Journaux d'audit pour Google Workspace

Ce document fournit une présentation conceptuelle des journaux d'audit fournis par Google Workspace dans le cadre des journaux d'audit Cloud.

Pour en savoir plus sur la gestion de vos journaux d'audit Google Workspace, consultez la page Afficher et gérer les journaux d'audit pour Google Workspace.

Les services Google Cloud alimentent des journaux d'audit pour vous aider à déterminer qui fait quoi, où et quand. Vous pouvez partager vos journaux d'audit Google Workspace avec Google Cloud pour stocker, analyser et surveiller les données Google Workspace et créer des alertes basées sur ces données.

Les journaux d'audit de Google Workspace sont disponibles pour Cloud Identity, Cloud Identity Premium et pour tous les clients Google Workspace.

Si vous avez activé le partage de données Google Workspace avec Google Cloud, les journaux d'audit sont toujours activés pour Google Workspace.

Si vous désactivez le partage des données Google Workspace, les nouveaux événements du journal d'audit Google Workspace ne sont plus envoyés à Google Cloud. Cependant, tous les journaux existants sont conservés en fonction de leurs durées de conservation par défaut, sauf si vous avez configuré une conservation personnalisée afin de les garder plus longtemps.

Si vous n'activez pas le partage des données Google Workspace avec Google Cloud, vous ne pouvez pas afficher les journaux d'audit de Google Workspace dans Google Cloud.

Types de journaux d'audit

Les journaux de type "Activités d'administration" contiennent des entrées relatives aux appels d'API et aux autres opérations qui modifient la configuration ou les métadonnées des ressources. Par exemple, ces journaux enregistrent les actions de création d'instance de VM ou de modification des autorisations IAM (Identity and Access Management).

Les journaux d'audit relatifs à l'accès aux données contiennent des appels d'API qui lisent la configuration ou les métadonnées des ressources, et des appels d'API pilotés par l'utilisateur qui créent, modifient ou lisent des données de ressources fournies par l'utilisateur. Les journaux d'audit pour l'accès aux données n'enregistrent pas les opérations d'accès aux données stockées sur des ressources partagées publiquement (accessibles à tous ou à tous les utilisateurs authentifiés), ni celles concernant les données auxquelles il est possible d'accéder sans se connecter à un compte Google Cloud, Google Workspace, Cloud Identity ou Drive Enterprise.

Services Google Workspace : transfert des journaux d'audit vers Google Cloud

Google Workspace fournit les journaux d'audit suivants au niveau de l'organisation Google Cloud :

  • Access Transparency: les journaux Access Transparency enregistrent les actions effectuées par le personnel de Google lorsqu'il accède au contenu des clients dans vos ressources Google Workspace. Contrairement à Access Transparency, Cloud Audit Logs enregistre les actions que les membres de votre organisation Google Cloud ont effectuées sur vos ressources Google Cloud.

    Pour en savoir plus sur la structure des journaux Access Transparency et les types d'accès consignés, consultez la section Descriptions des champs de journal.

  • Audit d'administration Google Workspace: les journaux d'audit des administrateurs fournissent un enregistrement des actions effectuées dans la console d'administration Google. Par exemple, vous pouvez voir quand un administrateur ajoute un utilisateur ou active un service Google Workspace.

    L'audit d'administration n'écrit que les journaux d'audit des activités d'administration.

  • Audit des groupes Google Workspace Enterprise : les journaux d'audit des groupes Google Workspace Enterprise assurent l'enregistrement des actions effectuées sur les groupes et leurs membres.  Vous pouvez par exemple voir quand un administrateur a ajouté un utilisateur ou qu'un propriétaire de groupe a supprimé son groupe.

    L'audit des groupes Enterprise n'écrit que les journaux d'audit des activités d'administration.

  • Audit des connexions Google Workspace : les journaux d'audit des connexions assurent le suivi des connexions des utilisateurs à votre domaine. Ces journaux enregistrent uniquement les événements de connexion. Ils ne consignent pas le système utilisé pour effectuer l'action de connexion.

    L'audit des connexions n'écrit que les journaux d'audit d'accès aux données.

