Neste documento, você encontra uma visão geral conceitual dos registros de auditoria que o Google Workspace oferece como parte dos registros de auditoria do Cloud.
Para informações sobre como gerenciar os registros de auditoria do Google Workspace, consulte Ver e gerenciar os registros de auditoria do Google Workspace.
Visão geral
Os serviços doGoogle Cloud gravam registros de auditoria para que você possa determinar quem fez o quê, onde e quando. É possível compartilhar os registros de auditoria do Google Workspace com Google Cloud para armazenar, analisar, monitorar e criar alertas sobre seus dados do Google Workspace.
Os registros de auditoria do Google Workspace estão disponíveis para todos os clientes do Cloud Identity, Cloud Identity Premium e Google Workspace.
Se você tiver ativado o compartilhamento de dados do Google Workspace com Google Cloud, os registros de auditoria estarão sempre ativados no Google Workspace.
A desativação do compartilhamento de dados do Google Workspace impede que novos eventos do registro de auditoria do Google Workspace sejam enviados para Google Cloud. Os registros atuais permanecem durante os períodos de armazenamento padrão, a menos que você tenha configurado a retenção personalizada para reter os registros por um período mais longo.
Se você não ativar o compartilhamento de dados do Google Workspace com Google Cloud, não será possível ver os registros de auditoria do Google Workspace em Google Cloud.
Tipos de registros de auditoria
Os Registros de auditoria de atividade do administrador contêm entradas de registros para chamadas de API ou de outras ações que modificam a configuração ou os metadados de recursos. Por exemplo, esses registros são gravados quando os usuários criam instâncias de VM ou alteram permissões do Identity and Access Management (IAM).
Os registros de auditoria de acesso a dados contêm as chamadas de API que leem a configuração ou os metadados dos recursos, além das chamadas de API orientadas pelo usuário que criam, modificam ou leem os dados dos recursos inseridos pelo usuário. Os registros de auditoria de acesso a dados não registram as operações de acesso a dados em recursos compartilhados publicamente (disponíveis para todos os usuários ou todos os usuários autenticados) ou que podem ser acessados sem fazer login na conta do Google Cloud, Google Workspace, Cloud Identity ou Drive Enterprise.
Serviços do Google Workspace que encaminham registros de auditoria para Google Cloud
O Google Workspace fornece os seguintes registros de auditoria no nível da organizaçãoGoogle Cloud :
Transparência no acesso: os registros de Transparência no acesso fornecem um registro de ações quando a equipe do Google acessa o conteúdo do cliente nos seus recursos do Google Workspace. Ao contrário da Transparência no acesso, os registros de auditoria do Cloud gravam as ações que os membros da sua Google Cloud organização realizaram nos seus recursos do Google Cloud .
Para mais informações sobre a estrutura dos registros da transparência no acesso e os tipos de acessos registrados, consulte Descrições dos campos de registro.
Auditoria do administrador do Google Workspace: os registros de auditoria do administrador mostram um registro das ações realizadas no Google Admin Console. Por exemplo, é possível ver quando um administrador adicionou um usuário ou ativou um serviço do Google Workspace.
A auditoria de administração grava apenas os registros de auditoria da atividade do administrador.
Auditoria de grupos do Google Workspace Enterprise: os registros de auditoria dos grupos do Google Workspace Enterprise informam as ações realizadas em grupos e relacionadas à participação em grupos. Por exemplo, é possível ver quando um administrador adicionou um usuário ou um proprietário excluiu o grupo.
A auditoria do Grupos do Google grava apenas registros de auditoria de atividade do administrador.
Auditoria de login do Google Workspace: os registros de auditoria de login rastreiam logins de usuários no seu domínio. Esses registros só registram o evento de login. Eles não registram qual sistema foi usado para executar a ação de login.
A auditoria de login grava apenas registros de auditoria de acesso a dados.
Auditoria de tokens OAuth do Google Workspace: os registros de auditoria de token OAuth monitoram quais usuários estão usando aplicativos de dispositivos móveis ou da Web de terceiros no seu domínio. Por exemplo, quando um usuário inicia um app do Google Workspace Marketplace, o registro salva o nome do app e da pessoa que o utiliza. Ele também salva cada vez que um aplicativo de terceiros é autorizado a acessar os dados da Conta do Google, como o Contatos, o Agenda e os arquivos do Drive (apenas no Google Workspace).
A auditoria de token OAuth grava os registros de auditoria da atividade do administrador e de acesso a dados.
Auditoria de SAML do Google Workspace: os registros de auditoria SAML rastreiam os logins com êxito ou falha dos seus usuários nos aplicativos SAML. As entradas geralmente aparecem uma hora após a ação do usuário.
