Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Audit log per Google Workspace

Questo documento fornisce una panoramica concettuale degli audit log forniti da Google Workspace come parte di Cloud Audit Logs.

Per informazioni sulla gestione degli audit log di Google Workspace, consulta Visualizzare e gestire gli audit log di Google Workspace.

Panoramica

Google Cloud I serviziscrivono gli audit log per aiutarti a rispondere alle domande "Chi ha fatto cosa, dove e quando?". Puoi condividere i tuoi audit log di Google Workspace conper archiviare, analizzare, monitorare e ricevere avvisi sui tuoi dati di Google Workspace. Google Cloud

Gli audit log di Google Workspace sono disponibili per i clienti di Cloud Identity, Cloud Identity Premium e Google Workspace.

Se hai attivato la condivisione dei dati di Google Workspace con Google Cloud, gli audit log sono sempre attivati per Google Workspace.

La disattivazione della condivisione dei dati di Google Workspace impedisce l'invio di nuovi eventi degli audit log di Google Workspace a Google Cloud. Tutti i log esistenti rimangono per i periodi di conservazione predefiniti, a meno che tu non abbia configurato la conservazione personalizzata per conservare i log per un periodo più lungo.

Se non attivi la condivisione dei dati di Google Workspace con Google Cloud, allora non puoi visualizzare gli audit log di Google Workspace in Google Cloud.

Tipi di audit log

Gli audit log per le attività di amministrazione contengono voci di log per le chiamate API o altre azioni che modificano la configurazione o i metadati delle risorse. Ad esempio, questi log registrano quando gli utenti creano istanze VM o modificano le autorizzazioni di Identity and Access Management (IAM).

Gli audit log di accesso ai dati contengono chiamate API che leggono la configurazione o i metadati delle risorse, nonché chiamate API effettuate dagli utenti che creano, modificano o leggono i dati delle risorse forniti dall'utente. Gli audit log di accesso ai dati non registrano le operazioni di accesso ai dati sulle risorse condivise pubblicamente (disponibili per Tutti gli utenti o Tutti gli utenti autenticati) o a cui è possibile accedere senza accedere all'account Google Workspace, Cloud Identity o Drive Enterprise. Google Cloud

Servizi Google Workspace che inoltrano gli audit log a Google Cloud

Google Workspace fornisce i seguenti audit log a livello di Google Cloud organizzazione:

Access Transparency: i log di Access Transparency forniscono un record delle azioni intraprese dal personale di Google quando accede ai contenuti dei clienti nelle risorse Google Workspace. A differenza di Access Transparency, Cloud Audit Logs registra le azioni intraprese dai membri della tua Google Cloud organizzazione nelle tue Google Cloud risorse.

Per ulteriori informazioni sulla struttura dei log di Access Transparency e sui tipi di accessi registrati, consulta Descrizioni dei campi dei log.
Audit dell'amministratore di Google Workspace: gli audit log dell'amministratore forniscono un record delle azioni eseguite nella Console di amministrazione Google. Ad esempio, puoi vedere quando un amministratore ha aggiunto un utente o ha attivato un servizio Google Workspace.

L'audit dell'amministratore scrive solo gli audit log delle attività di amministrazione.

Nota: a meno che tu non utilizzi la Console di amministrazione Google, le modifiche alle impostazioni dei gruppi vengono acquisite negli audit log dei gruppi Enterprise di Google Workspace. Quando utilizzi la Console di amministrazione Google, le modifiche alle impostazioni dei gruppi vengono acquisite negli audit log dell'amministratore di Google Workspace. Ad esempio, se hai modificato un indirizzo email di gruppo in groups.google.com, queste modifiche vengono acquisite negli audit log dei gruppi Enterprise di Google Workspace.
Audit dei gruppi Enterprise di Google Workspace: gli audit log dei gruppi Enterprise forniscono un record delle azioni eseguite sui gruppi e sulle iscrizioni ai gruppi. Ad esempio, puoi vedere quando un amministratore ha aggiunto un utente o quando un gruppo è stato eliminato dal relativo proprietario.

L'audit dei gruppi Enterprise scrive solo gli audit log delle attività di amministrazione.
Audit degli accessi di Google Workspace: gli audit log degli accessi monitorano gli accessi al tuo dominio da parte degli utenti. Questi log registrano solo l'evento di accesso. Non registrano il sistema utilizzato per eseguire l'azione di accesso.

L'audit degli accessi scrive solo gli audit log di accesso ai dati.
Audit dei token OAuth di Google Workspace: gli audit log dei token OAuth monitorano gli utenti del tuo dominio che utilizzano determinate applicazioni web o per dispositivi mobili di terze parti. Ad esempio, quando un utente apre un'app del Google Workspace Marketplace, il log registra il nome dell'app e quello della persona che la utilizza. Il log registra inoltre ogni autorizzazione concessa a un'applicazione di terze parti per l'accesso ai dati dell'Account Google, ad esempio Contatti Google, Calendario e file di Drive (solo per Google Workspace).

