Cette page a été traduite par l'API Cloud Translation.
Switch to English

Informations concernant les journaux d'audit Google Workspace

Cette page décrit les journaux d'audit fournis par Google Workspace dans le cadre des journaux d'audit Cloud.

Présentation

Les services Google Cloud alimentent des journaux d'audit pour vous aider à déterminer qui fait quoi, où et quand. Vous pouvez partager vos journaux d'audit Google Workspace avec Google Cloud pour stocker, interroger, analyser et surveiller les données des journaux d'audit Google Workspace, et créer des alertes concernant ces informations.

Il existe trois types de journaux d'audit Cloud pour les ressources Google Cloud :

  • Journaux d'audit des activités d'administration : ces journaux enregistrent les opérations modifiant la configuration ou les métadonnées d'une ressource.
  • Journaux d'audit des accès aux données : ces journaux contiennent des appels d'API qui lisent la configuration ou les métadonnées des ressources, et des appels d'API pilotés par l'utilisateur qui créent, modifient ou lisent des données de ressources fournies par l'utilisateur. Les journaux d'audit pour l'accès aux données n'enregistrent pas les opérations d'accès aux données stockées sur des ressources partagées publiquement (accessibles à tous les utilisateurs ou à tous les utilisateurs authentifiés), ni celles auxquelles il est possible d'accéder sans se connecter à un compte Google Workspace, Cloud Identity ou Drive Enterprise.
  • Journaux d'audit d'événements système : ces journaux contiennent des entrées associées aux actions d'administration de Google Cloud qui modifient la configuration des ressources.

Au niveau d'une organisation Google Cloud, Google Workspace fournit les journaux d'audit comme suit :

Pour découvrir les journaux d'audit Cloud, consultez la page Journaux d'audit Cloud. Pour approfondir vos connaissances sur Cloud Audit Logs, consultez la page Comprendre les journaux d'audit.

Premiers pas : partager des données Google Workspace

Pour activer le partage des données Google Workspace avec Cloud Audit Logging depuis votre compte Google Workspace, Cloud Identity ou Drive Enterprise, consultez les instructions de cet article d'aide pour les administrateurs Google Workspace.

Si vous activez le partage des données Google Workspace avec Google Cloud, vous ne pouvez pas désactiver de manière sélective les journaux d'audit Google Workspace via la page IAM et administration > Journaux d'audit de Google Cloud Console. Vous pouvez toutefois exclure ces journaux.

Si le partage des données Google Workspace avec Google Cloud est activé, les journaux d'audit Google Workspace sont toujours activés. Si vous désactivez le partage des données Google Workspace, les nouveaux événements du journal d'audit Google Workspace ne sont plus envoyés à Cloud Audit Logging. Cependant, tous les journaux existants sont conservés en fonction de leurs durées de conservation par défaut, sauf si vous avez configuré une conservation personnalisée afin de les garder plus longtemps.

Informations spécifiques au service

Les détails des journaux d'audit de chaque service Google Workspace sont les suivants :

Autorisations relatives aux journaux d'audit

Dans Google Cloud, les autorisations et les rôles de gestion de l'authentification et des accès déterminent les journaux d'audit que vous pouvez afficher ou exporter. Les journaux d'audit Google Workspace se trouvent dans les organisations Google Cloud.

Pour afficher les journaux pour les activités d'administration, vous devez disposer d'un des rôles IAM suivants dans l'organisation Google Cloud qui contient vos journaux d'audit :

Pour afficher les journaux d'audit des accès aux données, vous devez disposer de l'un des rôles suivants dans l'organisation Google Cloud qui contient vos journaux d'audit :

Pour en savoir plus, consultez la page Comprendre les rôles.

Format des journaux d'audit

Les entrées des journaux d'audit Google Workspace, qui peuvent être affichées dans Cloud Logging à l'aide de l'explorateur de journaux, de l'API Cloud Logging ou de l'outil de ligne de commande gcloud, incluent les objets suivants :

  • L'entrée de journal proprement dite, qui est un objet de type LogEntry. Les champs utiles sont les suivants :

    • logName, qui contient l'identification du projet et le type du journal d'audit
    • resource, qui contient la cible de l'opération faisant l'objet d'un audit
    • timeStamp, qui indique l'heure à laquelle l'opération auditée a été effectuée
    • protoPayload, qui contient les informations auditées
  • Les données de journalisation d'audit, qui correspondent à un objet AuditLog inclus dans le champ protoPayload de l'entrée de journal.