  • Audit des jetons OAuth de Google Workspace : les journaux d'audit des jetons OAuth indiquent quels utilisateurs utilisent quelles applications mobiles ou Web tierces sur votre domaine. Par exemple, lorsqu'un utilisateur ouvre une application Google Workspace Marketplace, le journal enregistre le nom de l'application et l'utilisateur. Le journal enregistre également chaque autorisation d'accès d'une application tierce aux données d'un compte Google, telles que les données Google Contacts ou Google Agenda, et les fichiers Drive (Google Workspace uniquement).

    L'audit des jetons OAuth écrit des journaux d'audit des activités d'administration et de l'accès aux données.

  • Audit SAML Google Workspace : les journaux d'audit SAML suivent les connexions et les échecs de connexion de vos utilisateurs aux applications SAML. Les entrées y apparaissent généralement dans l'heure suivant l'action réalisée par l'utilisateur.

    L'audit SAML n'écrit que les journaux d'audit de l'accès aux données.

Informations spécifiques au service

Les détails des journaux d'audit de chaque service Google Workspace sont les suivants :

Les journaux d'audit des administrateurs Google Workspace utilisent le type de ressource audited_resource.

Les journaux d'audit des administrateurs Google Workspace utilisent le nom de service admin.googleapis.com.

L'audit des administrateurs Google Workspace n'écrit que les journaux d'audit des activités d'administration. Voici les opérations auditées :

