Log audit untuk Google Workspace

Dokumen ini memberikan ringkasan konseptual tentang log audit yang disediakan Google Workspace sebagai bagian dari Cloud Audit Logs.

Untuk mengetahui informasi tentang cara mengelola log audit Google Workspace, lihat Melihat dan mengelola log audit untuk Google Workspace.

Ringkasan

Layanan Google Cloud menulis log audit untuk membantu Anda menjawab pertanyaan, "Siapa yang melakukan apa, di mana, dan kapan?". Anda dapat membagikan log audit Google Workspace dengan Google Cloud untuk menyimpan, menganalisis, memantau, dan membuat pemberitahuan tentang data Google Workspace.

Log audit untuk Google Workspace tersedia untuk Cloud Identity, Cloud Identity Premium, dan semua pelanggan Google Workspace.

Jika Anda telah mengaktifkan berbagi data Google Workspace dengan Google Cloud, log audit selalu diaktifkan untuk Google Workspace.

Menonaktifkan berbagi data Google Workspace akan menghentikan pengiriman peristiwa log audit Google Workspace baru ke Google Cloud. Semua log yang ada akan tetap melalui periode retensi default, kecuali jika Anda telah mengonfigurasi retensi kustom untuk mempertahankan log dalam jangka waktu yang lebih lama.

Jika Anda tidak mengaktifkan berbagi data Google Workspace dengan Google Cloud, Anda tidak dapat melihat log audit untuk Google Workspace di Google Cloud.

Jenis log audit

Log audit Aktivitas Admin berisi entri log untuk panggilan API atau tindakan lain yang mengubah konfigurasi atau metadata resource. Misalnya, log ini merekam saat pengguna membuat instance VM atau mengubah izin Identity and Access Management (IAM).

Log audit Akses Data berisi panggilan API yang membaca konfigurasi atau metadata resource, serta panggilan API berbasis pengguna untuk membuat, mengubah, atau membaca data resource yang disediakan pengguna. Log audit Akses Data tidak mencatat operasi akses data di resource yang dibagikan secara publik (tersedia untuk Semua Pengguna atau Semua Pengguna Terautentikasi) atau yang dapat diakses tanpa login ke akun Google Cloud, Google Workspace, Cloud Identity, atau Drive Enterprise.

Layanan Google Workspace meneruskan log audit ke Google Cloud

Google Workspace menyediakan log audit berikut di tingkat organisasi Google Cloud:

Audit Admin Google Workspace: Log Audit Admin memberikan data tindakan yang dilakukan di konsol Google Admin Anda. Misalnya, Anda dapat melihat kapan administrator menambahkan pengguna atau mengaktifkan layanan Google Workspace. Audit Admin hanya menulis log audit Aktivitas Admin.

Catatan: Kecuali jika Anda menggunakan konsol Google Admin, perubahan pada setelan Grup akan direkam di log Audit Google Workspace Enterprise Group. Saat Anda menggunakan konsol Google Admin, perubahan pada setelan Grup dicatat dalam log Audit Admin Google Workspace. Misalnya, jika Anda mengubah alamat email Grup di groups.google.com, perubahan tersebut akan dicatat dalam log Audit Google Workspace Enterprise Group.
Audit Google Workspace Enterprise Group: Log Audit Grup Enterprise menyediakan data tindakan yang dilakukan pada grup dan keanggotaan grup. Misalnya, Anda dapat melihat kapan administrator menambahkan pengguna atau saat pemilik grup menghapus grupnya.

Audit Grup Enterprise hanya menulis log audit Aktivitas Admin.
Audit Login Google Workspace: Log Audit Login melacak login pengguna ke domain Anda. Log ini hanya mencatat peristiwa login. Log tidak mencatat sistem mana yang digunakan untuk melakukan tindakan login.

Audit Login hanya menulis log audit Akses Data.
Audit Token OAuth Google Workspace: Log Audit Token OAuth melacak pengguna yang menggunakan aplikasi seluler atau web pihak ketiga tertentu di domain Anda. Misalnya, saat pengguna membuka aplikasi Google Workspace Marketplace, log akan mencatat nama aplikasi dan orang yang menggunakannya. Log ini juga mencatat setiap kali aplikasi pihak ketiga diberi otorisasi untuk mengakses data Akun Google, seperti file Google Kontak, Kalender, dan Drive (khusus Google Workspace).

Audit Token OAuth menulis log audit Aktivitas Admin dan Akses Data.
Audit SAML Google Workspace: Log audit SAML melacak login pengguna yang berhasil dan gagal ke aplikasi SAML. Entri biasanya muncul dalam waktu satu jam setelah tindakan pengguna.

