Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
En este documento, se proporciona una descripción general conceptual de los registros de auditoría que
Google Workspace proporciona como parte de los Registros de auditoría de Cloud.
Los servicios de Google Cloud escriben registros de auditoría para ayudarte a responder las preguntas “¿Quién hizo qué, dónde y cuándo?”. Puedes compartir tu auditoría de Google Workspace
registros con Google Cloud para almacenar, analizar, supervisar y alertar
tus datos de Google Workspace.
Los registros de auditoría de Google Workspace
están disponibles para Cloud Identity,
Cloud Identity Premium y todos los clientes de Google Workspace.
Si inhabilitas el uso compartido de datos de Google Workspace, se detendrá la nueva versión de Google Workspace
los eventos de registro de auditoría para que no se envíen a Google Cloud. Todos los registros existentes permanecen
a través de sus
períodos de retención predeterminados, a menos que
Configuraste una retención personalizada
para conservar los registros por un período más largo.
Si no habilitas el uso compartido de datos de Google Workspace con Google Cloud,
No puedes ver los registros de auditoría
de Google Workspace en Google Cloud.
Tipos de registros de auditoría
Los registros de auditoría de actividad del administrador contienen entradas de registro para las llamadas a la API y otras acciones administrativas que modifican la configuración o los metadatos de los recursos. Por ejemplo, registran cuando los usuarios crean instancias de VM o
cambiar permisos de Identity and Access Management (IAM).
Los registros de auditoría de acceso a los datos registros contienen llamadas a la API que leen la configuración o los metadatos de los recursos, así como llamadas a la API que controla el usuario y que crean, modifican o leen los datos de los recursos que proporciona el usuario. En los registros de auditoría de acceso a los datos, no se registran las operaciones de acceso a los datos en los recursos compartidos de manera pública (disponibles para todos los usuarios o todos los usuarios autenticados) o a los que se puede acceder sin una cuenta de Google Cloud, Google Workspace o Drive Enterprise.
Servicios de Google Workspace que reenvían registros de auditoría a Google Cloud
Google Workspace proporciona los siguientes registros de auditoría en el
A nivel de la organización de Google Cloud:
Auditoría de administrador de Google Workspace: Los registros de auditoría del administrador proporcionan
registro de las acciones realizadas en la Consola del administrador de Google. Por ejemplo, puedes ver cuándo un administrador agregó un usuario o activó un servicio de Google Workspace. En la auditoría del administrador, solo se escriben registros de auditoría de actividad del administrador.
Auditoría de grupos de Google Workspace Enterprise: Auditoría de grupos empresariales
proporcionan un registro de las acciones realizadas en los grupos y las membresías de grupos.
Por ejemplo, puedes ver cuándo un administrador agregó un usuario
el propietario borró su grupo.
La auditoría de grupos empresariales solo escribe registros de auditoría de actividad del administrador.
Auditoría de acceso a Google Workspace: Los registros de auditoría de acceso realizan un seguimiento del usuario.
accesos a tu dominio. Estos registros solo registran el evento de acceso. No
registra qué sistema se usó para realizar la acción de acceso.
En la auditoría de acceso, solo se escriben registros de auditoría de acceso a los datos.
Auditoría de tokens de OAuth de Google Workspace: Los registros de auditoría de tokens OAuth hacen un seguimiento de
qué usan los usuarios
aplicaciones web o para dispositivos móviles de terceros en tu dominio. Por ejemplo, cuando un
usuario abre una app de Google Workspace Marketplace, el registro registra el nombre
la aplicación y la persona que la usa. El registro también registra cada vez que un tercero
aplicación está autorizada para acceder a los datos de la Cuenta de Google, como los
Archivos de Contactos, Calendario y Drive (solo para Google Workspace)
En la auditoría de token de OAuth, se escriben registros de auditoría de actividad del administrador y de acceso a los datos.
Auditoría de SAML de Google Workspace: Seguimiento de los registros de auditoría de SAML
de los usuarios accesos correctos y fallidos a las aplicaciones de SAML. Por lo general, las entradas
aparecerán dentro de la hora siguiente a la acción del usuario.
En la auditoría de SAML, solo se escriben registros de auditoría de acceso a los datos.
Información específica del servicio
Los detalles de los registros de auditoría de cada servicio de Google Workspace son los siguientes:
Actividades del administrador de Google Workspace
Los registros de auditoría del administrador de Google Workspace usan el tipo de recurso audited_resource para todos los registros de auditoría.
Los registros de auditoría del administrador de Google Workspace usan el nombre del servicio admin.googleapis.com.
