En este documento, se describe cómo configurar, ver y enrutar los registros de auditoría de Google Workspace a Google Cloud. Si enrutas los registros de auditoría a Google Cloud, puedes diagnosticar y resolver problemas habituales relacionados con la seguridad y el cumplimiento de los datos.
Para obtener un análisis conceptual de los registros de auditoría de Google Workspace, consulta Registros de auditoría de Google Workspace.
Descripción general
Puedes compartir registros de auditoría con tu organización de Google Cloud mediante tu cuenta de Google Workspace, Cloud Identity o Google Drive Enterprise. Puedes acceder a los registros de auditoría compartidos a través de Cloud Logging en Google Cloud.
Puedes acceder a los registros de auditoría de Google Workspace, Cloud Identity y Google Drive Enterprise de los siguientes servicios en Google Cloud:
- Registros de auditoría del administrador
- Registros de auditoría de Grupos para empresas
- Registros de auditoría de accesos
- Registros de auditoría de tokens de OAuth
- Registros de auditoría de SAML
Para obtener más información sobre los registros de auditoría de estos servicios, consulta Información específica del servicio.
Antes de comenzar
Para ver los registros de auditoría de Google Workspace en Google Cloud, asegúrate de tener los permisos correctos para hacerlo.
Los permisos y roles de IAM determinan tu capacidad para acceder a los datos de registros de auditoría en la API de Logging, el Explorador de registros y Google Cloud CLI.
Para obtener información detallada sobre los permisos de IAM a nivel de organización y las funciones que podrías necesitar, consulta Control de acceso con IAM en Cloud Logging.
Cómo ver los registros de auditoría en la Consola del administrador de Google
Puedes ver los registros de auditoría de Google Workspace directamente en la Consola del administrador de Google. Para obtener información sobre cómo ver estos registros de auditoría, consulta los siguientes temas:
Comparte registros de auditoría con Google Cloud
Para habilitar el uso compartido de los datos de Google Workspace con Google Cloud desde tu cuenta de Google Workspace, Cloud Identity o Google Drive Enterprise, sigue las instrucciones en Comparte datos con los servicios de Google Cloud.
Después de habilitar el uso compartido de datos de Google Workspace con Google Cloud, Google Cloud recibe todos los registros de auditoría de Google Workspace. Para excluir ciertos registros de auditoría de Google Cloud, configura los receptores con filtros de exclusión. No puedes usar la página de IAM en la consola de Google Cloud para inhabilitar de forma selectiva el uso compartido de los datos.
Cómo ver los registros de auditoría de Google Workspace en Google Cloud
Para ver los registros de auditoría de Google Workspace en Logging, usa el lenguaje de consulta de Logging para seleccionar datos. Como mínimo, debes conocer el identificador de tu organización de Google Cloud.
Además, puedes especificar otros campos LogEntry
indexados, como resource.type
, y filtrar por tipos de eventos.
Estos son los nombres de los registros de auditoría que se aplican a Google Workspace:
Registros de auditoría de acceso a los datos:
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Registros de auditoría de actividad del administrador:
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
En los nombres de registro anteriores, ORGANIZATION_ID hace referencia a la organización de Google Cloud cuya información de registro de auditoría deseas ver.
Tienes varias opciones para ver tus entradas de registro de auditoría:
Console
Para obtener las entradas del registro de auditoría de la organización de Google Cloud con el Explorador de registros de la consola de Google Cloud, haz lo siguiente:
-
En la consola de Google Cloud, ve a la página Explorador de registros.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
En el menú Selector de proyectos, selecciona una organización.
En el menú desplegable Recurso, selecciona el tipo de recurso cuyos registros de auditoría deseas ver.
En el menú desplegable Nombre del registro, selecciona
data_access
si deseas ver los registros de auditoría de acceso a los datos oactivity
para ver los registros de auditoría de actividad del administrador.Si no ves estas opciones, se debe a que estos registros de auditoría no están disponibles en la organización en este momento.
Opcional: Puedes compilar un filtro en el panel Compilador de consultas para especificar aún más los registros que deseas ver. Para obtener más información sobre cómo consultar registros, consulta Cómo compilar consultas.
API
Para leer tus entradas de registro de auditoría con la API de Logging, sigue estos pasos:
Ve a la sección Probar esta API en la documentación del método
entries.list
.Ingresa lo siguiente en la parte Cuerpo de la solicitud del formulario Probar esta API. Si haces clic en este formulario prepropagado, se completará el cuerpo de la solicitud de manera automática, pero deberás proporcionar un ORGANIZATION_ID válido para cada nombre de registro.
{ "resourceNames": [ "organizations/ORGANIZATION_ID" ], "pageSize": 5, "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" }
Haz clic en Ejecutar.
Si deseas obtener más detalles sobre cómo usar la API de Logging para leer registros, consulta Lenguaje de consulta de Logging.
gcloud
Google Cloud CLI proporciona una interfaz de línea de comandos para la API de Cloud Logging. Para leer las entradas del registro de auditoría, ejecuta el siguiente comando:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
Reemplaza ORGANIZATION_ID en cada uno de los nombres de registro por el ID de la organización de Google Cloud para la que deseas leer los registros de auditoría.
Para obtener más información sobre este comando, consulta la referencia de gcloud logging read
.
Cada servicio de Google Workspace que proporciona registros de auditoría captura eventos específicos del servicio. Si deseas leer los registros de un evento auditado en particular, como un acceso exitoso o acceso revocado, agrega lo siguiente al filtro y proporciona un EVENT_NAME válido:
protoPayload.metadata.event.eventName="EVENT_NAME" resource.type="audited_resource"
Para obtener una lista de nombres de eventos válidos y sus parámetros, consulta la documentación de la API de informes y selecciona uno de los servicios mencionados.
Por ejemplo, si deseas leer los registros cada vez que el servicio de acceso informa que se cambió una contraseña de cuenta, tu filtro se vería de la siguiente manera:
protoPayload.metadata.event.eventName="password_edit" resource.type="audited_resource"
Enruta registros de auditoría desde Google Cloud
Después de que los registros de auditoría de Google Workspace estén en Google Cloud, puedes enrutar los registros a destinos compatibles. Por ejemplo, puedes crear un receptor para enrutar registros a Splunk o BigQuery. Para obtener una descripción general conceptual de cómo se enrutan los registros desde Cloud Logging, consulta Descripción general del enrutamiento y el almacenamiento.
Debido a que los registros de auditoría de Google Workspace son registros a nivel de la organización, debes enrutarlos mediante receptores agregados a nivel organizacional a estos destinos:
Para obtener instrucciones sobre cómo configurar receptores para enrutar registros, consulta Recopila y enruta registros a nivel de la organización a destinos compatibles.
Personaliza el período de retención de datos
Los períodos de retención de Cloud Logging se aplican a los registros de auditoría que almacenas en los buckets de registro.
Para mantener registros de auditoría por más tiempo que los períodos de retención predeterminados, puedes configurar la retención personalizada.
¿Qué sigue?
- Soluciona problemas con los registros de auditoría de Google Workspace.
- Revisa las prácticas recomendadas para los registros de auditoría de Cloud.
- Obtén más información sobre los registros de Transparencia de acceso de Google Workspace.