Este documento descreve como configurar, ver e encaminhar registos de auditoria do Google Workspace para o Google Cloud. Ao encaminhar os registos de auditoria para o Google Cloud, pode diagnosticar e resolver problemas comuns relacionados com a segurança e a conformidade dos dados.
Para uma discussão conceptual dos registos de auditoria do Google Workspace, consulte o artigo Registos de auditoria do Google Workspace.
Vista geral
Pode partilhar registos de auditoria com a sua Google Cloud organização através da sua conta do Google Workspace, Cloud ID ou Google Drive Enterprise. Pode aceder aos registos de auditoria partilhados através do Cloud Logging noGoogle Cloud.
Pode aceder aos registos de auditoria do Google Workspace, Cloud Identity e Google Drive Enterprise dos seguintes serviços em Google Cloud:
- Registos de auditoria do administrador
- Registos de auditoria de grupos Enterprise
- Registos de auditoria do início de sessão
- Registos de auditoria de tokens OAuth
- Registos de auditoria de SAML
Para mais informações sobre os registos de auditoria destes serviços, consulte as informações específicas do serviço.
Antes de começar
Para ver os registos de auditoria do Google Workspace em Google Cloud, certifique-se de que tem as autorizações corretas para ver os registos de auditoria do Google Workspace.
As autorizações e as funções da IAM determinam a sua capacidade de aceder aos dados dos registos de auditoria na API Logging, no Explorador de registos e na CLI Google Cloud.
Para obter informações detalhadas sobre as autorizações e as funções da IAM ao nível da organização de que pode precisar, consulte o artigo Controlo de acesso com a IAM do Cloud Logging.
Veja os registos de auditoria na consola do administrador Google
Pode ver os registos de auditoria do Google Workspace diretamente na consola do administrador Google. Para saber como ver estes registos de auditoria, consulte os seguintes tópicos:
Veja registos de auditoria de tokens OAuth do Google Workspace na consola do administrador Google
Veja os registos de auditoria SAML do Google Workspace na consola do administrador Google
Veja outros tipos de registos de auditoria do Google Workspace na consola do administrador Google.
Partilhe registos de auditoria com Google Cloud
Para ativar a partilha de dados do Google Workspace com os serviços Google Cloud a partir da sua conta do Google Workspace, Cloud ID ou Google Drive Enterprise, siga as instruções em Partilhe dados com os serviços Google Cloud .
Depois de ativar a partilha de dados do Google Workspace com Google Cloud,Google Cloud recebe todos os registos de auditoria do Google Workspace. Para excluir determinados registos de auditoria do Google Cloud, configure sinks com filtros de exclusão. Não pode usar a página IAM na consola para desativar seletivamente a partilha dos dados. Google Cloud
Veja os registos de auditoria do Google Workspace em Google Cloud
Para ver registos de auditoria do Google Workspace na
registo, use a
linguagem de consulta de registo para selecionar
dados. No mínimo, tem de saber o identificador da sua
Google Cloud organização.
Pode especificar outros campos LogEntry indexados, como resource.type, e filtrar por tipos de eventos.
Seguem-se os nomes dos registos de auditoria que se aplicam ao Google Workspace:
Registos de auditoria de acesso aos dados:
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Registos de auditoria da atividade do administrador:
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
Nos nomes dos registos anteriores, ORGANIZATION_ID refere-se à Google Cloud organização para a qual quer ver os registos de auditoria.
Tem várias opções para ver as entradas do registo de auditoria:
Consola
Para obter as entradas do registo de auditoria da sua Google Cloud organização através do Explorador de registos na Google Cloud consola, faça o seguinte:
-
Na Google Cloud consola, aceda à página Explorador de registos:
Aceda ao Explorador de registos
Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.
No menu Selecionador de projetos, selecione uma organização.
No menu pendente Recurso, selecione o tipo de recurso cujos registos de auditoria quer ver.
No menu pendente Nome do registo, selecione
data_accesspara registos de auditoria de acesso aos dados ouactivitypara registos de auditoria de atividade do administrador.Se não vir estas opções, significa que estes registos de auditoria não estão atualmente disponíveis na organização.
Opcional: pode criar um filtro no painel Criador de consultas para especificar ainda mais os registos que quer ver. Para saber como consultar registos, consulte o artigo Crie consultas.
API
Para ler as entradas do registo de auditoria através da API Logging, faça o seguinte:
Aceda à secção Experimentar esta API na documentação do método
entries.list.Coloque o seguinte na parte Corpo do pedido do formulário Experimentar esta API. Se clicar neste formulário pré-preenchido, o corpo do pedido é preenchido automaticamente, mas tem de fornecer um ORGANIZATION_ID válido em cada um dos nomes dos registos.
{ "resourceNames": [ "organizations/ORGANIZATION_ID" ], "pageSize": 5, "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" }Clique em Executar.
Para mais detalhes sobre a utilização da API Logging para ler registos, consulte o linguagem de consulta de registo.
gcloud
A CLI Google Cloud fornece uma interface de linhas de comando para a API Cloud Logging. Para ler as entradas do registo de auditoria, execute o seguinte comando:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
Substitua ORGANIZATION_ID em cada um dos nomes dos registos pelo ID da organização para a qual quer ler os registos de auditoria. Google Cloud
Para mais informações sobre este comando, consulte a referência
gcloud logging read.
Cada serviço do Google Workspace que fornece registos de auditoria capta eventos específicos do serviço. Se quiser ler registos de um evento de auditoria específico, como um início de sessão bem-sucedido ou um acesso revogado, adicione o seguinte ao filtro e faculte um EVENT_NAME válido:
protoPayload.metadata.event.eventName="EVENT_NAME" resource.type="audited_resource"
Para ver uma lista de nomes de eventos válidos e os respetivos parâmetros, consulte a documentação da API Reports e selecione um dos serviços apresentados.
Por exemplo, se quiser ler os registos de cada vez que o serviço de início de sessão comunicar que a palavra-passe de uma conta foi alterada, o filtro teria o seguinte aspeto:
protoPayload.metadata.event.eventName="password_edit" resource.type="audited_resource"
Encaminhe registos de auditoria de Google Cloud
Depois de os registos de auditoria do Google Workspace estarem Google Clouddisponíveis, pode encaminhar os registos para destinos suportados. Por exemplo, pode criar um destino para encaminhar registos para o Splunk ou o BigQuery. Para uma vista geral conceptual de como os registos são encaminhados a partir do Cloud Logging, consulte Vista geral do encaminhamento e do armazenamento.
Uma vez que os registos de auditoria do Google Workspace são registos ao nível da organização, encaminha-os através de destinos agregados ao nível da organização para estes destinos:
Para ver instruções sobre a configuração de destinos para encaminhar registos, consulte o artigo Recolha e encaminhe registos ao nível da organização para destinos suportados.
Personalize o período de retenção de dados
Os períodos de retenção do Cloud Logging aplicam-se aos registos de auditoria que armazena em contentores de registos.
Para manter os registos de auditoria durante mais tempo do que os períodos de retenção predefinidos, pode configurar a retenção personalizada.
O que se segue?
- Resolva problemas com os registos de auditoria do Google Workspace.
- Reveja as práticas recomendadas para os registos de auditoria do Cloud.
- Saiba mais sobre os registos da Transparência de acesso para o Google Workspace.