L'audit dei token OAuth scrive sia gli audit log delle attività di amministrazione sia quelli di accesso ai dati.
Audit SAML di Google Workspace: gli audit log SAML monitorano gli accessi riusciti e non riusciti degli utenti alle applicazioni SAML. Le voci vengono visualizzate in genere entro un'ora dall'azione dell'utente.

L'audit SAML scrive solo gli audit log di accesso ai dati.

Informazioni specifiche del servizio

Di seguito sono riportati i dettagli degli audit log di ogni servizio Google Workspace:

Audit dell'amministratore di Google Workspace

Gli audit log dell'audit dell'amministratore di Google Workspace utilizzano il tipo di risorsa audited_resource per tutti gli audit log.

Gli audit log dell'audit dell'amministratore di Google Workspace utilizzano il nome servizio admin.googleapis.com.

L'audit dell'amministratore di Google Workspace scrive solo gli audit log delle attività di amministrazione. Di seguito sono riportate le operazioni con audit:

Tipo di attività	`AuditLog.method_name`
AI_CLASSIFICATION_SETTINGS	`google.admin.AdminService.aiClassificationInsufficientTrainingExamples` `google.admin.AdminService.aiClassificationModelLowScore` `google.admin.AdminService.aiClassificationNewModelReady`
ALERT_CENTER	`google.admin.AdminService.alertCenterBatchDeleteAlerts` `google.admin.AdminService.alertCenterBatchUndeleteAlerts` `google.admin.AdminService.alertCenterCreateAlert` `google.admin.AdminService.alertCenterCreateFeedback` `google.admin.AdminService.alertCenterDeleteAlert` `google.admin.AdminService.alertCenterGetAlertMetadata` `google.admin.AdminService.alertCenterGetCustomerSettings` `google.admin.AdminService.alertCenterGetSitLink` `google.admin.AdminService.alertCenterListChange` `google.admin.AdminService.alertCenterListFeedback` `google.admin.AdminService.alertCenterListRelatedAlerts` `google.admin.AdminService.alertCenterUndeleteAlert` `google.admin.AdminService.alertCenterUpdateAlert` `google.admin.AdminService.alertCenterUpdateAlertMetadata` `google.admin.AdminService.alertCenterUpdateCustomerSettings` `google.admin.AdminService.alertCenterView`
APPLICATION_SETTINGS	`google.admin.AdminService.changeApplicationSetting` `google.admin.AdminService.createApplicationSetting` `google.admin.AdminService.deleteApplicationSetting` `google.admin.AdminService.reorderGroupBasedPoliciesEvent` `google.admin.AdminService.gplusPremiumFeatures` `google.admin.AdminService.createManagedConfiguration` `google.admin.AdminService.deleteManagedConfiguration` `google.admin.AdminService.updateManagedConfiguration` `google.admin.AdminService.flashlightEduNonFeaturedServicesSelected`
CALENDAR_SETTINGS	`google.admin.AdminService.createBuilding` `google.admin.AdminService.deleteBuilding` `google.admin.AdminService.updateBuilding` `google.admin.AdminService.createCalendarResource` `google.admin.AdminService.deleteCalendarResource` `google.admin.AdminService.createCalendarResourceFeature` `google.admin.AdminService.deleteCalendarResourceFeature` `google.admin.AdminService.updateCalendarResourceFeature` `google.admin.AdminService.renameCalendarResource` `google.admin.AdminService.updateCalendarResource` `google.admin.AdminService.changeCalendarSetting` `google.admin.AdminService.cancelCalendarEvents` `google.admin.AdminService.releaseCalendarResources`
CHAT_SETTINGS	`google.admin.AdminService.meetInteropCreateGateway` `google.admin.AdminService.meetInteropDeleteGateway` `google.admin.AdminService.meetInteropModifyGateway` `google.admin.AdminService.changeChatSetting`
CHROME_OS_SETTINGS	`google.admin.AdminService.changeChromeOsAndroidApplicationSetting` `google.admin.AdminService.changeChromeOsApplicationSetting` `google.admin.AdminService.sendChromeOsDeviceCommand` `google.admin.AdminService.changeChromeOsDeviceAnnotation` `google.admin.AdminService.changeChromeOsDeviceSetting` `google.admin.AdminService.changeChromeOsDeviceState` `google.admin.AdminService.changeChromeOsPublicSessionSetting` `google.admin.AdminService.insertChromeOsPrinter` `google.admin.AdminService.deleteChromeOsPrinter` `google.admin.AdminService.updateChromeOsPrinter` `google.admin.AdminService.changeChromeOsSetting` `google.admin.AdminService.changeChromeOsUserSetting` `google.admin.AdminService.removeChromeOsApplicationSettings`