La auditoría del administrador de Google Workspace solo escribe registros de auditoría de actividad del administrador. A continuación, se muestra una lista de las operaciones auditadas:
Los registros de auditoría de los grupos de Google Workspace Enterprise usan el tipo de recurso audited_resource para
todos los registros de auditoría.
Los registros de auditoría de Grupos de Google Workspace Enterprise usan el nombre del servicio cloudidentity.googleapis.com.
La auditoría de Grupos de Google Workspace solo escribe registros de auditoría de actividad de administrador. A continuación, se muestra una lista de las operaciones auditadas:
Categoría de registros de auditoría
AuditLog.method_name
Registros de auditoría de actividad del administrador
Todos los registros de auditoría de acceso de Google Workspace usan el tipo de recurso audited_resource.
Los registros de auditoría de acceso de Google Workspace usan el nombre del servicio login.googleapis.com.
La auditoría de acceso de Google Workspace solo escribe registros de auditoría de acceso a los datos. Los siguientes son los
operaciones auditadas; muestras de registro para
que cada operación esté disponible.
Los registros de auditoría de tokens de OAuth de Google Workspace usan el tipo de recurso audited_resource para
todos los registros de auditoría.
Los registros de auditoría de tokens de OAuth de Google Workspace usan el nombre del servicio
oauth2.googleapis.com
En la auditoría de tokens de OAuth de Google Workspace, se escriben registros de auditoría de actividad del administrador y de acceso a los datos. El
Estas son las operaciones auditadas:
Categoría de registros de auditoría
AuditLog.method_name
Registros de auditoría de actividad del administrador
Los registros de auditoría de SAML Google Workspace usan el tipo de recurso audited_resource para todos los registros de auditoría.
Los registros de auditoría de SAML de Google Workspace usan el nombre del servicio login.googleapis.com.
La auditoría de SAML de Google Workspace solo escribe registros de auditoría de acceso a los datos. A continuación, se muestra una lista de las operaciones auditadas:
Para obtener información detallada sobre los roles de IAM
y roles que podrías necesitar, consulta la
Control de acceso con la IAM.
Formato del registro de auditoría
Las entradas de registro de auditoría de Google Workspace incluyen los siguientes objetos:
La entrada de registro, que es un objeto de tipo LogEntry.
Cuando examines los datos de registro de auditoría, puede que te resulte útil lo siguiente:
logName contiene el ID de la organización y el tipo de registro de auditoría.
resource contiene el destino de la operación auditada.
timeStamp contiene la hora de la operación auditada.
protoPayload contiene el registro de auditoría de Google Workspace en su
metadata.
El campo protoPayload.metadata contiene la información auditada de Google Workspace. El siguiente es un ejemplo de un registro de auditoría de accesos:
Para obtener información sobre los campos de registro de auditoría específicos del servicio y cómo
interpretarlas, seleccionar entre los servicios que se enumeran en
Registros de auditoría disponibles.
Puedes enrutar los registros de auditoría de Google Workspace de Cloud Logging a destinos compatibles, incluidos otros buckets de Logging.
Estas son algunas de las aplicaciones para enrutar los registros de auditoría:
Para usar capacidades de búsqueda más potentes, puedes enrutar copias de los registros de auditoría a Cloud Storage, BigQuery o Pub/Sub.
Con Pub/Sub, puedes enrutar a otras aplicaciones, a otros repositorios y a terceros.
Para administrar los registros de auditoría en toda la organización, puedes crear
receptores agregados que combinan y
de ruta de todos los proyectos de Google Cloud, las cuentas de facturación y
carpetas que contiene tu organización. Por ejemplo, puedes agregar y enrutar las entradas de registro de auditoría de las carpetas de una organización a un bucket de Cloud Storage.
Para cada organización, Cloud Logging almacena de forma automática los registros en dos buckets: un bucket _Default y un bucket _Required. El bucket _Required
contiene registros de auditoría de actividad del administrador, registros de auditoría de eventos del sistema y registros de Transparencia de acceso.
El bucket _Default contiene todas las demás entradas de registro que no están almacenadas en el
_Required bucket. Para obtener más información sobre los buckets de Logging, consulta
Descripción general del enrutamiento y el almacenamiento.
Puedes configurar Cloud Logging para retener los registros en el bucket de registros _Default durante un período de 1 día a 3,650 días.
A fin de actualizar el período de retención del bucket de registros _Default, consulta Retención personalizada.
No puedes cambiar el período de retención en el bucket _Required.
Cuotas y límites
Se aplican las mismas cuotas a los registros de auditoría de Google Workspace y
Registros de auditoría de Cloud.
Para obtener información sobre estos límites de uso, incluidos los valores
tamaños de los registros de auditoría, consulta Cuotas y límites.
Precios
Los registros a nivel de la organización de Google Workspace son gratuitos.