A auditoria SAML grava apenas registros de auditoria de acesso a dados.
Informações específicas do serviço
Os detalhes dos registros de auditoria de cada serviço do Google Workspace são os seguintes:
Auditoria de administrador do Google Workspace
Os registros de auditoria do administrador do Google Workspace usam o tipo de recurso
audited_resource para todos os registros de auditoria.
Os registros de auditoria do Administrador do Google Workspace usam o nome de serviço
admin.googleapis.com.
A auditoria do administrador do Google Workspace grava apenas registros de auditoria de atividade do administrador. Estas são as operações auditadas:
| Tipo de atividade | AuditLog.method_name |
|---|---|
| AI_CLASSIFICATION_SETTINGS | google.admin.AdminService.aiClassificationInsufficientTrainingExamplesgoogle.admin.AdminService.aiClassificationModelLowScoregoogle.admin.AdminService.aiClassificationNewModelReady |
| ALERT_CENTER | google.admin.AdminService.alertCenterBatchDeleteAlertsgoogle.admin.AdminService.alertCenterBatchUndeleteAlertsgoogle.admin.AdminService.alertCenterCreateAlertgoogle.admin.AdminService.alertCenterCreateFeedbackgoogle.admin.AdminService.alertCenterDeleteAlertgoogle.admin.AdminService.alertCenterGetAlertMetadatagoogle.admin.AdminService.alertCenterGetCustomerSettingsgoogle.admin.AdminService.alertCenterGetSitLinkgoogle.admin.AdminService.alertCenterListChangegoogle.admin.AdminService.alertCenterListFeedbackgoogle.admin.AdminService.alertCenterListRelatedAlertsgoogle.admin.AdminService.alertCenterUndeleteAlertgoogle.admin.AdminService.alertCenterUpdateAlertgoogle.admin.AdminService.alertCenterUpdateAlertMetadatagoogle.admin.AdminService.alertCenterUpdateCustomerSettingsgoogle.admin.AdminService.alertCenterView |
| APPLICATION_SETTINGS | google.admin.AdminService.changeApplicationSettinggoogle.admin.AdminService.createApplicationSettinggoogle.admin.AdminService.deleteApplicationSettinggoogle.admin.AdminService.reorderGroupBasedPoliciesEventgoogle.admin.AdminService.gplusPremiumFeaturesgoogle.admin.AdminService.createManagedConfigurationgoogle.admin.AdminService.deleteManagedConfigurationgoogle.admin.AdminService.updateManagedConfigurationgoogle.admin.AdminService.flashlightEduNonFeaturedServicesSelected |
| CALENDAR_SETTINGS | google.admin.AdminService.createBuildinggoogle.admin.AdminService.deleteBuildinggoogle.admin.AdminService.updateBuildinggoogle.admin.AdminService.createCalendarResourcegoogle.admin.AdminService.deleteCalendarResourcegoogle.admin.AdminService.createCalendarResourceFeaturegoogle.admin.AdminService.deleteCalendarResourceFeaturegoogle.admin.AdminService.updateCalendarResourceFeaturegoogle.admin.AdminService.renameCalendarResourcegoogle.admin.AdminService.updateCalendarResourcegoogle.admin.AdminService.changeCalendarSettinggoogle.admin.AdminService.cancelCalendarEventsgoogle.admin.AdminService.releaseCalendarResources |
| CHAT_SETTINGS | google.admin.AdminService.meetInteropCreateGatewaygoogle.admin.AdminService.meetInteropDeleteGatewaygoogle.admin.AdminService.meetInteropModifyGatewaygoogle.admin.AdminService.changeChatSetting |
| CHROME_OS_SETTINGS | google.admin.AdminService.changeChromeOsAndroidApplicationSettinggoogle.admin.AdminService.changeChromeOsApplicationSettinggoogle.admin.AdminService.sendChromeOsDeviceCommandgoogle.admin.AdminService.changeChromeOsDeviceAnnotationgoogle.admin.AdminService.changeChromeOsDeviceSettinggoogle.admin.AdminService.changeChromeOsDeviceStategoogle.admin.AdminService.changeChromeOsPublicSessionSettinggoogle.admin.AdminService.insertChromeOsPrintergoogle.admin.AdminService.deleteChromeOsPrintergoogle.admin.AdminService.updateChromeOsPrintergoogle.admin.AdminService.changeChromeOsSettinggoogle.admin.AdminService.changeChromeOsUserSettinggoogle.admin.AdminService.removeChromeOsApplicationSettings |
| CONTACTS_SETTINGS | google.admin.AdminService.changeContactsSetting |
