Registros de auditoria do Google Workspace

Neste documento, você encontra uma visão geral conceitual dos registros de auditoria que o Google Workspace oferece como parte dos registros de auditoria do Cloud.

Para informações sobre como gerenciar os registros de auditoria do Google Workspace, consulte Ver e gerenciar os registros de auditoria do Google Workspace.

Visão geral

Os serviços do Google Cloud gravam registros de auditoria para que seja possível determinar quem fez o quê, onde e quando. É possível compartilhar registros de auditoria do Google Workspace com o Google Cloud para armazenar, analisar, monitorar e criar alertas sobre seus dados do Google Workspace.

Os registros de auditoria do Google Workspace estão disponíveis para todos os clientes do Cloud Identity, Cloud Identity Premium e Google Workspace.

Se você tiver ativado o compartilhamento de dados do Google Workspace com o Google Cloud, os registros de auditoria estarão sempre ativados no Google Workspace.

A desativação do compartilhamento de dados do Google Workspace impede que novos eventos do registro de auditoria do Google Workspace sejam enviados para o Google Cloud, mas todos os registros atuais permanecem durante os períodos de armazenamento padrão, a menos que você tenha configurado a retenção personalizada para reter os registros por um período mais longo.

Se você não ativar o compartilhamento de dados do Google Workspace com o Google Cloud, não será possível ver os registros de auditoria do Google Workspace no Google Cloud.

Tipos de registros de auditoria

Os Registros de auditoria de atividade do administrador contêm entradas de registros para chamadas de API ou de outras ações que modificam a configuração ou os metadados de recursos. Por exemplo, esses registros são gravados quando os usuários criam instâncias de VM ou alteram permissões do Identity and Access Management (IAM).

Os registros de auditoria de acesso a dados contêm as chamadas de API que leem a configuração ou os metadados dos recursos, além das chamadas de API orientadas pelo usuário que criam, modificam ou leem os dados dos recursos inseridos pelo usuário. Os registros de auditoria de acesso a dados não registram as operações de acesso a dados em recursos compartilhados publicamente (disponíveis para todos os usuários ou todos os usuários autenticados) ou que podem ser acessados sem fazer login na conta do Google Cloud, Google Workspace, Cloud Identity ou Drive Enterprise.

Serviços de encaminhamento de registros de auditoria do Google Workspace para o Google Cloud

O Google Workspace fornece os seguintes registros de auditoria no nível da organização do Google Cloud:

  • Transparência no acesso: os registros de Transparência no acesso fornecem um registro de ações quando a equipe do Google acessa o conteúdo do cliente nos seus recursos do Google Workspace. Ao contrário da transparência no acesso, os registros de auditoria do Cloud gravam as ações que os membros da sua organização do Google Cloud realizaram nos seus recursos do Google Cloud.

    Para mais informações sobre a estrutura dos registros de transparência no acesso e os tipos de acessos registrados, consulte Descrições de campo de registro.

  • Auditoria do administrador do Google Workspace: os registros de auditoria do administrador mostram um registro das ações realizadas no Google Admin Console. Por exemplo, é possível ver quando um administrador adicionou um usuário ou ativou um serviço do Google Workspace.

    A auditoria de administração grava apenas os registros de auditoria da atividade do administrador.

  • Auditoria de grupos do Google Workspace Enterprise: os registros de auditoria dos grupos do Google Workspace Enterprise informam as ações realizadas em grupos e relacionadas à participação em grupos. Por exemplo, é possível ver quando um administrador adicionou um usuário ou um proprietário excluiu o grupo.

    A auditoria do Grupos do Google grava apenas registros de auditoria de atividade do administrador.

  • Auditoria de login do Google Workspace: os registros de auditoria de login rastreiam logins de usuários no seu domínio. Esses registros só registram o evento de login. Eles não registram qual sistema foi usado para executar a ação de login.

    A auditoria de login grava apenas registros de auditoria de acesso a dados.

  • Auditoria de tokens OAuth do Google Workspace: os registros de auditoria de token OAuth monitoram quais usuários estão usando aplicativos de dispositivos móveis ou da Web de terceiros no seu domínio. Por exemplo, quando um usuário inicia um app do Google Workspace Marketplace, o registro salva o nome do app e da pessoa que o utiliza. Ele também salva cada vez que um aplicativo de terceiros é autorizado a acessar os dados da Conta do Google, como o Contatos, o Agenda e os arquivos do Drive (apenas no Google Workspace).

    A auditoria de token OAuth grava os registros de auditoria da atividade do administrador e de acesso a dados.

  • Auditoria de SAML do Google Workspace: os registros de auditoria SAML rastreiam os logins com êxito ou falha dos seus usuários nos aplicativos SAML. As entradas geralmente aparecem uma hora após a ação do usuário.

    A auditoria SAML grava apenas registros de auditoria de acesso a dados.

