRecoveryEmail
google.admin.AdminService.changeRecoveryPhone
google.admin.AdminService.changeUserRelation
google.admin.AdminService.changeUserAddress
google.admin.AdminService.createEmailMonitor
google.admin.AdminService.createDataTransferRequest
google.admin.AdminService.grantDelegatedAdminPrivileges
google.admin.AdminService.deleteAccountInfoDump
google.admin.AdminService.deleteEmailMonitor
google.admin.AdminService.deleteMailboxDump
google.admin.AdminService.changeFirstName
google.admin.AdminService.gmailResetUser
google.admin.AdminService.changeLastName
google.admin.AdminService.mailRoutingDestinationAdded
google.admin.AdminService.mailRoutingDestinationRemoved
google.admin.AdminService.addNickname
google.admin.AdminService.removeNickname
google.admin.AdminService.changePassword
google.admin.AdminService.changePasswordOnNextLogin
google.admin.AdminService.downloadPendingInvitesList
google.admin.AdminService.removeRecoveryEmail
google.admin.AdminService.removeRecoveryPhone
google.admin.AdminService.requestAccountInfo
google.admin.AdminService.requestMailboxDump
google.admin.AdminService.resendUserInvite
google.admin.AdminService.resetSigninCookies
google.admin.AdminService.securityKeyRegisteredForUser
google.admin.AdminService.revokeSecurityKey
google.admin.AdminService.userInvite
google.admin.AdminService.viewTempPassword
google.admin.AdminService.turnOff2StepVerification
google.admin.AdminService.unblockUserSession
google.admin.AdminService.unenrollUserFromTitanium
google.admin.AdminService.archiveUser
google.admin.AdminService.updateBirthdate
google.admin.AdminService.createUser
google.admin.AdminService.deleteUser
google.admin.AdminService.downgradeUserFromGplus
google.admin.AdminService.userEnrolledInTwoStepVerification
google.admin.AdminService.downloadUserlistCsv
google.admin.AdminService.moveUserToOrgUnit
google.admin.AdminService.userPutInTwoStepVerificationGracePeriod
google.admin.AdminService.renameUser
google.admin.AdminService.unenrollUserFromStrongAuth
google.admin.AdminService.suspendUser
google.admin.AdminService.unarchiveUser
google.admin.AdminService.undeleteUser
google.admin.AdminService.unsuspendUser
google.admin.AdminService.upgradeUserToGplus
google.admin.AdminService.usersBulkUpload
google.admin.AdminService.usersBulkUploadNotificationSent

Auditoría de grupos de Google Workspace Enterprise

Los registros de auditoría de Grupos de Enterprise de Google Workspace utilizan el tipo de recurso audited_resource para todos los registros de auditoría.

Los registros de auditoría de auditoría de grupos de Enterprise de Google Workspace usan el nombre del servicio cloudidentity.googleapis.com.

La auditoría de Grupos de Enterprise de Google Workspace solo escribe registros de auditoría de la actividad del administrador. Estas son las operaciones auditadas:

Categoría de registros de auditoría
AuditLog.method_name
Registros de auditoría de la actividad administrativa google.apps.cloudidentity.groups.v1.GroupsService.UpdateGroup
google.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership

Auditoría de inicio de sesión de Google Workspace

Todos los registros de auditoría de inicio de sesión de Google Workspace utilizan el tipo de recurso audited_resource.

Los registros de auditoría de inicio de sesión de Google Workspace utilizan el nombre de servicio login.googleapis.com.

El registro de auditoría de inicio de sesión de Google Workspace solo escribe registros de auditoría de acceso a datos. Estas son las operaciones auditadas. Hay registros de ejemplo disponibles para cada operación.

Categoría de registros de auditoría AuditLog.method_name
Registros de auditoría de acceso a los datos google.login.LoginService.2svDisable
google.login.LoginService.2svEnroll
google.login.LoginService.accountDisabledPasswordLeak
google.login.LoginService.accountDisabledGeneric
google.login.LoginService.accountDisabledSpammingThroughRelay
google.login.LoginService.accountDisabledSpamming
google.login.LoginService.accountDisabledHijacked
google.login.LoginService.emailForwardingOutOfDomain
google.login.LoginService.govAttackWarning
google.login.LoginService.loginChallenge
google.login.LoginService.loginFailure
google.login.LoginService.loginVerification
google.login.LoginService.logout
google.login.LoginService.loginSuccess
google.login.LoginService.passwordEdit
google.login.LoginService.recoveryEmailEdit
google.login.LoginService.recoveryPhoneEdit
google.login.LoginService.recoverySecretQaEdit
google.login.LoginService.riskySensitiveActionAllowed
google.login.LoginService.riskySensitiveActionBlocked
google.login.LoginService.suspiciousLogin
google.login.LoginService.suspiciousLoginLessSecureApp
google.login.LoginService.suspiciousProgrammaticLogin
google.login.LoginService.titaniumEnroll
google.login.LoginService.titaniumUnenroll

Auditoría de tokens de OAuth de Google Workspace

Los registros de auditoría de tokens de OAuth de Google Workspace utilizan el tipo de recurso audited_resource para todos los registros de auditoría.

Los registros de auditoría de tokens de OAuth de Google Workspace usan el nombre de servicio oauth2.googleapis.com.

Google Workspace OAuth Token Audit escribe registros de auditoría de actividad del administrador y de acceso a los datos. Estas son las operaciones auditadas:

Categoría de registros de auditoría
AuditLog.method_name
Registros de auditoría de la actividad administrativa google.identity.oauth2.Deny
google.identity.oauth2.GetToken
google.identity.oauth2.Request
google.identity.oauth2.RevokeToken
Registros de auditoría de acceso a los datos google.identity.oauth2.GetTokenInfo

Auditoría de SAML de Google Workspace

Los registros de auditoría de auditoría de SAML de Google Workspace utilizan el tipo de recurso audited_resource para todos los registros de auditoría.

