Dokumen ini menjelaskan cara mengonfigurasi, melihat, dan merutekan log audit untuk Google Workspace ke Google Cloud. Dengan mengarahkan log audit ke Google Cloud, Anda dapat mendiagnosis dan menyelesaikan masalah umum terkait keamanan dan kepatuhan data.
Untuk diskusi konseptual tentang log audit Google Workspace, lihat Log audit untuk Google Workspace.
Ringkasan
Anda dapat berbagi log audit dengan organisasi Google Cloud menggunakan akun Google Workspace, Cloud Identity, atau Google Drive Enterprise. Anda dapat mengakses log audit bersama melalui Cloud Logging di Google Cloud.
Anda dapat mengakses log audit Google Workspace, Cloud Identity, dan Google Drive Enterprise untuk layanan berikut di Google Cloud:
- Log Audit Admin
- Log audit Enterprise Groups
- Log audit Login
- Log Audit Token OAuth
- Log Audit SAML
Untuk mengetahui informasi lebih lanjut tentang log audit layanan ini, lihat Informasi khusus layanan.
Sebelum memulai
Agar dapat melihat log audit Google Workspace di Google Cloud, pastikan Anda memiliki izin yang benar untuk melihat log audit Google Workspace.
Izin dan peran IAM menentukan kemampuan Anda untuk mengakses data log audit di Logging API, Logs Explorer, dan Google Cloud CLI.
Untuk mengetahui informasi mendetail tentang izin dan peran IAM tingkat organisasi yang mungkin Anda perlukan, lihat Kontrol akses dengan IAM Cloud Logging.
Melihat log audit di konsol Google Admin
Anda dapat melihat log audit untuk Google Workspace langsung di konsol Google Admin. Untuk mempelajari cara melihat log audit ini, lihat topik berikut:
Lihat log Audit Admin Google Workspace di konsol Google Admin.
Lihat log Audit Grup Google Workspace Enterprise di konsol Google Admin.
Lihat log Audit Login Google Workspace di konsol Google Admin.
Lihat log Audit Token OAuth Google Workspace di konsol Google Admin
Melihat log Audit SAML Google Workspace di konsol Google Admin
Lihat jenis log audit lainnya untuk Google Workspace di konsol Google Admin.
Membagikan log audit dengan Google Cloud
Untuk mengaktifkan berbagi data Google Workspace dengan Google Cloud dari akun Google Workspace, Cloud Identity, atau Google Drive Enterprise, ikuti petunjuk dalam artikel Berbagi data dengan layanan Google Cloud.
Setelah Anda mengaktifkan berbagi data Google Workspace dengan Google Cloud, Google Cloud akan menerima semua log audit untuk Google Workspace. Untuk mengecualikan log audit tertentu dari Google Cloud, siapkan sink dengan filter pengecualian. Anda tidak dapat menggunakan halaman IAM di Konsol Google Cloud untuk menonaktifkan berbagi data secara selektif.
Melihat log audit untuk Google Workspace di Google Cloud
Untuk melihat log audit Google Workspace di
Logging, gunakan
Bahasa kueri logging untuk memilih
data. Anda setidaknya perlu mengetahui ID organisasi Google Cloud Anda.
Anda dapat menentukan lebih lanjut kolom LogEntry lainnya yang diindeks, seperti resource.type, dan memfilter berdasarkan jenis peristiwa.
Berikut adalah nama log audit yang berlaku untuk Google Workspace:
-
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
-
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
Dalam nama log sebelumnya, ORGANIZATION_ID mengacu pada organisasi Google Cloud yang log auditnya ingin Anda lihat.
Anda memiliki beberapa opsi untuk melihat entri log audit Anda:
Konsol
Agar dapat memperoleh entri log audit untuk organisasi Google Cloud Anda menggunakan Logs Explorer di Konsol Google Cloud, lakukan hal berikut:
-
Pada panel navigasi Google Cloud Console, pilih Logging, lalu pilih Logs Explorer:
Dari menu Pemilih project, pilih organisasi.
