Audit log per Google Workspace

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questo documento fornisce una panoramica concettuale degli audit log forniti da Google Workspace nell'ambito di Cloud Audit Logs.

Per informazioni sulla gestione degli audit log di Google Workspace, consulta Visualizzare e gestire gli audit log di Google Workspace.

Panoramica

Google Cloud scrivono gli audit log per aiutarti a rispondere alle domande "Chi ha fatto cosa, dove e quando?". Puoi condividere i log di controllo di Google Workspace con Google Cloud per archiviare, analizzare, monitorare e inviare avvisi sui tuoi dati di Google Workspace.

I log di controllo per Google Workspace sono disponibili per Cloud Identity, Cloud Identity Premium e tutti i clienti di Google Workspace.

Se hai attivato la condivisione dei dati di Google Workspace con Google Cloud, i log di controllo sono sempre attivati per Google Workspace.

La disattivazione della condivisione dei dati di Google Workspace impedisce l'invio di nuovi eventi dei log di controllo di Google Workspace a Google Cloud. Eventuali log esistenti rimangono per i relativi periodi di conservazione predefiniti, a meno che non abbia configurato la conservazione personalizzata per conservare i log per un periodo più lungo.

Se non attivi la condivisione dei dati di Google Workspace con Google Cloud, non potrai visualizzare i log di controllo di Google Workspace in Google Cloud.

Tipi di log di controllo

Gli audit log per le attività di amministrazione contengono voci di log per le chiamate API o altre azioni che modificano la configurazione o i metadati delle risorse. Ad esempio, questi log registrano quando gli utenti creano istanze VM o cambiano le autorizzazioni di Identity and Access Management (IAM).

Gli audit log di accesso ai dati contengono chiamate API che leggono la configurazione o i metadati delle risorse, nonché chiamate API effettuate dagli utenti che creano, modificano o leggono i dati delle risorse forniti dall'utente. I log di controllo dell'accesso ai dati non registrano le operazioni di accesso ai dati sulle risorse condivise pubblicamente (disponibili per Tutti gli utenti o Tutti gli utenti autenticati) o a cui è possibile accedere senza accedere all'account Google Cloud, Google Workspace, Cloud Identity o Drive Enterprise.

Servizi Google Workspace che inoltrano gli audit log a Google Cloud

Google Workspace fornisce i seguenti log di controllo a livello di Google Cloud organizzazione:

• Access Transparency: i log di Access Transparency forniscono un record delle azioni intraprese dal personale Google quando accede ai contenuti dei clienti nelle tue risorse Google Workspace. A differenza di Access Transparency, gli audit log di Cloud registrano le azioni intraprese dai membri della tua Google Cloud organizzazione nelle tue Google Cloud risorse.

  Per ulteriori informazioni sulla struttura dei log di Access Transparency e sui tipi di accessi registrati, consulta la sezione Descrizioni dei campi del log.

• Controllo amministrazione Google Workspace: i log di controllo amministrazione forniscono un registro delle azioni eseguite nella Console di amministrazione Google. Ad esempio, puoi vedere quando un amministratore ha aggiunto un utente o ha attivato un servizio Google Workspace.

  Il controllo amministrativo scrive solo gli audit log delle attività di amministrazione.

• Controllo di Google Workspace Enterprise Groups: i log di controllo di Enterprise Groups forniscono un record delle azioni eseguite sui gruppi e sulle iscrizioni ai gruppi. Ad esempio, puoi vedere quando un amministratore ha aggiunto un utente o quando un gruppo proprietario ha eliminato il proprio gruppo.

  L'audit di Groups Enterprise scrive solo gli audit log delle attività di amministrazione.

• Controllo degli accessi di Google Workspace: i log di controllo degli accessi monitorano gli accessi degli utenti al tuo dominio. Questi log registrano solo l'evento di accesso. Non registrano il sistema utilizzato per eseguire l'azione di accesso.

  Il controllo degli accessi scrive solo gli audit log di accesso ai dati.

• Controllo dei token OAuth di Google Workspace: i log di controllo dei token OAuth monitorano gli utenti del tuo dominio che utilizzano determinate applicazioni web o per dispositivi mobili di terze parti. Ad esempio, quando un utente apre un'app del Google Workspace Marketplace, il log registra il nome dell'app e quello della persona che la utilizza. Il log registra inoltre ogni autorizzazione concessa a un'applicazione di terze parti per l'accesso a dati di Account Google, ad esempio i dati di Contatti Google, di Calendar e dei file di Drive (solo per Google Workspace).

  Il controllo dei token OAuth scrive sia i log di controllo delle attività di amministrazione sia i log di controllo dell'accesso ai dati.

• Controllo SAML di Google Workspace: i log di controllo SAML monitorano gli accessi riusciti e non riusciti degli utenti alle applicazioni SAML. In genere le voci vengono inserite nel log entro un'ora dall'azione dell'utente.

  Il controllo SAML scrive solo gli audit log di accesso ai dati.

Informazioni specifiche per il servizio

I dettagli per gli audit log di ciascun servizio Google Workspace sono i seguenti:

Autorizzazioni degli audit log

Le autorizzazioni e i ruoli IAM determinano la tua capacità di accedere ai dati degli audit log nell'API Logging, in Esplora log e nell'interfaccia a riga di comando Google Cloud.

