Informations concernant les journaux d'audit G Suite

Cette page décrit les journaux d'audit fournis par G Suite dans le cadre des journaux d'audit Cloud.

Présentation

Les services Google Cloud alimentent des journaux d'audit pour vous aider à déterminer qui fait quoi, où et quand. Vous pouvez partager vos journaux d'audit G Suite avec Google Cloud pour stocker, interroger, analyser, surveiller les données de journal d'audit G Suite, et créer des alertes concernant ces informations.

Il existe trois types de journaux d'audit Cloud pour les ressources Google Cloud :

  • Journaux d'audit des activités d'administration : ces journaux enregistrent les opérations modifiant la configuration ou les métadonnées d'une ressource.
  • Journaux d'audit des accès aux données : ces journaux contiennent des appels d'API qui lisent la configuration ou les métadonnées des ressources, et des appels d'API pilotés par l'utilisateur qui créent, modifient ou lisent des données de ressources fournies par l'utilisateur. Les journaux d'audit pour l'accès aux données n'enregistrent pas les opérations d'accès aux données stockées sur des ressources partagées publiquement (accessibles à tous ou à tous les utilisateurs authentifiés), ni celles concernant les données auxquelles il est possible d'accéder sans se connecter à un compte G Suite, Cloud Identity ou Drive Enterprise.
  • Journaux d'audit d'événements système : ces journaux contiennent des entrées associées aux actions d'administration de Google Cloud qui modifient la configuration des ressources.

Au niveau d'une organisation Google Cloud, G Suite fournit les journaux d'audit comme suit :

Pour découvrir Cloud Audit Logs, consultez la page Cloud Audit Logs. Pour approfondir vos connaissances sur Cloud Audit Logging, consultez la page Comprendre les journaux d'audit.

Premiers pas : partager des données G Suite

Pour activer le partage des données G Suite avec Cloud Audit Logging depuis votre compte G Suite, Cloud Identity ou Drive Enterprise, consultez les instructions de cet article d'aide pour les administrateurs G Suite.

Si vous activez le partage des données G Suite avec Google Cloud, vous ne pouvez pas désactiver les journaux d'audit G Suite de manière sélective via la page IAM et admin > Journaux d'audit de Google Cloud Console, mais vous pouvez toutefois procéder à l'exclusion de ces journaux.

Si le partage de données G Suite avec Google Cloud est activé, les journaux d'audit G Suite sont toujours activés. Si vous désactivez le partage des données G Suite, les nouveaux événements de journal d'audit G Suite ne sont plus envoyés à Cloud Audit Logging, mais tous les journaux existants sont conservés en fonction de leurs durées de conservation par défaut, sauf si vous avez configuré une conservation personnalisée afin de les garder plus longtemps.

Informations spécifiques au service

Les détails des journaux d'audit de chaque service G Suite sont les suivants :

Autorisations relatives aux journaux d'audit

Dans Google Cloud, les autorisations et les rôles de gestion de l'authentification et des accès déterminent les journaux d'audit que vous pouvez afficher ou exporter. Les journaux d'audit G Suite se trouvent dans les organisations Google Cloud.

Pour afficher les journaux pour les activités d'administration, vous devez disposer d'un des rôles IAM suivants dans l'organisation Google Cloud qui contient vos journaux d'audit :

Pour afficher les journaux d'audit des accès aux données, vous devez disposer de l'un des rôles suivants dans l'organisation Google Cloud qui contient vos journaux d'audit :

Pour en savoir plus, consultez la page Comprendre les rôles.

Format des journaux d'audit

Les entrées de journal d'audit G Suite, qui peuvent être affichées dans Cloud Logging à l'aide de la visionneuse de journaux en mode aperçu, de l'API Cloud Logging ou de l'outil de ligne de commande gcloud, incluent les objets suivants :

  • L'entrée de journal proprement dite, qui est un objet de type LogEntry. Les champs utiles sont les suivants :

    • logName, qui contient l'identification du projet et le type du journal d'audit
    • resource, qui contient la cible de l'opération faisant l'objet d'un audit
    • timeStamp, qui indique l'heure à laquelle l'opération auditée a été effectuée
    • protoPayload, qui contient les informations auditées
  • Les données de journalisation d'audit, qui correspondent à un objet AuditLog inclus dans le champ protoPayload de l'entrée de journal.

  • Un objet (facultatif) de type "informations d'audit propres au service", consigné dans le champ serviceData de l'objet AuditLog. Pour en savoir plus, consultez la section Données d'audit spécifiques au service.