Type d'activité AuditLog.method_name
AI_CLASSIFICATION_SETTINGS google.admin.AdminService.aiClassificationInsufficientTrainingExamples
google.admin.AdminService.aiClassificationModelLowScore
google.admin.AdminService.aiClassificationNewModelReady
ALERT_CENTER google.admin.AdminService.alertCenterBatchDeleteAlerts
google.admin.AdminService.alertCenterBatchUndeleteAlerts
google.admin.AdminService.alertCenterCreateAlert
google.admin.AdminService.alertCenterCreateFeedback
google.admin.AdminService.alertCenterDeleteAlert
google.admin.AdminService.alertCenterGetAlertMetadata
google.admin.AdminService.alertCenterGetCustomerSettings
google.admin.AdminService.alertCenterGetSitLink
google.admin.AdminService.alertCenterListChange
google.admin.AdminService.alertCenterListFeedback
google.admin.AdminService.alertCenterListRelatedAlerts
google.admin.AdminService.alertCenterUndeleteAlert
google.admin.AdminService.alertCenterUpdateAlert
google.admin.AdminService.alertCenterUpdateAlertMetadata
google.admin.AdminService.alertCenterUpdateCustomerSettings
google.admin.AdminService.alertCenterView
APPLICATION_SETTINGS google.admin.AdminService.changeApplicationSetting
google.admin.AdminService.createApplicationSetting
google.admin.AdminService.deleteApplicationSetting
google.admin.AdminService.reorderGroupBasedPoliciesEvent
google.admin.AdminService.gplusPremiumFeatures
google.admin.AdminService.createManagedConfiguration
google.admin.AdminService.deleteManagedConfiguration
google.admin.AdminService.updateManagedConfiguration
google.admin.AdminService.flashlightEduNonFeaturedServicesSelected
CALENDAR_SETTINGS google.admin.AdminService.createBuilding
google.admin.AdminService.deleteBuilding
google.admin.AdminService.updateBuilding
google.admin.AdminService.createCalendarResource
google.admin.AdminService.deleteCalendarResource
google.admin.AdminService.createCalendarResourceFeature
google.admin.AdminService.deleteCalendarResourceFeature
google.admin.AdminService.updateCalendarResourceFeature
google.admin.AdminService.renameCalendarResource
google.admin.AdminService.updateCalendarResource
google.admin.AdminService.changeCalendarSetting
google.admin.AdminService.cancelCalendarEvents
google.admin.AdminService.releaseCalendarResources
CHAT_SETTINGS google.admin.AdminService.meetInteropCreateGateway
google.admin.AdminService.meetInteropDeleteGateway
google.admin.AdminService.meetInteropModifyGateway
google.admin.AdminService.changeChatSetting
CHROME_OS_SETTINGS google.admin.AdminService.changeChromeOsAndroidApplicationSetting
google.admin.AdminService.changeChromeOsApplicationSetting
google.admin.AdminService.sendChromeOsDeviceCommand
google.admin.AdminService.changeChromeOsDeviceAnnotation
google.admin.AdminService.changeChromeOsDeviceSetting
google.admin.AdminService.changeChromeOsDeviceState
google.admin.AdminService.changeChromeOsPublicSessionSetting
google.admin.AdminService.insertChromeOsPrinter
google.admin.AdminService.deleteChromeOsPrinter
google.admin.AdminService.updateChromeOsPrinter
google.admin.AdminService.changeChromeOsSetting
google.admin.AdminService.changeChromeOsUserSetting
google.admin.AdminService.removeChromeOsApplicationSettings
CONTACTS_SETTINGS google.admin.AdminService.changeContactsSetting
DELEGATED_ADMIN_SETTINGS google.admin.AdminService.assignRole
google.admin.AdminService.createRole
google.admin.AdminService.deleteRole
google.admin.AdminService.addPrivilege
google.admin.AdminService.removePrivilege
google.admin.AdminService.renameRole
google.admin.AdminService.updateRole
google.admin.AdminService.unassignRole
DEVICE_SETTINGS google.admin.AdminService.deleteDevice
google.admin.AdminService.moveDeviceToOrgUnit
DOCS_SETTINGS google.admin.AdminService.transferDocumentOwnership
google.admin.AdminService.driveDataRestore
google.admin.AdminService.changeDocsSetting
DOMAIN_SETTINGS google.admin.AdminService.changeAccountAutoRenewal
google.admin.AdminService.addApplication
google.admin.AdminService.addApplicationToWhitelist
google.admin.AdminService.changeAdvertisementOption
google.admin.AdminService.createAlert
google.admin.AdminService.changeAlertCriteria
google.admin.AdminService.deleteAlert
google.admin.AdminService.alertReceiversChanged
google.admin.AdminService.renameAlert
google.admin.AdminService.alertStatusChanged
google.admin.AdminService.addDomainAlias
google.admin.AdminService.removeDomainAlias
google.admin.AdminService.skipDomainAliasMx
google.admin.AdminService.verifyDomainAliasMx
google.admin.AdminService.verifyDomainAlias
google.admin.AdminService.toggleOauthAccessToAllApis
google.admin.AdminService.toggleAllowAdminPasswordReset
google.admin.AdminService.enableApiAccess
google.admin.AdminService.authorizeApiClientAccess