Audit SAML hanya menulis log audit Akses Data.

Informasi khusus layanan

Detail untuk setiap log audit layanan Google Workspace adalah sebagai berikut:

Aktivitas Admin Google Workspace

Log audit Admin Google Workspace menggunakan jenis resource audited_resource untuk semua log audit.

Log audit Admin Google Workspace menggunakan nama layanan admin.googleapis.com.

Audit Admin Google Workspace hanya menulis log audit Aktivitas Admin. Berikut adalah operasi yang diaudit:

Jenis aktivitas	`AuditLog.method_name`
ALERT_CENTER	`google.admin.AdminService.alertCenterBatchDeleteAlerts` `google.admin.AdminService.alertCenterBatchUndeleteAlerts` `google.admin.AdminService.alertCenterCreateAlert` `google.admin.AdminService.alertCenterCreateFeedback` `google.admin.AdminService.alertCenterDeleteAlert` `google.admin.AdminService.alertCenterGetAlertMetadata` `google.admin.AdminService.alertCenterGetCustomerSettings` `google.admin.AdminService.alertCenterGetSitLink` `google.admin.AdminService.alertCenterListChange` `google.admin.AdminService.alertCenterListFeedback` `google.admin.AdminService.alertCenterListRelatedAlerts` `google.admin.AdminService.alertCenterUndeleteAlert` `google.admin.AdminService.alertCenterUpdateAlert` `google.admin.AdminService.alertCenterUpdateAlertMetadata` `google.admin.AdminService.alertCenterUpdateCustomerSettings` `google.admin.AdminService.alertCenterView`
APPLICATION_SETTINGS	`google.admin.AdminService.changeApplicationSetting` `google.admin.AdminService.createApplicationSetting` `google.admin.AdminService.deleteApplicationSetting` `google.admin.AdminService.reorderGroupBasedPoliciesEvent` `google.admin.AdminService.gplusPremiumFeatures` `google.admin.AdminService.createManagedConfiguration` `google.admin.AdminService.deleteManagedConfiguration` `google.admin.AdminService.updateManagedConfiguration` `google.admin.AdminService.flashlightEduNonFeaturedServicesSelected`
CALENDAR_SETTINGS	`google.admin.AdminService.createBuilding` `google.admin.AdminService.deleteBuilding` `google.admin.AdminService.updateBuilding` `google.admin.AdminService.createCalendarResource` `google.admin.AdminService.deleteCalendarResource` `google.admin.AdminService.createCalendarResourceFeature` `google.admin.AdminService.deleteCalendarResourceFeature` `google.admin.AdminService.updateCalendarResourceFeature` `google.admin.AdminService.renameCalendarResource` `google.admin.AdminService.updateCalendarResource` `google.admin.AdminService.changeCalendarSetting` `google.admin.AdminService.cancelCalendarEvents` `google.admin.AdminService.releaseCalendarResources`
CHAT_SETTINGS	`google.admin.AdminService.meetInteropCreateGateway` `google.admin.AdminService.meetInteropDeleteGateway` `google.admin.AdminService.meetInteropModifyGateway` `google.admin.AdminService.changeChatSetting`
CHROME_OS_SETTINGS	`google.admin.AdminService.changeChromeOsAndroidApplicationSetting` `google.admin.AdminService.changeChromeOsApplicationSetting` `google.admin.AdminService.sendChromeOsDeviceCommand` `google.admin.AdminService.changeChromeOsDeviceAnnotation` `google.admin.AdminService.changeChromeOsDeviceSetting` `google.admin.AdminService.changeChromeOsDeviceState` `google.admin.AdminService.changeChromeOsPublicSessionSetting` `google.admin.AdminService.insertChromeOsPrinter` `google.admin.AdminService.deleteChromeOsPrinter` `google.admin.AdminService.updateChromeOsPrinter` `google.admin.AdminService.changeChromeOsSetting` `google.admin.AdminService.changeChromeOsUserSetting` `google.admin.AdminService.removeChromeOsApplicationSettings`
CONTACTS_SETTINGS	`google.admin.AdminService.changeContactsSetting`
DELEGATED_ADMIN_SETTINGS	`google.admin.AdminService.assignRole` `google.admin.AdminService.createRole` `google.admin.AdminService.deleteRole` `google.admin.AdminService.addPrivilege` `google.admin.AdminService.removePrivilege` `google.admin.AdminService.renameRole` `google.admin.AdminService.updateRole` `google.admin.AdminService.unassignRole`
