Ведение журнала аудита

На этой странице описаны журналы аудита, созданные надстройками Google Workspace как часть журналов аудита облака .

Обзор

Сервисы Google Cloud записывают журналы аудита, которые помогут вам ответить на вопросы: «Кто, где и когда?» Ваши облачные проекты содержат только журналы аудита ресурсов, которые находятся непосредственно в проекте. Другие объекты, такие как папки, организации и учетные записи Cloud Billing, содержат журналы аудита для самого объекта.

Общий обзор журналов облачного аудита см. в разделе Журналы облачного аудита . Чтобы получить более глубокое представление о журналах аудита облака, ознакомьтесь с разделом «Понимание журналов аудита ».

Для дополнений Google Workspace доступны следующие типы журналов аудита:

  • Журналы аудита активности администратора

    Включает операции «административной записи», которые записывают метаданные или информацию о конфигурации.

    Вы не можете отключить журналы аудита активности администратора.

Проверенные операции

Ниже приводится краткая информация о том, какие операции API соответствуют каждому типу журнала аудита в надстройках Google Workspace:

Категория журналов аудита Операции с надстройками Google Workspace
Журналы аудита активности администратора Проекты.GetAuthorization
Развертывания.CreateDeployment
Развертывания.ReplaceDeployment
Развертывания.ListDeployments
Развертывания.GetDeployment
Развертывания.DeleteDeployment
Развертывания.InstallDeployment
Развертывания.UninstallDeployment
Развертывания.GetInstallStatus

Формат журнала аудита

Записи журнала аудита, которые можно просмотреть в Cloud Logging с помощью средства просмотра журналов, Cloud Logging API или Google Cloud CLI, включают следующие объекты:

  • Сама запись журнала, которая является объектом типа LogEntry . Полезные поля включают в себя следующее:

    • logName содержит идентификатор проекта и тип журнала аудита.
    • resource содержит цель проверяемой операции.
    • timeStamp содержит время проверяемой операции.
    • protoPayload содержит проверенную информацию.

  • Данные журнала аудита, которые представляют собой объект AuditLog , хранящийся в поле protoPayload записи журнала.

  • Необязательная информация аудита, специфичная для службы, которая является объектом, специфичным для службы. В более ранних интеграциях этот объект хранится в поле serviceData объекта AuditLog ; более поздние интеграции используют поле metadata .

Информацию о других полях в этих объектах и ​​о том, как их интерпретировать, см. в разделе Общие сведения о журналах аудита .

Имя журнала

Названия ресурсов журналов аудита облака указывают на облачный проект или другой объект Google Cloud, которому принадлежат журналы аудита, а также на то, содержит ли журнал данные журнала действий администратора, доступа к данным или системных событий. Например, ниже показаны имена журналов аудита активности администратора проекта и журналов аудита доступа к данным организации. Переменные обозначают идентификаторы проекта и организации.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Наименование услуги

В журналах аудита надстроек Google Workspace используется имя службы gsuiteaddons.googleapis.com .

Информацию обо всех службах ведения журналов см. в разделе Сопоставление служб с ресурсами .

Типы ресурсов

В журналах аудита надстроек Google Workspace для всех журналов аудита используется тип ресурса audited_resource .

Список других типов ресурсов см. в разделе «Отслеживаемые типы ресурсов» .

Включение ведения журнала аудита

Журналы аудита активности администратора всегда включены; вы не можете их отключить.

Дополнения Google Workspace не ведут журналы аудита доступа к данным.

Разрешения для журнала аудита

Разрешения и роли управления идентификацией и доступом определяют, какие журналы аудита вы можете просматривать или экспортировать. Журналы хранятся в облачных проектах и ​​в некоторых других объектах, включая организации, папки и платежные учетные записи Cloud. Дополнительные сведения см. в разделе Понимание ролей .

Чтобы просмотреть журналы аудита активности администратора, у вас должна быть одна из следующих ролей IAM в проекте, который содержит ваши журналы аудита:

Дополнения Google Workspace не ведут журналы аудита доступа к данным или журналы аудита системных событий.

Если вы используете журналы аудита из объекта, не связанного с проектом, например организации, измените роли облачного проекта на подходящие роли организации.