CONTACTS_SETTINGS	`google.admin.AdminService.changeContactsSetting`
DELEGATED_ADMIN_SETTINGS	`google.admin.AdminService.assignRole` `google.admin.AdminService.createRole` `google.admin.AdminService.deleteRole` `google.admin.AdminService.addPrivilege` `google.admin.AdminService.removePrivilege` `google.admin.AdminService.renameRole` `google.admin.AdminService.updateRole` `google.admin.AdminService.unassignRole`
DEVICE_SETTINGS	`google.admin.AdminService.deleteDevice` `google.admin.AdminService.moveDeviceToOrgUnit`
DOCS_SETTINGS	`google.admin.AdminService.transferDocumentOwnership` `google.admin.AdminService.driveDataRestore` `google.admin.AdminService.changeDocsSetting`
DOMAIN_SETTINGS	`google.admin.AdminService.changeAccountAutoRenewal` `google.admin.AdminService.addApplication` `google.admin.AdminService.addApplicationToWhitelist` `google.admin.AdminService.changeAdvertisementOption` `google.admin.AdminService.createAlert` `google.admin.AdminService.changeAlertCriteria` `google.admin.AdminService.deleteAlert` `google.admin.AdminService.alertReceiversChanged` `google.admin.AdminService.renameAlert` `google.admin.AdminService.alertStatusChanged` `google.admin.AdminService.addDomainAlias` `google.admin.AdminService.removeDomainAlias` `google.admin.AdminService.skipDomainAliasMx` `google.admin.AdminService.verifyDomainAliasMx` `google.admin.AdminService.verifyDomainAlias` `google.admin.AdminService.toggleOauthAccessToAllApis` `google.admin.AdminService.toggleAllowAdminPasswordReset` `google.admin.AdminService.enableApiAccess` `google.admin.AdminService.authorizeApiClientAccess` `google.admin.AdminService.removeApiClientAccess` `google.admin.AdminService.chromeLicensesRedeemed` `google.admin.AdminService.toggleAutoAddNewService` `google.admin.AdminService.changePrimaryDomain` `google.admin.AdminService.changeWhitelistSetting` `google.admin.AdminService.communicationPreferencesSettingChange` `google.admin.AdminService.changeConflictAccountAction` `google.admin.AdminService.enableFeedbackSolicitation` `google.admin.AdminService.toggleContactSharing` `google.admin.AdminService.createPlayForWorkToken` `google.admin.AdminService.toggleUseCustomLogo` `google.admin.AdminService.changeCustomLogo` `google.admin.AdminService.changeDataLocalizationForRussia` `google.admin.AdminService.changeDataLocalizationSetting` `google.admin.AdminService.changeDataProtectionOfficerContactInfo` `google.admin.AdminService.deletePlayForWorkToken` `google.admin.AdminService.viewDnsLoginDetails` `google.admin.AdminService.changeDomainDefaultLocale` `google.admin.AdminService.changeDomainDefaultTimezone` `google.admin.AdminService.changeDomainName` `google.admin.AdminService.toggleEnablePreReleaseFeatures` `google.admin.AdminService.changeDomainSupportMessage` `google.admin.AdminService.addTrustedDomains` `google.admin.AdminService.removeTrustedDomains` `google.admin.AdminService.changeEduType` `google.admin.AdminService.toggleEnableOauthConsumerKey` `google.admin.AdminService.toggleSsoEnabled` `google.admin.AdminService.toggleSsl` `google.admin.AdminService.changeEuRepresentativeContactInfo` `google.admin.AdminService.generateTransferToken` `google.admin.AdminService.changeLoginBackgroundColor` `google.admin.AdminService.changeLoginBorderColor` `google.admin.AdminService.changeLoginActivityTrace` `google.admin.AdminService.playForWorkEnroll` `google.admin.AdminService.playForWorkUnenroll` `google.admin.AdminService.mxRecordVerificationClaim` `google.admin.AdminService.toggleNewAppFeatures` `google.admin.AdminService.toggleUseNextGenControlPanel` `google.admin.AdminService.uploadOauthCertificate` `google.admin.AdminService.regenerateOauthConsumerSecret` `google.admin.AdminService.toggleOpenIdEnabled` `google.admin.AdminService.changeOrganizationName` `google.admin.AdminService.toggleOutboundRelay` `google.admin.AdminService.changePasswordMaxLength` `google.admin.AdminService.changePasswordMinLength` `google.