Google Workspace 的审核日志

本文档从概念上简要介绍了 Google Workspace 在 Cloud Audit Logs 中提供的审核日志。

如需了解如何管理 Google Workspace 审核日志,请参阅 查看和管理 Google Workspace 审核日志

概览

Google Cloud 服务会写入审核日志,便于您了解谁在何时何地执行了何种操作。您可以与 Google Cloud 共享 Google Workspace 审核日志,以便存储、分析和监控 Google Workspace 数据,并据以发出提醒。

Cloud Identity、Cloud Identity 专业版和所有 Google Workspace 客户都可以使用 Google Workspace 的审核日志。

如果您已启用与 Google Cloud 共享 Google Workspace 数据,则系统始终会为 Google Workspace 启用审核日志。

停用 Google Workspace 数据共享功能会停止将新的 Google Workspace 审核日志事件发送到 Google Cloud。系统会在默认保留期限内保留任何现有日志,除非您配置了自定义保留期限,将日志保留更长时间。

如果您启用了与 Google Cloud 共享 Google Workspace 数据,则无法在 Google Cloud 中查看 Google Workspace 的审核日志。

审核日志类型

管理员活动审核日志包含用于修改资源配置或元数据的 API 调用或其他操作对应的日志条目。例如,这些日志会记录用户创建虚拟机实例或更改 Identity and Access Management (IAM) 权限的时间。

数据访问审核日志包含用于读取资源配置或元数据的 API 调用,以及用户进行的用于创建、修改或读取用户所提供资源数据的 API 调用。数据访问审核日志不会记录对公开共享的资源(所有用户或所有经过身份验证的用户均可使用)或无需登录 Google Cloud、Google Workspace、Cloud Identity 或云端硬盘企业版账号即可访问的资源执行的数据访问操作。

Google Workspace 服务将审核日志转发到 Google Cloud

Google Workspace 在 Google Cloud 组织级层提供以下审核日志:

  • Access Transparency:Access Transparency 日志会记录 Google 员工在您的 Google Workspace 资源中访问客户内容时所执行的操作。与 Access Transparency 不同,Cloud Audit Logs 会记录您的 Google Cloud 组织成员在您的 Google Cloud 资源中执行的操作。

    如需详细了解 Access Transparency 日志的结构以及记录的访问类型,请参阅日志字段说明

  • Google Workspace 管理员审核:管理员审核日志提供了在 Google 管理控制台中执行的操作的记录。举例来说,您可以查看管理员何时添加了用户,或者何时启用了某项 Google Workspace 服务。

    管理员审核仅写入管理员活动审核日志。

  • Google Workspace 企业版群组审核:企业版群组审核日志提供了对群组和群组成员资格执行的操作的记录。举例来说,您可以查看管理员何时添加了用户,或者群组所有者何时删除了自己的群组。

    企业版群组审核仅写入管理员活动审核日志。

  • Google Workspace 登录审核:登录审核日志跟踪用户登录您的网域的情况。这些日志仅记录登录事件。不会记录用来执行登录操作的系统。

    登录审核仅写入数据访问审核日志。

  • Google Workspace OAuth 令牌审核:OAuth 令牌审核日志跟踪哪些用户正在使用您网域中的哪些第三方移动应用或 Web 应用。例如,当有用户打开某个 Google Workspace Marketplace 应用时,该日志会记录应用名称和使用者。每当第三方应用被授权访问 Google 通讯录、日历和云端硬盘文件(仅适用于 Google Workspace)等 Google 账号数据时,该日志也会进行相应记录。

    OAuth 令牌审核会写入管理员活动和数据访问审核日志。

  • Google Workspace SAML 审核:SAML 审核日志会跟踪用户对 SAML 应用的成功或失败登录。系统通常会在用户操作后 1 小时内显示相关条目。

    SAML 审核仅写入数据访问审核日志。

服务专属信息

各 Google Workspace 服务的审核日志详情如下所示:

