Log di controllo per Google Workspace

Questo documento fornisce una panoramica concettuale degli audit log che Google Workspace fa parte di Cloud Audit Logs.

Per informazioni sulla gestione dei log di controllo di Google Workspace, consulta Visualizza e gestisci i log di controllo per Google Workspace.

Panoramica

I servizi Google Cloud scrivono audit log per aiutarti a rispondere alle domande: cosa, dove e quando?". Puoi condividere il tuo controllo di Google Workspace log con Google Cloud per archiviare, analizzare, monitorare e inviare avvisi dati di Google Workspace.

I log di controllo di Google Workspace sono disponibili per Cloud Identity, Cloud Identity Premium e tutti i clienti di Google Workspace.

Se hai la condivisione dei dati di Google Workspace abilitata gli audit log sono sempre abilitati Google Workspace.

La disattivazione della condivisione dei dati di Google Workspace interrompe il nuovo Google Workspace degli eventi di audit log di essere inviati a Google Cloud. Gli eventuali log esistenti rimangono tramite periodi di conservazione predefiniti, a meno che hai configurato la conservazione personalizzata. per conservare i log per un periodo più lungo.

Se non attivi la condivisione dei dati di Google Workspace con Google Cloud: non riesci a visualizzare gli audit log per Google Workspace in Google Cloud.

Tipi di audit log

Gli audit log delle attività di amministrazione contengono log voci per le chiamate API o altre azioni che modificano la configurazione o i metadati di risorse. Ad esempio, questi log registrano quando gli utenti creano istanze VM Modificare le autorizzazioni IAM (Identity and Access Management).

Gli audit log di accesso ai dati contengono chiamate API che leggono la configurazione o i metadati delle risorse, nonché l'API basata sugli utenti che creano, modificano o leggono i dati delle risorse forniti dall'utente. Accesso ai dati gli audit log non registrano le operazioni di accesso ai dati sulle risorse condivisi pubblicamente (disponibile per Tutti gli utenti o Tutti gli utenti autenticati) o che possono senza dover effettuare l'accesso a Google Cloud, Google Workspace, un account Cloud Identity o Drive Enterprise.

Servizi Google Workspace che inoltrano gli audit log a Google Cloud

Google Workspace fornisce i seguenti audit log Livello organizzazione Google Cloud:

  • Controllo della Console di amministrazione di Google Workspace: i log di controllo della Console di amministrazione offrono una delle azioni eseguite nella Console di amministrazione Google. Ad esempio, possono vedere quando un amministratore ha aggiunto un utente o ha attivato un account Google Workspace completamente gestito di Google Cloud. Il controllo amministratore scrive solo gli audit log delle attività di amministrazione.

  • Controllo gruppi aziendali di Google Workspace: controllo di Gruppi aziendali forniscono un registro delle azioni eseguite sui gruppi e sulle iscrizioni ai gruppi. Ad esempio, puoi vedere quando un amministratore ha aggiunto un utente o quando un gruppo Il proprietario ha eliminato il suo gruppo.

    Il controllo di Enterprise Groups scrive solo gli audit log delle attività di amministrazione.

  • Controllo degli accessi di Google Workspace: i log di controllo degli accessi monitorano l'utente accessi al tuo dominio. Questi log registrano solo l'evento di accesso. Non registrare il sistema utilizzato per eseguire l'azione di accesso.

    Il controllo degli accessi scrive solo gli audit log di accesso ai dati.

  • Controllo token OAuth di Google Workspace: i log di controllo del token OAuth monitorano quali quali utenti usano applicazioni web o per dispositivi mobili di terze parti nel tuo dominio. Ad esempio, quando l'utente apre un'app di Google Workspace Marketplace, il log registra il nome l'app e la persona che la utilizza. Il log registra inoltre ogni volta che una terza parte applicazione sia autorizzata ad accedere ai dati dell'Account Google, come i dati Contatti, Calendar e file di Drive (solo Google Workspace).

    Il controllo del token OAuth scrive gli audit log per l'attività di amministrazione e l'accesso ai dati.

  • Controllo SAML di Google Workspace: traccia degli audit log SAML utente accessi alle applicazioni SAML riusciti e non riusciti. Voci di solito vengono visualizzati entro un'ora dall'azione dell'utente.

    Il controllo SAML scrive solo gli audit log di accesso ai dati.

Informazioni specifiche del servizio

I dettagli degli audit log di ciascun servizio Google Workspace sono i seguenti:

Autorizzazioni degli audit log

Le autorizzazioni e i ruoli IAM determinano la tua capacità di accedere all'audit registra i dati nell'API Logging, Esplora log e Google Cloud CLI.