Dari menu drop-down Resource, pilih jenis resource yang log auditnya ingin Anda lihat.
Di menu drop-down Log name, pilih
data_accessuntuk log audit Akses Data atauactivityuntuk log audit Aktivitas Admin.Jika Anda tidak melihat opsi ini, berarti log audit ini saat ini tidak tersedia di organisasi.
Opsional: Anda dapat mem-build filter di panel Query Builder untuk menentukan log lebih lanjut yang ingin dilihat. Untuk mempelajari log kueri lebih lanjut, lihat Mem-build kueri.
API
Untuk membaca entri log audit Anda menggunakan Logging API, lakukan hal berikut:
Buka bagian Coba API ini dalam dokumentasi untuk metode
entries.list.Masukkan string berikut ke dalam bagian Isi permintaan di formulir Coba API ini. Mengklik formulir yang telah diisi otomatis ini akan otomatis mengisi bagian permintaan, tetapi Anda harus memberikan ORGANIZATION_ID yang valid di setiap nama log.
{ "resourceNames": [ "organizations/ORGANIZATION_ID" ], "pageSize": 5, "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" }Klik Jalankan.
Untuk mengetahui detail lebih lanjut tentang cara menggunakan Logging API untuk membaca log, lihat Bahasa kueri logging.
gcloud
Google Cloud CLI menyediakan antarmuka command line ke Cloud Logging API. Untuk membaca entri log audit Anda, jalankan perintah berikut:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
Ganti ORGANIZATION_ID di setiap nama log dengan ID organisasi Google Cloud yang log auditnya ingin Anda baca.
Untuk mengetahui informasi selengkapnya tentang perintah ini, lihat referensi gcloud logging read.
Setiap layanan Google Workspace yang menyediakan log audit akan mencatat peristiwa khusus untuk layanan tersebut. Jika Anda ingin membaca log untuk peristiwa tertentu yang diaudit, seperti login yang berhasil atau akses yang dicabut, tambahkan baris berikut ke filter Anda dan berikan EVENT_NAME yang valid:
protoPayload.metadata.event.eventName="EVENT_NAME" resource.type="audited_resource"
Untuk mengetahui daftar nama peristiwa yang valid dan parameternya, lihat dokumentasi Reports API dan pilih dari layanan yang tercantum.
Misalnya, jika Anda ingin membaca log setiap kali Layanan login melaporkan bahwa sandi akun diubah, filter Anda akan terlihat seperti ini:
protoPayload.metadata.event.eventName="password_edit" resource.type="audited_resource"
Merutekan log audit dari Google Cloud
Setelah log audit untuk Google Workspace berada di Google Cloud, Anda dapat merutekan log ke tujuan yang didukung. Misalnya, Anda dapat membuat sink untuk merutekan log ke Splunk atau BigQuery. Untuk ringkasan konseptual tentang cara rute log dari Cloud Logging, lihat Ringkasan pemilihan rute dan penyimpanan.
Karena log audit untuk Google Workspace adalah log tingkat organisasi, Anda mengarahkannya menggunakan sink gabungan di tingkat organisasi ke tujuan berikut:
Untuk mengetahui petunjuk tentang cara mengonfigurasi sink guna merutekan log, lihat Mengompilasi dan merutekan log tingkat organisasi ke tujuan yang didukung.
Menyesuaikan periode retensi data
Periode retensi Cloud Logging berlaku untuk log audit yang Anda simpan di bucket log.
Untuk menyimpan log audit lebih lama dari periode retensi default, Anda dapat mengonfigurasi retensi kustom.
Langkah selanjutnya
- Memecahkan masalah masalah terkait log audit untuk Google Workspace.
- Tinjau praktik terbaik untuk Cloud Audit Logs.
- Pelajari Log Transparansi Akses untuk Google Workspace.