Los registros de auditoría de auditoría de SAML de Google Workspace utilizan el nombre de servicio login.googleapis.com.

La auditoría de SAML de Google Workspace solo escribe registros de auditoría de acceso a datos. Estas son las operaciones auditadas:

Categoría de registros de auditoría
AuditLog.method_name
Registros de auditoría de acceso a los datos google.apps.login.v1.SamlLoginFailed
google.apps.login.v1.SamlLoginSucceeded

Permisos de registro de auditoría

Los permisos y roles de IAM determinan tu capacidad para acceder a los datos de los registros de auditoría en la API Logging, el Explorador de registros y la CLI de Google Cloud.

Para obtener información detallada sobre los permisos y roles de gestión de identidades y accesos a nivel de organización que puedes necesitar, consulta el artículo sobre el control de acceso con gestión de identidades y accesos.

Formato del registro de auditoría

Las entradas de los registros de auditoría de Google Workspace incluyen los siguientes objetos:

  • La entrada de registro en sí, que es un objeto de tipo LogEntry. Cuando examine los datos de registro de auditoría, puede que le resulte útil lo siguiente:

    • logName contiene el ID de la organización y el tipo de registro de auditoría.
    • resource contiene el objetivo de la operación auditada.
    • timeStamp contiene la hora de la operación auditada.
    • protoPayload contiene el registro de auditoría de Google Workspace en su campo metadata.

El campo protoPayload.metadata contiene la información auditada de Google Workspace. A continuación, se muestra un ejemplo de registro de auditoría de inicio de sesión:

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "test-user@example.net"
    },
    "requestMetadata": {
      "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "login.googleapis.com",
    "methodName": "google.login.LoginService.loginFailure",
    "resourceName": "organizations/123",
    "metadata": {
      "event": [
        {
          "eventName": "login_failure",
          "eventType": "login",
          "parameter": [
            {
              "value": "google_password",
              "type": "TYPE_STRING",
              "name": "login_type",
            },
            {
              "name": "login_challenge_method",
              "type": "TYPE_STRING",
              "label": "LABEL_REPEATED",
              "multiStrValue": [
                "password",
                "idv_preregistered_phone",
                "idv_preregistered_phone"
              ]
            },
          ]
        }
      ],
      "activityId": {
        "uniqQualifier": "358068855354",
        "timeUsec": "1632500217183212"
      },
      "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto"
    }
  },
  "insertId": "-nahbepd4l1x",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "method": "google.login.LoginService.loginFailure",
      "service": "login.googleapis.com"
    }
  },
  "timestamp": "2021-09-24T16:16:57.183212Z",
  "severity": "NOTICE",
  "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2021-09-24T17:51:25.034361197Z"
}

Para obtener información sobre los campos de registro de auditoría específicos de cada servicio y cómo interpretarlos, selecciona uno de los servicios que se indican en Registros de auditoría disponibles.

Ver registros

Para obtener información sobre cómo ver los registros de auditoría de Google Workspace, consulta el artículo Ver y gestionar registros de auditoría de Google Workspace.

Registros de auditoría de rutas

Puedes enrutar los registros de auditoría de Google Workspace de Cloud Logging a destinos compatibles, como otros contenedores de Logging.

Estos son algunos de los usos que tiene el enrutamiento de registros de auditoría:

  • Si quieres usar funciones de búsqueda más potentes, puedes enrutar copias de tus registros de auditoría a Cloud Storage, BigQuery o Pub/Sub. Con Pub/Sub, puedes dirigir datos a otras aplicaciones, otros repositorios y a terceros.

  • Si quieres gestionar los registros de auditoría de toda una organización, puedes crear sumideros agregados que combinen y enruten los registros de todos los Google Cloud proyectos, las cuentas de facturación y las carpetas que contenga tu organización. Por ejemplo, puedes agregar y enrutar entradas de registro de auditoría de las carpetas de una organización a un segmento de Cloud Storage.

Para obtener instrucciones sobre cómo enrutar registros, consulta el artículo Enrutar registros a destinos admitidos.

Regionalización

No puedes elegir la región en la que se almacenan tus registros de Google Workspace. Los registros de Google Workspace no están cubiertos por la Política de regiones de datos de Google Workspace.

Periodos de conservación

Los siguientes periodos de conservación se aplican a los datos de los registros de auditoría:

En cada organización, Cloud Logging almacena automáticamente los registros en dos segmentos: _Default y _Required. El _Required contiene registros de auditoría de la actividad del administrador y de los eventos del sistema, así como registros de Transparencia de acceso. El segmento _Default contiene todas las demás entradas de registro que no se almacenan en el segmento _Required. Para obtener más información sobre los segmentos de Logging, consulta la información general sobre el enrutamiento y el almacenamiento.

Puedes configurar Cloud Logging para que conserve los registros del segmento _Default durante un periodo de entre 1 y 3650 días.

Para actualizar el periodo de conservación del segmento de registros _Default, consulta Conservación personalizada.

No puedes cambiar el periodo de conservación del contenedor _Required.

Cuotas y límites

Se aplican las mismas cuotas a los registros de auditoría de Google Workspace y a los registros de auditoría de Cloud.

Para obtener más información sobre estos límites de uso, incluido el tamaño máximo de los registros de auditoría, consulta Cuotas y límites.

Precios

Para obtener información sobre los precios, consulta los precios de Google Cloud Observability.

Siguientes pasos