Google Workspace 审核日志记录信息

本页面介绍 Cloud Audit Logs 中由 Google Workspace 提供的审核日志。

概览

Google Cloud 服务会写入审核日志,便于您了解谁在何时何地执行了何种操作。您可以与 Google Cloud 共享 Google Workspace 审核日志,以便存储、搜索、分析和监控 Google Workspace 审核日志数据,并据以发出提醒。

Cloud Audit Logs 维护三种类型的 Google Cloud 资源审核日志:

  • 管理员活动审核日志:这些日志用于记录修改资源配置或资源元数据的操作。
  • 数据访问审核日志:这些日志包含用于读取资源配置或元数据的 API 调用,以及用于创建、修改或读取用户提供的资源数据的用户驱动的 API 调用。数据访问审核日志不会记录对公开共享的资源(所有用户或所有经过身份验证的用户均可使用)或无需登录 Google Workspace、Cloud Identity 或云端硬盘企业版帐号即可访问的资源执行的数据访问操作。
  • 系统事件审核日志:这些日志包含修改资源配置的 Google Cloud 管理操作所对应的日志条目。

Google Workspace 在 Google Cloud 组织级层提供审核日志,如下所示:

如需大致了解 Cloud Audit Logs,请转到 Cloud Audit Logs。如需深入了解 Cloud Audit Logs,请查看了解审核日志

使用入门:共享 Google Workspace 数据

如需启用通过 Google Workspace、Cloud Identity 或云端硬盘企业版帐号与 Cloud Audit Logs 共享 Google Workspace 数据的功能,请参阅这篇 Google Workspace 管理员帮助文章中的说明。

如果您启用了与 Google Cloud 共享 Google Workspace 数据的功能,则无法通过 Google Cloud Console 的 IAM 和管理 > 审核日志页面选择性地停用 Google Workspace 审核日志,但可以使用 日志排除项排除这些日志。

只要启用了 Google Workspace 与 Google Cloud 的数据共享,Google Workspace 审核日志就会始终启用。停用 Google Workspacee 数据共享会停止将新的 Google Workspace 审核日志事件发送到 Cloud Audit Logs,但会在默认保留期限内保留任何现有日志,除非您配置了自定义保留期限则可将日志保留更长时间。

服务专属信息

各 Google Workspace 服务的审核日志详情如下所示:

审核日志权限

在 Google Cloud 中,Identity and Access Management 权限和角色决定您可以查看或导出哪些审核日志。Google Workspace 审核日志位于 Google Cloud 组织中。

要查看管理员活动审核日志,您必须在审核日志所属的 Google Cloud 组织中具有以下 IAM 角色之一:

要查看数据访问审核日志,您必须在审核日志所属的 Google Cloud 组织中拥有下列角色之一:

如需了解详情,请参阅了解角色

审核日志格式

Google Workspace 审核日志条目(可使用日志浏览器、Cloud Logging API 或 gcloud 命令行工具在 Cloud Logging 中查看这些日志条目)包含以下对象:

  • 日志条目本身,即类型为 LogEntry 的对象。有用的字段如下所示:

    • logName 包含项目标识和审核日志类型
    • resource 包含所审核操作的目标
    • timeStamp 包含所审核操作的时间
    • protoPayload 包含审核信息
  • 审核日志记录数据,即保存在日志条目的 protoPayload 字段中的 AuditLog 对象。

  • (可选)服务专属的审核信息,即保存在 AuditLog 对象的 serviceData 字段中的服务专属对象。如需了解详情,请参阅服务专属审核数据

如需了解上述对象中的其他字段以及如何解读这些字段,请参阅了解审核日志

查看日志

要在 Logging 中查找和查看审核日志,您需要知道要查看的审核日志信息所属的 Google Cloud 组织的标识符。您可以进一步指定其他已编入索引的 LogEntry 字段,如 resource.type;如需了解详情,请查看快速查找日志条目

以下是 Google Workspace 审核日志的名称:

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

您可以通过多种方式来查看审核日志条目:

CLOUD CONSOLE

要在 Google Cloud Console 中使用日志浏览器检索 Google Cloud 组织的审核日志条目,请执行以下操作:

  1. 转到 Logging > 日志浏览器

    转到“日志浏览器”页面

  2. 在页面顶部选择一个现有 Google Cloud 项目。

  3. 确认您使用的是日志浏览器而不是旧版日志查看器。

  4. 项目选择器菜单中选择一个组织。

  5. 资源下拉菜单中,选择要查看其审核日志的资源类型。

  6. 日志名称下拉菜单中,选择 data_access 以查看数据访问审核日志,或者选择 activity 以查看管理员活动审核日志。

    如果您没有看到这些选项,则表示这些审核日志目前在该组织中不可用。

如需了解详情,请参阅使用日志浏览器

API

若要使用 Logging API 查看审核日志条目,请执行以下操作:

  1. 转到 entries.list 方法文档中的试用此 API 部分。

  2. 将以下内容添加到试用此 API 表单的请求正文部分。点击此预填充的表单后,系统会自动填充请求正文,但您需要在每个日志名称中提供一个有效的 ORGANIZATION_ID

          {
            "resourceNames": [
              "organizations/ORGANIZATION_ID"
            ],
            "pageSize": 5,
            "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
          }
    
  3. 点击执行

如需详细了解查询,请参阅 Logging 查询语言

GCLOUD

gcloud 命令行工具提供了用于 Cloud Logging API 的命令行界面。如需读取您的日志条目,请运行以下命令。在每个日志名称中提供有效的 ORGANIZATION_ID

    gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"

如需详细了解如何使用 gcloud 命令行工具,请参阅读取日志条目

管理审核日志

如需使审核日志的保留时间超过默认保留期限,您可以配置自定义保留

此外,您可以采用与导出其他类型的日志相同的方式从 Cloud Logging 中导出 Google Workspace 审核日志。如需详细了解如何导出日志,请参阅导出日志

以下是用于导出审核日志的一些应用:

  • 要使用更强大的搜索功能,您可以将审核日志的副本导出到 Cloud Storage、BigQuery 或 Pub/Sub。使用 Pub/Sub,您可以将内容导出到其他应用、其他代码库和第三方。

  • 如需管理整个组织范围内与您相关的审核日志,您可以创建一个汇总接收器,以便从组织中的任何或所有项目导出日志。

价格

Google Workspace 的组织级层日志目前免费提供。