Présentation des journaux d'audit Google Workspace

Ce document présente les concepts de journaux d'audit fournis par Google Workspace dans le cadre de Cloud Audit Logs.

Pour en savoir plus sur la gestion des journaux d'audit Google Workspace, consultez l'article Configurer les journaux d'audit Google Workspace.

Aperçu

Les services Google Cloud alimentent des journaux d'audit pour vous aider à déterminer qui fait quoi, où et quand. Vous pouvez partager vos journaux d'audit Google Workspace avec Google Cloud pour stocker, interroger, analyser et surveiller les données des journaux d'audit Google Workspace, et créer des alertes concernant ces informations.

Pour activer le partage des données Google Workspace avec Google Cloud depuis votre compte Google Workspace, Cloud Identity ou Drive Enterprise, consultez les instructions de la section Partager des données avec les services Google Cloud.

Si vous activez le partage des données Google Workspace avec Google Cloud, vous ne pouvez pas désactiver de manière sélective les journaux d'audit Google Workspace à l'aide de la page IAM et administration > Journaux d'audit de Google Cloud Console. Vous pouvez exclure ces journaux avec des récepteurs en définissant des filtres d'exclusion.

Si le partage des données Google Workspace avec Google Cloud est activé, les journaux d'audit Google Workspace sont toujours activés. Si vous désactivez le partage des données Google Workspace, les nouveaux événements du journal d'audit Google Workspace ne sont plus envoyés à Google Cloud. Cependant, tous les journaux existants sont conservés en fonction de leurs durées de conservation par défaut, sauf si vous avez configuré une conservation personnalisée afin de les garder plus longtemps.

Services Google Workspace : transfert des journaux d'audit vers Google Cloud

Au niveau d'une organisation Google Cloud, Google Workspace fournit les journaux d'audit comme suit :

Les journaux de type "Activités d'administration" contiennent des entrées relatives aux appels d'API et aux autres opérations qui modifient la configuration ou les métadonnées des ressources. Par exemple, ces journaux enregistrent les actions de création d'instance de VM ou de modification des autorisations IAM (Identity and Access Management).

Les journaux d'audit relatifs à l'accès aux données contiennent des appels d'API qui lisent la configuration ou les métadonnées des ressources, et des appels d'API pilotés par l'utilisateur qui créent, modifient ou lisent des données de ressources fournies par l'utilisateur. Les journaux d'audit pour l'accès aux données n'enregistrent pas les opérations d'accès aux données stockées sur des ressources partagées publiquement (accessibles à tous ou à tous les utilisateurs authentifiés), ni celles concernant les données auxquelles il est possible d'accéder sans se connecter à un compte Google Cloud, Google Workspace, Cloud Identity ou Drive Enterprise.

Informations spécifiques au service

Les détails des journaux d'audit de chaque service Google Workspace sont les suivants :

Autorisations relatives aux journaux d'audit

Les autorisations et les rôles IAM déterminent votre capacité à accéder aux données des journaux d'audit dans l'API Logging, l'explorateur de journaux et l'outil de ligne de commande gcloud.

Pour en savoir plus sur les autorisations et les rôles Cloud IAM au niveau de l'organisation dont vous avez besoin, consultez le guide du contrôle des accès.

Format des journaux d'audit

Les entrées des journaux d'audit Google Workspace incluent les objets suivants :

  • L'entrée de journal proprement dite, qui est un objet de type LogEntry. Lorsque vous examinez les données de journalisation d'audit, les informations suivantes peuvent vous être utiles :

    • logName, qui contient l'ID de l'organisation et le type de journal d'audit
    • resource, qui contient la cible de l'opération faisant l'objet d'un audit
    • timeStamp, qui indique l'heure à laquelle l'opération auditée a été effectuée
    • protoPayload, qui contient le journal d'audit de Google Workspace dans son champ metadata.

Le champ protoPayload.metadata contient les informations auditées de Google Workspace. Voici un exemple de journal d'audit des connexions Google Workspace :

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "test-user@example.net"
    },
    "requestMetadata": {
      "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "login.googleapis.com",
    "methodName": "google.login.LoginService.loginFailure",
    "resourceName": "organizations/123",
    "metadata": {
      "event": [
        {
          "eventName": "login_failure",
          "eventType": "login",
          "parameter": [
            {
              "value": "google_password",
              "type": "TYPE_STRING",
              "name": "login_type",
            },
            {
              "name": "login_challenge_method",
              "type": "TYPE_STRING",
              "label": "LABEL_REPEATED",
              "multiStrValue": [
                "password",
                "idv_preregistered_phone",
                "idv_preregistered_phone"
              ]
            },
          ]
        }
      ],
      "activityId": {
        "uniqQualifier": "358068855354",
        "timeUsec": "1632500217183212"
      },
      "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto"
    }
  },
  "insertId": "-nahbepd4l1x",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "method": "google.login.LoginService.loginFailure",
      "service": "login.googleapis.com"
    }
  },
  "timestamp": "2021-09-24T16:16:57.183212Z",
  "severity": "NOTICE",
  "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2021-09-24T17:51:25.034361197Z"
}

Pour les champs de journaux d'audit spécifiques au service, ainsi que la façon de les interpréter, sélectionnez l'un des services répertoriés dans la section Journaux d'audit disponibles.

Voir les journaux

Pour en savoir plus sur l'affichage des journaux d'audit Google Workspace, consultez l'article Configurer les journaux d'audit Google Workspace.

Acheminer les journaux d'audit

Vous pouvez acheminer les journaux d'audit Google Workspace depuis Cloud Logging vers des destinations compatibles, y compris d'autres buckets Logging.

Voici des exemples d'applications dédiées au routage des journaux d'audit :

  • Pour utiliser des fonctionnalités de recherche plus puissantes, vous pouvez acheminer des copies des journaux d'audit vers Cloud Storage, BigQuery ou Pub/Sub. Avec Pub/Sub, vous avez la possibilité d'acheminer vos journaux vers d'autres applications, d'autres dépôts, ainsi que vers des organisations tierces.

  • Pour gérer les journaux d'audit à l'échelle de votre organisation, vous pouvez créer des récepteurs agrégés qui combinent et acheminent les journaux de tous les projets, comptes de facturation et dossiers Cloud de votre organisation. Par exemple, vous pouvez agréger des entrées de journaux d'audit et les acheminer vers différents buckets vers un bucket Cloud Storage.

Pour obtenir des instructions sur le routage des journaux, consultez la page Configurer des récepteurs.

Durées de conservation

Pour chaque organisation, Cloud Logging stocke automatiquement les journaux dans deux buckets : un bucket _Default et un bucket _Required. Le bucket _Required contient les journaux d'audit d'activités d'administration, les journaux d'audit d'événements système et les journaux Access Transparency. Le bucket _Default contient toutes les autres entrées de journal qui ne sont pas ingérées par le bucket _Required. Pour en savoir plus sur les buckets de journaux, consultez la page Présentation du routage et du stockage.

Vous pouvez configurer Cloud Logging de façon à conserver les journaux dans le bucket de journaux _Default pendant une période allant de un jour à 3 650 jours.

Pour mettre à jour la durée de conservation du bucket de journaux _Default, consultez la section Conservation personnalisée.

Vous ne pouvez pas modifier la durée de conservation du bucket _Required.

Quotas et limites

Pour en savoir plus sur les limites d'utilisation de la journalisation, y compris sur la taille maximale des journaux d'audit, consultez la page Quotas et limites.

Tarifs

Les journaux Google Workspace sont actuellement gratuits.

Étape suivante