Google Workspace 감사 로깅 정보

이 페이지에서는 Google Workspace에서 Cloud 감사 로그의 일부로 제공하는 감사 로그를 설명합니다.

개요

Google Cloud 서비스는 감사 로그를 작성하여 '누가, 언제, 어디서, 무엇을 했는지'라는 질문에 답하는 데 도움을 줍니다. Google Workspace 감사 로그를 Google Cloud와 공유하면 Google Workspace의 감사 로그 데이터를 저장, 검색, 분석, 모니터링하고 알림을 받을 수 있습니다.

Cloud 감사 로그는 Google Cloud 리소스용으로 세 가지 감사 로그 유형을 유지합니다.

관리자 활동 감사 로그: 이 로그에는 리소스의 구성 또는 메타데이터를 수정하는 작업이 기록됩니다.
데이터 액세스 감사 로그: 이 로그에는 리소스의 구성 또는 메타데이터를 읽는 API 호출뿐만 아니라 사용자가 제공한 리소스 데이터를 생성, 수정 또는 읽는 사용자 주도 API 호출도 포함됩니다. 공개적으로 공유(모든 사용자 또는 모든 인증 사용자에게 제공)되거나 Google Workspace, Cloud에 로그인하지 않고도 액세스할 수 있는 리소스의 데이터 액세스 작업은 데이터 액세스 감사 로그에 기록되지 않습니다. ID 또는 기업용 드라이브 계정에 액세스할 수 없습니다.
시스템 이벤트 감사 로그: 이 로그에는 리소스 구성을 수정하는 Google Cloud 관리 작업의 로그 항목이 포함됩니다.

Google Workspace는 다음과 같이 Google Cloud 조직 수준에서 감사 로그를 제공합니다.

Google Workspace 엔터프라이즈 그룹스 감사는 관리자 활동 감사 로그만 작성합니다.
Google Workspace 관리자 감사는 관리자 활동 감사 로그만 작성합니다.
Google Workspace 로그인 감사는 데이터 액세스 감사 로그만 작성합니다.

Cloud 감사 로그의 일반적인 개요는 Cloud 감사 로그를 참조하세요. Cloud 감사 로그에 대한 자세한 내용은 감사 로그 이해를 참조하세요.

시작하기: Google Workspace 데이터 공유

Google Workspace, Cloud ID 또는 기업용 드라이브 계정의 Cloud 감사 로그와 Google Workspace 데이터를 공유하려면 이 Google Workspace 관리자 도움말 문서의 안내를 참조하세요.

Google Workspace 데이터를 Google Cloud와 공유하는 경우 Google Cloud Console의 IAM 및 관리자 > 감사 로그 페이지를 사용하여 Google Workspace 감사 로그를 선택적으로 중지할 수 없지만 제외할 로그를 사용하여 이러한 로그를 제외할 수 있습니다.

Google Workspace 데이터를 Google Cloud와 공유하면 Google Workspace 감사 로그가 항상 사용 설정됩니다. Google Workspace 데이터 공유를 중지하면 새 Google Workspace 감사 로그 이벤트가 Cloud 감사 로그로 전송되지 않지만 기존 로그는 기본 보관 기간 동안 유지됩니다. 단, 장기간 로그를 유지하기 위해 커스텀 보관을 구성한 경우는 그렇지 않습니다.

서비스별 정보

각 Google Workspace 서비스의 감사 로그에 대한 세부정보는 다음과 같습니다.

Google Workspace 엔터프라이즈 그룹스

Google Workspace Enterprise 그룹스 감사의 감사 로그는 모든 감사 로그에 리소스 유형 audited_resource를 사용합니다.

Google Workspace 엔터프라이즈 그룹스 감사의 감사 로그는 cloudidentity.googleapis.com이라는 서비스 이름을 사용합니다.

Google Workspace 엔터프라이즈 그룹스 감사는 관리자 활동 감사 로그만 작성합니다. 다음은 감사 대상 작업입니다.

감사 로그 카테고리	감사 대상 작업
관리자 활동 감사 로그	`google.apps.cloudidentity.groups.v1beta1.GroupsService.UpdateGroup` `google.apps.cloudidentity.groups.v1beta1.MembershipsService.UpdateMembership`

Google Workspace 로그인 감사의 감사 로그는 모든 감사 로그에 audited_resource 리소스 유형을 사용합니다.