google.admin.AdminService.removeApiClientAccess
google.admin.AdminService.chromeLicensesRedeemed
google.admin.AdminService.toggleAutoAddNewService
google.admin.AdminService.changePrimaryDomain
google.admin.AdminService.changeWhitelistSetting
google.admin.AdminService.communicationPreferencesSettingChange
google.admin.AdminService.changeConflictAccountAction
google.admin.AdminService.enableFeedbackSolicitation
google.admin.AdminService.toggleContactSharing
google.admin.AdminService.createPlayForWorkToken
google.admin.AdminService.toggleUseCustomLogo
google.admin.AdminService.changeCustomLogo
google.admin.AdminService.changeDataLocalizationForRussia
google.admin.AdminService.changeDataLocalizationSetting
google.admin.AdminService.changeDataProtectionOfficerContactInfo
google.admin.AdminService.deletePlayForWorkToken
google.admin.AdminService.viewDnsLoginDetails
google.admin.AdminService.changeDomainDefaultLocale
google.admin.AdminService.changeDomainDefaultTimezone
google.admin.AdminService.changeDomainName
google.admin.AdminService.toggleEnablePreReleaseFeatures
google.admin.AdminService.changeDomainSupportMessage
google.admin.AdminService.addTrustedDomains
google.admin.AdminService.removeTrustedDomains
google.admin.AdminService.changeEduType
google.admin.AdminService.toggleEnableOauthConsumerKey
google.admin.AdminService.toggleSsoEnabled
google.admin.AdminService.toggleSsl
google.admin.AdminService.changeEuRepresentativeContactInfo
google.admin.AdminService.generateTransferToken
google.admin.AdminService.changeLoginBackgroundColor
google.admin.AdminService.changeLoginBorderColor
google.admin.AdminService.changeLoginActivityTrace
google.admin.AdminService.playForWorkEnroll
google.admin.AdminService.playForWorkUnenroll
google.admin.AdminService.mxRecordVerificationClaim
google.admin.AdminService.toggleNewAppFeatures
google.admin.AdminService.toggleUseNextGenControlPanel
google.admin.AdminService.uploadOauthCertificate
google.admin.AdminService.regenerateOauthConsumerSecret
google.admin.AdminService.toggleOpenIdEnabled
google.admin.AdminService.changeOrganizationName
google.admin.AdminService.toggleOutboundRelay
google.admin.AdminService.changePasswordMaxLength
google.admin.AdminService.changePasswordMinLength
google.admin.AdminService.updateDomainPrimaryAdminEmail
google.admin.AdminService.enableServiceOrFeatureNotifications
google.admin.AdminService.removeApplication
google.admin.AdminService.removeApplicationFromWhitelist
google.admin.AdminService.changeRenewDomainRegistration
google.admin.AdminService.changeResellerAccess
google.admin.AdminService.ruleActionsChanged
google.admin.AdminService.createRule
google.admin.AdminService.changeRuleCriteria
google.admin.AdminService.deleteRule
google.admin.AdminService.renameRule
google.admin.AdminService.ruleStatusChanged
google.admin.AdminService.addSecondaryDomain
google.admin.AdminService.removeSecondaryDomain
google.admin.AdminService.skipSecondaryDomainMx
google.admin.AdminService.verifySecondaryDomainMx
google.admin.AdminService.verifySecondaryDomain
google.admin.AdminService.updateDomainSecondaryEmail
google.admin.AdminService.changeSsoSettings
google.admin.AdminService.generatePin
google.admin.AdminService.updateRule
EMAIL_SETTINGS google.admin.AdminService.dropFromQuarantine
google.admin.AdminService.emailLogSearch
google.admin.AdminService.emailUndelete
google.admin.AdminService.changeEmailSetting
google.admin.AdminService.changeGmailSetting
google.admin.AdminService.createGmailSetting
google.admin.AdminService.deleteGmailSetting
google.admin.AdminService.rejectFromQuarantine
google.admin.AdminService.releaseFromQuarantine
GROUP_SETTINGS google.admin.AdminService.createGroup
google.admin.AdminService.deleteGroup
google.admin.AdminService.changeGroupDescription
google.admin.AdminService.groupListDownload
google.admin.AdminService.addGroupMember
google.admin.AdminService.removeGroupMember
google.admin.AdminService.updateGroupMember
google.admin.AdminService.updateGroupMemberDeliverySettings
google.admin.AdminService.updateGroupMemberDeliverySettingsCanEmailOverride
google.admin.AdminService.groupMemberBulkUpload
google.admin.AdminService.groupMembersDownload
google.admin.AdminService.changeGroupEmail
google.admin.AdminService.changeGroupName
google.admin.AdminService.changeGroupSetting
google.admin.AdminService.whitelistedGroupsUpdated
ÉTIQUETTES google.admin.AdminService.labelDeleted
google.admin.AdminService.labelDisabled
google.admin.AdminService.labelReenabled
google.admin.AdminService.labelPermissionUpdated
google.admin.AdminService.labelPermissionDeleted
google.admin.AdminService.labelPublished
google.admin.AdminService.labelCreated
google.admin.AdminService.labelUpdated
LICENSES_SETTINGS google.admin.AdminService.orgUsersLicenseAssignment
