Audit-Logs für Google Workspace

Dieses Dokument bietet eine konzeptionelle Übersicht über die Audit-Logs, die Google Workspace als Teil der Cloud-Audit-Logs bereitstellt.

Informationen zum Verwalten Ihrer Audit-Logs für Google Workspace finden Sie unter Audit-Logs für Google Workspace abrufen und verwalten.

Übersicht

Google Cloud-Dienste schreiben Audit-Logs, um Ihnen Antworten auf Fragen wie "Wer hat was wo und wann getan?" zu liefern. Sie können Ihre Audit-Logs von Google Workspace für Google Cloud freigeben, um Ihre Google Workspace-Daten zu speichern, zu analysieren, zu überwachen und Benachrichtigungen zu senden.

Audit-Logs für Google Workspace sind für Cloud Identity, die Cloud Identity Premiumversion und alle Google Workspace-Kunden verfügbar.

Wenn Sie die Google Workspace-Datenfreigabe für Google Cloud aktiviert haben, sind für Google Workspace immer Audit-Logs aktiviert.

Wenn Sie die Datenfreigabe für Google Workspace deaktivieren, werden keine neuen Audit-Logereignisse mehr an Google Cloud gesendet. Vorhandene Logs verbleiben für ihre Standardaufbewahrungsdauer, es sei denn, Sie haben eine benutzerdefinierte Aufbewahrung konfiguriert, um Ihre Logs länger aufzubewahren. aus.

Wenn Sie die Google Workspace-Datenfreigabe für Google Cloud nicht aktivieren, können Sie in Google Cloud keine Audit-Logs für Google Workspace anzeigen.

Arten von Audit-Logs

Audit-Logs zur Administratoraktivität enthalten Logeinträge für API-Aufrufe oder andere Aktionen, die die Konfiguration oder Metadaten von Ressourcen ändern. In diesen Logs wird beispielsweise aufgezeichnet, wenn Nutzer VM-Instanzen erstellen oder IAM-Berechtigungen (Identity and Access Management) ändern.

Audit-Logs zu Datenzugriffen​ enthalten API-Aufrufe, die die Konfiguration oder Metadaten von Ressourcen lesen, sowie nutzergesteuerte API-Aufrufe, die von Nutzern bereitgestellte Ressourcendaten erstellen, ändern oder lesen. In Audit-Logs zum Datenzugriff werden keine Vorgänge zum Datenzugriff auf Ressourcen erfasst, die öffentlich freigegeben, also für alle Nutzer oder alle authentifizierten Nutzer verfügbar sind, oder die ohne Anmeldung in Google Cloud, Google Workspace, Cloud Identity, oder im Unternehmenskonto zugänglich sind.

Google Workspace-Dienste, die Audit-Logs an Google Cloud weiterleiten

Google Workspace bietet die folgenden Audit-Logs auf Google Cloud-Organisationsebene:

  • Google Workspace Admin Audit: In Audit-Logs zu Administratoren werden die Aktionen erfasst, die in der Admin-Konsole von Google Workspace ausgeführt werden. Sie können beispielsweise sehen, wenn ein Administrator einen Nutzer hinzugefügt oder einen Google Workspace-Dienst aktiviert hat. Admin Audit schreibt nur Audit-Logs zur Administratoraktivität.

  • Google Workspace Enterprise Groups Audit: Audit-Logs für Enterprise-Gruppen enthalten eine Aufzeichnung der Aktionen, die für Gruppen und Gruppenmitgliedschaften ausgeführt wurden. Sie erfahren beispielsweise, wann ein Administrator einen Nutzer hinzugefügt oder ein Gruppeninhaber seine Gruppe gelöscht hat.

    Das Enterprise Groups-Audit schreibt nur Audit-Logs zur Administratoraktivität.

  • Google Workspace Login Audit: In Audit-Logs für die Anmeldung werden die Nutzeranmeldungen in Ihrer Domain erfasst. In diesen Protokollen wird nur das Anmeldeereignis aufgezeichnet. Es wird nicht aufgezeichnet, welches System für die Anmeldeaktion verwendet wurde.

    Beim Audit-Log für die Anmeldung werden nur Audit-Logs zum Datenzugriff geschrieben.

  • Google Workspace OAuth Token Audit: In Audit-Logs für OAuth-Tokens wird erfasst, welche Nutzer welche mobilen oder Webanwendungen von Drittanbietern in Ihrer Domain verwenden. Wenn ein Nutzer beispielsweise eine Google Workspace Marketplace-App öffnet, zeichnet das Log den Namen der App und die Person auf, die sie verwendet. Es wird auch jedes Mal im Log aufgezeichnet, wenn für eine Anwendung eines Drittanbieters der Zugriff auf Google-Kontodaten autorisiert wird, z. B. Google Kontakte-, Google Kalender- und Google Drive-Dateien (nur Google Workspace).

    OAuth Token Audit schreibt sowohl Audit-Logs für die Administratoraktivität als auch für den Datenzugriff.

  • Google Workspace SAML Audit: SAML Audit-Logs erfassen erfolgreiche und fehlgeschlagene Anmeldungen von Nutzern in SAML-Anwendungen. Ein neuer Eintrag erscheint normalerweise innerhalb einer Stunde nach der Nutzeraktion.

    Das SAML-Audit schreibt nur Audit-Logs zum Datenzugriff.