| DELEGATED_ADMIN_SETTINGS | google.admin.AdminService.assignRolegoogle.admin.AdminService.createRolegoogle.admin.AdminService.deleteRolegoogle.admin.AdminService.addPrivilegegoogle.admin.AdminService.removePrivilegegoogle.admin.AdminService.renameRolegoogle.admin.AdminService.updateRolegoogle.admin.AdminService.unassignRole |
| DEVICE_SETTINGS | google.admin.AdminService.deleteDevicegoogle.admin.AdminService.moveDeviceToOrgUnit |
| DOCS_SETTINGS | google.admin.AdminService.transferDocumentOwnershipgoogle.admin.AdminService.driveDataRestoregoogle.admin.AdminService.changeDocsSetting |
| DOMAIN_SETTINGS | google.admin.AdminService.changeAccountAutoRenewalgoogle.admin.AdminService.addApplicationgoogle.admin.AdminService.addApplicationToWhitelistgoogle.admin.AdminService.changeAdvertisementOptiongoogle.admin.AdminService.createAlertgoogle.admin.AdminService.changeAlertCriteriagoogle.admin.AdminService.deleteAlertgoogle.admin.AdminService.alertReceiversChangedgoogle.admin.AdminService.renameAlertgoogle.admin.AdminService.alertStatusChangedgoogle.admin.AdminService.addDomainAliasgoogle.admin.AdminService.removeDomainAliasgoogle.admin.AdminService.skipDomainAliasMxgoogle.admin.AdminService.verifyDomainAliasMxgoogle.admin.AdminService.verifyDomainAliasgoogle.admin.AdminService.toggleOauthAccessToAllApisgoogle.admin.AdminService.toggleAllowAdminPasswordResetgoogle.admin.AdminService.enableApiAccessgoogle.admin.AdminService.authorizeApiClientAccessgoogle.admin.AdminService.removeApiClientAccessgoogle.admin.AdminService.chromeLicensesRedeemedgoogle.admin.AdminService.toggleAutoAddNewServicegoogle.admin.AdminService.changePrimaryDomaingoogle.admin.AdminService.changeWhitelistSettinggoogle.admin.AdminService.communicationPreferencesSettingChangegoogle.admin.AdminService.changeConflictAccountActiongoogle.admin.AdminService.enableFeedbackSolicitationgoogle.admin.AdminService.toggleContactSharinggoogle.admin.AdminService.createPlayForWorkTokengoogle.admin.AdminService.toggleUseCustomLogogoogle.admin.AdminService.changeCustomLogogoogle.admin.AdminService.changeDataLocalizationForRussiagoogle.admin.AdminService.changeDataLocalizationSettinggoogle.admin.AdminService.changeDataProtectionOfficerContactInfogoogle.admin.AdminService.deletePlayForWorkTokengoogle.admin.AdminService.viewDnsLoginDetailsgoogle.admin.AdminService.changeDomainDefaultLocalegoogle.admin.AdminService.changeDomainDefaultTimezonegoogle.admin.AdminService.changeDomainNamegoogle.admin.AdminService.toggleEnablePreReleaseFeaturesgoogle.admin.AdminService.changeDomainSupportMessagegoogle.admin.AdminService.addTrustedDomainsgoogle.admin.AdminService.removeTrustedDomainsgoogle.admin.AdminService.changeEduTypegoogle.admin.AdminService.toggleEnableOauthConsumerKeygoogle.admin.AdminService.toggleSsoEnabledgoogle.admin.AdminService.toggleSslgoogle.admin.AdminService.changeEuRepresentativeContactInfogoogle.admin.AdminService.generateTransferTokengoogle.admin.AdminService.changeLoginBackgroundColorgoogle.admin.AdminService.changeLoginBorderColorgoogle.admin.AdminService.changeLoginActivityTracegoogle.admin.AdminService.playForWorkEnrollgoogle.admin.AdminService.playForWorkUnenrollgoogle.admin.AdminService.mxRecordVerificationClaimgoogle.admin.AdminService.toggleNewAppFeaturesgoogle.admin.AdminService.toggleUseNextGenControlPanelgoogle.admin.AdminService.uploadOauthCertificategoogle.admin.AdminService.regenerateOauthConsumerSecretgoogle.admin.AdminService.toggleOpenIdEnabledgoogle.admin.AdminService.changeOrganizationNamegoogle.admin.AdminService.toggleOutboundRelaygoogle.admin.AdminService.changePasswordMaxLengthgoogle.admin.AdminService.changePasswordMinLengthgoogle.admin.AdminService.updateDomainPrimaryAdminEmailgoogle.admin.AdminService.enableServiceOrFeatureNotificationsgoogle.admin.AdminService.removeApplicationgoogle.admin.AdminService.removeApplicationFromWhitelistgoogle.admin.AdminService.changeRenewDomainRegistrationgoogle.admin.AdminService.changeResellerAccessgoogle.admin.AdminService.ruleActionsChangedgoogle.admin.AdminService.createRulegoogle.admin.AdminService.changeRuleCriteriagoogle.admin.AdminService.deleteRulegoogle.admin.AdminService.renameRulegoogle.admin.AdminService.ruleStatusChangedgoogle.admin.AdminService.addSecondaryDomaingoogle.admin.AdminService.removeSecondaryDomaingoogle.admin.AdminService.skipSecondaryDomainMxgoogle.admin.AdminService.verifySecondaryDomainMxgoogle.admin.AdminService.verifySecondaryDomaingoogle.admin.AdminService.updateDomainSecondaryEmailgoogle.admin.AdminService.changeSsoSettingsgoogle.admin.AdminService.generatePingoogle.admin.AdminService.updateRule |
| EMAIL_SETTINGS | google.admin.AdminService.dropFromQuarantinegoogle.admin.AdminService.emailLogSearchgoogle.admin.AdminService.emailUndeletegoogle.admin.AdminService.changeEmailSettinggoogle.admin.AdminService.changeGmailSettinggoogle.admin.AdminService.createGmailSettinggoogle.admin.AdminService.deleteGmailSettinggoogle.admin.AdminService.rejectFromQuarantinegoogle.admin.AdminService.releaseFromQuarantine |
| GROUP_SETTINGS | google.admin.AdminService.createGroupgoogle.admin.AdminService.deleteGroupgoogle.admin.AdminService.changeGroupDescriptiongoogle.admin.AdminService.groupListDownloadgoogle.admin.AdminService.addGroupMembergoogle.admin.AdminService.removeGroupMembergoogle.admin.AdminService.updateGroupMembergoogle.admin.AdminService.updateGroupMemberDeliverySettingsgoogle.admin.AdminService.updateGroupMemberDeliverySettingsCanEmailOverridegoogle.admin.AdminService.groupMemberBulkUploadgoogle.admin.AdminService.groupMembersDownloadgoogle.admin.AdminService.changeGroupEmailgoogle.admin.AdminService.changeGroupNamegoogle.admin.AdminService.changeGroupSettinggoogle.admin.AdminService.whitelistedGroupsUpdated |
| MARCADORES | google.admin.AdminService.labelDeletedgoogle.admin.AdminService.labelDisabledgoogle.admin.AdminService.labelReenabledgoogle.admin.AdminService.labelPermissionUpdatedgoogle.admin.AdminService.labelPermissionDeletedgoogle.admin.AdminService.labelPublishedgoogle.admin.AdminService.labelCreatedgoogle.admin.AdminService.labelUpdated |
| LICENSES_SETTINGS | google.admin.AdminService.orgUsersLicenseAssignmentgoogle.admin.AdminService.orgAllUsersLicenseAssignmentgoogle.admin.AdminService.userLicenseAssignmentgoogle.admin.AdminService.changeLicenseAutoAssigngoogle.admin.AdminService.userLicenseReassignmentgoogle.admin.AdminService.orgLicenseRevokegoogle.admin.AdminService.userLicenseRevokegoogle.admin.AdminService.updateDynamicLicensegoogle.admin.AdminService.licenseUsageUpdate |
| MOBILE_SETTINGS | google.admin.AdminService.actionCancelledgoogle.admin.AdminService.actionRequestedgoogle.admin.AdminService.addMobileCertificategoogle.admin.AdminService.companyDevicesBulkCreationgoogle.admin.AdminService.companyOwnedDeviceBlockedgoogle.admin.AdminService.companyDeviceDeletiongoogle.admin.AdminService.companyOwnedDeviceUnblockedgoogle.admin.AdminService.companyOwnedDeviceWipedgoogle.admin.AdminService.changeMobileApplicationPermissionGrantgoogle.admin.AdminService.changeMobileApplicationPriorityOrdergoogle.admin.AdminService.removeMobileApplicationFromWhitelistgoogle.admin.AdminService.changeMobileApplicationSettingsgoogle.admin.AdminService.addMobileApplicationToWhitelistgoogle.admin.AdminService.mobileDeviceApprovegoogle.admin.AdminService.mobileDeviceBlockgoogle.admin.AdminService.mobileDeviceDeletegoogle.admin.AdminService.mobileDeviceWipegoogle.admin.AdminService.changeMobileSettinggoogle.admin.AdminService.changeAdminRestrictionsPingoogle.admin.AdminService.changeMobileWirelessNetworkgoogle.admin.AdminService.addMobileWirelessNetworkgoogle.admin.AdminService.removeMobileWirelessNetworkgoogle.admin.AdminService.changeMobileWirelessNetworkPasswordgoogle.admin.AdminService.removeMobileCertificategoogle.admin.AdminService.enrollForGoogleDeviceManagementgoogle.admin.AdminService.useGoogleMobileManagementgoogle.admin.AdminService.useGoogleMobileManagementForNonIosgoogle.admin.AdminService.useGoogleMobileManagementForIosgoogle.admin.AdminService.mobileAccountWipegoogle.admin.AdminService.mobileDeviceCancelWipeThenApprovegoogle.admin.AdminService.mobileDeviceCancelWipeThenBlock |
