Ce document fournit une présentation conceptuelle des journaux d'audit fournis par Google Workspace dans le cadre des journaux d'audit Cloud.
Pour en savoir plus sur la gestion de vos journaux d'audit Google Workspace, consultez la page Afficher et gérer les journaux d'audit pour Google Workspace.
Aperçu
Les services Google Cloud alimentent des journaux d'audit pour vous aider à déterminer qui fait quoi, où et quand. Vous pouvez partager vos journaux d'audit Google Workspace avec Google Cloud pour stocker, analyser et surveiller les données Google Workspace et créer des alertes basées sur ces données.
Les journaux d'audit de Google Workspace sont disponibles pour Cloud Identity, Cloud Identity Premium et pour tous les clients Google Workspace.
Si vous avez activé le partage de données Google Workspace avec Google Cloud, les journaux d'audit sont toujours activés pour Google Workspace.
Si vous désactivez le partage des données Google Workspace, les nouveaux événements du journal d'audit Google Workspace ne sont plus envoyés à Google Cloud. Cependant, tous les journaux existants sont conservés en fonction de leurs durées de conservation par défaut, sauf si vous avez configuré une conservation personnalisée afin de les garder plus longtemps.
Si vous n'activez pas le partage des données Google Workspace avec Google Cloud, vous ne pouvez pas afficher les journaux d'audit de Google Workspace dans Google Cloud.
Types de journaux d'audit
Les journaux de type "Activités d'administration" contiennent des entrées relatives aux appels d'API et aux autres opérations qui modifient la configuration ou les métadonnées des ressources. Par exemple, ces journaux enregistrent les actions de création d'instance de VM ou de modification des autorisations IAM (Identity and Access Management).
Les journaux d'audit relatifs à l'accès aux données contiennent des appels d'API qui lisent la configuration ou les métadonnées des ressources, et des appels d'API pilotés par l'utilisateur qui créent, modifient ou lisent des données de ressources fournies par l'utilisateur. Les journaux d'audit pour l'accès aux données n'enregistrent pas les opérations d'accès aux données stockées sur des ressources partagées publiquement (accessibles à tous ou à tous les utilisateurs authentifiés), ni celles concernant les données auxquelles il est possible d'accéder sans se connecter à un compte Google Cloud, Google Workspace, Cloud Identity ou Drive Enterprise.
Services Google Workspace : transfert des journaux d'audit vers Google Cloud
Google Workspace fournit les journaux d'audit suivants au niveau de l'organisation Google Cloud :
Access Transparency: les journaux Access Transparency enregistrent les actions effectuées par le personnel de Google lorsqu'il accède au contenu des clients dans vos ressources Google Workspace. Contrairement à Access Transparency, Cloud Audit Logs enregistre les actions que les membres de votre organisation Google Cloud ont effectuées sur vos ressources Google Cloud.
Pour en savoir plus sur la structure des journaux Access Transparency et les types d'accès consignés, consultez la section Descriptions des champs de journal.
Audit d'administration Google Workspace: les journaux d'audit des administrateurs fournissent un enregistrement des actions effectuées dans la console d'administration Google. Par exemple, vous pouvez voir quand un administrateur ajoute un utilisateur ou active un service Google Workspace.
L'audit d'administration n'écrit que les journaux d'audit des activités d'administration.
Audit des groupes Google Workspace Enterprise : les journaux d'audit des groupes Google Workspace Enterprise assurent l'enregistrement des actions effectuées sur les groupes et leurs membres. Vous pouvez par exemple voir quand un administrateur a ajouté un utilisateur ou qu'un propriétaire de groupe a supprimé son groupe.
L'audit des groupes Enterprise n'écrit que les journaux d'audit des activités d'administration.
Audit des connexions Google Workspace : les journaux d'audit des connexions assurent le suivi des connexions des utilisateurs à votre domaine. Ces journaux enregistrent uniquement les événements de connexion. Ils ne consignent pas le système utilisé pour effectuer l'action de connexion.
L'audit des connexions n'écrit que les journaux d'audit d'accès aux données.