google.admin.AdminService.orgAllUsersLicenseAssignment
google.admin.AdminService.userLicenseAssignment
google.admin.AdminService.changeLicenseAutoAssign
google.admin.AdminService.userLicenseReassignment
google.admin.AdminService.orgLicenseRevoke
google.admin.AdminService.userLicenseRevoke
google.admin.AdminService.updateDynamicLicense
google.admin.AdminService.licenseUsageUpdate
MOBILE_SETTINGS google.admin.AdminService.actionCancelled
google.admin.AdminService.actionRequested
google.admin.AdminService.addMobileCertificate
google.admin.AdminService.companyDevicesBulkCreation
google.admin.AdminService.companyOwnedDeviceBlocked
google.admin.AdminService.companyDeviceDeletion
google.admin.AdminService.companyOwnedDeviceUnblocked
google.admin.AdminService.companyOwnedDeviceWiped
google.admin.AdminService.changeMobileApplicationPermissionGrant
google.admin.AdminService.changeMobileApplicationPriorityOrder
google.admin.AdminService.removeMobileApplicationFromWhitelist
google.admin.AdminService.changeMobileApplicationSettings
google.admin.AdminService.addMobileApplicationToWhitelist
google.admin.AdminService.mobileDeviceApprove
google.admin.AdminService.mobileDeviceBlock
google.admin.AdminService.mobileDeviceDelete
google.admin.AdminService.mobileDeviceWipe
google.admin.AdminService.changeMobileSetting
google.admin.AdminService.changeAdminRestrictionsPin
google.admin.AdminService.changeMobileWirelessNetwork
google.admin.AdminService.addMobileWirelessNetwork
google.admin.AdminService.removeMobileWirelessNetwork
google.admin.AdminService.changeMobileWirelessNetworkPassword
google.admin.AdminService.removeMobileCertificate
google.admin.AdminService.enrollForGoogleDeviceManagement
google.admin.AdminService.useGoogleMobileManagement
google.admin.AdminService.useGoogleMobileManagementForNonIos
google.admin.AdminService.useGoogleMobileManagementForIos
google.admin.AdminService.mobileAccountWipe
google.admin.AdminService.mobileDeviceCancelWipeThenApprove
google.admin.AdminService.mobileDeviceCancelWipeThenBlock
ORG_SETTINGS google.admin.AdminService.chromeLicensesEnabled
google.admin.AdminService.chromeApplicationLicenseReservationCreated
google.admin.AdminService.chromeApplicationLicenseReservationDeleted
google.admin.AdminService.chromeApplicationLicenseReservationUpdated
google.admin.AdminService.assignCustomLogo
google.admin.AdminService.unassignCustomLogo
google.admin.AdminService.createEnrollmentToken
google.admin.AdminService.revokeEnrollmentToken
google.admin.AdminService.chromeLicensesAllowed
google.admin.AdminService.createOrgUnit
google.admin.AdminService.removeOrgUnit
google.admin.AdminService.editOrgUnitDescription
google.admin.AdminService.moveOrgUnit
google.admin.AdminService.editOrgUnitName
google.admin.AdminService.toggleServiceEnabled
SECURITY_INVESTIGATION google.admin.AdminService.securityInvestigationAction
google.admin.AdminService.securityInvestigationActionCancellation
google.admin.AdminService.securityInvestigationActionCompletion
google.admin.AdminService.securityInvestigationActionRetry
google.admin.AdminService.securityInvestigationActionVerificationConfirmation
google.admin.AdminService.securityInvestigationActionVerificationRequest
google.admin.AdminService.securityInvestigationActionVerificationRequestExpiration
google.admin.AdminService.securityInvestigationChartCreate
google.admin.AdminService.securityInvestigationContentAccess
google.admin.AdminService.securityInvestigationDownloadAttachment
google.admin.AdminService.securityInvestigationExportActionResults
google.admin.AdminService.securityInvestigationExportQuery
google.admin.AdminService.securityInvestigationObjectCreateDraftInvestigation
google.admin.AdminService.securityInvestigationObjectDeleteInvestigation
google.admin.AdminService.securityInvestigationObjectDuplicateInvestigation
google.admin.AdminService.securityInvestigationObjectOwnershipTransfer
google.admin.AdminService.securityInvestigationObjectSaveInvestigation
google.admin.AdminService.securityInvestigationObjectUpdateDirectSharing
google.admin.AdminService.securityInvestigationObjectUpdateLinkSharing
google.admin.AdminService.securityInvestigationQuery
google.admin.AdminService.securityInvestigationSettingUpdate
SECURITY_SETTINGS google.admin.AdminService.addToTrustedOauth2Apps
google.admin.AdminService.allowAspWithout2Sv
google.admin.AdminService.allowServiceForOauth2Access
google.admin.AdminService.allowStrongAuthentication
google.admin.AdminService.blockOnDeviceAccess
google.admin.AdminService.changeAllowedTwoStepVerificationMethods
google.admin.AdminService.changeAppAccessSettingsCollectionId
google.admin.AdminService.changeCaaAppAssignments
google.admin.AdminService.changeCaaDefaultAssignments