| ORG_SETTINGS | google.admin.AdminService.chromeLicensesEnabledgoogle.admin.AdminService.chromeApplicationLicenseReservationCreatedgoogle.admin.AdminService.chromeApplicationLicenseReservationDeletedgoogle.admin.AdminService.chromeApplicationLicenseReservationUpdatedgoogle.admin.AdminService.assignCustomLogogoogle.admin.AdminService.unassignCustomLogogoogle.admin.AdminService.createEnrollmentTokengoogle.admin.AdminService.revokeEnrollmentTokengoogle.admin.AdminService.chromeLicensesAllowedgoogle.admin.AdminService.createOrgUnitgoogle.admin.AdminService.removeOrgUnitgoogle.admin.AdminService.editOrgUnitDescriptiongoogle.admin.AdminService.moveOrgUnitgoogle.admin.AdminService.editOrgUnitNamegoogle.admin.AdminService.toggleServiceEnabled |
| SECURITY_INVESTIGATION | google.admin.AdminService.securityInvestigationActiongoogle.admin.AdminService.securityInvestigationActionCancellationgoogle.admin.AdminService.securityInvestigationActionCompletiongoogle.admin.AdminService.securityInvestigationActionRetrygoogle.admin.AdminService.securityInvestigationActionVerificationConfirmationgoogle.admin.AdminService.securityInvestigationActionVerificationRequestgoogle.admin.AdminService.securityInvestigationActionVerificationRequestExpirationgoogle.admin.AdminService.securityInvestigationChartCreategoogle.admin.AdminService.securityInvestigationContentAccessgoogle.admin.AdminService.securityInvestigationDownloadAttachmentgoogle.admin.AdminService.securityInvestigationExportActionResultsgoogle.admin.AdminService.securityInvestigationExportQuerygoogle.admin.AdminService.securityInvestigationObjectCreateDraftInvestigationgoogle.admin.AdminService.securityInvestigationObjectDeleteInvestigationgoogle.admin.AdminService.securityInvestigationObjectDuplicateInvestigationgoogle.admin.AdminService.securityInvestigationObjectOwnershipTransfergoogle.admin.AdminService.securityInvestigationObjectSaveInvestigationgoogle.admin.AdminService.securityInvestigationObjectUpdateDirectSharinggoogle.admin.AdminService.securityInvestigationObjectUpdateLinkSharinggoogle.admin.AdminService.securityInvestigationQuerygoogle.admin.AdminService.securityInvestigationSettingUpdate |
| SECURITY_SETTINGS | google.admin.AdminService.addToTrustedOauth2Appsgoogle.admin.AdminService.allowAspWithout2Svgoogle.admin.AdminService.allowServiceForOauth2Accessgoogle.admin.AdminService.allowStrongAuthenticationgoogle.admin.AdminService.blockOnDeviceAccessgoogle.admin.AdminService.changeAllowedTwoStepVerificationMethodsgoogle.admin.AdminService.changeAppAccessSettingsCollectionIdgoogle.admin.AdminService.changeCaaAppAssignmentsgoogle.admin.AdminService.changeCaaDefaultAssignmentsgoogle.admin.AdminService.changeCaaErrorMessagegoogle.admin.AdminService.changeSessionLengthgoogle.admin.AdminService.changeTwoStepVerificationEnrollmentPeriodDurationgoogle.admin.AdminService.changeTwoStepVerificationFrequencygoogle.admin.AdminService.changeTwoStepVerificationGracePeriodDurationgoogle.admin.AdminService.changeTwoStepVerificationStartDategoogle.admin.AdminService.disallowServiceForOauth2Accessgoogle.admin.AdminService.enableNonAdminUserPasswordRecoverygoogle.admin.AdminService.enforceStrongAuthenticationgoogle.admin.AdminService.removeFromTrustedOauth2Appsgoogle.admin.AdminService.sessionControlSettingsChangegoogle.admin.AdminService.toggleCaaEnablementgoogle.admin.AdminService.trustDomainOwnedOauth2Appsgoogle.admin.AdminService.unblockOnDeviceAccessgoogle.admin.AdminService.untrustDomainOwnedOauth2Appsgoogle.admin.AdminService.updateErrorMsgForRestrictedOauth2Appsgoogle.admin.AdminService.weakProgrammaticLoginSettingsChanged |
