查看及管理 Google Workspace 稽核記錄

本文說明如何設定、查看及轉送 Google Workspace 稽核記錄至 Google Cloud。將稽核記錄轉送至Google Cloud,即可診斷及解決與資料安全和法規遵循相關的常見問題。

如要瞭解 Google Workspace 稽核記錄的概念,請參閱「Google Workspace 稽核記錄」。

總覽

您可以使用 Google Workspace、Cloud Identity 或 Google 雲端硬碟企業版帳戶,與 Google Cloud 貴機構共用稽核記錄。您可以透過Google Cloud中的 Cloud Logging 存取共用稽核記錄。

您可以在 Google Cloud中存取下列服務的稽核記錄:Google Workspace、Cloud Identity 和 Google 雲端硬碟 Enterprise。

  • 管理員稽核記錄
  • Enterprise Groups 稽核記錄
  • 登入稽核記錄
  • OAuth 權杖稽核記錄
  • SAML 稽核記錄

如要進一步瞭解這些服務的稽核記錄,請參閱服務專屬資訊

事前準備

如要在 Google Cloud中查看 Google Workspace 稽核記錄,請確認您具備正確的權限,才能查看 Google Workspace 稽核記錄。

IAM 權限和角色會決定您是否能夠在 Logging API記錄檔探索工具Google Cloud CLI 中存取稽核記錄資料。

如要進一步瞭解可能需要的機構層級 IAM 權限和角色,請參閱 Cloud Logging 的「使用 IAM 控管存取權」一文。

在 Google 管理控制台中查看稽核記錄

您可以直接在 Google 管理控制台中查看 Google Workspace 稽核記錄。如要瞭解如何查看這些稽核記錄,請參閱下列主題:

與 Google Cloud分享稽核記錄

如要啟用 Google Workspace 資料共用功能,請從您的 Google Workspace、Cloud Identity 或 Google 雲端硬碟企業版帳戶 Google Cloud 與 Google Cloud 服務共用資料,請按照「與 Google Cloud 服務共用資料」中的指示操作。

啟用與 Google Cloud共用 Google Workspace 資料的功能後,Google Cloud 就會收到所有 Google Workspace 稽核記錄。如要從 Google Cloud排除特定稽核記錄,請使用排除篩選器設定接收器。您無法使用 Google Cloud 控制台中的 IAM 頁面,選擇性停用資料共用功能。

在 Google Cloud中查看 Google Workspace 稽核記錄

如要在「記錄」中查看 Google Workspace 稽核記錄,請使用記錄查詢語言選取資料。您至少需要知道Google Cloud 機構的 ID。您可以進一步指定其他已編入索引的 LogEntry 欄位 (例如 resource.type),並依事件類型進行篩選。

以下是適用於 Google Workspace 的稽核記錄名稱:

在上述記錄名稱中,ORGANIZATION_ID 是指您要查看稽核記錄的Google Cloud 機構。

您可以採取以下幾種做法查看稽核記錄項目:

控制台

如要使用 Google Cloud 控制台的記錄檔探索工具,取得 Google Cloud 機構的稽核記錄項目,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「Logs Explorer」頁面:

    前往「Logs Explorer」(記錄檔探索工具)

    如果您是使用搜尋列尋找這個頁面,請選取子標題為「Logging」的結果

  2. 從「Project selector」選單中選取機構。

  3. 在「Resource」下拉式選單中,選取您要查看稽核記錄的資源類型。

  4. 在「記錄名稱」下拉式選單中,選取 data_access 即可查看資料存取稽核記錄,選取 activity 則可查看管理員活動稽核記錄。

    如果沒有看到這些選項,表示貴機構目前沒有這些稽核記錄。

  5. 選用步驟:您可以在「Query Builder」窗格中建立篩選器,進一步指定要查看的記錄。如要進一步瞭解如何查詢記錄,請參閱「建構查詢」。

API

如要使用 Logging API 讀取稽核記錄項目,請執行下列步驟:

  1. 前往 entries.list 方法說明文件中的「Try this API」(試用這個 API) 區段。

  2. 將下列內容放入「Try this API」(試用這個 API) 表單的「Request body」(要求主體) 部分。按一下這份已預先填入資料的表單就能自動填入要求主體,但您必須在每個記錄名稱中提供有效的 ORGANIZATION_ID

          {
        "resourceNames": [
          "organizations/ORGANIZATION_ID"
        ],
        "pageSize": 5,
        "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
      }

  3. 按一下 [Execute] (執行)

如要進一步瞭解如何使用 Logging API 讀取記錄,請參閱「Logging 查詢語言」。

gcloud

Google Cloud CLI 提供 Cloud Logging API 的指令列介面。如要讀取稽核記錄項目,請執行下列指令:

    gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"

將每個記錄名稱中的 ORGANIZATION_ID 替換為您要讀取稽核記錄的 Google Cloud 機構 ID。

如要進一步瞭解這個指令,請參閱 gcloud logging read 參考資料。

每項提供稽核記錄的 Google Workspace 服務,都會擷取特定服務的事件。如果您想讀取特定稽核事件的記錄 (例如成功登入或撤銷存取權),請在篩選器中新增以下項目,並提供有效的 EVENT_NAME

protoPayload.metadata.event.eventName="EVENT_NAME"
resource.type="audited_resource"

如需有效事件名稱和參數的清單,請參閱 Reports API 說明文件,並從列出的服務中選取。

舉例來說,如果您想讀取登入服務每當回報帳戶密碼已變更時的記錄,篩選器會如下所示:

protoPayload.metadata.event.eventName="password_edit"
resource.type="audited_resource"

從 Google Cloud路由稽核記錄

Google Workspace 稽核記錄在 Google Cloud中後,您就可以將記錄轉送至支援的目的地。舉例來說,您可以建立接收端,將記錄路由至 Splunk 或 BigQuery。如要瞭解從 Cloud Logging 轉送記錄的方式,請參閱「轉送和儲存空間總覽」。

由於 Google Workspace 稽核記錄是機構層級記錄,因此您必須使用機構層級的匯總接收器將這些記錄轉送至下列目的地:

如要瞭解如何設定接收器來轉送記錄,請參閱「彙整並將機構層級記錄轉送至支援的目的地」。

自訂資料保留期限

Cloud Logging 保留期限適用於您儲存在記錄檔值區中的稽核記錄。

如要讓稽核記錄保留的時間長於預設保留期限,您可以設定自訂保留

後續步驟