本文档介绍如何配置、查看 Google Workspace 的审核日志并将其路由到 Google Cloud。通过将审核日志路由到 Google Cloud,您可以诊断和解决与数据安全和合规性相关的常见问题。
如需从概念上了解 Google Workspace 审核日志,请参阅 Google Workspace 审核日志。
概览
您可以使用您的 Google Workspace、Cloud Identity 或 Google 云端硬盘企业版账号。您可以通过 Google Cloud 中的 Cloud Logging 访问共享审核日志。
您可以访问以下服务Google Workspace、Cloud Identity 和 Google Cloud 中的 Google 云端硬盘企业版审核日志:
- 管理员审核日志
- 企业版群组审核日志
- 登录审核日志
- OAuth 令牌审核日志
- SAML 审核日志
如需详细了解这些服务的审核日志,请参阅服务专属信息。
准备工作
如需在 Google Cloud 中查看 Google Workspace 的审核日志,请确保您拥有查看 Google Workspace 审核日志的正确权限。
IAM 权限和角色决��了您访问审核的能力 Logging API 中的日志记录数据, Logs Explorer 和 Google Cloud CLI。
如需详细了解您可能需要的组织级层 IAM 权限和角色,请参阅 Cloud Logging 的使用 IAM 进行访问权限控制。
在 Google 管理控制台中查看审核日志
您可以直接在以下���置查看 Google Workspace 审核日志: Google 管理控制台。如需了解如何查看这些审核日志,请参阅以下主题:
与 Google Cloud 共享审核日志
如需通过您的 Google Cloud 控制台与 Google Cloud 共享 Google Workspace 数据, Google Workspace、Cloud Identity 或 Google 云端硬盘企业版账号。 请按照 与 Google Cloud 服务共享数据。
启用与 Google Cloud 共享 Google Workspace 数据后,Google Cloud 会收到 Google Workspace 的所有审核日志。如需从 Google Cloud 中排除某些审核日志,请使用排除项过滤条件设置接收器。您无法使用 IAM 页面 ,以选择性地停用数据共享。
在 Google Cloud 中查看 Google Workspace 的审核日志
要在 Logging 中查看 Google Workspace 的审核日志,请使用 Logging 查询语言来选择数据。您至少需要知道您的 Google Cloud 组织的标识符。您可以进一步指定其他已编入索引的 LogEntry 字段(例如 resource.type),并按事件类型过滤。
以下是适用于 Google Workspace 的审核日志名称:
-
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
-
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
在上述日志名称中,ORGANIZATION_ID 是指您要查看其审核日志的 Google Cloud 组织。
您可以通过多种方式来查看审核日志条目:
控制台
要使用以下内容获取 Google Cloud 组织的审核日志条目: 日志浏览器,请执行以下操作:
-
在 Google Cloud 控制台中,转到 Logs Explorer 页面。
如果您使用搜索栏查找此页面,请选择子标题为 Logging 的结果。
从项目选择器菜单中选择一个组织。
从资源下拉菜单中,选择要查看其审核日志的资源类型。
在日志名称下拉菜单中,选择
data_access以查看数据访问审核日志,或者选择activity以查看管理员活动审核日志。如果您没有看到这些选项,则表示这些审核日志目前在该组织中不可用。
可选:您可以在查询构建器窗格中构建过滤条件,以进一步指定您要查看的日志。如需详细了解如何查询日志,请参阅构建查询。
API
如需使用 Logging API 读取审核日志条目,请执行以下操作:
转到
entries.list方法文档中的试用此 API 部分。将以下内容添加到试用此 API 表单的请求正文部分。点击此预填充的表单后,系统会自动填充请求正文,但您需要在每个日志名称中提供一个有效的 ORGANIZATION_ID。
{ "resourceNames": [ "organizations/ORGANIZATION_ID" ], "pageSize": 5, "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" }点击执行。
如需详细了解如何使用 Logging API 读取日志,请参阅 Logging 查询语言。
gcloud
Google Cloud CLI 为 Cloud Logging API 提供了命令行界面。如需读取审核日志条目,请运行以下命令:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
将每个日志名称中的 ORGANIZATION_ID 替换为您要读取其审核日志的 Google Cloud 组织的 ID。
如需详细了解此命令,请参阅 gcloud logging read 参考文档。
每个提供审核日志的 Google Workspace 服务都会捕获特定于该服务的事件。如果您要读取特定审核事件(例如成功登录或撤消的访问权限)的日志,请将以下内容添加到您的过滤条件中,并提供有效的 EVENT_NAME:
protoPayload.metadata.event.eventName="EVENT_NAME" resource.type="audited_resource"
如需查看有效事件名称及其参数的列表,请参阅 Reports API 文档,然后从列出的服务中进行选择。
例如,如果您要在每次登录服务报告账号密码已更改时读取日志,则过滤条件将如下所示:
protoPayload.metadata.event.eventName="password_edit" resource.type="audited_resource"
从 Google Cloud 路由审核日志
当 Google Workspace 的审核日志发送到 Google Cloud 之中后,您可以将日志路由到支持的目标位置。例如,您可以创建一个接收器,将日志导出到 Splunk 或 BigQuery。如需从概念上大致了解如何从 Cloud Logging 路由日志,请参阅路由和存储概览。
由于 Google Workspace 的审核日志是组织级层的日志,因此您可以使用组织级层的汇总接收器将其路由到以下目标位置:
如需了解如何配置接收器以路由日志,请参阅 整理组织级日志并将其路由到支持的目标位置。
自定义数据保留期限
Cloud Logging 保留期限适用于您在日志存储桶中存储的审核日志。
如需使审核日志的保留时间超过默认保留期限,您可以配置自定义保留。
后续步骤
- 排查 Google Workspace 审核日志中存在的问题。
- 查看 Cloud Audit Logs 的最佳做法
- 了解 Google Workspace 的 Access Transparency 日志。