Google Workspace 로그인 감사의 감사 로그는 서비스 이름 login.googleapis.com을 사용합니다.

Google Workspace 로그인 감사는 데이터 액세스 감사 로그만 작성합니다. 다음은 감사 대상 작업입니다.

감사 로그 카테고리 감사 대상 작업

데이터 액세스 감사 로그 google.login.LoginService.accountDisabledPasswordLeak
google.login.LoginService.suspiciousLogin
google.login.LoginService.suspiciousLoginLessSecureApp
google.login.LoginService.suspiciousProgrammaticLogin
google.login.LoginService.accountDisabledGeneric
google.login.LoginService.accountDisabledSpammingThroughRelay
google.login.LoginService.accountDisabledSpamming
google.login.LoginService.accountDisabledHijacked
google.login.LoginService.govAttackWarning
google.login.LoginService.loginFailure
google.login.LoginService.loginChallenge
google.login.LoginService.loginVerification
google.login.LoginService.logout
google.login.LoginService.loginSuccess

감사 로그 카테고리	감사 대상 작업
데이터 액세스 감사 로그	`google.login.LoginService.accountDisabledPasswordLeak` `google.login.LoginService.suspiciousLogin` `google.login.LoginService.suspiciousLoginLessSecureApp` `google.login.LoginService.suspiciousProgrammaticLogin` `google.login.LoginService.accountDisabledGeneric` `google.login.LoginService.accountDisabledSpammingThroughRelay` `google.login.LoginService.accountDisabledSpamming` `google.login.LoginService.accountDisabledHijacked` `google.login.LoginService.govAttackWarning` `google.login.LoginService.loginFailure` `google.login.LoginService.loginChallenge` `google.login.LoginService.loginVerification` `google.login.LoginService.logout` `google.login.LoginService.loginSuccess`

Google Workspace 관리자 활동

Google Workspace 관리자 감사의 감사 로그는 모든 감사 로그에 audited_resource 리소스 유형을 사용합니다.

Google Workspace 관리자 감사의 감사 로그는 서비스 이름 admin.googleapis.com을 사용합니다.

Google Workspace 관리자 감사는 관리자 활동 감사 로그만 작성합니다. 다음은 감사 대상 작업입니다.