Audit des jetons OAuth de Google Workspace : les journaux d'audit des jetons OAuth indiquent quels utilisateurs utilisent quelles applications mobiles ou Web tierces sur votre domaine. Par exemple, lorsqu'un utilisateur ouvre une application Google Workspace Marketplace, le journal enregistre le nom de l'application et l'utilisateur. Le journal enregistre également chaque autorisation d'accès d'une application tierce aux données d'un compte Google, telles que les données Google Contacts ou Google Agenda, et les fichiers Drive (Google Workspace uniquement).
L'audit des jetons OAuth écrit des journaux d'audit des activités d'administration et de l'accès aux données.
Audit SAML Google Workspace : les journaux d'audit SAML suivent les connexions et les échecs de connexion de vos utilisateurs aux applications SAML. Les entrées y apparaissent généralement dans l'heure suivant l'action réalisée par l'utilisateur.
L'audit SAML n'écrit que les journaux d'audit de l'accès aux données.
Informations spécifiques au service
Les détails des journaux d'audit de chaque service Google Workspace sont les suivants :
Les journaux d'audit des administrateurs Google Workspace utilisent le type de ressource audited_resource
.
Les journaux d'audit des administrateurs Google Workspace utilisent le nom de service admin.googleapis.com
.
L'audit des administrateurs Google Workspace n'écrit que les journaux d'audit des activités d'administration. Voici les opérations auditées :
Type d'activité | AuditLog.method_name |
---|---|
AI_CLASSIFICATION_SETTINGS | google.admin.AdminService.aiClassificationInsufficientTrainingExamples google.admin.AdminService.aiClassificationModelLowScore google.admin.AdminService.aiClassificationNewModelReady |
ALERT_CENTER | google.admin.AdminService.alertCenterBatchDeleteAlerts google.admin.AdminService.alertCenterBatchUndeleteAlerts google.admin.AdminService.alertCenterCreateAlert google.admin.AdminService.alertCenterCreateFeedback google.admin.AdminService.alertCenterDeleteAlert google.admin.AdminService.alertCenterGetAlertMetadata google.admin.AdminService.alertCenterGetCustomerSettings google.admin.AdminService.alertCenterGetSitLink google.admin.AdminService.alertCenterListChange google.admin.AdminService.alertCenterListFeedback google.admin.AdminService.alertCenterListRelatedAlerts google.admin.AdminService.alertCenterUndeleteAlert google.admin.AdminService.alertCenterUpdateAlert google.admin.AdminService.alertCenterUpdateAlertMetadata google.admin.AdminService.alertCenterUpdateCustomerSettings google.admin.AdminService.alertCenterView |
APPLICATION_SETTINGS | google.admin.AdminService.changeApplicationSetting google.admin.AdminService.createApplicationSetting google.admin.AdminService.deleteApplicationSetting google.admin.AdminService.reorderGroupBasedPoliciesEvent google.admin.AdminService.gplusPremiumFeatures google.admin.AdminService.createManagedConfiguration google.admin.AdminService.deleteManagedConfiguration google.admin.AdminService.updateManagedConfiguration google.admin.AdminService.flashlightEduNonFeaturedServicesSelected |
CALENDAR_SETTINGS | google.admin.AdminService.createBuilding google.admin.AdminService.deleteBuilding google.admin.AdminService.updateBuilding google.admin.AdminService.createCalendarResource google.admin.AdminService.deleteCalendarResource google.admin.AdminService.createCalendarResourceFeature google.admin.AdminService.deleteCalendarResourceFeature google.admin.AdminService.updateCalendarResourceFeature google.admin.AdminService.renameCalendarResource google.admin.AdminService.updateCalendarResource google.admin.AdminService.changeCalendarSetting google.admin.AdminService.cancelCalendarEvents google.admin.AdminService.releaseCalendarResources |
CHAT_SETTINGS | google.admin.AdminService.meetInteropCreateGateway google.admin.AdminService.meetInteropDeleteGateway google.admin.AdminService.meetInteropModifyGateway google.admin.AdminService.changeChatSetting |
