Journaux d'audit pour Google Workspace

Ce document fournit une présentation conceptuelle des journaux d'audit fournis par Google Workspace dans le cadre des journaux d'audit Cloud.

Pour en savoir plus sur la gestion de vos journaux d'audit Google Workspace, consultez la page Afficher et gérer les journaux d'audit pour Google Workspace.

Aperçu

Les services Google Cloud alimentent des journaux d'audit pour vous aider à déterminer qui fait quoi, où et quand. Vous pouvez partager vos journaux d'audit Google Workspace avec Google Cloud pour stocker, analyser et surveiller les données Google Workspace et créer des alertes basées sur ces données.

Les journaux d'audit de Google Workspace sont disponibles pour Cloud Identity, Cloud Identity Premium et pour tous les clients Google Workspace.

Si vous avez activé le partage de données Google Workspace avec Google Cloud, les journaux d'audit sont toujours activés pour Google Workspace.

Si vous désactivez le partage des données Google Workspace, les nouveaux événements du journal d'audit Google Workspace ne sont plus envoyés à Google Cloud. Cependant, tous les journaux existants sont conservés en fonction de leurs durées de conservation par défaut, sauf si vous avez configuré une conservation personnalisée afin de les garder plus longtemps.

Si vous n'activez pas le partage des données Google Workspace avec Google Cloud, vous ne pouvez pas afficher les journaux d'audit de Google Workspace dans Google Cloud.

Types de journaux d'audit

Les journaux de type "Activités d'administration" contiennent des entrées relatives aux appels d'API et aux autres opérations qui modifient la configuration ou les métadonnées des ressources. Par exemple, ces journaux enregistrent les actions de création d'instance de VM ou de modification des autorisations IAM (Identity and Access Management).

Les journaux d'audit relatifs à l'accès aux données contiennent des appels d'API qui lisent la configuration ou les métadonnées des ressources, et des appels d'API pilotés par l'utilisateur qui créent, modifient ou lisent des données de ressources fournies par l'utilisateur. Les journaux d'audit pour l'accès aux données n'enregistrent pas les opérations d'accès aux données stockées sur des ressources partagées publiquement (accessibles à tous ou à tous les utilisateurs authentifiés), ni celles concernant les données auxquelles il est possible d'accéder sans se connecter à un compte Google Cloud, Google Workspace, Cloud Identity ou Drive Enterprise.

Services Google Workspace : transfert des journaux d'audit vers Google Cloud

Google Workspace fournit les journaux d'audit suivants au niveau de l'organisation Google Cloud :

  • Access Transparency: les journaux Access Transparency enregistrent les actions effectuées par le personnel de Google lorsqu'il accède au contenu des clients dans vos ressources Google Workspace. Contrairement à Access Transparency, Cloud Audit Logs enregistre les actions que les membres de votre organisation Google Cloud ont effectuées sur vos ressources Google Cloud.

    Pour en savoir plus sur la structure des journaux Access Transparency et les types d'accès consignés, consultez la section Descriptions des champs de journal.

  • Audit d'administration Google Workspace: les journaux d'audit des administrateurs fournissent un enregistrement des actions effectuées dans la console d'administration Google. Par exemple, vous pouvez voir quand un administrateur ajoute un utilisateur ou active un service Google Workspace.

    L'audit d'administration n'écrit que les journaux d'audit des activités d'administration.

  • Audit des groupes Google Workspace Enterprise : les journaux d'audit des groupes Google Workspace Enterprise assurent l'enregistrement des actions effectuées sur les groupes et leurs membres.  Vous pouvez par exemple voir quand un administrateur a ajouté un utilisateur ou qu'un propriétaire de groupe a supprimé son groupe.

    L'audit des groupes Enterprise n'écrit que les journaux d'audit des activités d'administration.

  • Audit des connexions Google Workspace : les journaux d'audit des connexions assurent le suivi des connexions des utilisateurs à votre domaine. Ces journaux enregistrent uniquement les événements de connexion. Ils ne consignent pas le système utilisé pour effectuer l'action de connexion.

    L'audit des connexions n'écrit que les journaux d'audit d'accès aux données.

  • Audit des jetons OAuth de Google Workspace : les journaux d'audit des jetons OAuth indiquent quels utilisateurs utilisent quelles applications mobiles ou Web tierces sur votre domaine. Par exemple, lorsqu'un utilisateur ouvre une application Google Workspace Marketplace, le journal enregistre le nom de l'application et l'utilisateur. Le journal enregistre également chaque autorisation d'accès d'une application tierce aux données d'un compte Google, telles que les données Google Contacts ou Google Agenda, et les fichiers Drive (Google Workspace uniquement).

    L'audit des jetons OAuth écrit des journaux d'audit des activités d'administration et de l'accès aux données.

  • Audit SAML Google Workspace : les journaux d'audit SAML suivent les connexions et les échecs de connexion de vos utilisateurs aux applications SAML. Les entrées y apparaissent généralement dans l'heure suivant l'action réalisée par l'utilisateur.

    L'audit SAML n'écrit que les journaux d'audit de l'accès aux données.

