Questa pagina è stata tradotta dall'API Cloud Translation.

Visualizzare e gestire gli audit log per Google Workspace

Questo documento descrive come configurare, visualizzare ed eseguire il routing degli audit log di Google Workspace in Google Cloud. Indirizzando i log di controllo a Google Cloud, puoi diagnosticare e risolvere i problemi comuni relativi alla sicurezza e alla conformità dei dati.

Per una discussione concettuale sugli audit log di Google Workspace, consulta Audit log per Google Workspace.

Panoramica

Puoi condividere i log di controllo con la tua organizzazione Google Cloud utilizzando il tuo account Google Workspace, Cloud Identity o Google Drive Enterprise. Puoi accedere ai log di controllo condivisi tramite Cloud Logging in Google Cloud.

In Google Cloud puoi accedere ai log di controllo di Google Workspace, Cloud Identity e Google Drive Enterprise dei seguenti servizi:

Audit log amministrativi
Log di controllo di Groups Enterprise
Log di controllo degli accessi
Log di controllo dei token OAuth
Log di controllo SAML

Per ulteriori informazioni sui log di controllo di questi servizi, consulta Informazioni specifiche per i servizi.

Prima di iniziare

Per visualizzare gli audit log di Google Workspace in Google Cloud, assicurati di disporre delle autorizzazioni corrette per visualizzarli.

Le autorizzazioni e i ruoli IAM determinano la tua capacità di accedere ai dati degli audit log nell'API Logging, in Esplora log e nell'interfaccia a riga di comando Google Cloud.

Per informazioni dettagliate sui ruoli e sulle autorizzazioni IAM a livello di organizzazione di cui potresti aver bisogno, consulta Controllo dell'accesso con IAM in Cloud Logging.

Visualizzare i log di controllo nella Console di amministrazione Google

Puoi visualizzare i log di controllo di Google Workspace direttamente nella Console di amministrazione Google. Per scoprire come visualizzare questi log di controllo, consulta i seguenti argomenti:

Condividere gli audit log con Google Cloud

Per attivare la condivisione dei dati di Google Workspace con Google Cloud dal tuo account Google Workspace, Cloud Identity o Google Drive Enterprise, segui le istruzioni riportate in Condividere i dati con i servizi Google Cloud.

Dopo aver attivato la condivisione dei dati di Google Workspace con Google Cloud, Google Cloud riceve tutti i log di controllo per Google Workspace. Per escludere determinati log di controllo da Google Cloud, configura i sink con filtri di esclusione. Non puoi utilizzare la pagina IAM nella console Google Cloud per disattivare in modo selettivo la condivisione dei dati.

Visualizzare gli audit log di Google Workspace in Google Cloud

Per visualizzare gli audit log di Google Workspace in Logging, utilizza il linguaggio di query di Logging per selezionare i dati. Devi conoscere almeno l'identificatore della tua organizzazione Google Cloud. Puoi specificare ulteriormente altri campi LogEntry indicizzati, come resource.type, e filtrare in base ai tipi di eventi.

Di seguito sono riportati i nomi degli audit log che si applicano a Google Workspace:

Audit log di accesso ai dati:

organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Audit log delle attività di amministrazione:

organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity

Nei nomi dei log precedenti, ORGANIZATION_ID si riferisce all'organizzazione Google Cloud per la quale vuoi visualizzare gli audit log.

Hai a disposizione diverse opzioni per visualizzare le voci dell'audit log:

Console

Per recuperare le voci degli audit log per la tua organizzazione Google Cloud utilizzando Esplora log nella console Google Cloud, segui questi passaggi:

Nella console Google Cloud, vai alla pagina Esplora log:
Vai a Esplora log

Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.
Dal menu Selettore di progetti, seleziona un'organizzazione.
Nel menu a discesa Risorsa, seleziona il tipo di risorsa di cui vuoi visualizzare gli audit log.
Nel menu a discesa Nome log, seleziona data_access per gli audit log di accesso ai dati o activity per gli audit log dell'attività di amministrazione.

Se non visualizzi queste opzioni, significa che questi audit log non sono attualmente disponibili nell'organizzazione.
(Facoltativo) Puoi creare un filtro nel riquadro Query Builder per specificare ulteriormente i log che vuoi visualizzare. Per scoprire di più su come eseguire query sui log, consulta Creare query.

API

Per leggere le voci dei log di controllo utilizzando l'API Logging, svolgi i seguenti passaggi:

Vai alla sezione Prova questa API nella documentazione del metodo entries.list.
Inserisci quanto segue nella sezione Corpo della richiesta del modulo Prova questa API. Se fai clic su questo modulo precompilato, il corpo della richiesta viene compilato automaticamente, ma devi fornire un ORGANIZATION_ID valido in ciascuno dei nomi dei log.
```
      {
        "resourceNames": [
          "organizations/ORGANIZATION_ID"
        ],
        "pageSize": 5,
        "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
      }
```
Fai clic su Execute (Esegui).

Per ulteriori dettagli sull'utilizzo dell'API Logging per leggere i log, consulta Linguaggio delle query di Logging.

gcloud

Google Cloud CLI fornisce un'interfaccia a riga di comando per l'API Cloud Logging. Per leggere le voci del log di controllo, esegui il seguente comando:

    gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"

Sostituisci ORGANIZATION_ID in ciascuno dei nomi dei log con l'ID dell'organizzazione Google Cloud per cui vuoi leggere i log di controllo.

Per ulteriori informazioni su questo comando, consulta la documentazione di riferimento di gcloud logging read.

Ogni servizio Google Workspace che fornisce log di controllo acquisisce eventi specifici del servizio. Se vuoi leggere i log relativi a un determinato evento sottoposto a controllo, ad esempio un accesso riuscito o un accesso revocato, aggiungi quanto segue al filtro e fornisci un EVENT_NAME valido:

protoPayload.metadata.event.eventName="EVENT_NAME"
resource.type="audited_resource"

Per un elenco dei nomi degli eventi validi e dei relativi parametri, consulta la documentazione dell'API Reports e seleziona uno dei servizi elencati.

Ad esempio, se vuoi leggere i log per ogni volta che il servizio di accesso segnala che è stata modificata la password di un account, il filtro sarà il seguente:

protoPayload.metadata.event.eventName="password_edit"
resource.type="audited_resource"

Inoltra gli audit log da Google Cloud

Una volta che i log di controllo di Google Workspace sono in Google Cloud, puoi indirizzarli alle destinazioni supportate. Ad esempio, puoi creare un sink per instradare i log a Splunk o BigQuery. Per una panoramica concettuale del modo in cui i log vengono indirizzati da Cloud Logging, consulta la panoramica su routing e archiviazione.

Poiché gli audit log di Google Workspace sono log a livello di organizzazione, li inoltri utilizzando i sink aggregati a livello di organizzazione a queste destinazioni:

Per istruzioni su come configurare i sink per il routing dei log, consulta Raccogliere e instradare i log a livello di organizzazione verso le destinazioni supportate.

Personalizzare il periodo di conservazione dei dati

I periodi di conservazione di Cloud Logging si applicano agli audit log archiviati nei bucket di log.

Per conservare i log di controllo per un periodo più lungo rispetto ai periodi di conservazione predefiniti, puoi configurare la conservazione personalizzata.

Passaggi successivi

Risolvi i problemi relativi agli audit log per Google Workspace.
Consulta le best practice per Cloud Audit Logs.
Scopri di più sui log di Access Transparency per Google Workspace.