활동 유형	감사 대상 작업
ALERT_CENTER	`google.admin.AdminService.alertCenterBatchDeleteAlerts` `google.admin.AdminService.alertCenterBatchUndeleteAlerts` `google.admin.AdminService.alertCenterCreateAlert` `google.admin.AdminService.alertCenterCreateFeedback` `google.admin.AdminService.alertCenterDeleteAlert` `google.admin.AdminService.alertCenterGetAlertMetadata` `google.admin.AdminService.alertCenterGetCustomerSettings` `google.admin.AdminService.alertCenterGetSitLink` `google.admin.AdminService.alertCenterListChange` `google.admin.AdminService.alertCenterListFeedback` `google.admin.AdminService.alertCenterListRelatedAlerts` `google.admin.AdminService.alertCenterUndeleteAlert` `google.admin.AdminService.alertCenterUpdateAlert` `google.admin.AdminService.alertCenterUpdateAlertMetadata` `google.admin.AdminService.alertCenterUpdateCustomerSettings` `google.admin.AdminService.alertCenterView`
APPLICATION_SETTINGS	`google.admin.AdminService.changeApplicationSetting` `google.admin.AdminService.createApplicationSetting` `google.admin.AdminService.deleteApplicationSetting` `google.admin.AdminService.reorderGroupBasedPoliciesEvent` `google.admin.AdminService.gplusPremiumFeatures` `google.admin.AdminService.createManagedConfiguration` `google.admin.AdminService.deleteManagedConfiguration` `google.admin.AdminService.updateManagedConfiguration` `google.admin.AdminService.flashlightEduNonFeaturedServicesSelected`
CALENDAR_SETTINGS	`google.admin.AdminService.createBuilding` `google.admin.AdminService.deleteBuilding` `google.admin.AdminService.updateBuilding` `google.admin.AdminService.createCalendarResource` `google.admin.AdminService.deleteCalendarResource` `google.admin.AdminService.createCalendarResourceFeature` `google.admin.AdminService.deleteCalendarResourceFeature` `google.admin.AdminService.updateCalendarResourceFeature` `google.admin.AdminService.renameCalendarResource` `google.admin.AdminService.updateCalendarResource` `google.admin.AdminService.changeCalendarSetting` `google.admin.AdminService.cancelCalendarEvents` `google.admin.AdminService.releaseCalendarResources`
CHAT_SETTINGS	`google.admin.AdminService.meetInteropCreateGateway` `google.admin.AdminService.meetInteropDeleteGateway` `google.admin.AdminService.meetInteropModifyGateway` `google.admin.AdminService.changeChatSetting`
CHROME_OS_SETTINGS	`google.admin.AdminService.changeChromeOsAndroidApplicationSetting` `google.admin.AdminService.changeChromeOsApplicationSetting` `google.admin.AdminService.sendChromeOsDeviceCommand` `google.admin.AdminService.changeChromeOsDeviceAnnotation` `google.admin.AdminService.changeChromeOsDeviceSetting` `google.admin.AdminService.changeChromeOsDeviceState` `google.admin.AdminService.changeChromeOsPublicSessionSetting` `google.admin.AdminService.insertChromeOsPrinter` `google.admin.AdminService.deleteChromeOsPrinter` `google.admin.AdminService.updateChromeOsPrinter` `google.admin.AdminService.changeChromeOsSetting` `google.admin.AdminService.changeChromeOsUserSetting` `google.admin.AdminService.removeChromeOsApplicationSettings`
CONTACTS_SETTINGS	`google.admin.AdminService.changeContactsSetting`
DELEGATED_ADMIN_SETTINGS	`google.admin.AdminService.assignRole` `google.admin.AdminService.createRole` `google.admin.AdminService.deleteRole` `google.admin.AdminService.addPrivilege` `google.admin.AdminService.removePrivilege` `google.admin.AdminService.renameRole` `google.admin.AdminService.updateRole` `google.admin.AdminService.unassignRole`
DEVICE_SETTINGS	`google.admin.AdminService.deleteDevice` `google.admin.AdminService.moveDeviceToOrgUnit`
DOCS_SETTINGS	`google.admin.AdminService.transferDocumentOwnership` `google.admin.AdminService.driveDataRestore` `google.admin.AdminService.changeDocsSetting`
DOMAIN_SETTINGS	`google.admin.AdminService.changeAccountAutoRenewal` `google.admin.AdminService.addApplication` `google.admin.AdminService.addApplicationToWhitelist` `google.admin.AdminService.changeAdvertisementOption` `google.admin.AdminService.createAlert` `google.admin.AdminService.changeAlertCriteria` `google.admin.AdminService.deleteAlert` `google.admin.AdminService.alertReceiversChanged` `google.admin.AdminService.renameAlert` `google.admin.AdminService.alertStatusChanged` `google.admin.AdminService.addDomainAlias` `google.admin.AdminService.removeDomainAlias` `google.admin.AdminService.skipDomainAliasMx` `google.admin.AdminService.verifyDomainAliasMx` `google.admin.AdminService.verifyDomainAlias` `google.admin.AdminService.toggleOauthAccessToAllApis` `google.admin.AdminService.toggleAllowAdminPasswordReset` `google.admin.AdminService.enableApiAccess` `google.admin.AdminService.authorizeApiClientAccess` `google.admin.AdminService.removeApiClientAccess` `google.admin.AdminService