CHROME_OS_SETTINGS | google.admin.AdminService.changeChromeOsAndroidApplicationSetting google.admin.AdminService.changeChromeOsApplicationSetting google.admin.AdminService.sendChromeOsDeviceCommand google.admin.AdminService.changeChromeOsDeviceAnnotation google.admin.AdminService.changeChromeOsDeviceSetting google.admin.AdminService.changeChromeOsDeviceState google.admin.AdminService.changeChromeOsPublicSessionSetting google.admin.AdminService.insertChromeOsPrinter google.admin.AdminService.deleteChromeOsPrinter google.admin.AdminService.updateChromeOsPrinter google.admin.AdminService.changeChromeOsSetting google.admin.AdminService.changeChromeOsUserSetting google.admin.AdminService.removeChromeOsApplicationSettings |
CONTACTS_SETTINGS | google.admin.AdminService.changeContactsSetting |
DELEGATED_ADMIN_SETTINGS | google.admin.AdminService.assignRole google.admin.AdminService.createRole google.admin.AdminService.deleteRole google.admin.AdminService.addPrivilege google.admin.AdminService.removePrivilege google.admin.AdminService.renameRole google.admin.AdminService.updateRole google.admin.AdminService.unassignRole |
DEVICE_SETTINGS | google.admin.AdminService.deleteDevice google.admin.AdminService.moveDeviceToOrgUnit |
DOCS_SETTINGS | google.admin.AdminService.transferDocumentOwnership google.admin.AdminService.driveDataRestore google.admin.AdminService.changeDocsSetting |
DOMAIN_SETTINGS | google.admin.AdminService.changeAccountAutoRenewal google.admin.AdminService.addApplication google.admin.AdminService.addApplicationToWhitelist google.admin.AdminService.changeAdvertisementOption google.admin.AdminService.createAlert google.admin.AdminService.changeAlertCriteria google.admin.AdminService.deleteAlert google.admin.AdminService.alertReceiversChanged google.admin.AdminService.renameAlert google.admin.AdminService.alertStatusChanged google.admin.AdminService.addDomainAlias google.admin.AdminService.removeDomainAlias google.admin.AdminService.skipDomainAliasMx google.admin.AdminService.verifyDomainAliasMx google.admin.AdminService.verifyDomainAlias google.admin.AdminService.toggleOauthAccessToAllApis google.admin.AdminService.toggleAllowAdminPasswordReset google.admin.AdminService.enableApiAccess google.admin.AdminService.authorizeApiClientAccess google.admin.AdminService.removeApiClientAccess google.admin.AdminService.chromeLicensesRedeemed google.admin.AdminService.toggleAutoAddNewService google.admin.AdminService.changePrimaryDomain google.admin.AdminService.changeWhitelistSetting google.admin.AdminService.communicationPreferencesSettingChange google.admin.AdminService.changeConflictAccountAction google.admin.AdminService.enableFeedbackSolicitation google.admin.AdminService.toggleContactSharing google.admin.AdminService.createPlayForWorkToken google.admin.AdminService.toggleUseCustomLogo google.admin.AdminService.changeCustomLogo google.admin.AdminService.changeDataLocalizationForRussia google.admin.AdminService.changeDataLocalizationSetting google.admin.AdminService.changeDataProtectionOfficerContactInfo google.admin.AdminService.deletePlayForWorkToken google.admin.AdminService.viewDnsLoginDetails google.admin.AdminService.changeDomainDefaultLocale google.admin.AdminService.changeDomainDefaultTimezone google.admin.AdminService.changeDomainName google.admin.AdminService.toggleEnablePreReleaseFeatures google.admin.AdminService.changeDomainSupportMessage google.admin.AdminService.addTrustedDomains google.admin.AdminService.removeTrustedDomains google.admin.AdminService.changeEduType google.admin.AdminService.toggleEnableOauthConsumerKey google.admin.AdminService.toggleSsoEnabled google.admin.AdminService.toggleSsl google.admin.AdminService.changeEuRepresentativeContactInfo google.admin.AdminService.generateTransferToken google.admin.AdminService.changeLoginBackgroundColor google.admin.AdminService.changeLoginBorderColor google.admin.AdminService.changeLoginActivityTrace google.admin.AdminService.playForWorkEnroll google.admin.AdminService.playForWorkUnenroll google.admin.AdminService.mxRecordVerificationClaim google.admin.AdminService.toggleNewAppFeatures google.admin.AdminService.toggleUseNextGenControlPanel google.admin.AdminService.uploadOauthCertificate