  • Un objet (facultatif) de type "informations d'audit propres au service", consigné dans le champ serviceData de l'objet AuditLog. Pour en savoir plus, consultez la section Données d'audit spécifiques au service.

Pour en savoir plus sur les autres champs de ces objets, ainsi que leur interprétation, consultez la page Comprendre les journaux d'audit.

Afficher les journaux

Pour localiser et afficher les journaux d'audit dans Logging, vous devez connaître l'identifiant de l'organisation Google Cloud dont vous souhaitez consulter les informations de journalisation d'audit. Vous pouvez également spécifier d'autres champs LogEntry indexés, comme resource.type. Pour en savoir plus, consultez la section Trouver des entrées de journal rapidement.

Voici les noms des journaux d'audit Google Workspace :

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Plusieurs options s'offrent à vous pour afficher les entrées de vos journaux d'audit.

CLOUD CONSOLE

Pour récupérer les entrées des journaux d'audit de votre organisation Google Cloud à l'aide de l'explorateur de journaux dans Google Cloud Console, procédez comme suit :

  1. Accédez à la page Journalisation > Explorateur de journaux :

    Accéder à la page "Explorateur de journaux"

  2. Sélectionnez un projet Google Cloud existant en haut de la page.

  3. Vérifiez que vous utilisez l'explorateur de journaux, et non l'ancienne visionneuse de journaux.

  4. Dans le menu Sélecteur de projet, sélectionnez une organisation.

  5. Dans le menu déroulant Ressource, sélectionnez le type de ressource dont vous souhaitez afficher les journaux d'audit.

  6. Dans le menu déroulant Nom du journal, sélectionnez data_access pour les journaux d'audit des accès aux données ou activity pour les journaux d'audit des activités d'administration.

    Si ces options ne s'affichent pas, cela signifie que ces journaux d'audit ne sont actuellement pas disponibles dans l'organisation.

Pour en savoir plus, consultez la page Utiliser l'explorateur de journaux.

API

Pour consulter vos entrées de journal d'audit à l'aide de l'API Logging, procédez comme suit :

  1. Accédez à la section Essayer cette API dans la documentation de la méthode entries.list.

  2. Insérez les éléments suivants dans la partie Corps de la requête du formulaire Essayer cette API. En cliquant sur ce formulaire prérempli, vous remplissez automatiquement le corps de la requête mais vous devez fournir un ID de projet ORGANIZATION_ID valide pour chaque nom de journal.

          {
            "resourceNames": [
              "organizations/ORGANIZATION_ID"
            ],
            "pageSize": 5,
            "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
          }
    
  3. Cliquez sur Exécuter.

Pour en savoir plus sur les requêtes, consultez la page Langage de requête Logging.

GCLOUD

L'outil de ligne de commande gcloud fournit une interface de ligne de commande à l'API Cloud Logging. Pour lire vos entrées de journaux, exécutez la commande suivante. Fournissez un ID de projet ORGANIZATION_ID valide pour chacun des noms de journaux.

    gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"

Consultez la section Lire des entrées de journal pour en savoir plus sur l'utilisation de l'outil de ligne de commande gcloud.

Gérer les journaux d'audit

Pour conserver les journaux d'audit plus longtemps que les durées de conservation par défaut, vous pouvez définir une conservation personnalisée.

Vous pouvez également exporter les journaux d'audit Google Workspace depuis Cloud Logging de la même manière que vous exportez d'autres types de journaux. Pour en savoir plus sur l'exportation des journaux, reportez-vous à la page Exporter des journaux.

Voici des exemples d'applications associées à l'exportation des journaux d'audit :

  • Pour utiliser des fonctionnalités de recherche plus puissantes, vous pouvez exporter des copies des journaux d'audit vers Cloud Storage, BigQuery ou Pub/Sub. Avec Pub/Sub, vous avez la possibilité d'exporter vos journaux vers d'autres applications, d'autres dépôts, ainsi que vers des organisations tierces.

  • Pour gérer les journaux d'audit à l'échelle de votre organisation, vous pouvez créer des récepteurs agrégés capables d'exporter les journaux pour un projet spécifique ou pour l'ensemble des projets de l'organisation.

Tarifs

Les journaux Google Workspace sont actuellement gratuits.