На этой странице описаны журналы аудита, созданные надстройками Google Workspace как часть журналов аудита облака .
Обзор
Сервисы Google Cloud записывают журналы аудита, которые помогут вам ответить на вопросы: «Кто, где и когда?» Ваши облачные проекты содержат только журналы аудита ресурсов, которые находятся непосредственно в проекте. Другие объекты, такие как папки, организации и учетные записи Cloud Billing, содержат журналы аудита для самого объекта.
Общий обзор журналов облачного аудита см. в разделе Журналы облачного аудита . Чтобы получить более глубокое представление о журналах аудита облака, ознакомьтесь с разделом «Понимание журналов аудита ».
Для дополнений Google Workspace доступны следующие типы журналов аудита:
Журналы аудита активности администратора
Включает операции «административной записи», которые записывают метаданные или информацию о конфигурации.
Вы не можете отключить журналы аудита активности администратора.
Проверенные операции
Ниже приводится краткая информация о том, какие операции API соответствуют каждому типу журнала аудита в надстройках Google Workspace:
Категория журналов аудита | Операции с надстройками Google Workspace |
---|---|
Журналы аудита активности администратора | Проекты.GetAuthorization Развертывания.CreateDeployment Развертывания.ReplaceDeployment Развертывания.ListDeployments Развертывания.GetDeployment Развертывания.DeleteDeployment Развертывания.InstallDeployment Развертывания.UninstallDeployment Развертывания.GetInstallStatus |
Формат журнала аудита
Записи журнала аудита, которые можно просмотреть в Cloud Logging с помощью средства просмотра журналов, Cloud Logging API или Google Cloud CLI, включают следующие объекты:
Сама запись журнала, которая является объектом типа
LogEntry
. Полезные поля включают в себя следующее:-
logName
содержит идентификатор проекта и тип журнала аудита. -
resource
содержит цель проверяемой операции. -
timeStamp
содержит время проверяемой операции. -
protoPayload
содержит проверенную информацию.
-
Данные журнала аудита, которые представляют собой объект
AuditLog
, хранящийся в полеprotoPayload
записи журнала.Необязательная информация аудита, специфичная для службы, которая является объектом, специфичным для службы. В более ранних интеграциях этот объект хранится в поле
serviceData
объектаAuditLog
; более поздние интеграции используют полеmetadata
.
Информацию о других полях в этих объектах и о том, как их интерпретировать, см. в разделе Общие сведения о журналах аудита .
Имя журнала
Названия ресурсов журналов аудита облака указывают на облачный проект или другой объект Google Cloud, которому принадлежат журналы аудита, а также на то, содержит ли журнал данные журнала действий администратора, доступа к данным или системных событий. Например, ниже показаны имена журналов аудита активности администратора проекта и журналов аудита доступа к данным организации. Переменные обозначают идентификаторы проекта и организации.
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
Наименование услуги
В журналах аудита надстроек Google Workspace используется имя службы gsuiteaddons.googleapis.com
.
Информацию обо всех службах ведения журналов см. в разделе Сопоставление служб с ресурсами .
Типы ресурсов
В журналах аудита надстроек Google Workspace для всех журналов аудита используется тип ресурса audited_resource
.
Список других типов ресурсов см. в разделе «Отслеживаемые типы ресурсов» .
Включение ведения журнала аудита
Журналы аудита активности администратора всегда включены; вы не можете их отключить.
Дополнения Google Workspace не ведут журналы аудита доступа к данным.
Разрешения для журнала аудита
Разрешения и роли управления идентификацией и доступом определяют, какие журналы аудита вы можете просматривать или экспортировать. Журналы хранятся в облачных проектах и в некоторых других объектах, включая организации, папки и платежные учетные записи Cloud. Дополнительные сведения см. в разделе Понимание ролей .
Чтобы просмотреть журналы аудита активности администратора, у вас должна быть одна из следующих ролей IAM в проекте, который содержит ваши журналы аудита:- Владелец проекта, редактор проекта или наблюдатель проекта
- Роль «Просмотр журналов журналов»
- Пользовательская роль IAM с разрешением IAM
logging.logEntries.list
.
Дополнения Google Workspace не ведут журналы аудита доступа к данным или журналы аудита системных событий.