google.admin.AdminService.regenerateOauthConsumerSecret google.admin.AdminService.toggleOpenIdEnabled google.admin.AdminService.changeOrganizationName google.admin.AdminService.toggleOutboundRelay google.admin.AdminService.changePasswordMaxLength google.admin.AdminService.changePasswordMinLength google.admin.AdminService.updateDomainPrimaryAdminEmail google.admin.AdminService.enableServiceOrFeatureNotifications google.admin.AdminService.removeApplication google.admin.AdminService.removeApplicationFromWhitelist google.admin.AdminService.changeRenewDomainRegistration google.admin.AdminService.changeResellerAccess google.admin.AdminService.ruleActionsChanged google.admin.AdminService.createRule google.admin.AdminService.changeRuleCriteria google.admin.AdminService.deleteRule google.admin.AdminService.renameRule google.admin.AdminService.ruleStatusChanged google.admin.AdminService.addSecondaryDomain google.admin.AdminService.removeSecondaryDomain google.admin.AdminService.skipSecondaryDomainMx google.admin.AdminService.verifySecondaryDomainMx google.admin.AdminService.verifySecondaryDomain google.admin.AdminService.updateDomainSecondaryEmail google.admin.AdminService.changeSsoSettings google.admin.AdminService.generatePin google.admin.AdminService.updateRule |
EMAIL_SETTINGS | google.admin.AdminService.dropFromQuarantine google.admin.AdminService.emailLogSearch google.admin.AdminService.emailUndelete google.admin.AdminService.changeEmailSetting google.admin.AdminService.changeGmailSetting google.admin.AdminService.createGmailSetting google.admin.AdminService.deleteGmailSetting google.admin.AdminService.rejectFromQuarantine google.admin.AdminService.releaseFromQuarantine |
GROUP_SETTINGS | google.admin.AdminService.createGroup google.admin.AdminService.deleteGroup google.admin.AdminService.changeGroupDescription google.admin.AdminService.groupListDownload google.admin.AdminService.addGroupMember google.admin.AdminService.removeGroupMember google.admin.AdminService.updateGroupMember google.admin.AdminService.updateGroupMemberDeliverySettings google.admin.AdminService.updateGroupMemberDeliverySettingsCanEmailOverride google.admin.AdminService.groupMemberBulkUpload google.admin.AdminService.groupMembersDownload google.admin.AdminService.changeGroupEmail google.admin.AdminService.changeGroupName google.admin.AdminService.changeGroupSetting google.admin.AdminService.whitelistedGroupsUpdated |
ÉTIQUETTES | google.admin.AdminService.labelDeleted google.admin.AdminService.labelDisabled google.admin.AdminService.labelReenabled google.admin.AdminService.labelPermissionUpdated google.admin.AdminService.labelPermissionDeleted google.admin.AdminService.labelPublished google.admin.AdminService.labelCreated google.admin.AdminService.labelUpdated |
LICENSES_SETTINGS | google.admin.AdminService.orgUsersLicenseAssignment google.admin.AdminService.orgAllUsersLicenseAssignment google.admin.AdminService.userLicenseAssignment google.admin.AdminService.changeLicenseAutoAssign google.admin.AdminService.userLicenseReassignment google.admin.AdminService.orgLicenseRevoke google.admin.AdminService.userLicenseRevoke google.admin.AdminService.updateDynamicLicense google.admin.AdminService.licenseUsageUpdate |
MOBILE_SETTINGS | google.admin.AdminService.actionCancelled google.admin.AdminService.actionRequested google.admin.AdminService.addMobileCertificate google.admin.AdminService.companyDevicesBulkCreation google.admin.AdminService.companyOwnedDeviceBlocked google.admin.AdminService.companyDeviceDeletion google.admin.AdminService.companyOwnedDeviceUnblocked google.admin.AdminService.companyOwnedDeviceWiped google.admin.AdminService.changeMobileApplicationPermissionGrant google.admin.AdminService.changeMobileApplicationPriorityOrder google.admin.AdminService.removeMobileApplicationFromWhitelist google.admin.AdminService.changeMobileApplicationSettings google.admin.AdminService.addMobileApplicationToWhitelist google.admin.AdminService.mobileDeviceApprove google.admin.AdminService.mobileDeviceBlock google.admin.AdminService.mobileDeviceDelete google.admin.AdminService.mobileDeviceWipe