本頁說明 Google Workspace 外掛程式在 Cloud 稽核記錄中建立的稽核記錄。
總覽
Google Cloud 服務會寫入稽核記錄,協助您回答「人事時地物」的問題。您的 Cloud 專案只會包含直接專案中的資源稽核記錄。而資料夾、機構和 Cloud Billing 帳戶等其他實體則包含實體的稽核記錄。
如需 Cloud 稽核記錄的概要總覽,請參閱 Cloud 稽核記錄。如要深入瞭解 Cloud 稽核記錄,請參閱瞭解稽核記錄一文。
Google Workspace 外掛程式支援下列類型的稽核記錄:
-
管理員活動稽核記錄
包含寫入中繼資料或設定資訊的「管理員寫入」作業。
您無法停用管理員活動稽核記錄。
稽核的作業
以下摘要列出 Google Workspace 外掛程式中每個稽核記錄類型所對應的 API 作業:
稽核記錄類別 | Google Workspace 外掛程式作業 |
---|---|
管理員活動稽核記錄 | Projects.GetAuthorization Deployments.CreateDeployment Deployments.ReplaceDeployment Deployments.ListDeployments Deployments.GetDeployment Deployments.DeleteDeployment Deployments.InstallDeployment Deployments.UninstallDeployment Deployments.GetInstallStatus |
稽核記錄格式
您可以使用記錄檢視器、Cloud Logging API 或 Google Cloud CLI 在 Cloud Logging 中查看稽核記錄項目,包括下列物件:
記錄項目本身,屬於
LogEntry
類型的物件。實用的欄位包括:logName
包含專案識別與稽核記錄類型。resource
包含稽核作業的目標。timeStamp
包含稽核作業的時間。protoPayload
包含稽核的資訊。
稽核記錄資料,這是儲存在記錄項目
protoPayload
欄位中的AuditLog
物件。選用的服務專屬稽核資訊,這是服務專屬物件。針對先前的整合,這個物件會保留在
AuditLog
物件的serviceData
欄位中,之後的整合功能會使用metadata
欄位。
如要瞭解這些物件中的其他欄位,以及如何解讀這些欄位,請參閱瞭解稽核記錄。
記錄檔名稱
「Cloud 稽核記錄」資源名稱會指出擁有稽核記錄的 Cloud 專案或其他 Google Cloud 實體,以及記錄中是否包含管理員活動、資料存取或系統事件稽核記錄資料。例如,下列內容顯示專案的管理員活動稽核記錄與機構資料存取稽核記錄的記錄名稱。變數代表專案和機構 ID。
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
服務名稱
Google Workspace 外掛程式稽核記錄會使用服務名稱 gsuiteaddons.googleapis.com
。
如需所有記錄服務的相關資訊,請參閱「將服務對應至資源」一文。
資源類型
Google Workspace 外掛程式稽核記錄會針對所有稽核記錄使用 audited_resource
資源類型。
如需其他資源類型的清單,請參閱「受控資源類型」。
啟用稽核記錄
系統一律會啟用管理員活動稽核記錄,且該記錄無法停用。
Google Workspace 外掛程式不會寫入資料存取稽核記錄。
稽核記錄權限
身分與存取權管理權限和角色會決定您能查看或匯出的稽核記錄。記錄檔位於 Cloud 專案和機構、資料夾和 Cloud Billing 帳戶等其他實體中。詳情請參閱「瞭解角色」一文。
如要查看管理員活動稽核記錄,您必須在包含稽核記錄的專案中,具備下列其中一個 IAM 角色:Google Workspace 外掛程式不會寫入資料存取稽核記錄或系統事件稽核記錄。
如果您使用的稽核記錄來自非專案實體 (例如機構),請將 Cloud 專案角色變更為適當的機構角色。
查看記錄
如要尋找及查看稽核記錄,您必須知道要查看稽核記錄資訊的 Cloud 專案、資料夾或機構 ID。您可以進一步指定其他已建立索引的 LogEntry
欄位,例如 resource.type