DEVICE_SETTINGS	`google.admin.AdminService.deleteDevice` `google.admin.AdminService.moveDeviceToOrgUnit`
DOCS_SETTINGS	`google.admin.AdminService.transferDocumentOwnership` `google.admin.AdminService.driveDataRestore` `google.admin.AdminService.changeDocsSetting`
DOMAIN_SETTINGS	`google.admin.AdminService.changeAccountAutoRenewal` `google.admin.AdminService.addApplication` `google.admin.AdminService.addApplicationToWhitelist` `google.admin.AdminService.changeAdvertisementOption` `google.admin.AdminService.createAlert` `google.admin.AdminService.changeAlertCriteria` `google.admin.AdminService.deleteAlert` `google.admin.AdminService.alertReceiversChanged` `google.admin.AdminService.renameAlert` `google.admin.AdminService.alertStatusChanged` `google.admin.AdminService.addDomainAlias` `google.admin.AdminService.removeDomainAlias` `google.admin.AdminService.skipDomainAliasMx` `google.admin.AdminService.verifyDomainAliasMx` `google.admin.AdminService.verifyDomainAlias` `google.admin.AdminService.toggleOauthAccessToAllApis` `google.admin.AdminService.toggleAllowAdminPasswordReset` `google.admin.AdminService.enableApiAccess` `google.admin.AdminService.authorizeApiClientAccess` `google.admin.AdminService.removeApiClientAccess` `google.admin.AdminService.chromeLicensesRedeemed` `google.admin.AdminService.toggleAutoAddNewService` `google.admin.AdminService.changePrimaryDomain` `google.admin.AdminService.changeWhitelistSetting` `google.admin.AdminService.communicationPreferencesSettingChange` `google.admin.AdminService.changeConflictAccountAction` `google.admin.AdminService.enableFeedbackSolicitation` `google.admin.AdminService.toggleContactSharing` `google.admin.AdminService.createPlayForWorkToken` `google.admin.AdminService.toggleUseCustomLogo` `google.admin.AdminService.changeCustomLogo` `google.admin.AdminService.changeDataLocalizationForRussia` `google.admin.AdminService.changeDataLocalizationSetting` `google.admin.AdminService.changeDataProtectionOfficerContactInfo` `google.admin.AdminService.deletePlayForWorkToken` `google.admin.AdminService.viewDnsLoginDetails` `google.admin.AdminService.changeDomainDefaultLocale` `google.admin.AdminService.changeDomainDefaultTimezone` `google.admin.AdminService.changeDomainName` `google.admin.AdminService.toggleEnablePreReleaseFeatures` `google.admin.AdminService.changeDomainSupportMessage` `google.admin.AdminService.addTrustedDomains` `google.admin.AdminService.removeTrustedDomains` `google.admin.AdminService.changeEduType` `google.admin.AdminService.toggleEnableOauthConsumerKey` `google.admin.AdminService.toggleSsoEnabled` `google.admin.AdminService.toggleSsl` `google.admin.AdminService.changeEuRepresentativeContactInfo` `google.admin.AdminService.generateTransferToken` `google.admin.AdminService.changeLoginBackgroundColor` `google.admin.AdminService.changeLoginBorderColor` `google.admin.AdminService.changeLoginActivityTrace` `google.admin.AdminService.playForWorkEnroll` `google.admin.AdminService.playForWorkUnenroll` `google.admin.AdminService.mxRecordVerificationClaim` `google.admin.AdminService.toggleNewAppFeatures` `google.admin.AdminService.toggleUseNextGenControlPanel` `google.admin.AdminService.uploadOauthCertificate` `google.admin.AdminService.regenerateOauthConsumerSecret` `google.admin.AdminService.toggleOpenIdEnabled` `google.admin.AdminService.changeOrganizationName` `google.admin.AdminService.toggleOutboundRelay` `google.admin.AdminService.changePasswordMaxLength` `google.admin.AdminService.changePasswordMinLength` `google.admin.AdminService.updateDomainPrimaryAdminEmail` `google.admin.AdminService.enableServiceOrFeatureNotifications` `google.admin.AdminService.removeApplication` `google.admin.AdminService.removeApplicationFromWhitelist` `google.admin.AdminService.changeRenewDomainRegistration` `google.admin.AdminService.changeResellerAccess` `google.admin.AdminService.ruleActionsChanged` `google.admin.AdminService.createRule