google.admin.AdminService.changeMobileSetting google.admin.AdminService.changeAdminRestrictionsPin google.admin.AdminService.changeMobileWirelessNetwork google.admin.AdminService.addMobileWirelessNetwork google.admin.AdminService.removeMobileWirelessNetwork google.admin.AdminService.changeMobileWirelessNetworkPassword google.admin.AdminService.removeMobileCertificate google.admin.AdminService.enrollForGoogleDeviceManagement google.admin.AdminService.useGoogleMobileManagement google.admin.AdminService.useGoogleMobileManagementForNonIos google.admin.AdminService.useGoogleMobileManagementForIos google.admin.AdminService.mobileAccountWipe google.admin.AdminService.mobileDeviceCancelWipeThenApprove google.admin.AdminService.mobileDeviceCancelWipeThenBlock |
ORG_SETTINGS | google.admin.AdminService.chromeLicensesEnabled google.admin.AdminService.chromeApplicationLicenseReservationCreated google.admin.AdminService.chromeApplicationLicenseReservationDeleted google.admin.AdminService.chromeApplicationLicenseReservationUpdated google.admin.AdminService.assignCustomLogo google.admin.AdminService.unassignCustomLogo google.admin.AdminService.createEnrollmentToken google.admin.AdminService.revokeEnrollmentToken google.admin.AdminService.chromeLicensesAllowed google.admin.AdminService.createOrgUnit google.admin.AdminService.removeOrgUnit google.admin.AdminService.editOrgUnitDescription google.admin.AdminService.moveOrgUnit google.admin.AdminService.editOrgUnitName google.admin.AdminService.toggleServiceEnabled |
SECURITY_INVESTIGATION | google.admin.AdminService.securityInvestigationAction google.admin.AdminService.securityInvestigationActionCancellation google.admin.AdminService.securityInvestigationActionCompletion google.admin.AdminService.securityInvestigationActionRetry google.admin.AdminService.securityInvestigationActionVerificationConfirmation google.admin.AdminService.securityInvestigationActionVerificationRequest google.admin.AdminService.securityInvestigationActionVerificationRequestExpiration google.admin.AdminService.securityInvestigationChartCreate google.admin.AdminService.securityInvestigationContentAccess google.admin.AdminService.securityInvestigationDownloadAttachment google.admin.AdminService.securityInvestigationExportActionResults google.admin.AdminService.securityInvestigationExportQuery google.admin.AdminService.securityInvestigationObjectCreateDraftInvestigation google.admin.AdminService.securityInvestigationObjectDeleteInvestigation google.admin.AdminService.securityInvestigationObjectDuplicateInvestigation google.admin.AdminService.securityInvestigationObjectOwnershipTransfer google.admin.AdminService.securityInvestigationObjectSaveInvestigation google.admin.AdminService.securityInvestigationObjectUpdateDirectSharing google.admin.AdminService.securityInvestigationObjectUpdateLinkSharing google.admin.AdminService.securityInvestigationQuery google.admin.AdminService.securityInvestigationSettingUpdate |
SECURITY_SETTINGS | google.admin.AdminService.addToTrustedOauth2Apps google.admin.AdminService.allowAspWithout2Sv google.admin.AdminService.allowServiceForOauth2Access google.admin.AdminService.allowStrongAuthentication google.admin.AdminService.blockOnDeviceAccess google.admin.AdminService.changeAllowedTwoStepVerificationMethods google.admin.AdminService.changeAppAccessSettingsCollectionId google.admin.AdminService.changeCaaAppAssignments google.admin.AdminService.changeCaaDefaultAssignments google.admin.AdminService.changeCaaErrorMessage google.admin.AdminService.changeSessionLength google.admin.AdminService.changeTwoStepVerificationEnrollmentPeriodDuration google.admin.AdminService.changeTwoStepVerificationFrequency google.admin.AdminService.changeTwoStepVerificationGracePeriodDuration google.admin.AdminService.changeTwoStepVerificationStartDate google.admin.AdminService.disallowServiceForOauth2Access google.admin.AdminService.enableNonAdminUserPasswordRecovery google.admin.AdminService.enforceStrongAuthentication google.admin.AdminService.removeFromTrustedOauth2Apps google.admin.AdminService.sessionControlSettingsChange google.admin.AdminService.toggleCaaEnablement google.admin.AdminService.trustDomainOwnedOauth2Apps google.admin.AdminService.unblockOnDeviceAccess google.admin.AdminService.untrustDomainOwnedOauth2Apps google.admin.AdminService.updateErrorMsgForRestrictedOauth2Apps google.admin.AdminService.weakProgrammaticLoginSettingsChanged |