.chromeLicensesRedeemed` `google.admin.AdminService.toggleAutoAddNewService` `google.admin.AdminService.changePrimaryDomain` `google.admin.AdminService.changeWhitelistSetting` `google.admin.AdminService.communicationPreferencesSettingChange` `google.admin.AdminService.changeConflictAccountAction` `google.admin.AdminService.enableFeedbackSolicitation` `google.admin.AdminService.toggleContactSharing` `google.admin.AdminService.createPlayForWorkToken` `google.admin.AdminService.toggleUseCustomLogo` `google.admin.AdminService.changeCustomLogo` `google.admin.AdminService.changeDataLocalizationForRussia` `google.admin.AdminService.changeDataLocalizationSetting` `google.admin.AdminService.changeDataProtectionOfficerContactInfo` `google.admin.AdminService.deletePlayForWorkToken` `google.admin.AdminService.viewDnsLoginDetails` `google.admin.AdminService.changeDomainDefaultLocale` `google.admin.AdminService.changeDomainDefaultTimezone` `google.admin.AdminService.changeDomainName` `google.admin.AdminService.toggleEnablePreReleaseFeatures` `google.admin.AdminService.changeDomainSupportMessage` `google.admin.AdminService.addTrustedDomains` `google.admin.AdminService.removeTrustedDomains` `google.admin.AdminService.changeEduType` `google.admin.AdminService.toggleEnableOauthConsumerKey` `google.admin.AdminService.toggleSsoEnabled` `google.admin.AdminService.toggleSsl` `google.admin.AdminService.changeEuRepresentativeContactInfo` `google.admin.AdminService.generateTransferToken` `google.admin.AdminService.changeLoginBackgroundColor` `google.admin.AdminService.changeLoginBorderColor` `google.admin.AdminService.changeLoginActivityTrace` `google.admin.AdminService.playForWorkEnroll` `google.admin.AdminService.playForWorkUnenroll` `google.admin.AdminService.mxRecordVerificationClaim` `google.admin.AdminService.toggleNewAppFeatures` `google.admin.AdminService.toggleUseNextGenControlPanel` `google.admin.AdminService.uploadOauthCertificate` `google.admin.AdminService.regenerateOauthConsumerSecret` `google.admin.AdminService.toggleOpenIdEnabled` `google.admin.AdminService.changeOrganizationName` `google.admin.AdminService.toggleOutboundRelay` `google.admin.AdminService.changePasswordMaxLength` `google.admin.AdminService.changePasswordMinLength` `google.admin.AdminService.updateDomainPrimaryAdminEmail` `google.admin.AdminService.enableServiceOrFeatureNotifications` `google.admin.AdminService.removeApplication` `google.admin.AdminService.removeApplicationFromWhitelist` `google.admin.AdminService.changeRenewDomainRegistration` `google.admin.AdminService.changeResellerAccess` `google.admin.AdminService.ruleActionsChanged` `google.admin.AdminService.createRule` `google.admin.AdminService.changeRuleCriteria` `google.admin.AdminService.deleteRule` `google.admin.AdminService.renameRule` `google.admin.AdminService.ruleStatusChanged` `google.admin.AdminService.addSecondaryDomain` `google.admin.AdminService.removeSecondaryDomain` `google.admin.AdminService.skipSecondaryDomainMx` `google.admin.AdminService.verifySecondaryDomainMx` `google.admin.AdminService.verifySecondaryDomain` `google.admin.AdminService.updateDomainSecondaryEmail` `google.admin.AdminService.changeSsoSettings` `google.admin.AdminService.generatePin` `google.admin.AdminService.updateRule`
EMAIL_SETTINGS	`google.admin.AdminService.dropFromQuarantine` `google.admin.AdminService.emailLogSearch` `google.admin.AdminService.emailUndelete` `google.admin.AdminService.changeEmailSetting` `google.admin.AdminService.changeGmailSetting` `google.admin.AdminService.createGmailSetting` `google.admin.AdminService.deleteGmailSetting` `google.admin.AdminService.rejectFromQuarantine` `google.admin.AdminService.releaseFromQuarantine`
GROUP_SETTINGS	`google.admin.AdminService.createGroup` `google.admin.AdminService.deleteGroup` `google.admin.AdminService.changeGroupDescription` `google.admin.AdminService.groupListDownload` `google.admin.AdminService.addGroupMember` `google.admin.AdminService.removeGroupMember` `google.admin.AdminService.updateGroupMember` `google.admin.AdminService.updateGroupMemberDeliverySettings` `google.admin.AdminService.updateGroupMemberDeliverySettingsCanEmailOverride` `google.admin.AdminService.groupMemberBulkUpload` `google.admin.AdminService.groupMembersDownload` `google.admin.AdminService.changeGroupName` `google.admin.AdminService.changeGroupSetting` `google.admin.AdminService.whitelistedGroupsUpdated`
LICENSES_SETTINGS	`google.admin.AdminService.orgUsersLicenseAssignment` `google.admin.AdminService.orgAllUsersLicenseAssignment` `google.admin.AdminService.userLicenseAssignment` `google.admin.AdminService.changeLicenseAutoAssign` `google.admin.AdminService.userLicenseReassignment` `google.admin.AdminService.orgLicenseRevoke` `google.admin.AdminService.userLicenseRevoke` `google.admin.AdminService.updateDynamicLicense` `google.admin.AdminService.licenseUsageUpdate`