google.admin.AdminService.changeCaaErrorMessage
google.admin.AdminService.changeSessionLength
google.admin.AdminService.changeTwoStepVerificationEnrollmentPeriodDuration
google.admin.AdminService.changeTwoStepVerificationFrequency
google.admin.AdminService.changeTwoStepVerificationGracePeriodDuration
google.admin.AdminService.changeTwoStepVerificationStartDate
google.admin.AdminService.disallowServiceForOauth2Access
google.admin.AdminService.enableNonAdminUserPasswordRecovery
google.admin.AdminService.enforceStrongAuthentication
google.admin.AdminService.removeFromTrustedOauth2Apps
google.admin.AdminService.sessionControlSettingsChange
google.admin.AdminService.toggleCaaEnablement
google.admin.AdminService.trustDomainOwnedOauth2Apps
google.admin.AdminService.unblockOnDeviceAccess
google.admin.AdminService.untrustDomainOwnedOauth2Apps
google.admin.AdminService.updateErrorMsgForRestrictedOauth2Apps
google.admin.AdminService.weakProgrammaticLoginSettingsChanged
SITES_SETTINGS google.admin.AdminService.addWebAddress
google.admin.AdminService.deleteWebAddress
google.admin.AdminService.changeSitesSetting
google.admin.AdminService.changeSitesWebAddressMappingUpdates
google.admin.AdminService.viewSiteDetails
USER_SETTINGS google.admin.AdminService.delete2SvScratchCodes
google.admin.AdminService.generate2SvScratchCodes
google.admin.AdminService.revoke3LoDeviceTokens
google.admin.AdminService.revoke3LoToken
google.admin.AdminService.addRecoveryEmail
google.admin.AdminService.addRecoveryPhone
google.admin.AdminService.grantAdminPrivilege
google.admin.AdminService.revokeAdminPrivilege
google.admin.AdminService.revokeAsp
google.admin.AdminService.toggleAutomaticContactSharing
google.admin.AdminService.bulkUpload
google.admin.AdminService.bulkUploadNotificationSent
google.admin.AdminService.cancelUserInvite
google.admin.AdminService.changeUserCustomField
google.admin.AdminService.changeUserExternalId
google.admin.AdminService.changeUserGender
google.admin.AdminService.changeUserIm
google.admin.AdminService.enableUserIpWhitelist
google.admin.AdminService.changeUserKeyword
google.admin.AdminService.changeUserLanguage
google.admin.AdminService.changeUserLocation
google.admin.AdminService.changeUserOrganization
google.admin.AdminService.changeUserPhoneNumber
google.admin.AdminService.changeRecoveryEmail
google.admin.AdminService.changeRecoveryPhone
google.admin.AdminService.changeUserRelation
google.admin.AdminService.changeUserAddress
google.admin.AdminService.createEmailMonitor
google.admin.AdminService.createDataTransferRequest
google.admin.AdminService.grantDelegatedAdminPrivileges
google.admin.AdminService.deleteAccountInfoDump
google.admin.AdminService.deleteEmailMonitor
google.admin.AdminService.deleteMailboxDump
google.admin.AdminService.changeFirstName
google.admin.AdminService.gmailResetUser
google.admin.AdminService.changeLastName
google.admin.AdminService.mailRoutingDestinationAdded
google.admin.AdminService.mailRoutingDestinationRemoved
google.admin.AdminService.addNickname
google.admin.AdminService.removeNickname
google.admin.AdminService.changePassword
google.admin.AdminService.changePasswordOnNextLogin
google.admin.AdminService.downloadPendingInvitesList
google.admin.AdminService.removeRecoveryEmail
google.admin.AdminService.removeRecoveryPhone
google.admin.AdminService.requestAccountInfo
google.admin.AdminService.requestMailboxDump
google.admin.AdminService.resendUserInvite
google.admin.AdminService.resetSigninCookies
google.admin.AdminService.securityKeyRegisteredForUser
google.admin.AdminService.revokeSecurityKey
google.admin.AdminService.userInvite
google.admin.AdminService.viewTempPassword
google.admin.AdminService.turnOff2StepVerification
google.admin.AdminService.unblockUserSession
google.admin.AdminService.unenrollUserFromTitanium
google.admin.AdminService.archiveUser
google.admin.AdminService.updateBirthdate
google.admin.AdminService.createUser
google.admin.AdminService.deleteUser
google.admin.AdminService.downgradeUserFromGplus
google.admin.AdminService.userEnrolledInTwoStepVerification
google.admin.AdminService.downloadUserlistCsv
google.admin.AdminService.moveUserToOrgUnit
google.admin.AdminService.userPutInTwoStepVerificationGracePeriod
google.admin.AdminService.renameUser
google.admin.AdminService.unenrollUserFromStrongAuth
google.admin.AdminService.suspendUser
google.admin.AdminService.unarchiveUser
google.admin.AdminService.undeleteUser
google.admin.AdminService.unsuspendUser
google.admin.AdminService.upgradeUserToGplus
google.admin.AdminService.usersBulkUpload
google.admin.AdminService.usersBulkUploadNotificationSent
Les journaux d'audit des groupes Google Workspace Enterprise utilisent le type de ressource audited_resource.