admin.AdminService.updateDomainPrimaryAdminEmail` `google.admin.AdminService.enableServiceOrFeatureNotifications` `google.admin.AdminService.removeApplication` `google.admin.AdminService.removeApplicationFromWhitelist` `google.admin.AdminService.changeRenewDomainRegistration` `google.admin.AdminService.changeResellerAccess` `google.admin.AdminService.ruleActionsChanged` `google.admin.AdminService.createRule` `google.admin.AdminService.changeRuleCriteria` `google.admin.AdminService.deleteRule` `google.admin.AdminService.renameRule` `google.admin.AdminService.ruleStatusChanged` `google.admin.AdminService.addSecondaryDomain` `google.admin.AdminService.removeSecondaryDomain` `google.admin.AdminService.skipSecondaryDomainMx` `google.admin.AdminService.verifySecondaryDomainMx` `google.admin.AdminService.verifySecondaryDomain` `google.admin.AdminService.updateDomainSecondaryEmail` `google.admin.AdminService.changeSsoSettings` `google.admin.AdminService.generatePin` `google.admin.AdminService.updateRule`
EMAIL_SETTINGS	`google.admin.AdminService.dropFromQuarantine` `google.admin.AdminService.emailLogSearch` `google.admin.AdminService.emailUndelete` `google.admin.AdminService.changeEmailSetting` `google.admin.AdminService.changeGmailSetting` `google.admin.AdminService.createGmailSetting` `google.admin.AdminService.deleteGmailSetting` `google.admin.AdminService.rejectFromQuarantine` `google.admin.AdminService.releaseFromQuarantine`
GROUP_SETTINGS	`google.admin.AdminService.createGroup` `google.admin.AdminService.deleteGroup` `google.admin.AdminService.changeGroupDescription` `google.admin.AdminService.groupListDownload` `google.admin.AdminService.addGroupMember` `google.admin.AdminService.removeGroupMember` `google.admin.AdminService.updateGroupMember` `google.admin.AdminService.updateGroupMemberDeliverySettings` `google.admin.AdminService.updateGroupMemberDeliverySettingsCanEmailOverride` `google.admin.AdminService.groupMemberBulkUpload` `google.admin.AdminService.groupMembersDownload` `google.admin.AdminService.changeGroupEmail` `google.admin.AdminService.changeGroupName` `google.admin.AdminService.changeGroupSetting` `google.admin.AdminService.whitelistedGroupsUpdated`
ETICHETTE	`google.admin.AdminService.labelDeleted` `google.admin.AdminService.labelDisabled` `google.admin.AdminService.labelReenabled` `google.admin.AdminService.labelPermissionUpdated` `google.admin.AdminService.labelPermissionDeleted` `google.admin.AdminService.labelPublished` `google.admin.AdminService.labelCreated` `google.admin.AdminService.labelUpdated`
LICENSES_SETTINGS	`google.admin.AdminService.orgUsersLicenseAssignment` `google.admin.AdminService.orgAllUsersLicenseAssignment` `google.admin.AdminService.userLicenseAssignment` `google.admin.AdminService.changeLicenseAutoAssign` `google.admin.AdminService.userLicenseReassignment` `google.admin.AdminService.orgLicenseRevoke` `google.admin.AdminService.userLicenseRevoke` `google.admin.AdminService.updateDynamicLicense` `google.admin.AdminService.licenseUsageUpdate`
MOBILE_SETTINGS	`google.admin.AdminService.actionCancelled` `google.admin.AdminService.actionRequested` `google.admin.AdminService.addMobileCertificate` `google.admin.AdminService.companyDevicesBulkCreation` `google.admin.AdminService.companyOwnedDeviceBlocked` `google.admin.AdminService.companyDeviceDeletion` `google.admin.AdminService.companyOwnedDeviceUnblocked` `google.admin.AdminService.companyOwnedDeviceWiped` `google.admin.AdminService.changeMobileApplicationPermissionGrant` `google.admin.AdminService.changeMobileApplicationPriorityOrder` `google.admin.AdminService.removeMobileApplicationFromWhitelist` `google.admin.AdminService.changeMobileApplicationSettings` `google.admin.AdminService.addMobileApplicationToWhitelist` `google.admin.AdminService.mobileDeviceApprove` `google.admin.AdminService.mobileDeviceBlock` `google.admin.AdminService.mobileDeviceDelete` `google.admin.AdminService.mobileDeviceWipe` `google.admin.AdminService.changeMobileSetting` `google.admin.AdminService.changeAdminRestrictionsPin` `google.admin.AdminService.changeMobileWirelessNetwork