G Suite 审核日志信息

本页面介绍由 Cloud Audit Logs 中的 G Suite 提供的审核日志。

概览

Google Cloud 服务会写入审核日志,便于您了解谁在何时何地执行了何种操作。您可以与 Google Cloud 共享 G Suite 审核日志,以便存储、搜索、分析和监控 G Suite 审核日志数据,并据以发出提醒。

Cloud Audit Logs 维护三种类型的 Google Cloud 资源审核日志:

  • 管理员活动审核日志:这些日志用于记录修改资源配置或资源元数据的操作。
  • 数据访问审核日志:这些日志包含用于读取资源配置或元数据的 API 调用,以及用于创建、修改或读取用户提供的资源数据的用户驱动的 API 调用。数据访问审核日志不会记录对公开共享的资源(所有用户或所有经过身份验证的用户均可使用)或无需登录 G Suite、Cloud Identity 或云端硬盘企业版帐号即可访问的资源执行的数据访问操作。
  • 系统事件审核日志:这些日志包含修改资源配置的 Google Cloud 管理操作所对应的日志条目。

G Suite 在 Google Cloud 组织级层提供审核日志,如下所示:

如需大致了解 Cloud Audit Logs,请转到 Cloud Audit Logs。如需深入了解 Cloud Audit Logs,请查看了解审核日志

使用入门:共享 G Suite 数据

要通过 G Suite、Cloud Identity 或云端硬盘企业版帐号启用与 Cloud Audit Logs 共享 G Suite 数据的功能,请参阅这篇 G Suite 管理员帮助文章

如果您启用了与 Google Cloud 共享 G Suite 数据的功能,则无法通过 Google Cloud Console 的 IAM 和管理 > 审核日志页面选择性地停用 G Suite 审核日志,但可以使用日志排除项

只要启用了 G Suite 与 Google Cloud 的数据共享,G Suite 审核日志就会始终启用。停用 G Suite 数据共享会停止将新的 G Suite 审核日志事件发送到 Cloud Audit Logs,但会在默认保留期限内保留任何现有日志,除非您配置了自定义保留期限则可将日志保留更长时间。

服务专属信息

各 G Suite 服务的审核日志详情如下所示:

审核日志权限

在 Google Cloud 中,Cloud Identity and Access Management 权限和角色决定您可以查看或导出哪些审核日志。G Suite 审核日志位于 Google Cloud 组织中。

要查看管理员活动审核日志,您必须在审核日志所属的 Google Cloud 组织中拥有下列 Cloud IAM 角色之一:

要查看数据访问审核日志,您必须在审核日志所属的 Google Cloud 组织中拥有下列角色之一:

如需了解详情,请参阅了解角色

审核日志格式

G Suite 审核日志条目(可使用日志查看器(预览版)、Cloud Logging API 或 gcloud 命令行工具在 Cloud Logging 中查看这些日志条目)包含以下对象:

  • 日志条目本身,即类型为 LogEntry 的对象。有用的字段如下所示:

    • logName 包含项目标识和审核日志类型
    • resource 包含接受审核的操作的目标
    • timeStamp 包含接受审核的操作的时间
    • protoPayload 包含审核信息
  • 审核日志记录数据,即保存在日志条目的 protoPayload 字段中的 AuditLog 对象。

  • (可选)服务专属的审核信息,即保存在 AuditLog 对象的 serviceData 字段中的服务专属对象。如需了解详情,请参阅服务专属审核数据

如需了解上述对象中的其他字段以及如何解读这些字段,请参阅了解审核日志

查看日志

要在 Logging 中查找和查看审核日志,您需要知道要查看的审核日志信息所属的 Google Cloud 组织的标识符。您可以进一步指定其他已编入索引的 LogEntry 字段,如 resource.type;如需了解详情,请查看快速查找日志条目

以下是 G Suite 审核日志的名称:

   organizations/organization-id/logs/cloudaudit.googleapis.com%2Factivity
   organizations/organization-id/logs/cloudaudit.googleapis.com%2Fdata_access

您可以通过多种方式来查看审核日志条目。

CLOUD CONSOLE

要在 Google Cloud Console 中使用日志查看器(预览版)检索 Google Cloud 组织的审核日志条目,请执行以下操作:

  1. 转到 Logging > 日志(日志查看器)页面:

    转到“日志查看器”页面

  2. 在页面顶部选择一个现有 Google Cloud 项目。

  3. 从版本选择器菜单中,将日志查看器版本从经典版切换为预览版

    您现在已进入日志查看器(预览版)

  4. 项目选择器菜单中选择一个组织。

  5. 资源下拉菜单中,选择要查看其审核日志的资源类型。

  6. 日志名称下拉菜单中,选择 data_access 以查看数据访问审核日志,或者选择 activity 以查看管理员活动审核日志。

    如果您没有看到这些选项,则表示这些审核日志目前在该组织中不可用。

请转到日志查看器(预览版)界面以了解详情。

API

若要使用 Logging API 查看审核日志条目,请执行以下操作:

  1. 转到 entries.list 方法文档中的试用此 API 部分。

  2. 将以下内容添加到试用此 API 表单的请求正文部分。点击此预填充的表单后,系统会自动填充请求正文,但您需要在每个日志名称中提供一个有效的 organization-id

          {
            "resourceNames": [
              "organizations/organization-id"
            ],
            "pageSize": 5,
            "filter": "logName : organizations/organization-id/logs/cloudaudit.googleapis.com"
          }
    
  3. 点击执行

如需详细了解查询,请参阅 Logging 查询语言

GCLOUD

gcloud 命令行工具提供了用于 Cloud Logging API 的命令行界面。如需读取您的日志条目,请运行以下命令。在每个日志名称中提供有效的 organization-id

    gcloud logging read "logName : organizations/organization-id/logs/cloudaudit.googleapis.com"

如需详细了解如何使用 gcloud 命令行工具,请参阅读取日志条目

管理审核日志

如需使审核日志的保留时间超过默认保留期限,您可以配置自定义保留

您还可以从 Cloud Logging 中导出 G Suite 审核日志,方法与导出其他类型的日志相同。如需详细了解如何导出日志,请参阅导出日志

以下是用于导出审核日志的一些应用:

  • 要使用更强大的搜索功能,您可以将审核日志的副本导出到 Cloud Storage、BigQuery 或 Pub/Sub。使用 Pub/Sub,您可以将内容导出到其他应用、其他代码库和第三方。

  • 如需管理整个组织范围内与您相关的审核日志,您可以创建一个汇总接收器,以便从组织中的任何或所有项目导出日志。

价格

G Suite 的组织级层日志目前免费提供。