MOBILE_SETTINGS	`google.admin.AdminService.actionCancelled` `google.admin.AdminService.actionRequested` `google.admin.AdminService.addMobileCertificate` `google.admin.AdminService.companyDevicesBulkCreation` `google.admin.AdminService.companyOwnedDeviceBlocked` `google.admin.AdminService.companyDeviceDeletion` `google.admin.AdminService.companyOwnedDeviceUnblocked` `google.admin.AdminService.companyOwnedDeviceWiped` `google.admin.AdminService.changeMobileApplicationPermissionGrant` `google.admin.AdminService.changeMobileApplicationPriorityOrder` `google.admin.AdminService.removeMobileApplicationFromWhitelist` `google.admin.AdminService.changeMobileApplicationSettings` `google.admin.AdminService.addMobileApplicationToWhitelist` `google.admin.AdminService.mobileDeviceApprove` `google.admin.AdminService.mobileDeviceBlock` `google.admin.AdminService.mobileDeviceDelete` `google.admin.AdminService.mobileDeviceWipe` `google.admin.AdminService.changeMobileSetting` `google.admin.AdminService.changeAdminRestrictionsPin` `google.admin.AdminService.changeMobileWirelessNetwork` `google.admin.AdminService.addMobileWirelessNetwork` `google.admin.AdminService.removeMobileWirelessNetwork` `google.admin.AdminService.changeMobileWirelessNetworkPassword` `google.admin.AdminService.removeMobileCertificate` `google.admin.AdminService.enrollForGoogleDeviceManagement` `google.admin.AdminService.useGoogleMobileManagement` `google.admin.AdminService.useGoogleMobileManagementForNonIos` `google.admin.AdminService.useGoogleMobileManagementForIos` `google.admin.AdminService.mobileAccountWipe` `google.admin.AdminService.mobileDeviceCancelWipeThenApprove` `google.admin.AdminService.mobileDeviceCancelWipeThenBlock`
ORG_SETTINGS	`google.admin.AdminService.chromeLicensesEnabled` `google.admin.AdminService.chromeApplicationLicenseReservationCreated` `google.admin.AdminService.chromeApplicationLicenseReservationDeleted` `google.admin.AdminService.chromeApplicationLicenseReservationUpdated` `google.admin.AdminService.assignCustomLogo` `google.admin.AdminService.unassignCustomLogo` `google.admin.AdminService.createEnrollmentToken` `google.admin.AdminService.revokeEnrollmentToken` `google.admin.AdminService.chromeLicensesAllowed` `google.admin.AdminService.createOrgUnit` `google.admin.AdminService.removeOrgUnit` `google.admin.AdminService.editOrgUnitDescription` `google.admin.AdminService.moveOrgUnit` `google.admin.AdminService.editOrgUnitName` `google.admin.AdminService.toggleServiceEnabled`
SECURITY_INVESTIGATION	`google.admin.AdminService.securityInvestigationAction` `google.admin.AdminService.securityInvestigationActionCancellation` `google.admin.AdminService.securityInvestigationActionCompletion` `google.admin.AdminService.securityInvestigationActionRetry` `google.admin.AdminService.securityInvestigationActionVerificationConfirmation` `google.admin.AdminService.securityInvestigationActionVerificationRequest` `google.admin.AdminService.securityInvestigationActionVerificationRequestExpiration` `google.admin.AdminService.securityInvestigationChartCreate` `google.admin.AdminService.securityInvestigationContentAccess` `google.admin.AdminService.securityInvestigationDownloadAttachment` `google.admin.AdminService.securityInvestigationExportActionResults` `google.admin.AdminService.securityInvestigationExportQuery` `google.admin.AdminService.securityInvestigationObjectCreateDraftInvestigation` `google.admin.AdminService.securityInvestigationObjectDeleteInvestigation` `google.admin.AdminService.securityInvestigationObjectDuplicateInvestigation` `google.admin.AdminService.securityInvestigationObjectOwnershipTransfer` `google.admin.AdminService.securityInvestigationObjectSaveInvestigation` `google.admin.AdminService.securityInvestigationObjectUpdateDirectSharing` `google.admin.AdminService.securityInvestigationObjectUpdateLinkSharing` `google.admin.AdminService.securityInvestigationQuery` `google.admin.AdminService.securityInvestigationSettingUpdate`