;詳情請參閱「在記錄檔探索工具中建構查詢」。
以下為稽核記錄名稱;這些記錄包含 Cloud 專案、資料夾或機構 ID 的變數:
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
您可以透過多種方式查看稽核記錄項目。
控制台
您可以使用 Cloud 控制台中的記錄檔探索工具,擷取 Cloud 專案的稽核記錄項目:
在 Cloud 控制台中,前往「Logging」>「記錄檔探索工具」頁面。
在「記錄檔探索工具」頁面中,選取現有的 Cloud 專案。
在「Query builder」窗格中,執行下列操作:
在「Resource」(資源) 中,選取您要查看稽核記錄的 Google Cloud 資源類型。
在「Log name」(記錄名稱) 中,選取您要查看的稽核記錄類型:
- 為管理員活動稽核記錄選取「活動」。
- 在「資料存取」稽核記錄中,選取「data_access」data_access。
- 為「系統事件」稽核記錄,請選取「system_event」system_event。
- 針對「政策遭拒」的稽核記錄,選取「policy」。
如果您沒有看到這些選項,表示 Cloud 專案中沒有任何該類型的稽核記錄。
如要進一步瞭解如何使用新版記錄檔探索工具進行查詢,請參閱在記錄檔探索工具中建構查詢一文。
gcloud
Google Cloud CLI 提供 Cloud Logging API 的指令列介面。請在每個記錄名稱中提供有效的 PROJECT_ID
、FOLDER_ID
或 ORGANIZATION_ID
。
如要讀取 Google Cloud 專案層級的稽核記錄項目,請執行下列指令:
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \ --project=PROJECT_ID
如要讀取資料夾層級的稽核記錄項目,請執行下列指令:
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \ --folder=FOLDER_ID
如要讀取機構層級的稽核記錄項目,請執行下列指令:
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \ --organization=ORGANIZATION_ID
如要進一步瞭解如何使用 gcloud
CLI,請參閱 gcloud logging read
。
API
建構查詢時,請將變數替換為有效值,請將適當的專案層級、資料夾層級或機構層級稽核記錄名稱或 ID 替換為稽核記錄名稱中所列的 ID。舉例來說,如果查詢包含 PROJECT_ID,則您提供的專案 ID 必須參照目前所選的 Cloud 專案。
如要使用 Logging API 查看稽核記錄項目,請執行下列操作:
前往
entries.list
方法說明文件中的「Try this API」(試用這個 API) 區段。將下列內容放入「Try this API」(試用這個 API) 表單的「Request body」(要求主體) 部分。按一下這份預先填入的表單會自動填入要求主體,但您必須為每個記錄名稱提供有效的
PROJECT_ID
。{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }
按一下 [Execute] (執行)。
如要進一步瞭解查詢功能,請參閱 Logging 查詢語言。
如需稽核記錄項目範例,以及如何找出其中最重要的資訊,請參閱瞭解稽核記錄。
匯出稽核記錄
您可以匯出稽核記錄,方法與匯出其他類型記錄檔的方式相同。 關於如何匯出記錄的詳細資訊,請參閱匯出記錄。以下是匯出稽核記錄的一些應用方式:
如要將稽核記錄保留較長時間或使用更強大的搜尋功能,您可以將稽核記錄的複本匯出至 Cloud Storage、BigQuery 或 Pub/Sub。您可以使用 Pub/Sub 匯出至其他應用程式、其他存放區和第三方。
如要管理整個機構的稽核記錄,您可以建立匯總接收器,從機構中的任何或所有 Cloud 專案匯出記錄。
定價
Cloud Logging 不會針對無法停用的稽核記錄收費,包括所有管理員活動稽核記錄。如要進一步瞭解稽核記錄的定價,請參閱 Google Cloud 作業套件定價。