Если вы используете журналы аудита из объекта, не связанного с проектом, например организации, измените роли облачного проекта на подходящие роли организации.
Просмотр журналов
Чтобы найти и просмотреть журналы аудита, вам необходимо знать идентификатор облачного проекта, папки или организации, для которых вы хотите просмотреть информацию журналов аудита. Вы также можете указать другие индексированные поля LogEntry
, например resource.type
; Подробности см. в разделе Построение запросов в обозревателе журналов .
Ниже приведены имена журналов аудита; они включают переменные для идентификаторов облачного проекта, папки или организации:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
У вас есть несколько вариантов просмотра записей журнала аудита.
Консоль
Вы можете использовать обозреватель журналов в Cloud Console для получения записей журнала аудита для вашего облачного проекта:
В Cloud Console перейдите на страницу Ведение журнала > Обозреватель журналов .
На странице обозревателя журналов выберите существующий облачный проект.
На панели «Конструктор запросов» выполните следующие действия:
В разделе Ресурс выберите тип ресурса Google Cloud, журналы аудита которого вы хотите просмотреть.
В поле «Имя журнала» выберите тип журнала аудита, который вы хотите видеть:
- Для журналов аудита активности администратора выберите активность .
- Для журналов аудита доступа к данным выберите data_access .
- Для журналов аудита системных событий выберите system_event .
- Для журналов аудита «Отказано в политике» выберите политику .
Если вы не видите эти параметры, значит, в облачном проекте нет журналов аудита этого типа.
Дополнительные сведения о запросах с помощью нового обозревателя журналов см. в разделе Создание запросов в обозревателе журналов .
gcloud
Google Cloud CLI предоставляет интерфейс командной строки для API Cloud Logging. Укажите действительный PROJECT_ID
, FOLDER_ID
или ORGANIZATION_ID
в каждом имени журнала.
Чтобы прочитать записи журнала аудита на уровне проекта Google Cloud, выполните следующую команду:
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \ --project=PROJECT_ID
Чтобы прочитать записи журнала аудита на уровне папки, выполните следующую команду:
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \ --folder=FOLDER_ID
Чтобы прочитать записи журнала аудита на уровне организации, выполните следующую команду:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \ --organization=ORGANIZATION_ID
Дополнительные сведения об использовании интерфейса командной строки gcloud
см. в gcloud logging read
.
API
При построении запросов замените переменные допустимыми значениями, замените соответствующие имена или идентификаторы журнала аудита на уровне проекта, папки или организации, указанные в именах журналов аудита. Например, если ваш запрос включает PROJECT_ID , то идентификатор проекта, который вы указываете, должен относиться к выбранному в данный момент проекту Cloud.
Чтобы использовать API ведения журналов для просмотра записей журнала аудита, выполните следующие действия:
Перейдите в раздел «Попробуйте этот API» в документации по методу
entries.list
.Вставьте следующее в часть тела запроса формы «Попробуйте этот API» . Нажатие на эту предварительно заполненную форму автоматически заполняет тело запроса, но вам необходимо указать действительный
PROJECT_ID
в каждом имени журнала.{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }
Нажмите «Выполнить» .
Дополнительные сведения о запросах см. в разделе Язык запросов ведения журнала .
Пример записи журнала аудита и способы поиска в нем наиболее важной информации см. в разделе Общие сведения о журналах аудита .
Экспорт журналов аудита
Журналы аудита можно экспортировать так же, как и другие виды журналов. Подробную информацию об экспорте журналов см. в разделе Экспорт журналов . Вот некоторые приложения экспорта журналов аудита:
Чтобы хранить журналы аудита в течение более длительного периода времени или использовать более мощные возможности поиска, вы можете экспортировать копии журналов аудита в Cloud Storage, BigQuery или Pub/Sub. Используя Pub/Sub, вы можете экспортировать в другие приложения, другие репозитории и третьим лицам.
Чтобы управлять журналами аудита во всей организации, вы можете создать агрегированные приемники , которые смогут экспортировать журналы из любого или всех облачных проектов в организации.
Цены
Cloud Logging не взимает плату за журналы аудита, которые невозможно отключить, включая все журналы аудита действий администратора.Дополнительную информацию о ценах на журналы аудита см. в разделе цены на операционный пакет Google Cloud .