Les journaux d'audit des groupes Google Workspace Enterprise utilisent le nom de service cloudidentity.googleapis.com.

L'audit des groupes Google Workspace Enterprise n'écrit que les journaux d'audit des activités d'administration. Voici les opérations auditées :

Catégorie de journal d'audit
AuditLog.method_name
Journaux d'audit pour les activités d'administration google.apps.cloudidentity.groups.v1.GroupsService.UpdateGroup
google.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership
Tous les journaux d'audit des connexions Google Workspace utilisent le type de ressource audited_resource.

Les journaux d'audit des connexions Google Workspace utilisent le nom de service login.googleapis.com.

L'audit de connexion Google Workspace n'écrit que les journaux d'audit des accès aux données. Voici les opérations auditées. Des échantillons de journaux sont disponibles pour chaque opération.

Catégorie de journal d'audit AuditLog.method_name
Journaux d'audit pour l'accès aux données google.login.LoginService.2svDisable
google.login.LoginService.2svEnroll
google.login.LoginService.accountDisabledPasswordLeak
google.login.LoginService.accountDisabledGeneric
google.login.LoginService.accountDisabledSpammingThroughRelay
google.login.LoginService.accountDisabledSpamming
google.login.LoginService.accountDisabledHijacked
google.login.LoginService.emailForwardingOutOfDomain
google.login.LoginService.govAttackWarning
google.login.LoginService.loginChallenge
google.login.LoginService.loginFailure
google.login.LoginService.loginVerification
google.login.LoginService.logout
google.login.LoginService.loginSuccess
google.login.LoginService.passwordEdit
google.login.LoginService.recoveryEmailEdit
google.login.LoginService.recoveryPhoneEdit
google.login.LoginService.recoverySecretQaEdit
google.login.LoginService.riskySensitiveActionAllowed
google.login.LoginService.riskySensitiveActionBlocked
google.login.LoginService.suspiciousLogin
google.login.LoginService.suspiciousLoginLessSecureApp
google.login.LoginService.suspiciousProgrammaticLogin
google.login.LoginService.titaniumEnroll
google.login.LoginService.titaniumUnenroll
Les journaux d'audit des jetons OAuth de Google Workspace utilisent le type de ressource audited_resource.

Les journaux d'audit des jetons OAuth de Google Workspace utilisent le nom de service oauth2.googleapis.com.

L'audit des jetons OAuth de Google Workspace écrit les journaux d'audit des activités d'administration et de l'accès aux données. Voici les opérations auditées :

Catégorie de journal d'audit
AuditLog.method_name
Journaux d'audit pour les activités d'administration google.identity.oauth2.Deny
google.identity.oauth2.GetToken
google.identity.oauth2.Request
google.identity.oauth2.RevokeToken
Journaux d'audit pour l'accès aux données google.identity.oauth2.GetTokenInfo
Les journaux d'audit SAML pour Google Workspace utilisent le type de ressource audited_resource pour tous les journaux d'audit.

Les journaux d'audit SAML pour Google Workspace utilisent le nom de service login.googleapis.com.

L'audit SAML pour Google Workspace n'écrit que les journaux d'audit des accès aux données. Voici les opérations auditées :

Catégorie de journal d'audit
AuditLog.method_name
Journaux d'audit pour l'accès aux données google.apps.login.v1.SamlLoginFailed
google.apps.login.v1.SamlLoginSucceeded

Autorisations relatives aux journaux d'audit

Les autorisations et les rôles IAM déterminent votre capacité à accéder aux données des journaux d'audit dans l'API Logging, l'explorateur de journaux et la Google Cloud CLI.

Pour en savoir plus sur les autorisations et les rôles Cloud IAM au niveau de l'organisation dont vous avez besoin, consultez la page Contrôle des actions avec IAM.

Format des journaux d'audit

Les entrées des journaux d'audit Google Workspace incluent les objets suivants :

  • L'entrée de journal proprement dite, qui est un objet de type LogEntry. Lorsque vous examinez les données de journalisation d'audit, les informations suivantes peuvent vous être utiles :

    • logName, qui contient l'ID de l'organisation et le type de journal d'audit.
    • resource, qui contient la cible de l'opération faisant l'objet d'un audit.
    • timeStamp, qui indique l'heure à laquelle l'opération auditée a été effectuée.
    • protoPayload, qui contient le journal d'audit de Google Workspace dans son champ metadata.

