Dokumen ini menjelaskan cara mengonfigurasi, melihat, dan merutekan log audit untuk Google Workspace ke Google Cloud. Dengan merutekan log audit ke Google Cloud, Anda dapat mendiagnosis dan menyelesaikan masalah umum terkait keamanan dan kepatuhan data.
Untuk pembahasan konseptual tentang log audit Google Workspace, lihat Log audit untuk Google Workspace.
Ringkasan
Anda dapat membagikan log audit dengan organisasi Anda menggunakan akun Google Workspace, Cloud Identity, atau Google Drive Enterprise. Google Cloud Anda dapat mengakses log audit yang dibagikan melalui Cloud Logging di Google Cloud.
Anda dapat mengakses log audit Google Workspace, Cloud Identity, dan Google Drive Enterprise dari layanan berikut di Google Cloud:
- Log audit Admin
- Log audit Enterprise Groups
- Log audit Login
- Log audit Token OAuth
- Log audit SAML
Untuk mengetahui informasi selengkapnya tentang log audit layanan ini, lihat Informasi khusus layanan.
Sebelum memulai
Untuk melihat log audit Google Workspace di Google Cloud, pastikan Anda memiliki izin yang benar untuk melihat log audit Google Workspace.
Izin dan peran IAM menentukan kemampuan Anda untuk mengakses data log audit di Logging API, Logs Explorer, dan Google Cloud CLI.
Melihat log audit di konsol Google Admin
Anda dapat melihat log audit untuk Google Workspace langsung di konsol Google Admin. Untuk mempelajari cara melihat log audit ini, lihat topik berikut:
Melihat log audit Admin Google Workspace di konsol Google Admin.
Melihat log audit Enterprise Groups Google Workspace di konsol Google Admin.
Melihat log audit Login Google Workspace di konsol Google Admin.
Melihat log audit Token OAuth Google Workspace di konsol Google Admin
Melihat log audit SAML Google Workspace di konsol Google Admin
Melihat jenis log audit lainnya untuk Google Workspace di konsol Google Admin.
Membagikan log audit dengan Google Cloud
Untuk mengaktifkan berbagi data Google Workspace dengan Google Cloud dari akun Google Workspace, Cloud Identity, atau Google Drive Enterprise Anda, ikuti petunjuk di Membagikan data dengan Google Cloud layanan.
Setelah Anda mengaktifkan berbagi data Google Workspace dengan Google Cloud, Google Cloud akan menerima semua log audit untuk Google Workspace. Untuk mengecualikan log audit tertentu dari Google Cloud, siapkan sink dengan filter pengecualian. Anda tidak dapat menggunakan halaman IAM di Google Cloud konsol untuk menonaktifkan berbagi data secara selektif.
Melihat log audit untuk Google Workspace di Google Cloud
Untuk melihat log audit Google Workspace di
Logging, Anda menggunakan
bahasa kueri Logging untuk memilih
data. Minimal, Anda harus mengetahui ID organisasi
Google Cloud Anda.
Anda dapat menentukan lebih lanjut kolom LogEntry yang diindeks lainnya, seperti
resource.type, dan memfilter menurut jenis peristiwa.
Berikut adalah nama log audit yang berlaku untuk Google Workspace:
-
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
-
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
Dalam nama log sebelumnya, ORGANIZATION_ID mengacu pada Google Cloud organisasi yang log auditnya ingin Anda lihat.
Anda memiliki beberapa opsi untuk melihat entri log audit Anda:
Konsol
Untuk mendapatkan entri log audit untuk Google Cloud organisasi Anda menggunakan Logs Explorer di Google Cloud konsol, lakukan hal berikut:
-
Di Google Cloud konsol, buka halaman Logs Explorer:
Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.
Dari menu Project selector, pilih organisasi.
Dari menu drop-down Resource, pilih jenis resource yang log auditnya ingin Anda lihat.
Di menu drop-down Log name, pilih
data_accessuntuk log audit Akses Data atauactivityuntuk log audit Aktivitas Admin.Jika Anda tidak melihat opsi ini, log audit ini saat ini tidak tersedia di organisasi.
Opsional: Anda dapat membuat filter di panel Query Builder untuk menentukan lebih lanjut log yang ingin Anda lihat. Untuk mempelajari lebih lanjut cara mengkueri log, lihat Membuat kueri.
API
Untuk membaca entri log audit Anda menggunakan Logging API, lakukan hal berikut:
Buka bagian Try this API dalam dokumentasi untuk metode.
entries.listMasukkan string berikut ke dalam bagian Isi permintaan di formulir Coba API ini. Mengklik formulir yang telah diisi otomatis ini akan otomatis mengisi bagian permintaan, tetapi Anda harus memberikan ORGANIZATION_ID yang valid di setiap nama log.
{ "resourceNames": [ "organizations/ORGANIZATION_ID" ], "pageSize": 5, "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" }Klik Jalankan.
Untuk mengetahui detail selengkapnya tentang penggunaan Logging API untuk membaca log, lihat Bahasa kueri logging.
gcloud
Google Cloud CLI menyediakan antarmuka command line ke Cloud Logging API. Untuk membaca entri log audit Anda, jalankan perintah berikut:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
Ganti ORGANIZATION_ID di setiap nama log dengan ID organisasi yang log auditnya ingin Anda baca. Google Cloud
Untuk mengetahui informasi selengkapnya tentang perintah ini, lihat referensi
gcloud logging read.
Setiap layanan Google Workspace yang menyediakan log audit akan merekam peristiwa khusus untuk layanan tersebut. Jika Anda ingin membaca log untuk peristiwa yang diaudit tertentu, seperti login yang berhasil atau akses yang dicabut, tambahkan hal berikut ke filter Anda dan berikan EVENT_NAME yang valid:
protoPayload.metadata.event.eventName="EVENT_NAME" resource.type="audited_resource"
Untuk mengetahui daftar nama peristiwa yang valid dan parameternya, lihat dokumentasi Reports API dan pilih dari layanan yang tercantum.
Misalnya, jika Anda ingin membaca log setiap kali layanan Login melaporkan bahwa sandi akun telah diubah, filter Anda akan terlihat seperti ini:
protoPayload.metadata.event.eventName="password_edit" resource.type="audited_resource"
Merutekan log audit dari Google Cloud
Setelah log audit untuk Google Workspace berada di Google Cloud, Anda dapat merutekan log ke tujuan yang didukung. Misalnya, Anda dapat membuat sink untuk merutekan log ke Splunk atau BigQuery. Untuk mengetahui ringkasan konseptual tentang cara log di rutekan dari Cloud Logging, lihat Ringkasan perutean dan penyimpanan.
Karena log audit untuk Google Workspace adalah log tingkat organisasi, Anda merutekan nya menggunakan sink gabungan di tingkat organisasi ke tujuan berikut:
Untuk mengetahui petunjuk tentang cara mengonfigurasi sink untuk merutekan log, lihat Menggabungkan dan merutekan log tingkat organisasi ke tujuan yang didukung.
Menyesuaikan periode retensi data
Periode retensi Cloud Logging berlaku untuk log audit yang Anda simpan di bucket log.
Untuk menyimpan log audit lebih lama dari periode retensi default, Anda dapat mengonfigurasi retensi kustom.
Langkah berikutnya
- Memecahkan masalah terkait log audit untuk Google Workspace.
- Meninjau praktik terbaik untuk Cloud Audit Logs.
- Mempelajari log Transparansi Akses untuk Google Workspace.