` `google.admin.AdminService.addMobileWirelessNetwork` `google.admin.AdminService.removeMobileWirelessNetwork` `google.admin.AdminService.changeMobileWirelessNetworkPassword` `google.admin.AdminService.removeMobileCertificate` `google.admin.AdminService.enrollForGoogleDeviceManagement` `google.admin.AdminService.useGoogleMobileManagement` `google.admin.AdminService.useGoogleMobileManagementForNonIos` `google.admin.AdminService.useGoogleMobileManagementForIos` `google.admin.AdminService.mobileAccountWipe` `google.admin.AdminService.mobileDeviceCancelWipeThenApprove` `google.admin.AdminService.mobileDeviceCancelWipeThenBlock`
ORG_SETTINGS	`google.admin.AdminService.chromeLicensesEnabled` `google.admin.AdminService.chromeApplicationLicenseReservationCreated` `google.admin.AdminService.chromeApplicationLicenseReservationDeleted` `google.admin.AdminService.chromeApplicationLicenseReservationUpdated` `google.admin.AdminService.assignCustomLogo` `google.admin.AdminService.unassignCustomLogo` `google.admin.AdminService.createEnrollmentToken` `google.admin.AdminService.revokeEnrollmentToken` `google.admin.AdminService.chromeLicensesAllowed` `google.admin.AdminService.createOrgUnit` `google.admin.AdminService.removeOrgUnit` `google.admin.AdminService.editOrgUnitDescription` `google.admin.AdminService.moveOrgUnit` `google.admin.AdminService.editOrgUnitName` `google.admin.AdminService.toggleServiceEnabled`
SECURITY_INVESTIGATION	`google.admin.AdminService.securityInvestigationAction` `google.admin.AdminService.securityInvestigationActionCancellation` `google.admin.AdminService.securityInvestigationActionCompletion` `google.admin.AdminService.securityInvestigationActionRetry` `google.admin.AdminService.securityInvestigationActionVerificationConfirmation` `google.admin.AdminService.securityInvestigationActionVerificationRequest` `google.admin.AdminService.securityInvestigationActionVerificationRequestExpiration` `google.admin.AdminService.securityInvestigationChartCreate` `google.admin.AdminService.securityInvestigationContentAccess` `google.admin.AdminService.securityInvestigationDownloadAttachment` `google.admin.AdminService.securityInvestigationExportActionResults` `google.admin.AdminService.securityInvestigationExportQuery` `google.admin.AdminService.securityInvestigationObjectCreateDraftInvestigation` `google.admin.AdminService.securityInvestigationObjectDeleteInvestigation` `google.admin.AdminService.securityInvestigationObjectDuplicateInvestigation` `google.admin.AdminService.securityInvestigationObjectOwnershipTransfer` `google.admin.AdminService.securityInvestigationObjectSaveInvestigation` `google.admin.AdminService.securityInvestigationObjectUpdateDirectSharing` `google.admin.AdminService.securityInvestigationObjectUpdateLinkSharing` `google.admin.AdminService.securityInvestigationQuery` `google.admin.AdminService.securityInvestigationSettingUpdate`
SECURITY_SETTINGS	`google.admin.AdminService.addToTrustedOauth2Apps` `google.admin.AdminService.allowAspWithout2Sv` `google.admin.AdminService.allowServiceForOauth2Access` `google.admin.AdminService.allowStrongAuthentication` `google.admin.AdminService.blockOnDeviceAccess` `google.admin.AdminService.changeAllowedTwoStepVerificationMethods` `google.admin.AdminService.changeAppAccessSettingsCollectionId` `google.admin.AdminService.changeCaaAppAssignments` `google.admin.AdminService.changeCaaDefaultAssignments` `google.admin.AdminService.changeCaaErrorMessage` `google.admin.AdminService.changeSessionLength` `google.admin.AdminService.changeTwoStepVerificationEnrollmentPeriodDuration` `google.admin.AdminService.changeTwoStepVerificationFrequency` `google.admin.AdminService.changeTwoStepVerificationGracePeriodDuration` `google.admin.AdminService.changeTwoStepVerificationStartDate` `google.admin.AdminService.disallowServiceForOauth2Access` `google.admin.AdminService.enableNonAdminUserPasswordRecovery` `google.admin.AdminService.enforceStrongAuthentication` `google.admin.AdminService.removeFromTrustedOauth2Apps` `google.admin.AdminService.sessionControlSettingsChange` `google.admin.AdminService.toggleCaaEnablement` `google.admin.AdminService.trustDomainOwnedOauth2Apps` `google.admin.AdminService.unblockOnDeviceAccess` `google.admin.AdminService.untrustDomainOwnedOauth2Apps` `google.admin.AdminService.updateErrorMsgForRestrictedOauth2Apps` `google.admin.AdminService.weakProgrammaticLoginSettingsChanged`