| SITES_SETTINGS | google.admin.AdminService.addWebAddressgoogle.admin.AdminService.deleteWebAddressgoogle.admin.AdminService.changeSitesSettinggoogle.admin.AdminService.changeSitesWebAddressMappingUpdatesgoogle.admin.AdminService.viewSiteDetails |
| USER_SETTINGS | google.admin.AdminService.delete2SvScratchCodesgoogle.admin.AdminService.generate2SvScratchCodesgoogle.admin.AdminService.revoke3LoDeviceTokensgoogle.admin.AdminService.revoke3LoTokengoogle.admin.AdminService.addRecoveryEmailgoogle.admin.AdminService.addRecoveryPhonegoogle.admin.AdminService.grantAdminPrivilegegoogle.admin.AdminService.revokeAdminPrivilegegoogle.admin.AdminService.revokeAspgoogle.admin.AdminService.toggleAutomaticContactSharinggoogle.admin.AdminService.bulkUploadgoogle.admin.AdminService.bulkUploadNotificationSentgoogle.admin.AdminService.cancelUserInvitegoogle.admin.AdminService.changeUserCustomFieldgoogle.admin.AdminService.changeUserExternalIdgoogle.admin.AdminService.changeUserGendergoogle.admin.AdminService.changeUserImgoogle.admin.AdminService.enableUserIpWhitelistgoogle.admin.AdminService.changeUserKeywordgoogle.admin.AdminService.changeUserLanguagegoogle.admin.AdminService.changeUserLocationgoogle.admin.AdminService.changeUserOrganizationgoogle.admin.AdminService.changeUserPhoneNumbergoogle.admin.AdminService.changeRecoveryEmailgoogle.admin.AdminService.changeRecoveryPhonegoogle.admin.AdminService.changeUserRelationgoogle.admin.AdminService.changeUserAddressgoogle.admin.AdminService.createEmailMonitorgoogle.admin.AdminService.createDataTransferRequestgoogle.admin.AdminService.grantDelegatedAdminPrivilegesgoogle.admin.AdminService.deleteAccountInfoDumpgoogle.admin.AdminService.deleteEmailMonitorgoogle.admin.AdminService.deleteMailboxDumpgoogle.admin.AdminService.changeFirstNamegoogle.admin.AdminService.gmailResetUsergoogle.admin.AdminService.changeLastNamegoogle.admin.AdminService.mailRoutingDestinationAddedgoogle.admin.AdminService.mailRoutingDestinationRemovedgoogle.admin.AdminService.addNicknamegoogle.admin.AdminService.removeNicknamegoogle.admin.AdminService.changePasswordgoogle.admin.AdminService.changePasswordOnNextLogingoogle.admin.AdminService.downloadPendingInvitesListgoogle.admin.AdminService.removeRecoveryEmailgoogle.admin.AdminService.removeRecoveryPhonegoogle.admin.AdminService.requestAccountInfogoogle.admin.AdminService.requestMailboxDumpgoogle.admin.AdminService.resendUserInvitegoogle.admin.AdminService.resetSigninCookiesgoogle.admin.AdminService.securityKeyRegisteredForUsergoogle.admin.AdminService.revokeSecurityKeygoogle.admin.AdminService.userInvitegoogle.admin.AdminService.viewTempPasswordgoogle.admin.AdminService.turnOff2StepVerificationgoogle.admin.AdminService.unblockUserSessiongoogle.admin.AdminService.unenrollUserFromTitaniumgoogle.admin.AdminService.archiveUsergoogle.admin.AdminService.updateBirthdategoogle.admin.AdminService.createUsergoogle.admin.AdminService.deleteUsergoogle.admin.AdminService.downgradeUserFromGplusgoogle.admin.AdminService.userEnrolledInTwoStepVerificationgoogle.admin.AdminService.downloadUserlistCsvgoogle.admin.AdminService.moveUserToOrgUnitgoogle.admin.AdminService.userPutInTwoStepVerificationGracePeriodgoogle.admin.AdminService.renameUsergoogle.admin.AdminService.unenrollUserFromStrongAuthgoogle.admin.AdminService.suspendUsergoogle.admin.AdminService.unarchiveUsergoogle.admin.AdminService.undeleteUsergoogle.admin.AdminService.unsuspendUsergoogle.admin.AdminService.upgradeUserToGplusgoogle.admin.AdminService.usersBulkUploadgoogle.admin.AdminService.usersBulkUploadNotificationSent |
Auditoria de grupos empresariais do Google Workspace
Os registros de auditoria do Google Workspace Enterprise Groups usam o tipo de recurso audited_resource para
todos os registros de auditoria.