` `google.admin.AdminService.changeRuleCriteria` `google.admin.AdminService.deleteRule` `google.admin.AdminService.renameRule` `google.admin.AdminService.ruleStatusChanged` `google.admin.AdminService.addSecondaryDomain` `google.admin.AdminService.removeSecondaryDomain` `google.admin.AdminService.skipSecondaryDomainMx` `google.admin.AdminService.verifySecondaryDomainMx` `google.admin.AdminService.verifySecondaryDomain` `google.admin.AdminService.updateDomainSecondaryEmail` `google.admin.AdminService.changeSsoSettings` `google.admin.AdminService.generatePin` `google.admin.AdminService.updateRule`
EMAIL_SETTINGS	`google.admin.AdminService.dropFromQuarantine` `google.admin.AdminService.emailLogSearch` `google.admin.AdminService.emailUndelete` `google.admin.AdminService.changeEmailSetting` `google.admin.AdminService.changeGmailSetting` `google.admin.AdminService.createGmailSetting` `google.admin.AdminService.deleteGmailSetting` `google.admin.AdminService.rejectFromQuarantine` `google.admin.AdminService.releaseFromQuarantine`
GROUP_SETTINGS	`google.admin.AdminService.createGroup` `google.admin.AdminService.deleteGroup` `google.admin.AdminService.changeGroupDescription` `google.admin.AdminService.groupListDownload` `google.admin.AdminService.addGroupMember` `google.admin.AdminService.removeGroupMember` `google.admin.AdminService.updateGroupMember` `google.admin.AdminService.updateGroupMemberDeliverySettings` `google.admin.AdminService.updateGroupMemberDeliverySettingsCanEmailOverride` `google.admin.AdminService.groupMemberBulkUpload` `google.admin.AdminService.groupMembersDownload` `google.admin.AdminService.changeGroupName` `google.admin.AdminService.changeGroupSetting` `google.admin.AdminService.whitelistedGroupsUpdated`
LABEL	`google.admin.AdminService.labelDeleted` `google.admin.AdminService.labelDisabled` `google.admin.AdminService.labelReenabled` `google.admin.AdminService.labelPermissionUpdated` `google.admin.AdminService.labelPermissionDeleted` `google.admin.AdminService.labelPublished` `google.admin.AdminService.labelCreated` `google.admin.AdminService.labelUpdated`
LICENSES_SETTINGS	`google.admin.AdminService.orgUsersLicenseAssignment` `google.admin.AdminService.orgAllUsersLicenseAssignment` `google.admin.AdminService.userLicenseAssignment` `google.admin.AdminService.changeLicenseAutoAssign` `google.admin.AdminService.userLicenseReassignment` `google.admin.AdminService.orgLicenseRevoke` `google.admin.AdminService.userLicenseRevoke` `google.admin.AdminService.updateDynamicLicense` `google.admin.AdminService.licenseUsageUpdate`
MOBILE_SETTINGS	`google.admin.AdminService.actionCancelled` `google.admin.AdminService.actionRequested` `google.admin.AdminService.addMobileCertificate` `google.admin.AdminService.companyDevicesBulkCreation` `google.admin.AdminService.companyOwnedDeviceBlocked` `google.admin.AdminService.companyDeviceDeletion` `google.admin.AdminService.companyOwnedDeviceUnblocked` `google.admin.AdminService.companyOwnedDeviceWiped` `google.admin.AdminService.changeMobileApplicationPermissionGrant` `google.admin.AdminService.changeMobileApplicationPriorityOrder` `google.admin.AdminService.removeMobileApplicationFromWhitelist` `google.admin.AdminService.changeMobileApplicationSettings` `google.admin.AdminService.addMobileApplicationToWhitelist` `google.admin.AdminService.mobileDeviceApprove` `google.admin.AdminService.mobileDeviceBlock` `google.admin.AdminService.mobileDeviceDelete` `google.admin.AdminService.mobileDeviceWipe` `google.admin.AdminService.changeMobileSetting` `google.admin.AdminService.changeAdminRestrictionsPin` `google.admin.AdminService.changeMobileWirelessNetwork` `google.admin.AdminService.addMobileWirelessNetwork` `google.admin.AdminService.removeMobileWirelessNetwork` `google.admin.AdminService.changeMobileWirelessNetworkPassword` `google.admin.AdminService.removeMobileCertificate` `google.admin.AdminService.enrollForGoogleDeviceManagement` `google.admin.AdminService.useGoogleMobileManagement` `google.admin.AdminService.useGoogleMobileManagementForNonIos` `google.admin.AdminService.useGoogleMobileManagementForIos` `google.admin.AdminService.mobileAccountWipe` `google.admin.AdminService.mobileDeviceCancelWipeThenApprove` `google.admin.AdminService.mobileDeviceCancelWipeThenBlock`