SITES_SETTINGS	`google.admin.AdminService.addWebAddress` `google.admin.AdminService.deleteWebAddress` `google.admin.AdminService.changeSitesSetting` `google.admin.AdminService.changeSitesWebAddressMappingUpdates` `google.admin.AdminService.viewSiteDetails`
USER_SETTINGS	`google.admin.AdminService.delete2SvScratchCodes` `google.admin.AdminService.generate2SvScratchCodes` `google.admin.AdminService.revoke3LoDeviceTokens` `google.admin.AdminService.revoke3LoToken` `google.admin.AdminService.addRecoveryEmail` `google.admin.AdminService.addRecoveryPhone` `google.admin.AdminService.grantAdminPrivilege` `google.admin.AdminService.revokeAdminPrivilege` `google.admin.AdminService.revokeAsp` `google.admin.AdminService.toggleAutomaticContactSharing` `google.admin.AdminService.bulkUpload` `google.admin.AdminService.bulkUploadNotificationSent` `google.admin.AdminService.cancelUserInvite` `google.admin.AdminService.changeUserCustomField` `google.admin.AdminService.changeUserExternalId` `google.admin.AdminService.changeUserGender` `google.admin.AdminService.changeUserIm` `google.admin.AdminService.enableUserIpWhitelist` `google.admin.AdminService.changeUserKeyword` `google.admin.AdminService.changeUserLanguage` `google.admin.AdminService.changeUserLocation` `google.admin.AdminService.changeUserOrganization` `google.admin.AdminService.changeUserPhoneNumber` `google.admin.AdminService.changeRecoveryEmail` `google.admin.AdminService.changeRecoveryPhone` `google.admin.AdminService.changeUserRelation` `google.admin.AdminService.changeUserAddress` `google.admin.AdminService.createEmailMonitor` `google.admin.AdminService.createDataTransferRequest` `google.admin.AdminService.grantDelegatedAdminPrivileges` `google.admin.AdminService.deleteAccountInfoDump` `google.admin.AdminService.deleteEmailMonitor` `google.admin.AdminService.deleteMailboxDump` `google.admin.AdminService.changeFirstName` `google.admin.AdminService.gmailResetUser` `google.admin.AdminService.changeLastName` `google.admin.AdminService.mailRoutingDestinationAdded` `google.admin.AdminService.mailRoutingDestinationRemoved` `google.admin.AdminService.addNickname` `google.admin.AdminService.removeNickname` `google.admin.AdminService.changePassword` `google.admin.AdminService.changePasswordOnNextLogin` `google.admin.AdminService.downloadPendingInvitesList` `google.admin.AdminService.removeRecoveryEmail` `google.admin.AdminService.removeRecoveryPhone` `google.admin.AdminService.requestAccountInfo` `google.admin.AdminService.requestMailboxDump` `google.admin.AdminService.resendUserInvite` `google.admin.AdminService.resetSigninCookies` `google.admin.AdminService.securityKeyRegisteredForUser` `google.admin.AdminService.revokeSecurityKey` `google.admin.AdminService.userInvite` `google.admin.AdminService.viewTempPassword` `google.admin.AdminService.turnOff2StepVerification` `google.admin.AdminService.unblockUserSession` `google.admin.AdminService.unenrollUserFromTitanium` `google.admin.AdminService.archiveUser` `google.admin.AdminService.updateBirthdate` `google.admin.AdminService.createUser` `google.admin.AdminService.deleteUser` `google.admin.AdminService.downgradeUserFromGplus` `google.admin.AdminService.userEnrolledInTwoStepVerification` `google.admin.AdminService.downloadUserlistCsv` `google.admin.AdminService.moveUserToOrgUnit` `google.admin.AdminService.userPutInTwoStepVerificationGracePeriod` `google.admin.AdminService.renameUser` `google.admin.AdminService.unenrollUserFromStrongAuth` `google.admin.AdminService.suspendUser` `google.admin.AdminService.unarchiveUser` `google.admin.AdminService.undeleteUser` `google.admin.AdminService.unsuspendUser` `google.admin.AdminService.upgradeUserToGplus` `google.admin.AdminService.usersBulkUpload` `google.admin.AdminService.usersBulkUploadNotificationSent`

