Informationen zum Audit-Logging von G Suite

Auf dieser Seite werden die Audit-Logs erläutert, die von der G Suite durch Cloud-Audit-Logs erstellt werden.

Übersicht

Google Cloud-Dienste schreiben Audit-Logs, um Ihnen Antworten auf Fragen wie "Wer hat was wo und wann getan?" zu liefern. Sie können Ihre Audit-Logs für die G Suite mit Google Cloud teilen, um Daten in Ihren G Suite-Audit-Logs zu speichern, zu suchen, zu analysieren, zu überwachen und zu melden.

Cloud-Audit-Logs verwaltet drei Arten von Audit-Logs für Google Cloud-Ressourcen:

  • Audit-Logs zur Administratoraktivität: In diesen Logs werden Vorgänge aufgezeichnet, die zu Änderungen an der Konfiguration oder den Metadaten einer Ressource führen.
  • Audit-Logs zum Datenzugriff: Diese Logs enthalten API-Aufrufe, die die Konfiguration oder Metadaten von Ressourcen lesen, sowie nutzergesteuerte API-Aufrufe, die von Nutzern bereitgestellte Ressourcendaten erstellen, ändern oder lesen. In Audit-Logs zum Datenzugriff werden keine Vorgänge zum Datenzugriff auf Ressourcen erfasst, die öffentlich freigegeben, also für alle Nutzer oder alle authentifizierten Nutzer verfügbar sind, oder die ohne Anmeldung in der G Suite, in Cloud Identity, oder im Unternehmenskonto zugänglich sind.
  • Audit-Logs zu Systemereignissen: Diese Logs enthalten Logeinträge für Google Cloud-Verwaltungsmaßnahmen, die die Konfiguration von Ressourcen ändern.

Die G Suite bietet die folgenden Audit-Logs auf Google Cloud-Organisationsebene:

Einen allgemeinen Überblick über Cloud-Audit-Logs finden Sie unter Cloud-Audit-Logging. Detaillierte Informationen zu Cloud-Audit-Logs finden Sie unter Audit-Logs verstehen.

Einstieg: G Suite-Daten freigeben

Informationen zur Freigabe von G Suite-Daten für Cloud-Audit-Logs aus Ihrem G Suite-, Cloud Identity- oder Drive Enterprise-Konto finden Sie in der G Suite-Admin-Hilfe.

Wenn Sie die Freigabe von G Suite-Daten für Google Cloud aktivieren, können Sie die G Suite-Audit-Logs nicht selektiv über die Seite IAM und Verwaltung > Audit-Logs der Google Cloud Console deaktivieren. Sie können diese Logs jedoch mit Log-Ausschlüssen ausschließen.

Wenn die G Suite-Datenfreigabe für Google Cloud aktiviert ist, sind G Suite-Audit-Logs immer aktiviert. Wenn Sie die G Suite-Datenfreigabe deaktivieren, werden keine neuen G Suite-Audit-Logereignisse mehr an Cloud-Audit-Logs gesendet. Vorhandene Logs bleiben jedoch während ihrer standardmäßigen Aufbewahrungsdauer erhalten. Sie können aber auch eine benutzerdefinierte Aufbewahrung konfigurieren, um Ihre Logs länger zu speichern.

Dienstspezifische Informationen

Details zu den Audit-Logs der einzelnen G Suite-Dienste:

Berechtigungen für Audit-Logs

Welche Audit-Logs Sie in Google Cloud ansehen oder exportieren können, wird durch IAM-Berechtigungen und -Rollen bestimmt. G Suite-Audit-Logs befinden sich in Google Cloud-Organisationen.

Zum Ansehen von Audit-Logs zur Administratoraktivität benötigen Sie eine der folgenden IAM-Rollen in der Google Cloud-Organisation, die jene Audit-Logs enthält:

Wenn Sie Audit-Logs zum Datenzugriff aufrufen möchten, benötigen Sie in der Google Cloud-Organisation, die Ihre Audit-Logs enthält, eine der folgenden Rollen:

Weitere Informationen finden Sie unter Rollen verstehen.

Audit-Logformat

G Suite Audit-Logeinträge, die in Cloud Logging mit der Loganzeigenvorschau, der Cloud Logging API oder dem gcloud-Befehlszeilentool aufgerufen werden können, umfassen die folgenden Objekte:

  • Den Logeintrag selbst. Dabei handelt es sich um ein Objekt vom Typ LogEntry. Nützliche Felder sind unter anderem:

    • logName enthält die Projektkennung und den Audit-Logtyp
    • resource enthält das Ziel zum geprüften Vorgang
    • timeStamp enthält die Uhrzeit des geprüften Vorgangs
    • protoPayload enthält die geprüften Informationen
  • Die Audit-Logdaten, bei denen es sich um ein AuditLog-Objekt handelt, das sich im Feld protoPayload des Logeintrags befindet.