ORG_SETTINGS	`google.admin.AdminService.chromeLicensesEnabled` `google.admin.AdminService.chromeApplicationLicenseReservationCreated` `google.admin.AdminService.chromeApplicationLicenseReservationDeleted` `google.admin.AdminService.chromeApplicationLicenseReservationUpdated` `google.admin.AdminService.assignCustomLogo` `google.admin.AdminService.unassignCustomLogo` `google.admin.AdminService.createEnrollmentToken` `google.admin.AdminService.revokeEnrollmentToken` `google.admin.AdminService.chromeLicensesAllowed` `google.admin.AdminService.createOrgUnit` `google.admin.AdminService.removeOrgUnit` `google.admin.AdminService.editOrgUnitDescription` `google.admin.AdminService.moveOrgUnit` `google.admin.AdminService.editOrgUnitName` `google.admin.AdminService.toggleServiceEnabled`
SECURITY_INVESTIGATION	`google.admin.AdminService.securityInvestigationAction` `google.admin.AdminService.securityInvestigationActionCancellation` `google.admin.AdminService.securityInvestigationActionCompletion` `google.admin.AdminService.securityInvestigationActionRetry` `google.admin.AdminService.securityInvestigationActionVerificationConfirmation` `google.admin.AdminService.securityInvestigationActionVerificationRequest` `google.admin.AdminService.securityInvestigationActionVerificationRequestExpiration` `google.admin.AdminService.securityInvestigationChartCreate` `google.admin.AdminService.securityInvestigationContentAccess` `google.admin.AdminService.securityInvestigationDownloadAttachment` `google.admin.AdminService.securityInvestigationExportActionResults` `google.admin.AdminService.securityInvestigationExportQuery` `google.admin.AdminService.securityInvestigationObjectCreateDraftInvestigation` `google.admin.AdminService.securityInvestigationObjectDeleteInvestigation` `google.admin.AdminService.securityInvestigationObjectDuplicateInvestigation` `google.admin.AdminService.securityInvestigationObjectOwnershipTransfer` `google.admin.AdminService.securityInvestigationObjectSaveInvestigation` `google.admin.AdminService.securityInvestigationObjectUpdateDirectSharing` `google.admin.AdminService.securityInvestigationObjectUpdateLinkSharing` `google.admin.AdminService.securityInvestigationQuery` `google.admin.AdminService.securityInvestigationSettingUpdate`
SECURITY_SETTINGS	`google.admin.AdminService.addToTrustedOauth2Apps` `google.admin.AdminService.allowAspWithout2Sv` `google.admin.AdminService.allowServiceForOauth2Access` `google.admin.AdminService.allowStrongAuthentication` `google.admin.AdminService.blockOnDeviceAccess` `google.admin.AdminService.changeAllowedTwoStepVerificationMethods` `google.admin.AdminService.changeAppAccessSettingsCollectionId` `google.admin.AdminService.changeCaaAppAssignments` `google.admin.AdminService.changeCaaDefaultAssignments` `google.admin.AdminService.changeCaaErrorMessage` `google.admin.AdminService.changeSessionLength` `google.admin.AdminService.changeTwoStepVerificationEnrollmentPeriodDuration` `google.admin.AdminService.changeTwoStepVerificationFrequency` `google.admin.AdminService.changeTwoStepVerificationGracePeriodDuration` `google.admin.AdminService.changeTwoStepVerificationStartDate` `google.admin.AdminService.disallowServiceForOauth2Access` `google.admin.AdminService.enableNonAdminUserPasswordRecovery` `google.admin.AdminService.enforceStrongAuthentication` `google.admin.AdminService.removeFromTrustedOauth2Apps` `google.admin.AdminService.sessionControlSettingsChange` `google.admin.AdminService.toggleCaaEnablement` `google.admin.AdminService.trustDomainOwnedOauth2Apps` `google.admin.AdminService.unblockOnDeviceAccess` `google.admin.AdminService.untrustDomainOwnedOauth2Apps` `google.admin.AdminService.updateErrorMsgForRestrictedOauth2Apps` `google.admin.AdminService.weakProgrammaticLoginSettingsChanged`