Pour en savoir plus sur les autres champs de ces objets, ainsi que sur leur interprétation, consultez la page Comprendre les journaux d'audit.

Afficher les journaux

Pour localiser et afficher les journaux d'audit dans Logging, vous devez connaître l'identifiant de l'organisation Google Cloud dont vous souhaitez consulter les informations de journalisation d'audit. Vous pouvez également spécifier d'autres champs LogEntry indexés, comme resource.type. Pour en savoir plus, consultez la section Trouver des entrées de journal rapidement.

Voici les noms des journaux d'audit G Suite :

   organizations/organization-id/logs/cloudaudit.googleapis.com%2Factivity
   organizations/organization-id/logs/cloudaudit.googleapis.com%2Fdata_access

Plusieurs options s'offrent à vous pour afficher les entrées de votre journal d'audit.

CLOUD CONSOLE

Pour récupérer les entrées de journal d'audit pour votre organisation Google Cloud à l'aide de la visionneuse de journaux (aperçu) dans Google Cloud Console, procédez comme suit :

  1. Accédez à la page Logging > Journaux (Visionneuse de journaux) :

    Accéder à la page Visionneuse de journaux

  2. Sélectionnez un projet Google Cloud existant en haut de la page.

  3. Dans le menu de l'outil de sélection des versions, passez de la version classique de la visionneuse de journaux à la version Aperçu.

    Vous êtes maintenant dans la visionneuse de journaux (aperçu).

  4. Dans le menu Sélecteur de projet, sélectionnez une organisation.

  5. Dans le menu déroulant Ressource, sélectionnez le type de ressource dont vous souhaitez afficher les journaux d'audit.

  6. Dans le menu déroulant Nom du journal, sélectionnez data_access pour les journaux d'audit des accès aux données ou activity pour les journaux d'audit des activités d'administration.

    Si ces options ne s'affichent pas, cela signifie que ces journaux d'audit ne sont actuellement pas disponibles dans l'organisation.

Accédez à l'interface de la visionneuse de journaux (aperçu) pour en savoir plus.

API

Pour consulter vos entrées de journal d'audit à l'aide de l'API Logging, procédez comme suit :

  1. Accédez à la section Essayer cette API dans la documentation de la méthode entries.list.

  2. Insérez les éléments suivants dans la partie Corps de la requête du formulaire Essayer cette API. En cliquant sur ce formulaire prérempli, vous remplissez automatiquement le corps de la requête mais vous devez fournir un ID de projet organization-id valide pour chaque nom de journal.

          {
            "resourceNames": [
              "organizations/organization-id"
            ],
            "pageSize": 5,
            "filter": "logName : organizations/organization-id/logs/cloudaudit.googleapis.com"
          }
    
  3. Cliquez sur Exécuter.

Pour en savoir plus sur les requêtes, consultez la page Langage de requête Logging.

GCLOUD

L'outil de ligne de commande gcloud fournit une interface de ligne de commande à l'API Cloud Logging. Pour lire vos entrées de journaux, exécutez la commande suivante. Fournissez un ID de projet organization-id valide pour chacun des noms de journaux.

    gcloud logging read "logName : organizations/organization-id/logs/cloudaudit.googleapis.com"

Consultez la section Lire des entrées de journal pour en savoir plus sur l'utilisation de l'outil de ligne de commande gcloud.

Gérer les journaux d'audit

Pour conserver les journaux d'audit plus longtemps que les durées de conservation par défaut, vous pouvez définir une conservation personnalisée.

Vous pouvez également exporter des journaux d'audit G Suite depuis Cloud Logging de la même manière que vous exportez d'autres types de journaux. Pour en savoir plus sur l'exportation des journaux, reportez-vous à la page Exporter des journaux.

Voici des exemples d'applications associées à l'exportation des journaux d'audit :

  • Pour utiliser des fonctionnalités de recherche plus puissantes, vous pouvez exporter des copies des journaux d'audit vers Cloud Storage, BigQuery ou Pub/Sub. Avec Pub/Sub, vous avez la possibilité d'exporter vos journaux vers d'autres applications, d'autres dépôts, ainsi que vers des organisations tierces.

  • Pour gérer les journaux d'audit à l'échelle de votre organisation, vous pouvez créer des récepteurs agrégés capables d'exporter les journaux pour un projet spécifique ou pour l'ensemble des projets de l'organisation.

Tarifs

Les journaux G Suite au niveau de l'organisation sont actuellement gratuits.