本文說明如何設定、查看及轉送 Google Workspace 的稽核記錄至 Google Cloud。將稽核記錄轉送至Google Cloud,即可診斷及解決與資料安全性及法規遵循相關的常見問題。
如要瞭解 Google Workspace 稽核記錄的概念,請參閱「Google Workspace 稽核記錄」。
總覽
您可以使用 Google Workspace、Cloud Identity 或 Google 雲端硬碟企業版帳戶,與貴機構共用稽核記錄。 Google Cloud 您可以在Google Cloud中透過 Cloud Logging 存取共用稽核記錄。
您可以在 Google Cloud中存取下列服務的 Google Workspace、Cloud Identity 和 Google 雲端硬碟 Enterprise 稽核記錄:
- 管理員稽核記錄
- Groups Enterprise 稽核記錄
- 登入稽核記錄
- OAuth 權杖稽核記錄
- SAML 稽核記錄
如要進一步瞭解這些服務的稽核記錄,請參閱服務專屬資訊。
事前準備
如要在 Google Cloud中查看 Google Workspace 的稽核記錄,請確認您擁有查看 Google Workspace 稽核記錄的適當權限。
IAM 權限和角色會決定您能否在 Logging API、Logs Explorer 和 Google Cloud CLI 中存取稽核記錄資料。
如要進一步瞭解您可能需要的機構層級 IAM 權限和角色,請參閱 Cloud Logging「使用 IAM 控管存取權」。
在 Google 管理控制台中查看稽核記錄
您可以在 Google 管理控制台中直接查看 Google Workspace 的稽核記錄。如要瞭解如何查看這些稽核記錄,請參閱下列主題:
與「 Google Cloud」分享稽核記錄
如要啟用 Google Workspace 資料共用功能,請按照「與 Google Cloud 服務共用資料」一文中的操作說明,從 Google Workspace、Cloud Identity 或 Google 雲端硬碟企業版帳戶共用資料。 Google Cloud
啟用與 Google Cloud共用 Google Workspace 資料後,Google Cloud 就會收到所有 Google Workspace 的稽核記錄。如要從 Google Cloud排除特定稽核記錄,請設定具有排除篩選器的接收器。您無法使用 Google Cloud 控制台的「IAM」頁面,選擇性停用資料共用功能。
在 Google Cloud中查看 Google Workspace 的稽核記錄
如要在 Logging 中查看 Google Workspace 的稽核記錄,請使用 Logging 查詢語言選取資料。您至少需要知道機構的 ID。Google Cloud 您還可以進一步指定其他已建立索引的 LogEntry 欄位 (例如 resource.type),並依事件類型篩選。
以下是適用於 Google Workspace 的稽核記錄名稱:
-
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
-
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
在上述記錄名稱中,ORGANIZATION_ID 是指您要查看稽核記錄的Google Cloud 機構。
您可以採取以下幾種做法查看稽核記錄項目:
控制台
如要使用 Google Cloud 控制台的記錄檔探索工具,取得 Google Cloud 機構的稽核記錄項目,請按照下列步驟操作:
-
前往 Google Cloud 控制台的「Logs Explorer」頁面:
如果您是使用搜尋列尋找這個頁面,請選取子標題為「Logging」的結果。
從「專案選取器」選單中選取機構。
從「資源」下拉式選單中,選取要查看稽核記錄的資源類型。
在「記錄名稱」下拉式選單中,選取「資料存取」稽核記錄的
data_access,或「管理員活動」稽核記錄的activity。如果沒有看到這些選項,表示機構目前無法使用這些稽核記錄。
選用:您可以在「查詢產生器」窗格中建立篩選器,進一步指定要查看的記錄。如要進一步瞭解如何查詢記錄,請參閱「建構查詢」。
API
如要使用 Logging API 讀取稽核記錄項目,請按照下列步驟操作:
前往
entries.list方法說明文件中的「Try this API」(試用這個 API) 區段。將下列內容放入「Try this API」(試用這個 API) 表單的「Request body」(要求主體) 部分。按一下這份已預先填入資料的表單就能自動填入要求主體,但您必須在每個記錄名稱中提供有效的 ORGANIZATION_ID。
{ "resourceNames": [ "organizations/ORGANIZATION_ID" ], "pageSize": 5, "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" }點選「Execute」。
如要進一步瞭解如何使用 Logging API 讀取記錄,請參閱「Logging 查詢語言」。
gcloud
Google Cloud CLI 提供 Cloud Logging API 的指令列介面,如要讀取稽核記錄項目,請執行下列指令:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
將每個記錄名稱中的 ORGANIZATION_ID 替換為要讀取稽核記錄的 Google Cloud 機構 ID。
如要進一步瞭解這個指令,請參閱 gcloud logging read 參考資料。
提供稽核記錄的 Google Workspace 服務,都會擷取該服務專屬的事件。如要讀取特定稽核事件的記錄,例如成功登入或存取權遭撤銷,請在篩選器中加入下列項目,並提供有效的 EVENT_NAME:
protoPayload.metadata.event.eventName="EVENT_NAME" resource.type="audited_resource"
如需有效事件名稱及其參數的清單,請參閱Reports API 說明文件,然後從列出的服務中選取。
舉例來說,如果您想讀取登入服務每次回報帳戶密碼已變更的記錄,篩選器會如下所示:
protoPayload.metadata.event.eventName="password_edit" resource.type="audited_resource"
從「 Google Cloud」轉送稽核記錄
Google Workspace 的稽核記錄匯入 Google Cloud後,您就可以將記錄轉送至支援的目的地。舉例來說,您可以建立接收器,將記錄檔傳送至 Splunk 或 BigQuery。如要瞭解如何從 Cloud Logging 轉送記錄,請參閱「轉送功能和儲存空間簡介」。
由於 Google Workspace 的稽核記錄屬於機構層級的記錄,因此您可以使用機構層級的匯總接收器,將這些記錄傳送至下列目的地:
如需設定接收器來轉送記錄檔的操作說明,請參閱「彙整機構層級記錄並轉送至支援的目的地」。
自訂資料保留期限
儲存在記錄檔值區中的稽核記錄,適用 Cloud Logging 的保留期限。
如要將稽核記錄檔的保留時間延長至超過預設保留期限,請設定自訂保留規則。
後續步驟
- 排解 Google Workspace 稽核記錄問題。
- 請參閱 Cloud 稽核記錄的最佳做法。
- 瞭解 Google Workspace 的資料存取透明化控管機制記錄。