SITES_SETTINGS	`google.admin.AdminService.addWebAddress` `google.admin.AdminService.deleteWebAddress` `google.admin.AdminService.changeSitesSetting` `google.admin.AdminService.changeSitesWebAddressMappingUpdates` `google.admin.AdminService.viewSiteDetails`
USER_SETTINGS	`google.admin.AdminService.delete2SvScratchCodes` `google.admin.AdminService.generate2SvScratchCodes` `google.admin.AdminService.revoke3LoDeviceTokens` `google.admin.AdminService.revoke3LoToken` `google.admin.AdminService.addRecoveryEmail` `google.admin.AdminService.addRecoveryPhone` `google.admin.AdminService.grantAdminPrivilege` `google.admin.AdminService.revokeAdminPrivilege` `google.admin.AdminService.revokeAsp` `google.admin.AdminService.toggleAutomaticContactSharing` `google.admin.AdminService.bulkUpload` `google.admin.AdminService.bulkUploadNotificationSent` `google.admin.AdminService.cancelUserInvite` `google.admin.AdminService.changeUserCustomField` `google.admin.AdminService.changeUserExternalId` `google.admin.AdminService.changeUserGender` `google.admin.AdminService.changeUserIm` `google.admin.AdminService.enableUserIpWhitelist` `google.admin.AdminService.changeUserKeyword` `google.admin.AdminService.changeUserLanguage` `google.admin.AdminService.changeUserLocation` `google.admin.AdminService.changeUserOrganization` `google.admin.AdminService.changeUserPhoneNumber` `google.admin.AdminService.changeRecoveryEmail` `google.admin.AdminService.changeRecoveryPhone` `google.admin.AdminService.changeUserRelation` `google.admin.AdminService.changeUserAddress` `google.admin.AdminService.createEmailMonitor` `google.admin.AdminService.createDataTransferRequest` `google.admin.AdminService.grantDelegatedAdminPrivileges` `google.admin.AdminService.deleteAccountInfoDump` `google.admin.AdminService.deleteEmailMonitor` `google.admin.AdminService.deleteMailboxDump` `google.admin.AdminService.changeFirstName` `google.admin.AdminService.gmailResetUser` `google.admin.AdminService.changeLastName` `google.admin.AdminService.mailRoutingDestinationAdded` `google.admin.AdminService.mailRoutingDestinationRemoved` `google.admin.AdminService.addNickname` `google.admin.AdminService.removeNickname` `google.admin.AdminService.changePassword` `google.admin.AdminService.changePasswordOnNextLogin` `google.admin.AdminService.downloadPendingInvitesList` `google.admin.AdminService.removeRecoveryEmail` `google.admin.AdminService.removeRecoveryPhone` `google.admin.AdminService.requestAccountInfo` `google.admin.AdminService.requestMailboxDump` `google.admin.AdminService.resendUserInvite` `google.admin.AdminService.resetSigninCookies` `google.admin.AdminService.securityKeyRegisteredForUser` `google.admin.AdminService.revokeSecurityKey` `google.admin.AdminService.userInvite` `google.admin.AdminService.viewTempPassword` `google.admin.AdminService.turnOff2StepVerification` `google.admin.AdminService.unblockUserSession` `google.admin.AdminService.unenrollUserFromTitanium` `google.admin.AdminService.archiveUser` `google.admin.AdminService.updateBirthdate` `google.admin.AdminService.createUser` `google.admin.AdminService.deleteUser` `google.admin.AdminService.downgradeUserFromGplus` `google.admin.AdminService.userEnrolledInTwoStepVerification` `google.admin.AdminService.downloadUserlistCsv` `google.admin.AdminService.moveUserToOrgUnit` `google.admin.AdminService.userPutInTwoStepVerificationGracePeriod` `google.admin.AdminService.renameUser` `google.admin.AdminService.unenrollUserFromStrongAuth` `google.admin.AdminService.suspendUser` `google.admin.AdminService.unarchiveUser` `google.admin.AdminService.undeleteUser` `google.admin.AdminService.unsuspendUser` `google.admin.AdminService.upgradeUserToGplus` `google.admin.AdminService.usersBulkUpload` `google.admin.AdminService.usersBulkUploadNotificationSent`