SECURITY_SETTINGS	`google.admin.AdminService.addToTrustedOauth2Apps` `google.admin.AdminService.allowAspWithout2Sv` `google.admin.AdminService.allowServiceForOauth2Access` `google.admin.AdminService.allowStrongAuthentication` `google.admin.AdminService.blockOnDeviceAccess` `google.admin.AdminService.changeAllowedTwoStepVerificationMethods` `google.admin.AdminService.changeAppAccessSettingsCollectionId` `google.admin.AdminService.changeCaaAppAssignments` `google.admin.AdminService.changeCaaDefaultAssignments` `google.admin.AdminService.changeCaaErrorMessage` `google.admin.AdminService.changeSessionLength` `google.admin.AdminService.changeTwoStepVerificationEnrollmentPeriodDuration` `google.admin.AdminService.changeTwoStepVerificationFrequency` `google.admin.AdminService.changeTwoStepVerificationGracePeriodDuration` `google.admin.AdminService.changeTwoStepVerificationStartDate` `google.admin.AdminService.disallowServiceForOauth2Access` `google.admin.AdminService.enableNonAdminUserPasswordRecovery` `google.admin.AdminService.enforceStrongAuthentication` `google.admin.AdminService.removeFromTrustedOauth2Apps` `google.admin.AdminService.sessionControlSettingsChange` `google.admin.AdminService.toggleCaaEnablement` `google.admin.AdminService.trustDomainOwnedOauth2Apps` `google.admin.AdminService.unblockOnDeviceAccess` `google.admin.AdminService.untrustDomainOwnedOauth2Apps` `google.admin.AdminService.updateErrorMsgForRestrictedOauth2Apps` `google.admin.AdminService.weakProgrammaticLoginSettingsChanged`
SITES_SETTINGS	`google.admin.AdminService.addWebAddress` `google.admin.AdminService.deleteWebAddress` `google.admin.AdminService.changeSitesSetting` `google.admin.AdminService.changeSitesWebAddressMappingUpdates` `google.admin.AdminService.viewSiteDetails`
USER_SETTINGS	`google.admin.AdminService.delete2SvScratchCodes` `google.admin.AdminService.generate2SvScratchCodes` `google.admin.AdminService.revoke3LoDeviceTokens` `google.admin.AdminService.revoke3LoToken` `google.admin.AdminService.addRecoveryEmail` `google.admin.AdminService.addRecoveryPhone` `google.admin.AdminService.grantAdminPrivilege` `google.admin.AdminService.revokeAdminPrivilege` `google.admin.AdminService.revokeAsp` `google.admin.AdminService.toggleAutomaticContactSharing` `google.admin.AdminService.bulkUpload` `google.admin.AdminService.bulkUploadNotificationSent` `google.admin.AdminService.cancelUserInvite` `google.admin.AdminService.changeUserCustomField` `google.admin.AdminService.changeUserExternalId` `google.admin.AdminService.changeUserGender` `google.admin.AdminService.changeUserIm` `google.admin.AdminService.enableUserIpWhitelist` `google.admin.AdminService.changeUserKeyword` `google.admin.AdminService.changeUserLanguage` `google.admin.AdminService.changeUserLocation` `google.admin.AdminService.changeUserOrganization` `google.admin.AdminService.changeUserPhoneNumber` `google.admin.AdminService.changeRecoveryEmail` `google.admin.AdminService.changeRecoveryPhone` `google.admin.AdminService.changeUserRelation` `google.admin.AdminService.changeUserAddress` `google.admin.AdminService.createEmailMonitor` `google.admin.AdminService.createDataTransferRequest` `google.admin.AdminService.grantDelegatedAdminPrivileges` `google.admin.AdminService.deleteAccountInfoDump` `google.admin.AdminService.deleteEmailMonitor` `google.admin.AdminService.deleteMailboxDump` `google.admin.AdminService.changeFirstName` `google.admin.AdminService.gmailResetUser` `google.admin.AdminService.changeLastName` `google.admin.AdminService.mailRoutingDestinationAdded` `google.admin.AdminService.mailRoutingDestinationRemoved` `google.admin.AdminService.addNickname` `google.admin.AdminService.removeNickname` `google.admin.AdminService.changePassword` `google.admin.AdminService.changePasswordOnNextLogin` `google.admin.AdminService.downloadPendingInvitesList` `google.admin.AdminService.removeRecoveryEmail` `google.admin.AdminService.removeRecoveryPhone` `google.admin.AdminService.requestAccountInfo` `google.admin.AdminService.requestMailboxDump` `google.admin.AdminService.resendUserInvite` `google.admin.AdminService.resetSigninCookies` `google.admin.AdminService.securityKeyRegisteredForUser` `google.admin.AdminService.revokeSecurityKey` `google.admin.AdminService.userInvite` `google.admin.AdminService.viewTempPassword` `google.admin.AdminService.turnOff2StepVerification` `google.admin.AdminService.unblockUserSession` `google.admin.AdminService.unenrollUserFromTitanium` `google.admin.AdminService.archiveUser` `google.admin.AdminService.updateBirthdate` `google.admin.AdminService.createUser` `google.admin.AdminService.deleteUser` `google.admin.AdminService.downgradeUserFromGplus` `google.admin.AdminService.userEnrolledInTwoStepVerification` `google.admin.AdminService.downloadUserlistCsv` `google.admin.AdminService.moveUserToOrgUnit` `google.admin.AdminService.userPutInTwoStepVerificationGracePeriod` `google.admin.AdminService.renameUser` `google.admin.AdminService.unenrollUserFromStrongAuth` `google.admin.AdminService.suspendUser` `google.admin.AdminService.unarchiveUser` `google.admin.AdminService.undeleteUser` `google.admin.AdminService.unsuspendUser` `google.admin.AdminService.upgradeUserToGplus` `google.admin.AdminService.usersBulkUpload` `google.admin.AdminService.usersBulkUploadNotificationSent`