SITES_SETTINGS | google.admin.AdminService.addWebAddress google.admin.AdminService.deleteWebAddress google.admin.AdminService.changeSitesSetting google.admin.AdminService.changeSitesWebAddressMappingUpdates google.admin.AdminService.viewSiteDetails |
USER_SETTINGS | google.admin.AdminService.delete2SvScratchCodes google.admin.AdminService.generate2SvScratchCodes google.admin.AdminService.revoke3LoDeviceTokens google.admin.AdminService.revoke3LoToken google.admin.AdminService.addRecoveryEmail google.admin.AdminService.addRecoveryPhone google.admin.AdminService.grantAdminPrivilege google.admin.AdminService.revokeAdminPrivilege google.admin.AdminService.revokeAsp google.admin.AdminService.toggleAutomaticContactSharing google.admin.AdminService.bulkUpload google.admin.AdminService.bulkUploadNotificationSent google.admin.AdminService.cancelUserInvite google.admin.AdminService.changeUserCustomField google.admin.AdminService.changeUserExternalId google.admin.AdminService.changeUserGender google.admin.AdminService.changeUserIm google.admin.AdminService.enableUserIpWhitelist google.admin.AdminService.changeUserKeyword google.admin.AdminService.changeUserLanguage google.admin.AdminService.changeUserLocation google.admin.AdminService.changeUserOrganization google.admin.AdminService.changeUserPhoneNumber google.admin.AdminService.changeRecoveryEmail google.admin.AdminService.changeRecoveryPhone google.admin.AdminService.changeUserRelation google.admin.AdminService.changeUserAddress google.admin.AdminService.createEmailMonitor google.admin.AdminService.createDataTransferRequest google.admin.AdminService.grantDelegatedAdminPrivileges google.admin.AdminService.deleteAccountInfoDump google.admin.AdminService.deleteEmailMonitor google.admin.AdminService.deleteMailboxDump google.admin.AdminService.changeFirstName google.admin.AdminService.gmailResetUser google.admin.AdminService.changeLastName google.admin.AdminService.mailRoutingDestinationAdded google.admin.AdminService.mailRoutingDestinationRemoved google.admin.AdminService.addNickname google.admin.AdminService.removeNickname google.admin.AdminService.changePassword google.admin.AdminService.changePasswordOnNextLogin google.admin.AdminService.downloadPendingInvitesList google.admin.AdminService.removeRecoveryEmail google.admin.AdminService.removeRecoveryPhone google.admin.AdminService.requestAccountInfo google.admin.AdminService.requestMailboxDump google.admin.AdminService.resendUserInvite google.admin.AdminService.resetSigninCookies google.admin.AdminService.securityKeyRegisteredForUser google.admin.AdminService.revokeSecurityKey google.admin.AdminService.userInvite google.admin.AdminService.viewTempPassword google.admin.AdminService.turnOff2StepVerification google.admin.AdminService.unblockUserSession google.admin.AdminService.unenrollUserFromTitanium google.admin.AdminService.archiveUser google.admin.AdminService.updateBirthdate google.admin.AdminService.createUser google.admin.AdminService.deleteUser google.admin.AdminService.downgradeUserFromGplus google.admin.AdminService.userEnrolledInTwoStepVerification google.admin.AdminService.downloadUserlistCsv google.admin.AdminService.moveUserToOrgUnit google.admin.AdminService.userPutInTwoStepVerificationGracePeriod google.admin.AdminService.renameUser google.admin.AdminService.unenrollUserFromStrongAuth google.admin.AdminService.suspendUser google.admin.AdminService.unarchiveUser google.admin.AdminService.undeleteUser google.admin.AdminService.unsuspendUser google.admin.AdminService.upgradeUserToGplus google.admin.AdminService.usersBulkUpload google.admin.AdminService.usersBulkUploadNotificationSent |
audited_resource
.
Les journaux d'audit des groupes Google Workspace Enterprise utilisent le nom de service cloudidentity.googleapis.com
.