Os registros de auditoria do Google Workspace Enterprise Groups usam o nome de serviço
cloudidentity.googleapis.com.
A auditoria de grupos do Google Workspace Enterprise grava apenas registros de auditoria de atividade do administrador. Estas são as operações auditadas:
Categoria de registros de auditoria
|
AuditLog.method_name
|
|---|---|
| Registros de auditoria de atividade do administrador | google.apps.cloudidentity.groups.v1.GroupsService.UpdateGroupgoogle.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership |
Auditoria de login do Google Workspace.
Todos os registros de auditoria de login do Google Workspace usam o tipo de recurso audited_resource.
Os registros de auditoria do Google Workspace Login Audit usam o nome de serviço
login.googleapis.com.
A auditoria de login do Google Workspace grava apenas registros de auditoria de acesso a dados. Estas são as operações auditadas. Exemplos de registros para cada operação estão disponíveis.
| Categoria de registro de auditoria | AuditLog.method_name |
|---|---|
| Registros de auditoria de acesso a dados | google.login.LoginService.2svDisable google.login.LoginService.2svEnroll google.login.LoginService.accountDisabledPasswordLeak google.login.LoginService.accountDisabledGeneric google.login.LoginService.accountDisabledSpammingThroughRelay google.login.LoginService.accountDisabledSpamming google.login.LoginService.accountDisabledHijacked google.login.LoginService.emailForwardingOutOfDomain google.login.LoginService.govAttackWarning google.login.LoginService.loginChallenge google.login.LoginService.loginFailure google.login.LoginService.loginVerification google.login.LoginService.logout google.login.LoginService.loginSuccess google.login.LoginService.passwordEdit google.login.LoginService.recoveryEmailEdit google.login.LoginService.recoveryPhoneEdit google.login.LoginService.recoverySecretQaEdit google.login.LoginService.riskySensitiveActionAllowed google.login.LoginService.riskySensitiveActionBlocked google.login.LoginService.suspiciousLogin google.login.LoginService.suspiciousLoginLessSecureApp google.login.LoginService.suspiciousProgrammaticLogin google.login.LoginService.titaniumEnroll google.login.LoginService.titaniumUnenroll |
Auditoria de token do OAuth do Google Workspace
Os registros de auditoria do token do Google Workspace OAuth usam o tipo de recurso audited_resource para
todos os registros de auditoria.
Os registros de auditoria do Google Workspace OAuth Token Audit usam o nome de serviço
oauth2.googleapis.com.
A auditoria do token OAuth do Google Workspace grava os registros de auditoria da atividade do administrador e do acesso a dados. Estas são as operações auditadas:
Categoria de registros de auditoria
|
AuditLog.method_name
|
|---|---|
| Registros de auditoria de atividade do administrador | google.identity.oauth2.Denygoogle.identity.oauth2.GetTokengoogle.identity.oauth2.Requestgoogle.identity.oauth2.RevokeToken |
| Registros de auditoria de acesso a dados | google.identity.oauth2.GetTokenInfo |
Auditoria de SAML do Google Workspace
Os registros de auditoria do
SAML do Google Workspace usam o tipo de recurso
audited_resource para todos os registros de auditoria.
Os registros de auditoria do SAML do Google Workspace usam o nome de serviço
login.googleapis.com.
A auditoria do SAML do Google Workspace grava apenas registros de auditoria de acesso a dados. Estas são as operações auditadas:
Categoria de registros de auditoria
|
AuditLog.method_name
|
|---|---|
| Registros de auditoria de acesso a dados | google.apps.login.v1.SamlLoginFailed |
google.apps.login.v1.SamlLoginSucceeded |
Permissões de registro de auditoria
As permissões e os papéis do IAM determinam sua capacidade de acessar dados de registros de auditoria na API Logging, no Explorador de registros e na CLI do Google Cloud.
Para informações detalhadas sobre as permissões do IAM no nível da organização e os papéis necessários, consulte o Controle de acesso com IAM.
