[{
"type": "thumb-down",
"id": "hardToUnderstand",
"label":"Difficile à comprendre"
},{
"type": "thumb-down",
"id": "incorrectInformationOrSampleCode",
"label":"Informations ou exemple de code incorrects"
},{
"type": "thumb-down",
"id": "missingTheInformationSamplesINeed",
"label":"Il n'y a pas l'information/les exemples dont j'ai besoin"
},{
"type": "thumb-down",
"id": "translationIssue",
"label":"Problème de traduction"
},{
"type": "thumb-down",
"id": "otherDown",
"label":"Autre"
}]
[{
"type": "thumb-up",
"id": "easyToUnderstand",
"label":"Facile à comprendre"
},{
"type": "thumb-up",
"id": "solvedMyProblem",
"label":"J'ai pu résoudre mon problème"
},{
"type": "thumb-up",
"id": "otherUp",
"label":"Autre"
}]
Informations concernant les journaux d'audit Google Workspace
Cette page décrit les journaux d'audit fournis par Google Workspace dans le cadre des journaux d'audit Cloud.
Présentation
Les services Google Cloud alimentent des journaux d'audit pour vous aider à déterminer qui fait quoi, où et quand. Vous pouvez partager vos journaux d'audit Google Workspace avec Google Cloud pour stocker, interroger, analyser et surveiller les données des journaux d'audit Google Workspace, et créer des alertes concernant ces informations.
Il existe trois types de journaux d'audit Cloud pour les ressources Google Cloud :
Journaux d'audit des activités d'administration : ces journaux enregistrent les opérations modifiant la configuration ou les métadonnées d'une ressource.
Journaux d'audit des accès aux données : ces journaux contiennent des appels d'API qui lisent la configuration ou les métadonnées des ressources, et des appels d'API pilotés par l'utilisateur qui créent, modifient ou lisent des données de ressources fournies par l'utilisateur. Les journaux d'audit pour l'accès aux données n'enregistrent pas les opérations d'accès aux données stockées sur des ressources partagées publiquement (accessibles à tous les utilisateurs ou à tous les utilisateurs authentifiés), ni celles auxquelles il est possible d'accéder sans se connecter à un compte Google Workspace, Cloud Identity ou Drive Enterprise.
Journaux d'audit d'événements système : ces journaux contiennent des entrées associées aux actions d'administration de Google Cloud qui modifient la configuration des ressources.
Au niveau d'une organisation Google Cloud, Google Workspace fournit les journaux d'audit comme suit :
Premiers pas : partager des données Google Workspace
Pour activer le partage des données Google Workspace avec Cloud Audit Logging depuis votre compte Google Workspace, Cloud Identity ou Drive Enterprise, consultez les instructions de cet article d'aide pour les administrateurs Google Workspace.
Si vous activez le partage des données Google Workspace avec Google Cloud, vous ne pouvez pas désactiver de manière sélective les journaux d'audit Google Workspace via la page IAM et administration > Journaux d'audit de Google Cloud Console. Vous pouvez toutefois exclure ces journaux.
Si le partage des données Google Workspace avec Google Cloud est activé, les journaux d'audit Google Workspace sont toujours activés. Si vous désactivez le partage des données Google Workspace, les nouveaux événements du journal d'audit Google Workspace ne sont plus envoyés à Cloud Audit Logging. Cependant, tous les journaux existants sont conservés en fonction de leurs durées de conservation par défaut, sauf si vous avez configuré une conservation personnalisée afin de les garder plus longtemps.
Informations spécifiques au service
Les détails des journaux d'audit de chaque service Google Workspace sont les suivants :
Groupes Google Workspace Enterprise
Les journaux d'audit des groupes Google Workspace Enterprise utilisent le type de ressource audited_resource.
Les journaux d'audit des groupes Google Workspace Enterprise utilisent le nom de service cloudidentity.googleapis.com.
L'audit des groupes Google Workspace Enterprise n'écrit que les journaux d'audit des activités d'administration. Voici les opérations auditées :
Catégorie de journal d'audit
Opérations auditées
Journaux d'audit pour les activités d'administration
Dans Google Cloud, les autorisations et les rôles de gestion de l'authentification et des accès déterminent les journaux d'audit que vous pouvez afficher ou exporter. Les journaux d'audit Google Workspace se trouvent dans les organisations Google Cloud.
Pour afficher les journaux pour les activités d'administration, vous devez disposer d'un des rôles IAM suivants dans l'organisation Google Cloud qui contient vos journaux d'audit :
Pour afficher les journaux d'audit des accès aux données, vous devez disposer de l'un des rôles suivants dans l'organisation Google Cloud qui contient vos journaux d'audit :
Les entrées des journaux d'audit Google Workspace, qui peuvent être affichées dans Cloud Logging à l'aide de l'explorateur de journaux, de l'API Cloud Logging ou de l'outil de ligne de commande gcloud, incluent les objets suivants :
L'entrée de journal proprement dite, qui est un objet de type LogEntry.