Просмотр журналов

Чтобы найти и просмотреть журналы аудита, вам необходимо знать идентификатор облачного проекта, папки или организации, для которых вы хотите просмотреть информацию журналов аудита. Вы также можете указать другие индексированные поля LogEntry , например resource.type ; Подробности см. в разделе Построение запросов в обозревателе журналов .

Ниже приведены имена журналов аудита; они включают переменные для идентификаторов облачного проекта, папки или организации:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

У вас есть несколько вариантов просмотра записей журнала аудита.

Консоль

Вы можете использовать обозреватель журналов в Cloud Console для получения записей журнала аудита для вашего облачного проекта:

  1. В Cloud Console перейдите на страницу Ведение журнала > Обозреватель журналов .

    Перейдите на страницу обозревателя журналов.

  2. На странице обозревателя журналов выберите существующий облачный проект.

  3. На панели «Конструктор запросов» выполните следующие действия:

    • В разделе Ресурс выберите тип ресурса Google Cloud, журналы аудита которого вы хотите просмотреть.

    • В поле «Имя журнала» выберите тип журнала аудита, который вы хотите видеть:

      • Для журналов аудита активности администратора выберите активность .
      • Для журналов аудита доступа к данным выберите data_access .
      • Для журналов аудита системных событий выберите system_event .
      • Для журналов аудита «Отказано в политике» выберите политику .

    Если вы не видите эти параметры, значит, в облачном проекте нет журналов аудита этого типа.

    Дополнительные сведения о запросах с помощью нового обозревателя журналов см. в разделе Создание запросов в обозревателе журналов .

gcloud

Google Cloud CLI предоставляет интерфейс командной строки для API Cloud Logging. Укажите действительный PROJECT_ID , FOLDER_ID или ORGANIZATION_ID в каждом имени журнала.

Чтобы прочитать записи журнала аудита на уровне проекта Google Cloud, выполните следующую команду:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Чтобы прочитать записи журнала аудита на уровне папки, выполните следующую команду:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Чтобы прочитать записи журнала аудита на уровне организации, выполните следующую команду:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Дополнительные сведения об использовании интерфейса командной строки gcloud см. в gcloud logging read .

API

При построении запросов замените переменные допустимыми значениями, замените соответствующие имена или идентификаторы журнала аудита на уровне проекта, папки или организации, указанные в именах журналов аудита. Например, если ваш запрос включает PROJECT_ID , то идентификатор проекта, который вы указываете, должен относиться к выбранному в данный момент проекту Cloud.

Чтобы использовать API ведения журналов для просмотра записей журнала аудита, выполните следующие действия:

  1. Перейдите в раздел «Попробуйте этот API» в документации по методу entries.list .

  2. Вставьте следующее в часть тела запроса формы «Попробуйте этот API» . Нажатие на эту предварительно заполненную форму автоматически заполняет тело запроса, но вам необходимо указать действительный PROJECT_ID в каждом имени журнала.

    {
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}

  3. Нажмите «Выполнить» .

Дополнительные сведения о запросах см. в разделе Язык запросов ведения журнала .

Пример записи журнала аудита и способы поиска в нем наиболее важной информации см. в разделе Общие сведения о журналах аудита .

Экспорт журналов аудита

Журналы аудита можно экспортировать так же, как и другие виды журналов. Подробную информацию об экспорте журналов см. в разделе Экспорт журналов . Вот некоторые приложения экспорта журналов аудита:

  • Чтобы хранить журналы аудита в течение более длительного периода времени или использовать более мощные возможности поиска, вы можете экспортировать копии журналов аудита в Cloud Storage, BigQuery или Pub/Sub. Используя Pub/Sub, вы можете экспортировать в другие приложения, другие репозитории и третьим лицам.

  • Чтобы управлять журналами аудита во всей организации, вы можете создать агрегированные приемники , которые смогут экспортировать журналы из любого или всех облачных проектов в организации.

Цены

Cloud Logging не взимает плату за журналы аудита, которые невозможно отключить, включая все журналы аудита действий администратора.

Дополнительную информацию о ценах на журналы аудита см. в разделе цены на операционный пакет Google Cloud .