Questo documento descrive come configurare, visualizzare ed esportare gli audit log di Google Workspace in Google Cloud. Esportando gli audit log in Google Cloud, puoi diagnosticare e risolvere i problemi comuni relativi alla sicurezza e alla conformità dei dati.
Per una discussione concettuale degli audit log di Google Workspace, consulta Audit log per Google Workspace.
Panoramica
Puoi condividere gli audit log con la tua Google Cloud organizzazione utilizzando il tuo account Google Workspace, Cloud Identity o Google Drive Enterprise. Puoi accedere agli audit log condivisi tramite Cloud Logging in Google Cloud.
Puoi accedere agli audit log di Google Workspace, Cloud Identity e Google Drive Enterprise dei seguenti servizi in Google Cloud:
- Audit log amministrativi
- Audit log di Groups Enterprise
- Audit log di accesso
- Audit log dei token OAuth
- Audit log SAML
Per saperne di più sugli audit log di questi servizi, consulta Informazioni specifiche del servizio.
Prima di iniziare
Per visualizzare gli audit log di Google Workspace in Google Cloud, assicurati di disporre di le autorizzazioni corrette per visualizzare gli audit log di Google Workspace.
I ruoli e le autorizzazioni IAM determinano la tua capacità di accedere ai dati degli audit log nell'API Logging, in Esplora log e in Google Cloud CLI.
Per informazioni dettagliate sui ruoli e sulle autorizzazioni IAM a livello di organizzazione di cui potresti aver bisogno, consulta Controllo dell'accesso a Cloud Logging con IAM.
Visualizzare gli audit log nella Console di amministrazione Google
Puoi visualizzare gli audit log di Google Workspace direttamente nella Console di amministrazione Google. Per scoprire come visualizzare questi audit log, consulta i seguenti argomenti:
Visualizzare gli audit log di accesso di Google Workspace nella Console di amministrazione Google.
Visualizzare gli audit log SAML di Google Workspace nella Console di amministrazione Google
Visualizzare altri tipi di audit log di Google Workspace nella Console di amministrazione Google.
Condividere gli audit log con Google Cloud
Per attivare la condivisione dei dati di Google Workspace con Google Cloud dal tuo account Google Workspace, Cloud Identity o Google Drive Enterprise, segui le istruzioni riportate in Condividere i dati con i Google Cloud servizi.
Dopo aver attivato la condivisione dei dati di Google Workspace con Google Cloud, Google Cloud riceve tutti gli audit log di Google Workspace. Per escludere determinati audit log da Google Cloud, configura i sink con filtri di esclusione. Non puoi utilizzare la pagina IAM nella Google Cloud console per disattivare selettivamente la condivisione dei dati.
Visualizzare gli audit log di Google Workspace in Google Cloud
Per visualizzare gli audit log di Google Workspace in
Logging, utilizza il
linguaggio di query di Logging per selezionare
i dati. Come minimo, devi conoscere l'identificatore della tua
Google Cloud organizzazione.
Puoi specificare ulteriormente altri campi LogEntry indicizzati, come
resource.type, e filtrare in base ai tipi di eventi.
Di seguito sono riportati i nomi degli audit log che si applicano a Google Workspace:
-
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Audit log delle attività di amministrazione:
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
Nei nomi dei log precedenti, ORGANIZATION_ID si riferisce all' Google Cloud organizzazione per cui vuoi visualizzare gli audit log.
Hai a disposizione diverse opzioni per visualizzare le voci di audit log:
Console
Per ottenere le voci di audit log per la tua Google Cloud organizzazione utilizzando Esplora log nella Google Cloud console, procedi nel seguente modo:
-
Nella Google Cloud console, vai alla pagina Esplora log:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.
Dal menu Selettore progetto, seleziona un'organizzazione.
Dal menu a discesa Risorsa, seleziona il tipo di risorsa di cui vuoi visualizzare gli audit log.
Nel menu a discesa Nome log, seleziona
data_accessper gli audit log di accesso ai dati oactivityper gli audit log delle attività di amministrazione.Se non vedi queste opzioni, significa che questi audit log non sono attualmente disponibili nell'organizzazione.
(Facoltativo) Puoi creare un filtro nel riquadro Query Builder per specificare ulteriormente i log che vuoi visualizzare. Per saperne di più sull'esecuzione di query sui log, consulta Creare query.
API
Per leggere le voci di audit log utilizzando l'API Logging, procedi nel seguente modo:
Vai alla sezione Prova questa API nella documentazione del
entries.listmetodo.Inserisci il codice seguente nella sezione Corpo della richiesta del modulo Prova questa API. Facendo clic su questo modulo precompilato il corpo della richiesta viene compilato automaticamente, ma devi fornire un ORGANIZATION_ID valido in ciascuno dei nomi di log.
{ "resourceNames": [ "organizations/ORGANIZATION_ID" ], "pageSize": 5, "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" }Fai clic su Esegui.
Per saperne di più sull'utilizzo dell'API Logging per leggere i log, consulta Linguaggio di query di Logging.
gcloud
Google Cloud CLI fornisce un'interfaccia a riga di comando per l'API Cloud Logging. Per leggere le voci di audit log, esegui il comando seguente:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
Sostituisci ORGANIZATION_ID in ciascuno dei nomi di log con l'ID dell' Google Cloud organizzazione per cui vuoi leggere gli audit log.
Per saperne di più su questo comando, consulta il
gcloud logging read riferimento.
Ogni servizio Google Workspace che fornisce audit log acquisisce eventi specifici del servizio. Se vuoi leggere i log per un evento sottoposto ad audit specifico, ad esempio un accesso riuscito o un accesso revocato, aggiungi quanto segue al filtro e fornisci un EVENT_NAME valido:
protoPayload.metadata.event.eventName="EVENT_NAME" resource.type="audited_resource"
Per un elenco di nomi di eventi validi e dei relativi parametri, consulta la documentazione dell'API Reports e seleziona i servizi elencati.
Ad esempio, se vuoi leggere i log ogni volta che il servizio di accesso segnala che la password di un account è stata modificata, il filtro sarà simile al seguente:
protoPayload.metadata.event.eventName="password_edit" resource.type="audited_resource"
Esportare gli audit log da Google Cloud
Dopo che gli audit log di Google Workspace sono stati importati in Google Cloud, puoi esportare i log verso le destinazioni supportate. Ad esempio, puoi creare un sink per esportare i log in Splunk o BigQuery. Per una panoramica concettuale di come vengono esportati i log da Cloud Logging, consulta Panoramica su routing e archiviazione.
Poiché gli audit log di Google Workspace sono log a livello di organizzazione, puoi esportarli utilizzando i sink aggregati a livello di organizzazione verso queste destinazioni:
Per istruzioni sulla configurazione dei sink per esportare i log, consulta Raccogliere ed esportare i log a livello di organizzazione verso destinazioni supportate.
Personalizzare il periodo di conservazione dei dati
I periodi di conservazione di Cloud Logging si applicano agli audit log archiviati in bucket di log.
Per conservare gli audit log per periodi più lunghi rispetto ai periodi di conservazione predefiniti, puoi configurare la conservazione personalizzata.
Passaggi successivi
- Risolvere i problemi relativi agli audit log di Google Workspace.
- Consulta le best practice per Cloud Audit Logs.
- Scopri di più sui log di Access Transparency per Google Workspace.