Audit dei gruppi Enterprise di Google Workspace

Gli audit log dell'audit dei gruppi Enterprise di Google Workspace utilizzano il tipo di risorsa audited_resource per tutti gli audit log.

Gli audit log dell'audit dei gruppi Enterprise di Google Workspace utilizzano il nome servizio cloudidentity.googleapis.com.

L'audit dei gruppi Enterprise di Google Workspace scrive solo gli audit log delle attività di amministrazione. Di seguito sono riportate le operazioni con audit:

Categoria di audit log	`AuditLog.method_name`
Audit log delle attività di amministrazione	`google.apps.cloudidentity.groups.v1.GroupsService.UpdateGroup` `google.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership`

Tutti gli audit log dell'audit degli accessi di Google Workspace utilizzano il tipo di risorsa audited_resource.

Gli audit log dell'audit degli accessi di Google Workspace utilizzano il nome servizio login.googleapis.com.

L'audit degli accessi di Google Workspace scrive solo gli audit log di accesso ai dati. Di seguito sono riportate le operazioni con audit; sono disponibili esempi di log per ogni operazione.

Categoria di audit log AuditLog.method_name

Audit log di accesso ai dati google.login.LoginService.2svDisable
google.login.LoginService.2svEnroll
google.login.LoginService.accountDisabledPasswordLeak
google.login.LoginService.accountDisabledGeneric
google.login.LoginService.accountDisabledSpammingThroughRelay
google.login.LoginService.accountDisabledSpamming
google.login.LoginService.accountDisabledHijacked
google.login.LoginService.emailForwardingOutOfDomain
google.login.LoginService.govAttackWarning
google.login.LoginService.loginChallenge
google.login.LoginService.loginFailure
google.login.LoginService.loginVerification
google.login.LoginService.logout
google.login.LoginService.loginSuccess
google.login.LoginService.passkeyEnrolled
google.login.LoginService.passkeyRemoved
google.login.LoginService.passwordEdit
google.login.LoginService.recoveryEmailEdit
google.login.LoginService.recoveryPhoneEdit
google.login.LoginService.recoverySecretQaEdit
google.login.LoginService.riskySensitiveActionAllowed
google.login.LoginService.riskySensitiveActionBlocked
google.login.LoginService.suspiciousLogin
google.login.LoginService.suspiciousLoginLessSecureApp
google.login.LoginService.suspiciousProgrammaticLogin
google.login.LoginService.titaniumEnroll
google.login.LoginService.titaniumUnenroll

Categoria di audit log	`AuditLog.method_name`
Audit log di accesso ai dati	`google.login.LoginService.2svDisable` `google.login.LoginService.2svEnroll` `google.login.LoginService.accountDisabledPasswordLeak` `google.login.LoginService.accountDisabledGeneric` `google.login.LoginService.accountDisabledSpammingThroughRelay` `google.login.LoginService.accountDisabledSpamming` `google.login.LoginService.accountDisabledHijacked` `google.login.LoginService.emailForwardingOutOfDomain` `google.login.LoginService.govAttackWarning` `google.login.LoginService.loginChallenge` `google.login.LoginService.loginFailure` `google.login.LoginService.loginVerification` `google.login.LoginService.logout` `google.login.LoginService.loginSuccess` `google.login.LoginService.passkeyEnrolled` `google.login.LoginService.passkeyRemoved` `google.login.LoginService.passwordEdit` `google.login.LoginService.recoveryEmailEdit` `google.login.LoginService.recoveryPhoneEdit` `google.login.LoginService.recoverySecretQaEdit` `google.login.LoginService.riskySensitiveActionAllowed` `google.login.LoginService.riskySensitiveActionBlocked` `google.login.LoginService.suspiciousLogin` `google.login.LoginService.suspiciousLoginLessSecureApp` `google.login.LoginService.suspiciousProgrammaticLogin` `google.login.LoginService.titaniumEnroll` `google.login.LoginService.titaniumUnenroll`

Audit dei token OAuth di Google Workspace

Gli audit log dell'audit dei token OAuth di Google Workspace utilizzano il tipo di risorsa audited_resource per tutti gli audit log.

Gli audit log dell'audit dei token OAuth di Google Workspace utilizzano il nome servizio oauth2.googleapis.com.

L'audit dei token OAuth di Google Workspace scrive sia gli audit log delle attività di amministrazione sia quelli di accesso ai dati. Di seguito sono riportate le operazioni con audit:

Categoria di audit log	`AuditLog.method_name`
Audit log delle attività di amministrazione	`google.identity.oauth2.Deny` `google.identity.oauth2.GetToken` `google.identity.oauth2.Request` `google.identity.oauth2.RevokeToken`
Audit log di accesso ai dati	`google.identity.oauth2.GetTokenInfo`

Audit SAML di Google Workspace

Gli audit log dell'audit SAML di Google Workspace utilizzano il tipo di risorsa audited_resource per tutti gli audit log.

Gli audit log dell'audit SAML di Google Workspace utilizzano il nome servizio login.googleapis.com.

L'audit SAML di Google Workspace scrive solo gli audit log di accesso ai dati. Di seguito sono riportate le operazioni con audit:

Categoria di audit log	`AuditLog.method_name`
Audit log di accesso ai dati	`google.apps.login.v1.SamlLoginFailed`
	`google.apps.login.v1.SamlLoginSucceeded`

Autorizzazioni degli audit log

I ruoli e le autorizzazioni IAM determinano la tua capacità di accedere ai dati degli audit log nell'API Logging, in Esplora log e in Google Cloud CLI.