Per informazioni dettagliate sui ruoli e sulle autorizzazioni IAM a livello di organizzazione di cui potresti aver bisogno, consulta Controllo dell'accesso con IAM.

Formato degli audit log

Le voci dei log di controllo di Google Workspace includono i seguenti oggetti:

• La voce di log stessa, che è un oggetto di tipo LogEntry. Quando esamini i dati di log di controllo, potresti trovare utile quanto segue:

  • logName contiene l'ID organizzazione e il tipo di log di controllo.
  • resource contiene il target dell'operazione sottoposta ad audit.
  • timeStamp contiene l'ora dell'operazione sottoposta ad audit.
  • protoPayload contiene il log di controllo di Google Workspace nel suo metadata campo.

Il campo protoPayload.metadata contiene le informazioni di Google Workspace sottoposte a controllo. Di seguito è riportato un esempio di log di controllo degli accessi:

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "test-user@example.net"
    },
    "requestMetadata": {
      "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "login.googleapis.com",
    "methodName": "google.login.LoginService.loginFailure",
    "resourceName": "organizations/123",
    "metadata": {
      "event": [
        {
          "eventName": "login_failure",
          "eventType": "login",
          "parameter": [
            {
              "value": "google_password",
              "type": "TYPE_STRING",
              "name": "login_type",
            },
            {
              "name": "login_challenge_method",
              "type": "TYPE_STRING",
              "label": "LABEL_REPEATED",
              "multiStrValue": [
                "password",
                "idv_preregistered_phone",
                "idv_preregistered_phone"
              ]
            },
          ]
        }
      ],
      "activityId": {
        "uniqQualifier": "358068855354",
        "timeUsec": "1632500217183212"
      },
      "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto"
    }
  },
  "insertId": "-nahbepd4l1x",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "method": "google.login.LoginService.loginFailure",
      "service": "login.googleapis.com"
    }
  },
  "timestamp": "2021-09-24T16:16:57.183212Z",
  "severity": "NOTICE",
  "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2021-09-24T17:51:25.034361197Z"
}

Per informazioni sui campi di audit logging specifici del servizio e su come interpretarli, seleziona uno dei servizi elencati in Log di controllo disponibili.

Visualizza i log

Per informazioni su come visualizzare gli audit log di Google Workspace, consulta Visualizzare e gestire gli audit log di Google Workspace.

Inoltra i log di controllo

Puoi inoltrare gli audit log di Google Workspace da Cloud Logging alle destinazioni supportate, inclusi altri bucket di Logging.

Di seguito sono riportate alcune applicazioni per l'indirizzamento dei log di controllo:

• Per utilizzare funzionalità di ricerca più avanzate, puoi inoltrare copie degli audit log a Cloud Storage, BigQuery o Pub/Sub. Con Pub/Sub puoi eseguire il routing verso altre applicazioni, altri repository e terze parti.

• Per gestire gli audit log in tutta l'organizzazione, puoi creare sink aggregati che combinano e inoltrano i log da tutti i progetti, gli account di fatturazione e le cartelle Google Cloud contenuti nella tua organizzazione. Ad esempio, puoi aggregare e instradare le voci di audit log dalle cartelle di un'organizzazione a un bucket Cloud Storage.

Per istruzioni su come eseguire il routing dei log, consulta Eseguire il routing dei log verso destinazioni supportate.

Aree geografiche

Non puoi scegliere una regione in cui sono archiviati i log di Google Workspace. I log di Google Workspace non sono coperti dal Criterio per le regioni di dati di Google Workspace.

Periodi di conservazione

Ai dati dei log di controllo si applicano i seguenti periodi di conservazione:

• Criteri di conservazione dei dati in Google Workspace.

• Norme sulla conservazione dei dati in Google Cloud Cloud Logging.

Per ogni organizzazione, Cloud Logging archivia automaticamente i log in due bucket: un bucket _Default e un bucket _Required. Il bucket _Required contiene gli audit log delle attività amministrative, gli audit log degli eventi di sistema e i log di Access Transparency. Il bucket _Default contiene tutte le altre voci di log non archiviate nel _Required bucket. Per ulteriori informazioni sui bucket di logging, consulta la panoramica su routing e archiviazione.

Puoi configurare Cloud Logging in modo che i log vengano conservati nel bucket di log _Default per un periodo che va da 1 giorno a 3650 giorni.

Per aggiornare il periodo di conservazione per il bucket di log _Default, consulta Conservazione personalizzata.

Non puoi modificare il periodo di conservazione nel bucket _Required.

Quote e limiti

Le stesse quote si applicano ai log di controllo per Google Workspace e ai log di controllo di Cloud.

Per informazioni dettagliate su questi limiti di utilizzo, incluse le dimensioni massime dei log di controllo, consulta Quote e limiti.

Prezzi

I log a livello di organizzazione di Google Workspace sono gratuiti.

Passaggi successivi

• Scopri come configurare e gestire gli audit log di Google Workspace.
• Consulta le best practice per Cloud Audit Logs.
• Scopri come visualizzare e comprendere i log di Access Transparency per Google Workspace.