감사 로그 권한

Google Cloud에서 ID 및 액세스 관리 권한과 역할에 따라 사용자가 보거나 내보낼 수 있는 감사 로그가 결정됩니다. Google Workspace 감사 로그는 Google Cloud 조직에 있습니다.

관리자 활동 감사 로그를 보려면 감사 로그가 있는 Google Cloud 조직에 다음 IAM 역할 중 하나가 있어야 합니다.

조직 소유자
Logging의 로그 뷰어 역할
logging.logEntries.list IAM 권한이 있는 커스텀 IAM 역할

데이터 액세스 감사 로그를 보려면 감사 로그가 포함된 Google Cloud 조직에 다음 역할 중 하나가 있어야 합니다.

조직 소유자
Logging의 비공개 로그 뷰어 역할
logging.privateLogEntries.list IAM 권한이 있는 커스텀 IAM 역할

자세한 내용은 역할 이해를 참조하세요.

감사 로그 형식

로그 탐색기, Cloud Logging API, 또는 gcloud 명령줄 도구를 사용하여 Cloud Logging에서 확인할 수 있는 Google Workspace 감사 로그 항목에는 다음과 같은 객체가 포함됩니다.

LogEntry 유형의 객체인 로그 항목 자체입니다. 유용한 필드는 다음과 같습니다.
- logName에는 프로젝트 ID와 감사 로그 유형이 있습니다.
- resource에는 감사 작업 대상이 있습니다.
- timeStamp에는 감사 작업 시간이 있습니다.
- protoPayload에는 감사 정보가 있습니다.
로그 항목의 protoPayload 필드에 AuditLog 객체로 보관되는 감사 로깅 데이터입니다.
AuditLog 객체의 serviceData 필드에 서비스별 객체로 보관되는 서비스별 감사 정보로, 선택사항입니다. 자세한 내용은 서비스별 감사 데이터를 참조하세요.