Les champs utiles sont les suivants :
logName, qui contient l'identification du projet et le type du journal d'audit
resource, qui contient la cible de l'opération faisant l'objet d'un audit
timeStamp, qui indique l'heure à laquelle l'opération auditée a été effectuée
protoPayload, qui contient les informations auditées
Les données de journalisation d'audit, qui correspondent à un objet AuditLog inclus dans le champ protoPayload de l'entrée de journal.
Un objet (facultatif) de type "informations d'audit propres au service", consigné dans le champ serviceData de l'objet AuditLog. Pour en savoir plus, consultez la section Données d'audit spécifiques au service.
Pour en savoir plus sur les autres champs de ces objets, ainsi que leur interprétation, consultez la page Comprendre les journaux d'audit.
Afficher les journaux
Pour localiser et afficher les journaux d'audit dans Logging, vous devez connaître l'identifiant de l'organisation Google Cloud dont vous souhaitez consulter les informations de journalisation d'audit. Vous pouvez également spécifier d'autres champs LogEntry indexés, comme resource.type. Pour en savoir plus, consultez la section Trouver des entrées de journal rapidement.
Voici les noms des journaux d'audit Google Workspace :
Plusieurs options s'offrent à vous pour afficher les entrées de vos journaux d'audit.
CLOUD CONSOLE
Pour récupérer les entrées des journaux d'audit de votre organisation Google Cloud à l'aide de l'explorateur de journaux dans Google Cloud Console, procédez comme suit :
Accédez à la page Journalisation > Explorateur de journaux :
Sélectionnez un projet Google Cloud existant en haut de la page.
Vérifiez que vous utilisez l'explorateur de journaux, et non l'ancienne visionneuse de journaux.
Dans le menu Sélecteur de projet, sélectionnez une organisation.
Dans le menu déroulant Ressource, sélectionnez le type de ressource dont vous souhaitez afficher les journaux d'audit.
Dans le menu déroulant Nom du journal, sélectionnez data_access pour les journaux d'audit des accès aux données ou activity pour les journaux d'audit des activités d'administration.
Si ces options ne s'affichent pas, cela signifie que ces journaux d'audit ne sont actuellement pas disponibles dans l'organisation.
Pour consulter vos entrées de journal d'audit à l'aide de l'API Logging, procédez comme suit :
Accédez à la section Essayer cette API dans la documentation de la méthode entries.list.
Insérez les éléments suivants dans la partie Corps de la requête du formulaire Essayer cette API. En cliquant sur ce formulaire prérempli, vous remplissez automatiquement le corps de la requête mais vous devez fournir un ID de projet ORGANIZATION_ID valide pour chaque nom de journal.
L'outil de ligne de commande gcloud fournit une interface de ligne de commande à l'API Cloud Logging. Pour lire vos entrées de journaux, exécutez la commande suivante. Fournissez un ID de projet ORGANIZATION_ID valide pour chacun des noms de journaux.
Consultez la section Lire des entrées de journal pour en savoir plus sur l'utilisation de l'outil de ligne de commande gcloud.
Gérer les journaux d'audit
Pour conserver les journaux d'audit plus longtemps que les durées de conservation par défaut, vous pouvez définir une conservation personnalisée.
Vous pouvez également exporter les journaux d'audit Google Workspace depuis Cloud Logging de la même manière que vous exportez d'autres types de journaux. Pour en savoir plus sur l'exportation des journaux, reportez-vous à la page Exporter des journaux.
Voici des exemples d'applications associées à l'exportation des journaux d'audit :
Pour utiliser des fonctionnalités de recherche plus puissantes, vous pouvez exporter des copies des journaux d'audit vers Cloud Storage, BigQuery ou Pub/Sub. Avec Pub/Sub, vous avez la possibilité d'exporter vos journaux vers d'autres applications, d'autres dépôts, ainsi que vers des organisations tierces.
Pour gérer les journaux d'audit à l'échelle de votre organisation, vous pouvez créer des récepteurs agrégés capables d'exporter les journaux pour un projet spécifique ou pour l'ensemble des projets de l'organisation.
Tarifs
Les journaux Google Workspace sont actuellement gratuits.
[{
"type": "thumb-down",
"id": "hardToUnderstand",
"label":"Difficile à comprendre"
},{
"type": "thumb-down",
"id": "incorrectInformationOrSampleCode",
"label":"Informations ou exemple de code incorrects"
},{
"type": "thumb-down",
"id": "missingTheInformationSamplesINeed",
"label":"Il n'y a pas l'information/les exemples dont j'ai besoin"
},{
"type": "thumb-down",
"id": "translationIssue",
"label":"Problème de traduction"
},{
"type": "thumb-down",
"id": "otherDown",
"label":"Autre"
}]
[{
"type": "thumb-up",
"id": "easyToUnderstand",
"label":"Facile à comprendre"
},{
"type": "thumb-up",
"id": "solvedMyProblem",
"label":"J'ai pu résoudre mon problème"
},{
"type": "thumb-up",
"id": "otherUp",
"label":"Autre"
}]