审核日志权限

IAM 权限和角色决定了您能否在 Logging APILogs ExplorerGoogle Cloud CLI 中访问审核日志数据。

如需详细了解您可能需要的组织级层 IAM 权限和角色,请参阅使用 IAM 进行访问权限控制

审核日志格式

Google Workspace 审核日志条目包含以下对象:

  • 日志条目本身,即类型为 LogEntry 的对象。在检查审核日志记录数据时,您可能会发现以下内容会很有用:

    • logName 包含组织 ID 和审核日志类型。
    • resource 包含所审核操作的目标。
    • timeStamp 包含所审核操作的时间。
    • protoPayloadmetadata 字段包含 Google Workspace 审核日志。

protoPayload.metadata 字段包含所审核的 Google Workspace 信息。以下是登录审核日志的示例:

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "test-user@example.net"
    },
    "requestMetadata": {
      "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "login.googleapis.com",
    "methodName": "google.login.LoginService.loginFailure",
    "resourceName": "organizations/123",
    "metadata": {
      "event": [
        {
          "eventName": "login_failure",
          "eventType": "login",
          "parameter": [
            {
              "value": "google_password",
              "type": "TYPE_STRING",
              "name": "login_type",
            },
            {
              "name": "login_challenge_method",
              "type": "TYPE_STRING",
              "label": "LABEL_REPEATED",
              "multiStrValue": [
                "password",
                "idv_preregistered_phone",
                "idv_preregistered_phone"
              ]
            },
          ]
        }
      ],
      "activityId": {
        "uniqQualifier": "358068855354",
        "timeUsec": "1632500217183212"
      },
      "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto"
    }
  },
  "insertId": "-nahbepd4l1x",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "method": "google.login.LoginService.loginFailure",
      "service": "login.googleapis.com"
    }
  },
  "timestamp": "2021-09-24T16:16:57.183212Z",
  "severity": "NOTICE",
  "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2021-09-24T17:51:25.034361197Z"
}

如需了解服务专属审核日志记录字段以及如何解读这些字段,请从可用审核日志中列出的服务中进行选择。

查看日志

如需了解如何查看 Google Workspace 审核日志,请参阅查看和管理 Google Workspace 审核日志

路由审核日志

您可以将 Google Workspace 审核日志从 Cloud Logging 路由到受支持的目标位置,包括其他 Logging 存储桶。

以下是用于路由审核日志的一些应用:

  • 如需使用更强大的搜索功能,您可以将审核日志的副本路由到 Cloud Storage、BigQuery 或 Pub/Sub。您可以使用 Pub/Sub 将内容路由到其他应用、其他代码库和第三方。

  • 如需管理整个组织范围内与您相关的审核日志,您可以创建一个汇总接收器,以便合并和路由组织所包含的所有 Google Cloud 项目、结算账号和文件夹日志中的日志。例如,您可以将组织文件夹中的审核日志条目汇总并路由到 Cloud Storage 存储桶。

如需了解如何路由日志,请参阅将日志路由到支持的目的地

地区化

您不能选择存储 Google Workspace 日志的地区。 Google Workspace 数据地区政策未涵盖 Google Workspace 日志。

保留期限

以下保留期限适用于审核日志数据:

对于每个组织,Cloud Logging 会自动将日志存储在两个存储桶中:_Default 存储桶和 _Required 存储桶。_Required 存储桶用于存储管理员活动审核日志、系统事件审核日志和 Access Transparency 日志_Default 存储桶用于存储未存储在 _Required 存储桶中的所有其他日志条目。如需详细了解 Logging 存储桶,请参阅路由和存储概览

您可以配置 Cloud Logging,将 _Default 日志存储桶中的日志保留 1 到 3650 天。

如需更新 _Default 日志存储桶的保留期限,请参阅自定义保留

您不能更改 _Required 存储桶的保留期限。

配额和限制

Google Workspace 和 Cloud Audit Logs 的审核日志适用相同的配额。

如需详细了解这些用量限制(包括审核日志的大小上限),请参阅配额和限制

价格

Google Workspace 的组织级层日志免费提供。

后续步骤