L'audit des groupes Google Workspace Enterprise n'écrit que les journaux d'audit des activités d'administration. Voici les opérations auditées :
Catégorie de journal d'audit
|
AuditLog.method_name
|
---|---|
Journaux d'audit pour les activités d'administration | google.apps.cloudidentity.groups.v1.GroupsService.UpdateGroup google.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership |
audited_resource
.
Les journaux d'audit des connexions Google Workspace utilisent le nom de service login.googleapis.com
.
L'audit de connexion Google Workspace n'écrit que les journaux d'audit des accès aux données. Voici les opérations auditées. Des échantillons de journaux sont disponibles pour chaque opération.
Catégorie de journal d'audit | AuditLog.method_name |
---|---|
Journaux d'audit pour l'accès aux données | google.login.LoginService.2svDisable google.login.LoginService.2svEnroll google.login.LoginService.accountDisabledPasswordLeak google.login.LoginService.accountDisabledGeneric google.login.LoginService.accountDisabledSpammingThroughRelay google.login.LoginService.accountDisabledSpamming google.login.LoginService.accountDisabledHijacked google.login.LoginService.emailForwardingOutOfDomain google.login.LoginService.govAttackWarning google.login.LoginService.loginChallenge google.login.LoginService.loginFailure google.login.LoginService.loginVerification google.login.LoginService.logout google.login.LoginService.loginSuccess google.login.LoginService.passwordEdit google.login.LoginService.recoveryEmailEdit google.login.LoginService.recoveryPhoneEdit google.login.LoginService.recoverySecretQaEdit google.login.LoginService.riskySensitiveActionAllowed google.login.LoginService.riskySensitiveActionBlocked google.login.LoginService.suspiciousLogin google.login.LoginService.suspiciousLoginLessSecureApp google.login.LoginService.suspiciousProgrammaticLogin google.login.LoginService.titaniumEnroll google.login.LoginService.titaniumUnenroll |
audited_resource
.
Les journaux d'audit des jetons OAuth de Google Workspace utilisent le nom de service oauth2.googleapis.com
.
L'audit des jetons OAuth de Google Workspace écrit les journaux d'audit des activités d'administration et de l'accès aux données. Voici les opérations auditées :
Catégorie de journal d'audit
|
AuditLog.method_name
|
---|---|
Journaux d'audit pour les activités d'administration | google.identity.oauth2.Deny google.identity.oauth2.GetToken google.identity.oauth2.Request google.identity.oauth2.RevokeToken |
Journaux d'audit pour l'accès aux données | google.identity.oauth2.GetTokenInfo |
audited_resource
pour tous les journaux d'audit.
Les journaux d'audit SAML pour Google Workspace utilisent le nom de service login.googleapis.com
.
L'audit SAML pour Google Workspace n'écrit que les journaux d'audit des accès aux données. Voici les opérations auditées :
Catégorie de journal d'audit
|
AuditLog.method_name
|
---|---|
Journaux d'audit pour l'accès aux données | google.apps.login.v1.SamlLoginFailed |
google.apps.login.v1.SamlLoginSucceeded |
Autorisations relatives aux journaux d'audit
Les autorisations et les rôles IAM déterminent votre capacité à accéder aux données des journaux d'audit dans l'API Logging, l'explorateur de journaux et la Google Cloud CLI.
Pour en savoir plus sur les autorisations et les rôles Cloud IAM au niveau de l'organisation dont vous avez besoin, consultez la page Contrôle des actions avec IAM.
Format des journaux d'audit
Les entrées des journaux d'audit Google Workspace incluent les objets suivants :
L'entrée de journal proprement dite, qui est un objet de type
LogEntry
. Lorsque vous examinez les données de journalisation d'audit, les informations suivantes peuvent vous être utiles :logName
, qui contient l'ID de l'organisation et le type de journal d'audit.resource
, qui contient la cible de l'opération faisant l'objet d'un audit.timeStamp
, qui indique l'heure à laquelle l'opération auditée a été effectuée.protoPayload
, qui contient le journal d'audit de Google Workspace dans son champmetadata
.
