I servizi Google Cloud scrivono audit log per aiutarti a rispondere alle domande: "Chi ha fatto cosa, dove e quando?". Puoi condividere gli audit log di Google Workspace
con Google Cloud per archiviare, analizzare, monitorare e creare avvisi
sui tuoi dati di Google Workspace.
I log di controllo per Google Workspace sono disponibili per Cloud Identity,
Cloud Identity Premium e tutti i clienti di Google Workspace.
La disattivazione della condivisione dei dati di Google Workspace interrompe l'invio di nuovi eventi del log di controllo di Google Workspace a Google Cloud. Gli eventuali log esistenti vengono mantenuti per i periodi di conservazione predefiniti, a meno che tu non abbia configurato la conservazione personalizzata in modo da conservare i log per un periodo più lungo.
Se non abiliti la condivisione dei dati di Google Workspace con Google Cloud, non potrai visualizzare i log di controllo per Google Workspace in Google Cloud.
Tipi di audit log
Gli audit log delle attività di amministrazione contengono voci di log per le chiamate API o altre azioni che modificano la configurazione o i metadati delle risorse. Ad esempio, questi log registrano quando gli utenti creano istanze VM o modificano le autorizzazioni Identity and Access Management (IAM).
Gli audit log di accesso ai dati contengono chiamate API che leggono la configurazione o i metadati delle risorse, nonché chiamate API basate sugli utenti che creano, modificano o leggono i dati delle risorse forniti dagli utenti. Gli audit log di accesso ai dati non registrano le operazioni di accesso ai dati sulle risorse condivise pubblicamente (disponibili per tutti gli utenti o per tutti gli utenti autenticati) o a cui è possibile accedere senza accedere agli account Google Cloud, Google Workspace, Cloud Identity o Drive Enterprise.
Servizi Google Workspace che inoltrano gli audit log a Google Cloud
Google Workspace fornisce i seguenti audit log a livello di organizzazione Google Cloud:
Controllo della Console di amministrazione Google Workspace: i log di controllo della Console di amministrazione forniscono un
record delle azioni eseguite nella Console di amministrazione Google. Ad esempio, puoi vedere quando un amministratore ha aggiunto un utente o ha attivato un servizio Google Workspace. Il controllo amministratore scrive solo gli audit log delle attività di amministrazione.
Controllo dei gruppi di Google Workspace Enterprise: i log di controllo di Enterprise Groups forniscono un record delle azioni eseguite sui gruppi e sulle iscrizioni ai gruppi.
Ad esempio, puoi vedere quando un amministratore ha aggiunto un utente o quando un proprietario ha eliminato il proprio gruppo.
Il controllo di Enterprise Groups scrive solo gli audit log delle attività di amministrazione.
Controllo degli accessi di Google Workspace: i log di controllo degli accessi monitorano gli accessi degli utenti al tuo dominio. Questi log registrano solo l'evento di accesso. Non registrano
il sistema utilizzato per eseguire l'azione di accesso.
Il controllo degli accessi scrive solo gli audit log di accesso ai dati.
Controllo token OAuth di Google Workspace: i log di controllo del token OAuth monitorano gli utenti del tuo dominio che utilizzano determinate applicazioni web o mobile di terze parti. Ad esempio, quando
un utente apre un'app di Google Workspace Marketplace, il log registra il nome
dell'app e della persona che la utilizza. Il log registra inoltre ogni volta che un'applicazione di terze parti viene autorizzata ad accedere ai dati dell'Account Google, ad esempio Contatti Google, Calendar e i file di Drive (solo Google Workspace).
Il controllo del token OAuth scrive gli audit log per l'attività di amministrazione e l'accesso ai dati.
Controllo SAML di Google Workspace: gli audit log SAML monitorano gli accessi degli utenti alle applicazioni SAML riusciti e non riusciti. In genere, le voci vengono visualizzate entro un'ora dall'azione dell'utente.
Il controllo SAML scrive solo gli audit log di accesso ai dati.
Informazioni specifiche del servizio
I dettagli degli audit log di ciascun servizio Google Workspace sono i seguenti:
Attività amministrative di Google Workspace
Gli audit log della Console di amministrazione di Google Workspace utilizzano il tipo di risorsa audited_resource per tutti gli audit log.