  • Optionale dienstspezifische Auditinformationen. Dabei handelt es sich um ein dienstspezifisches Objekt im Feld serviceData des AuditLog-Objekts. Weitere Informationen finden Sie unter Dienstspezifische Auditdaten.

Informationen zu anderen Feldern in diesen Objekten sowie zu deren Interpretation finden Sie unter Audit-Logs verstehen.

Logs ansehen

Wenn Sie Audit-Logs in Logging suchen und ansehen möchten, müssen Sie die ID der Google Cloud-Organisation kennen, für die Sie Audit-Logging-Informationen abrufen möchten. Sie können weitere indexierte LogEntry-Felder angeben, z. B. resource.type. Weitere Informationen erhalten Sie unter Logeinträge schnell finden.

Dies sind die Namen der Audit-Logs für G Suite-Audit-Logs:

   organizations/organization-id/logs/cloudaudit.googleapis.com%2Factivity
   organizations/organization-id/logs/cloudaudit.googleapis.com%2Fdata_access

Sie haben mehrere Möglichkeiten, Ihre Audit-Logeinträge aufzurufen.

CLOUD CONSOLE

So rufen Sie die Audit-Logeinträge für Ihre Google Cloud-Organisation über die Loganzeige (Vorschau) in der Google Cloud Console ab:

  1. Rufen Sie die Seite Logging > Logs (Loganzeige) auf:

    Loganzeige aufrufen

  2. Wählen Sie oben auf der Seite ein vorhandenes Google Cloud-Projekt aus.

  3. Wechseln Sie im Versionsauswahl-Menü zur Version der Loganzeige von Klassisch auf Vorschau.

    Sie befinden sich jetzt in der Loganzeige (Vorschau).

  4. Wählen Sie im Menü Projektauswahl eine Organisation aus.

  5. Wählen Sie im Drop-down-Menü Ressource den Ressourcentyp aus, dessen Audit-Logs angezeigt werden sollen.

  6. Wählen Sie im Drop-down-Menü Logname die Option data_access für Audit-Logs zum Datenzugriff oder activity für Audit-Logs zur Administratoraktivität aus.

    Wenn diese Optionen nicht angezeigt werden, sind diese Audit-Logs derzeit nicht in der Organisation verfügbar.

Weitere Informationen finden Sie unter Benutzeroberfläche der Loganzeige (Vorschau).

API

So prüfen Sie Ihre Audit-Logeinträge mithilfe der Logging API:

  1. Rufen Sie den Abschnitt Diese API testen in der Dokumentation für die Methode entries.list auf.

  2. Geben Sie im Teil Anfragetext des Formulars API testen Folgendes ein. Wenn Sie auf dieses vorausgefüllte Formular klicken, wird der Anfragetext automatisch übernommen. Sie müssen nur noch in jedem der Lognamen eine gültige organization-id angeben.

          {
            "resourceNames": [
              "organizations/organization-id"
            ],
            "pageSize": 5,
            "filter": "logName : organizations/organization-id/logs/cloudaudit.googleapis.com"
          }
    
  3. Klicken Sie auf Ausführen.

Weitere Informationen zu Abfragen finden Sie unter Logging-Abfragesprache.

GCLOUD

Das gcloud-Befehlszeilentool bietet eine Befehlszeilenschnittstelle für die Cloud Logging API. Führen Sie den folgenden Befehl aus, um Ihre Logeinträge zu lesen. Geben Sie dabei in jedem Lognamen eine gültige organization-id an.

    gcloud logging read "logName : organizations/organization-id/logs/cloudaudit.googleapis.com"

Weitere Informationen zum Verwenden des gcloud-Befehlszeilentools finden Sie unter Logeinträge lesen.

Audit-Logs verwalten

Wenn Sie Audit-Logs länger als die standardmäßige Aufbewahrungsdauer aufbewahren möchten, können Sie die benutzerdefinierte Aufbewahrung konfigurieren.

Sie können G Suite-Audit-Logs aus Cloud Logging auf die gleiche Weise exportieren wie andere Arten von Logs. Weitere Informationen zum Exportieren von Logs finden Sie unter Logs exportieren.

Im Folgenden erfahren Sie mehr über Möglichkeiten zum Exportieren von Audit-Logs:

  • Wenn Sie leistungsfähigere Suchfunktionen nutzen möchten, können Sie Kopien Ihrer Audit-Logs in Cloud Storage, BigQuery oder Pub/Sub exportieren. Mit Pub/Sub haben Sie die Möglichkeit, die Logs in andere Anwendungen, andere Repositories und Systeme von Drittanbietern zu exportieren.

  • Zum organisationsübergreifenden Verwalten Ihrer Audit-Logs erstellen Sie aggregierte Senken, mit denen sich Logs aus beliebigen oder allen Projekten in der Organisation exportieren lassen.

Preise

Die G Suite-Logs auf Organisationsebene sind derzeit kostenlos.