Informations spécifiques au service

Les détails des journaux d'audit de chaque service Google Workspace sont les suivants :

Autorisations relatives aux journaux d'audit

Les autorisations et les rôles IAM déterminent votre capacité à accéder aux données des journaux d'audit dans l'API Logging, l'explorateur de journaux et la Google Cloud CLI.

Pour en savoir plus sur les autorisations et les rôles Cloud IAM au niveau de l'organisation dont vous avez besoin, consultez la page Contrôle des actions avec IAM.

Format des journaux d'audit

Les entrées des journaux d'audit Google Workspace incluent les objets suivants :

  • L'entrée de journal proprement dite, qui est un objet de type LogEntry. Lorsque vous examinez les données de journalisation d'audit, les informations suivantes peuvent vous être utiles :

    • logName, qui contient l'ID de l'organisation et le type de journal d'audit.
    • resource, qui contient la cible de l'opération faisant l'objet d'un audit.
    • timeStamp, qui indique l'heure à laquelle l'opération auditée a été effectuée.
    • protoPayload, qui contient le journal d'audit de Google Workspace dans son champ metadata.

Le champ protoPayload.metadata contient les informations auditées de Google Workspace. Voici un exemple de journal d'audit de connexion :

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "test-user@example.net"
    },
    "requestMetadata": {
      "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "login.googleapis.com",
    "methodName": "google.login.LoginService.loginFailure",
    "resourceName": "organizations/123",
    "metadata": {
      "event": [
        {
          "eventName": "login_failure",
          "eventType": "login",
          "parameter": [
            {
              "value": "google_password",
              "type": "TYPE_STRING",
              "name": "login_type",
            },
            {
              "name": "login_challenge_method",
              "type": "TYPE_STRING",
              "label": "LABEL_REPEATED",
              "multiStrValue": [
                "password",
                "idv_preregistered_phone",
                "idv_preregistered_phone"
              ]
            },
          ]
        }
      ],
      "activityId": {
        "uniqQualifier": "358068855354",
        "timeUsec": "1632500217183212"
      },
      "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto"
    }
  },
  "insertId": "-nahbepd4l1x",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "method": "google.login.LoginService.loginFailure",
      "service": "login.googleapis.com"
    }
  },
  "timestamp": "2021-09-24T16:16:57.183212Z",
  "severity": "NOTICE",
  "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2021-09-24T17:51:25.034361197Z"
}

Pour en savoir plus sur les champs des journaux d'audit spécifiques au service et sur leur interprétation, sélectionnez l'un des services répertoriés dans la section Journaux d'audit disponibles.

Voir les journaux

Pour en savoir plus sur l'affichage des journaux d'audit Google Workspace, consultez la page Afficher et gérer les journaux d'audit pour Google Workspace.

Acheminer les journaux d'audit

Vous pouvez acheminer les journaux d'audit Google Workspace depuis Cloud Logging vers des destinations compatibles, y compris d'autres buckets Logging.

Voici des exemples d'applications dédiées au routage des journaux d'audit :

  • Pour utiliser des fonctionnalités de recherche plus puissantes, vous pouvez acheminer des copies des journaux d'audit vers Cloud Storage, BigQuery ou Pub/Sub. Avec Pub/Sub, vous avez la possibilité d'acheminer vos journaux vers d'autres applications, d'autres dépôts, ainsi que vers des organisations tierces.

  • Pour gérer les journaux d'audit à l'échelle de votre organisation, vous pouvez créer des récepteurs agrégés qui combinent et acheminent les journaux de tous les projets, comptes de facturation et dossiers Google Cloud de votre organisation. Par exemple, vous pouvez agréger des entrées de journaux d'audit et les acheminer vers différents buckets vers un bucket Cloud Storage.

Pour obtenir des instructions sur le routage des journaux, consultez la section Acheminer les journaux vers les destinations compatibles.

Régionalisation

Vous ne pouvez pas choisir une région dans laquelle stocker vos journaux Google Workspace. Les journaux Google Workspace ne sont pas couverts par la Règle applicable aux régions des données de Google Workspace.

Durées de conservation

Les durées de conservation suivantes s'appliquent aux données de vos journaux d'audit :

Pour chaque organisation, Cloud Logging stocke automatiquement les journaux dans deux buckets : un bucket _Default et un bucket _Required. Le bucket _Required contient les journaux d'audit d'activités d'administration, les journaux d'audit d'événements système et les journaux Access Transparency. Le bucket _Default contient toutes les autres entrées de journal qui ne sont pas stockées dans le bucket _Required. Pour en savoir plus sur les buckets de journaux, consultez la page Présentation du routage et du stockage.

Vous pouvez configurer Cloud Logging de façon à conserver les journaux dans le bucket de journaux _Default pendant une période allant de un jour à 3 650 jours.

Pour mettre à jour la durée de conservation du bucket de journaux _Default, consultez la section Conservation personnalisée.

Vous ne pouvez pas modifier la durée de conservation du bucket _Required.

Quotas et limites

Les mêmes quotas s'appliquent aux journaux d'audit Google Workspace et aux journaux Cloud Audit.

Pour en savoir plus sur ces limites d'utilisation, y compris sur la taille maximale des journaux d'audit, consultez la page Quotas et limites.

Tarifs

Les journaux Google Workspace au niveau de l'organisation sont actuellement gratuits.

Étape suivante