Le champ protoPayload.metadata
contient les informations auditées de Google Workspace. Voici un exemple de journal d'audit de connexion :
{ "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": "test-user@example.net" }, "requestMetadata": { "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff", "requestAttributes": {}, "destinationAttributes": {} }, "serviceName": "login.googleapis.com", "methodName": "google.login.LoginService.loginFailure", "resourceName": "organizations/123", "metadata": { "event": [ { "eventName": "login_failure", "eventType": "login", "parameter": [ { "value": "google_password", "type": "TYPE_STRING", "name": "login_type", }, { "name": "login_challenge_method", "type": "TYPE_STRING", "label": "LABEL_REPEATED", "multiStrValue": [ "password", "idv_preregistered_phone", "idv_preregistered_phone" ] }, ] } ], "activityId": { "uniqQualifier": "358068855354", "timeUsec": "1632500217183212" }, "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto" } }, "insertId": "-nahbepd4l1x", "resource": { "type": "audited_resource", "labels": { "method": "google.login.LoginService.loginFailure", "service": "login.googleapis.com" } }, "timestamp": "2021-09-24T16:16:57.183212Z", "severity": "NOTICE", "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access", "receiveTimestamp": "2021-09-24T17:51:25.034361197Z" }
Pour en savoir plus sur les champs des journaux d'audit spécifiques au service et sur leur interprétation, sélectionnez l'un des services répertoriés dans la section Journaux d'audit disponibles.
Voir les journaux
Pour en savoir plus sur l'affichage des journaux d'audit Google Workspace, consultez la page Afficher et gérer les journaux d'audit pour Google Workspace.
Acheminer les journaux d'audit
Vous pouvez acheminer les journaux d'audit Google Workspace depuis Cloud Logging vers des destinations compatibles, y compris d'autres buckets Logging.
Voici des exemples d'applications dédiées au routage des journaux d'audit :
Pour utiliser des fonctionnalités de recherche plus puissantes, vous pouvez acheminer des copies des journaux d'audit vers Cloud Storage, BigQuery ou Pub/Sub. Avec Pub/Sub, vous avez la possibilité d'acheminer vos journaux vers d'autres applications, d'autres dépôts, ainsi que vers des organisations tierces.
Pour gérer les journaux d'audit à l'échelle de votre organisation, vous pouvez créer des récepteurs agrégés qui combinent et acheminent les journaux de tous les projets, comptes de facturation et dossiers Google Cloud de votre organisation. Par exemple, vous pouvez agréger des entrées de journaux d'audit et les acheminer vers différents buckets vers un bucket Cloud Storage.
Pour obtenir des instructions sur le routage des journaux, consultez la section Acheminer les journaux vers les destinations compatibles.
Régionalisation
Vous ne pouvez pas choisir une région dans laquelle stocker vos journaux Google Workspace. Les journaux Google Workspace ne sont pas couverts par la Règle applicable aux régions des données de Google Workspace.
Durées de conservation
Les durées de conservation suivantes s'appliquent aux données de vos journaux d'audit :
Pour chaque organisation, Cloud Logging stocke automatiquement les journaux dans deux buckets : un bucket _Default
et un bucket _Required
. Le bucket _Required
contient les journaux d'audit d'activités d'administration, les journaux d'audit d'événements système et les journaux Access Transparency.
Le bucket _Default
contient toutes les autres entrées de journal qui ne sont pas stockées dans le bucket _Required
. Pour en savoir plus sur les buckets de journaux, consultez la page Présentation du routage et du stockage.
Vous pouvez configurer Cloud Logging de façon à conserver les journaux dans le bucket de journaux _Default
pendant une période allant de un jour à 3 650 jours.
Pour mettre à jour la durée de conservation du bucket de journaux _Default
, consultez la section Conservation personnalisée.
Vous ne pouvez pas modifier la durée de conservation du bucket _Required
.
Quotas et limites
Les mêmes quotas s'appliquent aux journaux d'audit Google Workspace et aux journaux Cloud Audit.
Pour en savoir plus sur ces limites d'utilisation, y compris sur la taille maximale des journaux d'audit, consultez la page Quotas et limites.
Tarifs
Les journaux Google Workspace au niveau de l'organisation sont actuellement gratuits.
Étape suivante
- Découvrez comment configurer et gérer les journaux d'audit Google Workspace.
- Consultez les bonnes pratiques d'utilisation de Cloud Audit Logs.
- Découvrez comment afficher et comprendre les journaux Access Transparency pour Google Workspace.