Grup Google Workspace Enterprise

Log audit Audit Google Workspace Enterprise Group menggunakan jenis resource audited_resource untuk semua log audit.

Log audit Audit Grup Google Workspace Enterprise menggunakan nama layanan cloudidentity.googleapis.com.

Audit Google Workspace Enterprise Group hanya menulis log audit Aktivitas Admin. Berikut adalah operasi yang diaudit:

Kategori log audit	`AuditLog.method_name`
Log audit Aktivitas Admin	`google.apps.cloudidentity.groups.v1.GroupsService.UpdateGroup` `google.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership`

Semua log audit Audit Login Google Workspace menggunakan jenis resource audited_resource.

Log audit Audit Login Google Workspace menggunakan nama layanan login.googleapis.com.

Audit Login Google Workspace hanya menulis log audit Akses Data. Berikut adalah operasi yang diaudit; contoh log untuk setiap operasi tersedia.

Kategori log audit AuditLog.method_name

Log audit Akses Data google.login.LoginService.2svDisable
google.login.LoginService.2svEnroll
google.login.LoginService.accountDisabledPasswordLeak
google.login.LoginService.accountDisabledGeneric
google.login.LoginService.accountDisabledSpammingThroughRelay
google.login.LoginService.accountDisabledSpamming
google.login.LoginService.accountDisabledHijacked
google.login.LoginService.emailForwardingOutOfDomain
google.login.LoginService.govAttackWarning
google.login.LoginService.loginChallenge
google.login.LoginService.loginFailure
google.login.LoginService.loginVerification
google.login.LoginService.logout
google.login.LoginService.loginSuccess
google.login.LoginService.passwordEdit
google.login.LoginService.recoveryEmailEdit
google.login.LoginService.recoveryPhoneEdit
google.login.LoginService.recoverySecretQaEdit
google.login.LoginService.riskySensitiveActionAllowed
google.login.LoginService.riskySensitiveActionBlocked
google.login.LoginService.suspiciousLogin
google.login.LoginService.suspiciousLoginLessSecureApp
google.login.LoginService.suspiciousProgrammaticLogin
google.login.LoginService.titaniumEnroll
google.login.LoginService.titaniumUnenroll

Kategori log audit	`AuditLog.method_name`
Log audit Akses Data	`google.login.LoginService.2svDisable` `google.login.LoginService.2svEnroll` `google.login.LoginService.accountDisabledPasswordLeak` `google.login.LoginService.accountDisabledGeneric` `google.login.LoginService.accountDisabledSpammingThroughRelay` `google.login.LoginService.accountDisabledSpamming` `google.login.LoginService.accountDisabledHijacked` `google.login.LoginService.emailForwardingOutOfDomain` `google.login.LoginService.govAttackWarning` `google.login.LoginService.loginChallenge` `google.login.LoginService.loginFailure` `google.login.LoginService.loginVerification` `google.login.LoginService.logout` `google.login.LoginService.loginSuccess` `google.login.LoginService.passwordEdit` `google.login.LoginService.recoveryEmailEdit` `google.login.LoginService.recoveryPhoneEdit` `google.login.LoginService.recoverySecretQaEdit` `google.login.LoginService.riskySensitiveActionAllowed` `google.login.LoginService.riskySensitiveActionBlocked` `google.login.LoginService.suspiciousLogin` `google.login.LoginService.suspiciousLoginLessSecureApp` `google.login.LoginService.suspiciousProgrammaticLogin` `google.login.LoginService.titaniumEnroll` `google.login.LoginService.titaniumUnenroll`

Token OAuth Google Workspace

Log audit Token OAuth Google Workspace menggunakan jenis resource audited_resource untuk semua log audit.

Log audit Audit Token OAuth Google Workspace menggunakan nama layanan oauth2.googleapis.com.

Audit Token OAuth Google Workspace menulis log audit Aktivitas Admin dan Akses Data. Berikut adalah operasi yang diaudit:

Kategori log audit	`AuditLog.method_name`
Log audit Aktivitas Admin	`google.identity.oauth2.Deny` `google.identity.oauth2.GetToken` `google.identity.oauth2.Request` `google.identity.oauth2.RevokeToken`
Log audit Akses Data	`google.identity.oauth2.GetTokenInfo`

SAML Google Workspace

Log audit SAML Google Workspace menggunakan jenis resource audited_resource untuk semua log audit.

Log audit SAML Google Workspace menggunakan nama layanan login.googleapis.com.

Audit SAML Google Workspace hanya menulis log audit Akses Data. Berikut adalah operasi yang diaudit:

Kategori log audit	`AuditLog.method_name`
Log audit Akses Data	`google.apps.login.v1.SamlLoginFailed`
	`google.apps.login.v1.SamlLoginSucceeded`

Izin log audit

Izin dan peran IAM menentukan kemampuan Anda untuk mengakses data log audit di Logging API, Logs Explorer, dan Google Cloud CLI.

Untuk mengetahui informasi mendetail tentang izin dan peran IAM tingkat organisasi yang mungkin Anda perlukan, lihat Kontrol akses dengan IAM.