Formato do registro de auditoria
As entradas de registro de auditoria do Google Workspace incluem os seguintes objetos:
A própria entrada de registro, que é um objeto do tipo
LogEntry. Ao examinar os dados de registro de auditoria, as seguintes funções podem ser úteis:logNamecontém o ID da organização e o tipo de registro de auditoria.resourcecontém o destino da operação auditada.timeStampcontém o horário da operação auditada.protoPayloadcontém o registro de auditoria do Google Workspace no campometadata.
O campo protoPayload.metadata contém as informações auditadas
do Google Workspace. Veja a seguir um exemplo de registro de auditoria de login:
{ "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": "test-user@example.net" }, "requestMetadata": { "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff", "requestAttributes": {}, "destinationAttributes": {} }, "serviceName": "login.googleapis.com", "methodName": "google.login.LoginService.loginFailure", "resourceName": "organizations/123", "metadata": { "event": [ { "eventName": "login_failure", "eventType": "login", "parameter": [ { "value": "google_password", "type": "TYPE_STRING", "name": "login_type", }, { "name": "login_challenge_method", "type": "TYPE_STRING", "label": "LABEL_REPEATED", "multiStrValue": [ "password", "idv_preregistered_phone", "idv_preregistered_phone" ] }, ] } ], "activityId": { "uniqQualifier": "358068855354", "timeUsec": "1632500217183212" }, "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto" } }, "insertId": "-nahbepd4l1x", "resource": { "type": "audited_resource", "labels": { "method": "google.login.LoginService.loginFailure", "service": "login.googleapis.com" } }, "timestamp": "2021-09-24T16:16:57.183212Z", "severity": "NOTICE", "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access", "receiveTimestamp": "2021-09-24T17:51:25.034361197Z" }
Para informações sobre campos de registro de auditoria específicos do serviço e como interpretá-los, selecione os serviços listados em Registros de auditoria disponíveis.
Ver registros
Para informações sobre como visualizar seus registros de auditoria do Google Workspace, consulte Ver e gerenciar registros de auditoria do Google Workspace.
Encaminhar registros de auditoria
É possível rotear os registros de auditoria do Google Workspace do Cloud Logging para destinos compatíveis, incluindo outros buckets do Logging.
Estes são alguns aplicativos para roteamento de registros de auditoria:
Para usar recursos de pesquisa mais avançados, é possível rotear cópias dos seus registros de auditoria para o Cloud Storage, o BigQuery ou o Pub/Sub. Com o Pub/Sub, você pode roetar para outros aplicativos e repositórios ou para terceiros.
Para gerenciar seus registros de auditoria em toda a organização, crie coletores agregados que combinam e encaminham registros de todos os Google Cloud projetos, contas de faturamento e pastas da organização. Por exemplo, é possível agregar e rotear entradas de registro de auditoria das pastas de uma organização para um bucket do Cloud Storage.
Para instruções sobre o roteamento de registros, consulte Rotear registros para destinos compatíveis.
Regionalização
Não é possível escolher uma região onde seus registros do Google Workspace são armazenados. Os registros do Google Workspace não são cobertos pela Política da região de dados do Google Workspace.
Períodos de armazenamento
Os períodos de armazenamento a seguir se aplicam aos dados de registros de auditoria:
Para cada organização, o Cloud Logging armazena automaticamente os registros em dois buckets: um bucket _Default e um bucket _Required. O bucket _Required
contém registros de auditoria de atividade do administrador, registros de auditoria de evento do sistema e registros de transparência no acesso.
O bucket _Default contém todas as outras entradas de registro que não são armazenadas no
bucket _Required. Para mais informações sobre buckets de registro, consulte
Visão geral de roteamento e armazenamento.
É possível configurar o Cloud Logging para manter os registros no bucket de registros _Default por um período que varia de 1 a 3650 dias.
Para atualizar o período de armazenamento do bucket de registros _Default, consulte
Retenção personalizada.
Não é possível alterar o período de armazenamento no bucket _Required.
Cotas e limites
As mesmas cotas se aplicam aos registros de auditoria do Google Workspace e do Cloud.
Para detalhes sobre esses limites de uso, incluindo os tamanhos máximos de registros de auditoria, consulte Cotas e limites.
Preços
Para informações sobre preços, consulte Preços do Google Cloud Observability.
A seguir
- Saiba como configurar e gerenciar registros de auditoria do Google Workspace.
- Analise as práticas recomendadas para os registros de auditoria do Cloud.
- Saiba como ver e entender os registros da transparência no acesso para o Google Workspace.