이러한 객체의 다른 필드와 필드 해석 방법은 감사 로그 이해를 참조하세요.

로그 보기

Logging에서 감사 로그를 찾아 보려면 감사 로깅 정보를 보려는 Google Cloud 조직의 식별자를 알아야 합니다. 색인 생성된 다른 LogEntry 필드(예: resource.type)를 더 구체적으로 지정할 수 있습니다. 자세한 내용은 로그 항목 빨리 찾기를 참조하세요.

Google Workspace 감사 로그의 감사 로그 이름은 다음과 같습니다.

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

여러 가지 방법으로 감사 로그 항목을 볼 수 있습니다.

CLOUD CONSOLE

Google Cloud Console의 로그 탐색기를 사용하여 Google Cloud 조직의 감사 로그 항목을 검색하려면 다음 안내를 따르세요.

Logging > 로그 탐색기로 이동합니다.

로그 탐색기 페이지로 이동
페이지 상단에서 기존 Google Cloud 프로젝트를 선택합니다.
기존 로그 뷰어가 아니라 로그 탐색기를 사용하고 있는지 확인하세요.
프로젝트 선택기 메뉴에서 조직을 선택합니다.
리소스 드롭다운 메뉴에서 감사 로그를 보려는 리소스 유형을 선택합니다.
로그 이름 드롭다운 메뉴에서 데이터 액세스 감사 로그에 data_access를, 관리자 활동 감사 로그에 activity를 선택합니다.

이 옵션이 표시되지 않으면 현재 조직에서 감사 로그를 사용할 수 없는 의미입니다.

자세한 내용은 로그 탐색기 사용을 참조하세요.

API

Logging API를 사용하여 감사 로그 항목을 확인하려면 다음 안내를 따르세요.

entries.list 메서드 문서의 API 사용해 보기 섹션으로 이동합니다.
API 사용해 보기 양식의 요청 본문 부분에 다음을 입력합니다. 미리 채워진 양식을 클릭하면 요청 본문이 자동으로 입력되지만 각 로그 이름에 유효한 ORGANIZATION_ID를 입력해야 합니다.
```
      {
        "resourceNames": [
          "organizations/ORGANIZATION_ID"
        ],
        "pageSize": 5,
        "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
      }
```
실행을 클릭합니다.

쿼리에 대한 자세한 내용은 Logging 쿼리 언어를 참조하세요.

GCLOUD

gcloud 명령줄 도구는 Cloud Logging API에 명령줄 인터페이스를 제공합니다. 로그 항목을 읽으려면 다음 명령어를 실행합니다. 각 로그 이름에 유효한 ORGANIZATION_ID를 입력합니다.

    gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"

gcloud 명령줄 도구 사용 방법에 대한 자세한 내용은 로그 항목 읽기를 참조하세요.

감사 로그 관리

감사 로그를 기본 보관 기간보다 오래 보관하려면 커스텀 보관을 구성하면 됩니다.

다른 종류의 로그를 내보내는 방식과 동일한 방식으로 Cloud Logging에서 Google Workspace 감사 로그를 내보낼 수도 있습니다. 로그 내보내기 방법에 대한 자세한 내용은 로그 내보내기를 참조하세요.

다음은 감사 로그를 내보내는 몇 가지 응용 방법입니다.

보다 강력한 검색 기능을 사용하려면 감사 로그의 복사본을 Cloud Storage, BigQuery 또는 Pub/Sub로 내보내면 됩니다. Pub/Sub를 사용하면 다른 애플리케이션이나 저장소, 제3자에게 내보낼 수 있습니다.
조직 전체의 감사 로그를 관리하려면 조직의 프로젝트 일부 또는 전체에서 로그를 내보낼 수 있는 집계 싱크를 만들면 됩니다.

참고: Google Cloud 조직의 싱크는 Google Cloud Console에서 생성될 수 없습니다. Google Cloud 조직에서 집계 싱크를 만들려면 Cloud Logging API 또는 gcloud 명령줄 도구를 사용하면 됩니다.

가격 책정

Google Workspace의 조직 수준 로그는 현재 무료입니다.