Google Workspace 审核日志记录概览

本文档从概念上简要介绍了 Cloud Audit Logs 中由 Google Workspace 提供的审核日志。

如需了解如何管理 Google Workspace 审核日志,请参阅配置 Google Workspace 审核日志

概览

Google Cloud 服务会写入审核日志,便于您了解谁在何时何地执行了何种操作。您可以与 Google Cloud 共享 Google Workspace 审核日志,以便存储、搜索、分析和监控 Google Workspace 审核日志数据,并据以发出提醒。

如需启用通过 Google Workspace、Cloud Identity 或云端硬盘企业版帐号与 Google Cloud 共享 Google Workspace 数据的功能,请参阅与 Google Cloud 服务共享数据中的说明。

如果您启用了与 Google Cloud 共享 Google Workspace 数据的功能,则无法使用 Google Cloud Console IAM 和管理 > 审核日志页面选择性地停用 Google Workspace 审核日志。您可以通过设置排除项过滤条件,使用接收器排除这些日志。

只要启用了 Google Workspace 与 Google Cloud 的数据共享,Google Workspace 审核日志就会始终启用。停用 Google Workspace 数据共享功能会停止将新的 Google Workspace 审核日志事件发送到 Cloud Audit Logs,但会在默认保留期限内保留任何现有日志,除非您配置了自定义保留期限,将日志保留更长时间。

Google Workspace 服务将审核日志转发到 Google Cloud

Google Workspace 在 Google Cloud 组织级层提供审核日志,如下所示:

管理员活动审核日志包含用于修改资源配置或元数据的 API 调用或其他操作对应的日志条目。例如,这些日志会记录用户创建虚拟机实例或更改 Identity and Access Management 权限的时间。

数据访问审核日志包含用于读取资源配置或元数据的 API 调用,以及用户进行的用于创建、修改或读取用户所提供资源数据的 API 调用。数据访问审核日志不会记录对公开共享的资源(所有用户或所有经过身份验证的用户均可使用)或无需登录 Google Cloud、Google Workspace、Cloud Identity 或云端硬盘企业版帐号即可访问的资源执行的数据访问操作。

服务专属信息

各 Google Workspace 服务的审核日志详情如下所示:

审核日志权限

IAM 权限和角色确定您能否在 Logging APILogs Explorergcloud 命令行工具中访问日志数据。

如需详细了解您可能需要的组织级层 IAM 权限和角色,请参阅访问权限控制指南

审核日志格式

Google Workspace 审核日志条目包含以下对象:

  • 日志条目本身,即类型为 LogEntry 的对象。在检查审核日志记录数据时,您可能会发现以下内容会很有用:

    • logName 包含组织 ID 和审核日志类型
    • resource 包含所审核操作的目标
    • timeStamp 包含所审核操作的时间
    • protoPayloadmetadata 字段包含 Google Workspace 审核日志

protoPayload.metadata 字段包含审核的 Google Workspace 信息。以下是 Google Workspace 登录审核日志的示例:

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "test-user@example.net"
    },
    "requestMetadata": {
      "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "login.googleapis.com",
    "methodName": "google.login.LoginService.loginFailure",
    "resourceName": "organizations/123",
    "metadata": {
      "event": [
        {
          "eventName": "login_failure",
          "eventType": "login",
          "parameter": [
            {
              "value": "google_password",
              "type": "TYPE_STRING",
              "name": "login_type",
            },
            {
              "name": "login_challenge_method",
              "type": "TYPE_STRING",
              "label": "LABEL_REPEATED",
              "multiStrValue": [
                "password",
                "idv_preregistered_phone",
                "idv_preregistered_phone"
              ]
            },
          ]
        }
      ],
      "activityId": {
        "uniqQualifier": "358068855354",
        "timeUsec": "1632500217183212"
      },
      "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto"
    }
  },
  "insertId": "-nahbepd4l1x",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "method": "google.login.LoginService.loginFailure",
      "service": "login.googleapis.com"
    }
  },
  "timestamp": "2021-09-24T16:16:57.183212Z",
  "severity": "NOTICE",
  "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2021-09-24T17:51:25.034361197Z"
}

如需了解服务专用的审核日志记录字段以及如何解读这些字段,请从可用审核日志中列出的服务进行选择。

查看日志

如需了解如何查看 Google Workspace 审核日志,请参阅配置 Google Workspace 审核日志

路由审核日志

您可以将 Google Workspace 审核日志从 Cloud Logging 路由到受支持的目标位置,包括其他 Logging 存储桶。

以下是用于路由审核日志的一些应用:

  • 如需使用更强大的搜索功能,您可以将审核日志的副本路由到 Cloud Storage、BigQuery 或 Pub/Sub。您可以使用 Pub/Sub 将内容路由到其他应用、其他代码库和第三方。

  • 如需管理整个组织范围内与您相关的审核日志,您可以创建一个汇总接收器,以便合并和路由组织所包含的所有 Cloud 项目、结算帐号和文件夹日志中的日志。例如,您可以将组织文件夹中的审核日志条目汇总并路由到 Cloud Storage 存储桶。

如需了解如何路由日志,请参阅配置接收器

保留期限

对于每个组织,Cloud Logging 会自动将日志存储在两个存储桶中:_Default 存储桶和 _Required 存储桶。_Required 存储桶用于存储管理员活动审核日志、系统事件审核日志和 Access Transparency 日志。_Default 存储桶用于存储 _Required 存储桶未注入的其他所有日志条目。如需详细了解 Logging 存储桶,请参阅路由和存储概览

您可以配置 Cloud Logging,将 _Default 日志存储桶中的日志保留 1 到 3650 天。

如需更新 _Default 日志存储桶的保留期限,请参阅自定义保留

您不能更改 _Required 存储桶的保留期限。

配额和限制

如需详细了解日志记录用量限制(包括审核日志的大小上限),请参阅配额和限制

价格

Google Workspace 的组织级层日志目前免费提供。

后续步骤