Le champ protoPayload.metadata contient les informations auditées de Google Workspace. Voici un exemple de journal d'audit de connexion :

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "test-user@example.net"
    },
    "requestMetadata": {
      "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "login.googleapis.com",
    "methodName": "google.login.LoginService.loginFailure",
    "resourceName": "organizations/123",
    "metadata": {
      "event": [
        {
          "eventName": "login_failure",
          "eventType": "login",
          "parameter": [
            {
              "value": "google_password",
              "type": "TYPE_STRING",
              "name": "login_type",
            },
            {
              "name": "login_challenge_method",
              "type": "TYPE_STRING",
              "label": "LABEL_REPEATED",
              "multiStrValue": [
                "password",
                "idv_preregistered_phone",
                "idv_preregistered_phone"
              ]
            },
          ]
        }
      ],
      "activityId": {
        "uniqQualifier": "358068855354",
        "timeUsec": "1632500217183212"
      },
      "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto"
    }
  },
  "insertId": "-nahbepd4l1x",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "method": "google.login.LoginService.loginFailure",
      "service": "login.googleapis.com"
    }
  },
  "timestamp": "2021-09-24T16:16:57.183212Z",
  "severity": "NOTICE",
  "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2021-09-24T17:51:25.034361197Z"
}

Pour en savoir plus sur les champs des journaux d'audit spécifiques au service et sur leur interprétation, sélectionnez l'un des services répertoriés dans la section Journaux d'audit disponibles.

Voir les journaux

Pour en savoir plus sur l'affichage des journaux d'audit Google Workspace, consultez la page Afficher et gérer les journaux d'audit pour Google Workspace.

Acheminer les journaux d'audit

Vous pouvez acheminer les journaux d'audit Google Workspace depuis Cloud Logging vers des destinations compatibles, y compris d'autres buckets Logging.

Voici des exemples d'applications dédiées au routage des journaux d'audit :

  • Pour utiliser des fonctionnalités de recherche plus puissantes, vous pouvez acheminer des copies des journaux d'audit vers Cloud Storage, BigQuery ou Pub/Sub. Avec Pub/Sub, vous avez la possibilité d'acheminer vos journaux vers d'autres applications, d'autres dépôts, ainsi que vers des organisations tierces.

  • Pour gérer les journaux d'audit à l'échelle de votre organisation, vous pouvez créer des récepteurs agrégés qui combinent et acheminent les journaux de tous les projets, comptes de facturation et dossiers Google Cloud de votre organisation. Par exemple, vous pouvez agréger des entrées de journaux d'audit et les acheminer vers différents buckets vers un bucket Cloud Storage.

Pour obtenir des instructions sur le routage des journaux, consultez la section Acheminer les journaux vers les destinations compatibles.

Régionalisation

Vous ne pouvez pas choisir une région dans laquelle stocker vos journaux Google Workspace. Les journaux Google Workspace ne sont pas couverts par la Règle applicable aux régions des données de Google Workspace.

Durées de conservation

Les durées de conservation suivantes s'appliquent aux données de vos journaux d'audit :

Pour chaque organisation, Cloud Logging stocke automatiquement les journaux dans deux buckets : un bucket _Default et un bucket _Required. Le bucket _Required contient les journaux d'audit d'activités d'administration, les journaux d'audit d'événements système et les journaux Access Transparency. Le bucket _Default contient toutes les autres entrées de journal qui ne sont pas stockées dans le bucket _Required. Pour en savoir plus sur les buckets de journaux, consultez la page Présentation du routage et du stockage.

Vous pouvez configurer Cloud Logging de façon à conserver les journaux dans le bucket de journaux _Default pendant une période allant de un jour à 3 650 jours.

Pour mettre à jour la durée de conservation du bucket de journaux _Default, consultez la section Conservation personnalisée.

Vous ne pouvez pas modifier la durée de conservation du bucket _Required.

Quotas et limites

Les mêmes quotas s'appliquent aux journaux d'audit Google Workspace et aux journaux Cloud Audit.

Pour en savoir plus sur ces limites d'utilisation, y compris sur la taille maximale des journaux d'audit, consultez la page Quotas et limites.

Tarifs

Les journaux Google Workspace au niveau de l'organisation sont actuellement gratuits.

Étape suivante