Format log audit

Entri log audit Google Workspace menyertakan objek berikut:

Entri log itu sendiri, yang merupakan objek dengan jenis LogEntry. Saat memeriksa data logging audit, Anda mungkin menemukan hal-hal berikut yang berguna:
- logName berisi ID organisasi dan jenis log audit.
- resource berisi target operasi yang diaudit.
- timeStamp berisi waktu operasi yang diaudit.
- protoPayload berisi log audit Google Workspace di kolom metadata.

Kolom protoPayload.metadata berisi informasi Google Workspace yang telah diaudit. Berikut adalah contoh log Audit Login:

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "test-user@example.net"
    },
    "requestMetadata": {
      "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "login.googleapis.com",
    "methodName": "google.login.LoginService.loginFailure",
    "resourceName": "organizations/123",
    "metadata": {
      "event": [
        {
          "eventName": "login_failure",
          "eventType": "login",
          "parameter": [
            {
              "value": "google_password",
              "type": "TYPE_STRING",
              "name": "login_type",
            },
            {
              "name": "login_challenge_method",
              "type": "TYPE_STRING",
              "label": "LABEL_REPEATED",
              "multiStrValue": [
                "password",
                "idv_preregistered_phone",
                "idv_preregistered_phone"
              ]
            },
          ]
        }
      ],
      "activityId": {
        "uniqQualifier": "358068855354",
        "timeUsec": "1632500217183212"
      },
      "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto"
    }
  },
  "insertId": "-nahbepd4l1x",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "method": "google.login.LoginService.loginFailure",
      "service": "login.googleapis.com"
    }
  },
  "timestamp": "2021-09-24T16:16:57.183212Z",
  "severity": "NOTICE",
  "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2021-09-24T17:51:25.034361197Z"
}

Untuk informasi tentang kolom logging audit khusus layanan dan cara menafsirkannya, pilih dari layanan yang tercantum di Log audit yang tersedia.

Lihat log

Untuk mengetahui informasi tentang cara melihat log audit Google Workspace, lihat Melihat dan mengelola log audit untuk Google Workspace.

Rutekan log audit

Anda dapat merutekan log audit Google Workspace dari Cloud Logging ke tujuan yang didukung, termasuk bucket Logging lainnya.

Berikut adalah beberapa aplikasi untuk merutekan log audit:

Untuk menggunakan kemampuan penelusuran yang lebih andal, Anda dapat merutekan salinan log audit Anda ke Cloud Storage, BigQuery, atau Pub/Sub. Dengan Pub/Sub, Anda dapat merutekan ke aplikasi lain, repositori lain, dan ke pihak ketiga.
Untuk mengelola log audit di seluruh organisasi, Anda dapat membuat sink gabungan yang menggabungkan dan merutekan log dari semua project, akun penagihan, dan folder Google Cloud yang terdapat dalam organisasi Anda. Misalnya, Anda dapat menggabungkan dan merutekan entri log audit dari folder organisasi ke bucket Cloud Storage.

Untuk mengetahui petunjuk tentang cara merutekan log, lihat Merutekan log ke tujuan yang didukung.

Regionalisasi

Anda tidak dapat memilih region tempat log Google Workspace disimpan. Log Google Workspace tidak tercakup dalam Kebijakan Region Data Google Workspace.

Periode retensi data

Periode retensi berikut berlaku untuk data log audit Anda:

Untuk setiap organisasi, Cloud Logging secara otomatis menyimpan log di dua bucket: bucket _Default dan bucket _Required. Bucket _Required menyimpan log audit Aktivitas Admin, log audit Peristiwa Sistem, dan log Transparansi Akses. Bucket _Default menyimpan semua entri log lain yang tidak disimpan di bucket _Required. Untuk mengetahui informasi selengkapnya tentang bucket Logging, lihat Ringkasan pemilihan rute dan penyimpanan.

Anda dapat mengonfigurasi Cloud Logging untuk menyimpan log di bucket log _Default selama periode mulai dari 1 hari hingga 3.650 hari.

Untuk memperbarui periode retensi untuk bucket log _Default, lihat Retensi kustom.

Anda tidak dapat mengubah periode retensi di bucket _Required.

Kuota dan batas

Kuota yang sama berlaku untuk log audit untuk Google Workspace dan Cloud Audit Logs.

Untuk mengetahui detail tentang batas penggunaan ini, termasuk ukuran maksimum log audit, lihat Kuota dan batas.

Harga

Log tingkat organisasi Google Workspace tersedia gratis.

Langkah selanjutnya

Pelajari cara mengonfigurasi dan mengelola log audit Google Workspace.
Tinjau praktik terbaik untuk Cloud Audit Logs.
Pelajari cara melihat dan memahami log Transparansi Akses untuk Google Workspace.