Informações específicas do serviço

Os detalhes dos registros de auditoria de cada serviço do Google Workspace são os seguintes:

Permissões de registro de auditoria

As permissões e os papéis do IAM determinam sua capacidade de acessar dados de registros de auditoria na API Logging, no Explorador de registros e na Google Cloud CLI.

Para informações detalhadas sobre as permissões do IAM no nível da organização e os papéis necessários, consulte o Controle de acesso com IAM.

Formato do registro de auditoria

As entradas de registro de auditoria do Google Workspace incluem os seguintes objetos:

  • A própria entrada de registro, que é um objeto do tipo LogEntry. Ao examinar os dados de registro de auditoria, as seguintes funções podem ser úteis:

    • logName contém o ID da organização e o tipo de registro de auditoria.
    • resource contém o destino da operação auditada.
    • timeStamp contém o horário da operação auditada.
    • protoPayload contém o registro de auditoria do Google Workspace no campo metadata.

O campo protoPayload.metadata contém as informações auditadas do Google Workspace. Veja a seguir um exemplo de registro de auditoria de login:

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "test-user@example.net"
    },
    "requestMetadata": {
      "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "login.googleapis.com",
    "methodName": "google.login.LoginService.loginFailure",
    "resourceName": "organizations/123",
    "metadata": {
      "event": [
        {
          "eventName": "login_failure",
          "eventType": "login",
          "parameter": [
            {
              "value": "google_password",
              "type": "TYPE_STRING",
              "name": "login_type",
            },
            {
              "name": "login_challenge_method",
              "type": "TYPE_STRING",
              "label": "LABEL_REPEATED",
              "multiStrValue": [
                "password",
                "idv_preregistered_phone",
                "idv_preregistered_phone"
              ]
            },
          ]
        }
      ],
      "activityId": {
        "uniqQualifier": "358068855354",
        "timeUsec": "1632500217183212"
      },
      "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto"
    }
  },
  "insertId": "-nahbepd4l1x",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "method": "google.login.LoginService.loginFailure",
      "service": "login.googleapis.com"
    }
  },
  "timestamp": "2021-09-24T16:16:57.183212Z",
  "severity": "NOTICE",
  "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2021-09-24T17:51:25.034361197Z"
}

Para informações sobre campos de registro de auditoria específicos do serviço e como interpretá-los, selecione os serviços listados em Registros de auditoria disponíveis.

Ver registros

Para informações sobre como visualizar seus registros de auditoria do Google Workspace, consulte Ver e gerenciar registros de auditoria do Google Workspace.

Encaminhar registros de auditoria

É possível rotear os registros de auditoria do Google Workspace do Cloud Logging para destinos compatíveis, incluindo outros buckets do Logging.

Estes são alguns aplicativos para roteamento de registros de auditoria:

  • Para usar recursos de pesquisa mais avançados, é possível rotear cópias dos seus registros de auditoria para o Cloud Storage, o BigQuery ou o Pub/Sub. Com o Pub/Sub, você pode roetar para outros aplicativos e repositórios ou para terceiros.

  • Para gerenciar seus registros de auditoria em toda a organização, crie coletores agregados que combinam e encaminham registros de todos os projetos, contas de faturamento e pastas do Google Cloud contidos na sua organização. Por exemplo, é possível agregar e rotear entradas de registro de auditoria das pastas de uma organização para um bucket do Cloud Storage.

Para instruções sobre o roteamento de registros, consulte Rotear registros para destinos compatíveis.

Regionalização

Não é possível escolher uma região onde seus registros do Google Workspace são armazenados. Os registros do Google Workspace não são cobertos pela Política da região de dados do Google Workspace.

Períodos de armazenamento

Os períodos de armazenamento a seguir se aplicam aos dados de registros de auditoria:

Para cada organização, o Cloud Logging armazena automaticamente os registros em dois buckets: um bucket _Default e um bucket _Required. O bucket _Required contém registros de auditoria de atividade do administrador, registros de auditoria de evento do sistema e registros de transparência no acesso. O bucket _Default contém todas as outras entradas de registro que não são armazenadas no bucket _Required. Para mais informações sobre buckets de registro, consulte Visão geral de roteamento e armazenamento.

É possível configurar o Cloud Logging para manter os registros no bucket de registros _Default por um período que varia de 1 a 3650 dias.

Para atualizar o período de armazenamento do bucket de registros _Default, consulte Retenção personalizada.

Não é possível alterar o período de armazenamento no bucket _Required.

Cotas e limites

As mesmas cotas se aplicam aos registros de auditoria do Google Workspace e do Cloud.

Para detalhes sobre esses limites de uso, incluindo os tamanhos máximos de registros de auditoria, consulte Cotas e limites.

Preços

No momento, os registros no nível da organização do Google Workspace são gratuitos.

A seguir