Per informazioni dettagliate sulle istanze IAM a livello di organizzazione autorizzazioni e ruoli di cui potresti aver bisogno, consulta Controllo dell'accesso con IAM.

Formato degli audit log

Le voci del log di controllo di Google Workspace includono i seguenti oggetti:

  • La voce di log stessa, che è un oggetto di tipo LogEntry. Quando esamini i dati dell'audit logging, potresti notare quanto segue utile.

    • logName contiene l'ID organizzazione e il tipo di log di controllo.
    • resource contiene il target dell'operazione controllata.
    • timeStamp contiene l'ora dell'operazione controllata.
    • protoPayload contiene il log di controllo di Google Workspace nel metadata.

Il campo protoPayload.metadata contiene il nome Google Workspace controllato informazioni. Di seguito è riportato un esempio di log di controllo dell'accesso:

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "test-user@example.net"
    },
    "requestMetadata": {
      "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "login.googleapis.com",
    "methodName": "google.login.LoginService.loginFailure",
    "resourceName": "organizations/123",
    "metadata": {
      "event": [
        {
          "eventName": "login_failure",
          "eventType": "login",
          "parameter": [
            {
              "value": "google_password",
              "type": "TYPE_STRING",
              "name": "login_type",
            },
            {
              "name": "login_challenge_method",
              "type": "TYPE_STRING",
              "label": "LABEL_REPEATED",
              "multiStrValue": [
                "password",
                "idv_preregistered_phone",
                "idv_preregistered_phone"
              ]
            },
          ]
        }
      ],
      "activityId": {
        "uniqQualifier": "358068855354",
        "timeUsec": "1632500217183212"
      },
      "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto"
    }
  },
  "insertId": "-nahbepd4l1x",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "method": "google.login.LoginService.loginFailure",
      "service": "login.googleapis.com"
    }
  },
  "timestamp": "2021-09-24T16:16:57.183212Z",
  "severity": "NOTICE",
  "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2021-09-24T17:51:25.034361197Z"
}

Per informazioni sui campi dell'audit logging specifici del servizio e su come interpretarli, scegliere tra i servizi elencati Log di controllo disponibili.

Visualizza i log

Per informazioni sulla visualizzazione dei log di controllo di Google Workspace, consulta Visualizza e gestisci i log di controllo per Google Workspace.

Audit log delle route

Puoi eseguire il routing degli audit log di Google Workspace da Cloud Logging a destinazioni supportate, tra cui altri bucket di Logging.

Ecco alcune applicazioni per gli audit log di routing:

  • Per utilizzare funzionalità di ricerca più potenti, puoi eseguire il routing di copie dei tuoi e gestire gli audit log in Cloud Storage, BigQuery o Pub/Sub. Con Pub/Sub puoi eseguire il routing ad altre applicazioni, repository e terze parti.

  • Per gestire i log di controllo in tutta l'organizzazione, puoi creare sink aggregati che combinano e di routing di tutti i progetti, account di fatturazione e le cartelle contenute nella tua organizzazione. Ad esempio, puoi aggregare e indirizzare le voci di audit log dalle cartelle di un'organizzazione a un nel bucket Cloud Storage.

Per istruzioni sui log di routing, consulta Esegui il routing dei log alle destinazioni supportate.

Aree geografiche

Non puoi scegliere una regione in cui archiviare i log di Google Workspace. I log di Google Workspace non sono coperti dalla Criteri per le regioni di dati di Google Workspace.

Periodi di conservazione

Ai dati dei log di controllo si applicano i seguenti periodi di conservazione:

Per ogni organizzazione, Cloud Logging archivia automaticamente i log in due bucket: un bucket _Default e un bucket _Required. Bucket _Required contiene gli audit log per le attività di amministrazione, gli audit log degli eventi di sistema e i log di Access Transparency. Il bucket _Default contiene tutte le altre voci di log che non sono archiviate nel _Required bucket. Per saperne di più sui bucket di Logging, consulta Panoramica su routing e archiviazione.

Puoi configurare Cloud Logging in modo che conservi i log nei log _Default per un periodo che va da 1 giorno 3650 giorni.

Per aggiornare il periodo di conservazione per il bucket di log _Default, consulta Conservazione personalizzata.

Non puoi modificare il periodo di conservazione nel bucket _Required.

Quote e limiti

Le stesse quote si applicano agli audit log per Google Workspace e Cloud Audit Logs.

Per maggiori dettagli su questi limiti di utilizzo, incluse le dimensioni dei log di controllo, consulta Quote e limiti.

Prezzi

I log a livello di organizzazione di Google Workspace sono gratuiti.

Passaggi successivi