Gli audit log di controllo della Console di amministrazione di Google Workspace utilizzano il nome del servizio admin.googleapis.com.
Il controllo dell'amministratore di Google Workspace scrive solo i log di controllo dell'attività di amministrazione. Di seguito
sono riportate le operazioni sottoposte ad audit:
Gli audit log di controllo di Gruppi di Google Workspace Enterprise utilizzano il tipo di risorsa audited_resource per tutti gli audit log.
I log di controllo di Gruppi di Google Workspace Enterprise utilizzano il nome del servizio cloudidentity.googleapis.com.
Il controllo dei gruppi di Google Workspace Enterprise scrive solo i log di controllo dell'attività di amministrazione. Di seguito sono riportate le operazioni controllate:
Tutti gli audit log di controllo dell'accesso a Google Workspace utilizzano il tipo di risorsa audited_resource.
Gli audit log di controllo degli accessi di Google Workspace utilizzano il nome servizio
login.googleapis.com.
Il controllo dell'accesso a Google Workspace scrive solo gli audit log di accesso ai dati. Di seguito sono riportate le operazioni controllate; per ciascuna operazione sono disponibili esempi di log.
Gli audit log di controllo dei token OAuth di Google Workspace utilizzano il tipo di risorsa audited_resource per tutti gli audit log.
Gli audit log di controllo dei token OAuth di Google Workspace utilizzano il nome del servizio oauth2.googleapis.com.
Il controllo del token OAuth di Google Workspace scrive gli audit log relativi all'attività di amministrazione e all'accesso ai dati. Di seguito sono riportate le operazioni controllate:
Per informazioni dettagliate sulle autorizzazioni IAM a livello di organizzazione e sui ruoli di cui potresti avere bisogno, consulta Controllo dell'accesso con IAM.
Formato degli audit log
Le voci del log di controllo di Google Workspace includono i seguenti oggetti:
La voce di log stessa, che è un oggetto di tipo LogEntry.
Quando esamini i dati dell'audit logging, potrebbe essere utile quanto segue:
logName contiene l'ID organizzazione e il tipo di log di controllo.
resource contiene il target dell'operazione controllata.
protoPayload contiene il log di controllo di Google Workspace nel campo metadata.
Il campo protoPayload.metadata contiene le informazioni verificate su Google Workspace. Di seguito è riportato un esempio di log di controllo dell'accesso:
Puoi eseguire il routing degli audit log di Google Workspace da Cloud Logging alle destinazioni supportate, inclusi altri bucket di Logging.
Ecco alcune applicazioni per gli audit log di routing:
Per utilizzare funzionalità di ricerca più potenti, puoi eseguire il routing delle copie dei tuoi audit log a Cloud Storage, BigQuery o Pub/Sub.
Con Pub/Sub puoi eseguire il routing ad altre applicazioni, altri repository e terze parti.
Per gestire gli audit log in tutta l'organizzazione, puoi creare sink aggregati che combinano e instradano i log di tutti i progetti, gli account di fatturazione e le cartelle di Google Cloud contenuti nella tua organizzazione. Ad esempio, puoi aggregare e instradare voci di audit log dalle cartelle di un'organizzazione a un bucket Cloud Storage.
Per ogni organizzazione, Cloud Logging archivia automaticamente i log in due bucket: un bucket _Default e un bucket _Required. Il bucket _Required contiene gli audit log per le attività di amministrazione, gli audit log degli eventi di sistema e i log di Access Transparency.
Il bucket _Default contiene tutte le altre voci di log che non sono archiviate nel bucket _Required. Per ulteriori informazioni sui bucket di Logging, consulta
Panoramica su routing e archiviazione.
Puoi configurare Cloud Logging in modo che i log vengano conservati nel bucket di log _Default per un periodo che va da 1 giorno a 3650 giorni.
Per aggiornare il periodo di conservazione per il bucket di log _Default, consulta
Conservazione personalizzata.
Non puoi modificare il periodo di conservazione nel bucket _Required.
Quote e limiti
Le stesse quote si applicano agli audit log per Google Workspace e Cloud Audit Logs.
Per maggiori dettagli su questi limiti di utilizzo, incluse le dimensioni massime
degli audit log, consulta Quote e limiti.
Prezzi
I log a livello di organizzazione di Google Workspace sono gratuiti.