Dienstspezifische Informationen

Im Folgenden finden Sie Informationen zu den Audit-Logs jedes Google Workspace-Dienstes:

Berechtigungen für Audit-Logs

IAM-Berechtigungen und -Rollen bestimmen Ihre Fähigkeit, auf Audit-Logdaten in der Logging API, dem Log-Explorer und dem gcloud-Befehlszeilentool zuzugreifen.

Ausführliche Informationen zu den erforderlichen IAM-Berechtigungen und Rollen auf Organisationsebene finden Sie unter Zugriffssteuerung mit IAM.

Audit-Log-Format

Die Einträge im Audit-Log für Google Workspace enthalten die folgenden Objekte:

  • Den Logeintrag selbst. Dabei handelt es sich um ein Objekt vom Typ LogEntry. Bei der Prüfung von Audit-Logging-Daten sind folgende Informationen hilfreich:

    • logName enthält die Organisations-ID und den Audit-Logtyp.
    • resource enthält das Ziel zum geprüften Vorgang
    • timeStamp enthält die Uhrzeit des geprüften Vorgangs
    • protoPayload enthält das Audit-Log für Google Workspace im Feld metadata.

Das protoPayload.metadata-Feld enthält die geprüften Google Workspace-Informationen. Das folgende Beispiel zeigt ein Audit-Log für die Anmeldung:

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "test-user@example.net"
    },
    "requestMetadata": {
      "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "login.googleapis.com",
    "methodName": "google.login.LoginService.loginFailure",
    "resourceName": "organizations/123",
    "metadata": {
      "event": [
        {
          "eventName": "login_failure",
          "eventType": "login",
          "parameter": [
            {
              "value": "google_password",
              "type": "TYPE_STRING",
              "name": "login_type",
            },
            {
              "name": "login_challenge_method",
              "type": "TYPE_STRING",
              "label": "LABEL_REPEATED",
              "multiStrValue": [
                "password",
                "idv_preregistered_phone",
                "idv_preregistered_phone"
              ]
            },
          ]
        }
      ],
      "activityId": {
        "uniqQualifier": "358068855354",
        "timeUsec": "1632500217183212"
      },
      "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto"
    }
  },
  "insertId": "-nahbepd4l1x",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "method": "google.login.LoginService.loginFailure",
      "service": "login.googleapis.com"
    }
  },
  "timestamp": "2021-09-24T16:16:57.183212Z",
  "severity": "NOTICE",
  "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2021-09-24T17:51:25.034361197Z"
}

Informationen zu dienstspezifischen Audit-Logging-Feldern und deren Interpretation finden Sie unter Verfügbare Audit-Logs.

Logs ansehen

Audit-Logs für Google Workspace abrufen und verwalten

Audit-Logs weiterleiten

Sie können Audit-Logs von Google Workspace von Cloud Logging an unterstützte Ziele weiterleiten, einschließlich anderer Logging-Buckets.

Im Folgenden sind einige Anwendungen für das Routing von Audit-Logs aufgeführt:

  • Für leistungsfähigere Suchfunktionen können Sie Kopien Ihrer Audit-Logs an Cloud Storage, BigQuery oder Pub/Sub weiterleiten. Mit Pub/Sub können Sie an andere Anwendungen, andere Repositories und an Drittanbieter weiterleiten.

  • Zum organisationsübergreifenden Verwalten Ihrer Audit-Logs erstellen Sie zusammengefasste Senken, die Logs aus allen Cloud-Projekten, Rechnungskonten und Ordnern in Ihrer Organisation kombinieren und weiterleiten. Sie haben damit beispielsweise die Möglichkeit, Audit-Logeinträge aus den Ordnern einer Organisation zusammenzufassen und an einen Cloud Storage-Bucket zu leiten.

Eine Anleitung zum Routing von Logs finden Sie unter Senken konfigurieren und verwalten.

Regionalisierung

Sie können keine Region auswählen, in der Ihre Google Workspace-Logs gespeichert werden. Google Workspace-Logs sind nicht durch die Google Workspace-Richtlinie für Speicherorte abgedeckt.

Aufbewahrungsdauer

Für Audit-Logdaten gelten folgende Aufbewahrungsdauer:

Cloud Logging speichert für jede Organisation automatisch Logs in zwei Buckets: in einem _Default- und einem _Required-Bucket. Der _Required-Bucket enthält Audit-Logs zur Administratoraktivität, Audit-Logs zu Systemereignissen und Logs zu Access Transparency. Der _Default-Bucket enthält alle anderen Logeinträge, die nicht vom _Required-Bucket aufgenommen werden. Weitere Informationen zu Log-Buckets finden Sie unter Routing und Speicher.

Sie können in Cloud Logging festlegen, dass die Logs im _Default-Log-Bucket für einen Zeitraum von 1 Tag bis zu 3.650 Tagen aufbewahrt werden.

Informationen zum Ändern der Aufbewahrungsdauer für den _Default-Log-Bucket finden Sie unter Benutzerdefinierte Aufbewahrung.

Sie können die Aufbewahrungsdauer für den _Required-Bucket nicht ändern.

Kontingente und Limits

Für Audit-Logs für Google Workspace und Cloud-Audit-Logs gelten die gleichen Kontingente.

Weitere Informationen zu diesen Nutzungslimits, einschließlich der maximalen Größe von Audit-Logs, finden Sie unter Kontingente und Limits.

Preise

Die Google Workspace-Logs auf Organisationsebene sind kostenlos.

Nächste Schritte