Per informazioni dettagliate sui ruoli e sulle autorizzazioni IAM a livello di organizzazione di cui potresti aver bisogno, consulta il Controllo dell'accesso con IAM.

Formato degli audit log

Le voci degli audit log di Google Workspace includono i seguenti oggetti:

La voce di log stessa, che è un oggetto di tipo LogEntry. Quando esamini i dati dell'audit logging, potresti trovare utili le seguenti informazioni:
- logName contiene l'ID organizzazione e il tipo di audit log.
- resource contiene la destinazione dell'operazione con audit.
- timeStamp contiene l'ora dell'operazione con audit.
- protoPayload contiene l'audit log di Google Workspace nel relativo campo metadata.

Il campo protoPayload.metadata contiene le informazioni di Google Workspace con audit. Di seguito è riportato un esempio di log dell'audit degli accessi:

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "test-user@example.net"
    },
    "requestMetadata": {
      "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "login.googleapis.com",
    "methodName": "google.login.LoginService.loginFailure",
    "resourceName": "organizations/123",
    "metadata": {
      "event": [
        {
          "eventName": "login_failure",
          "eventType": "login",
          "parameter": [
            {
              "value": "google_password",
              "type": "TYPE_STRING",
              "name": "login_type",
            },
            {
              "name": "login_challenge_method",
              "type": "TYPE_STRING",
              "label": "LABEL_REPEATED",
              "multiStrValue": [
                "password",
                "idv_preregistered_phone",
                "idv_preregistered_phone"
              ]
            },
          ]
        }
      ],
      "activityId": {
        "uniqQualifier": "358068855354",
        "timeUsec": "1632500217183212"
      },
      "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto"
    }
  },
  "insertId": "-nahbepd4l1x",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "method": "google.login.LoginService.loginFailure",
      "service": "login.googleapis.com"
    }
  },
  "timestamp": "2021-09-24T16:16:57.183212Z",
  "severity": "NOTICE",
  "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2021-09-24T17:51:25.034361197Z"
}

Per informazioni sui campi dell'audit logging specifici del servizio e su come interpretarli, seleziona i servizi elencati in Audit log disponibili.

Visualizza i log

Per informazioni sulla visualizzazione degli audit log di Google Workspace, consulta Visualizzare e gestire gli audit log di Google Workspace.

Instrada gli audit log

Puoi instradare gli audit log di Google Workspace da Cloud Logging alle destinazioni supportate, inclusi altri bucket di Logging.

Di seguito sono riportate alcune applicazioni per l'instradamento degli audit log:

Per utilizzare funzionalità di ricerca più avanzate, puoi instradare delle copie degli audit log in Cloud Storage, BigQuery o Pub/Sub. Utilizzando Pub/Sub, puoi instradare i log in altre applicazioni, in altri repository e a terze parti.
Per gestire gli audit log in tutta l'organizzazione, puoi creare dei sink aggregati che combinano e instradano i log da tutti i Google Cloud progetti, gli account di fatturazione e le cartelle contenuti nella tua organizzazione. Ad esempio, potresti aggregare e instradare le voci degli audit log delle cartelle di un'organizzazione in un bucket Cloud Storage.

Per istruzioni sull'instradamento dei log, consulta Instradare i log alle destinazioni supportate.

Aree geografiche

Non puoi scegliere una regione in cui archiviare i log di Google Workspace. I log di Google Workspace non sono coperti dai criteri per le regioni di dati di Google Workspace.

Periodi di conservazione

Ai dati degli audit log si applicano i seguenti periodi di conservazione:

Per ogni organizzazione, Cloud Logging archivia automaticamente i log in due bucket: un bucket _Default e un bucket _Required. Il bucket _Required contiene gli audit log delle attività di amministrazione, gli audit log degli eventi di sistema e i log di Access Transparency. Il bucket _Default contiene tutte le altre voci di log non archiviate nel bucket _Required. Per ulteriori informazioni sui bucket di Logging, consulta la panoramica su routing e archiviazione.

Puoi configurare Cloud Logging in modo che conservi i log nel _Default bucket di log bucket per un periodo compreso tra 1 giorno e 3650 days.

Per aggiornare il periodo di conservazione del bucket di log _Default, consulta Conservazione personalizzata.

Non puoi modificare il periodo di conservazione del bucket _Required.

Quote e limiti

Le stesse quote si applicano agli audit log di Google Workspace e Cloud Audit Logs.

Per informazioni dettagliate su questi limiti di utilizzo, incluse le dimensioni massime degli audit log, consulta Quote e limiti.

Prezzi

Per informazioni sui prezzi, consulta Prezzi di Google Cloud Observability.

Passaggi successivi

Scopri come configurare e gestire gli audit log di Google Workspace.
Consulta le best practice per Cloud Audit Logs.
Scopri come visualizzare e interpretare i log di Access Transparency per Google Workspace.