Afficher et gérer les journaux d'audit pour Google Workspace

Ce document explique comment configurer, afficher et acheminer les journaux d'audit Google Workspace vers Google Cloud. En acheminant les journaux d'audit vers Google Cloud, vous pouvez diagnostiquer et résoudre les problèmes courants liés à la sécurité et à la conformité des données.

Pour en savoir plus sur les journaux d'audit Google Workspace, consultez la section Journaux d'audit pour Google Workspace.

Présentation

Vous pouvez partager des journaux d'audit avec votre organisation Google Cloud en utilisant votre compte Google Workspace, Cloud Identity ou Google Drive Enterprise. Vous pouvez accéder aux journaux d'audit partagés via Cloud Logging dans Google Cloud.

Vous pouvez accéder aux services suivants : Google Workspace, Cloud Identity et Journaux d'audit Google Drive Enterprise dans Google Cloud:

  • Journaux d'audit d'administration
  • Journaux d'audit des groupes Enterprise
  • Journaux d'audit de connexion
  • Journaux d'audit des jetons OAuth
  • Journaux d'audit SAML

Pour en savoir plus sur les journaux d'audit de ces services, consultez la page Informations spécifiques aux services.

Avant de commencer

Pour afficher les journaux d'audit de Google Workspace dans Google Cloud, assurez-vous de disposer des autorisations appropriées.

Les autorisations et rôles IAM déterminent votre capacité à accéder aux les données des journaux dans l'API Logging, l'explorateur de journaux et l'outil Google Cloud CLI ;

Pour plus d'informations sur les autorisations et les rôles IAM au niveau de l'organisation dont vous avez besoin, consultez la section Contrôle des accès avec IAM de Cloud Logging.

Afficher les journaux d'audit dans la console d'administration Google

Vous pouvez consulter les journaux d'audit pour Google Workspace directement dans la console d'administration Google. Pour savoir comment afficher ces journaux d'audit, consultez les articles suivants :

Partager les journaux d'audit avec Google Cloud

Pour activer le partage de données Google Workspace avec Google Cloud depuis votre un compte Google Workspace, Cloud Identity ou Google Drive Enterprise ; suivez les instructions fournies dans l'article Partager des données avec les services Google Cloud

Une fois que vous avez activé le partage des données Google Workspace avec Google Cloud, Google Cloud reçoit tous les journaux d'audit de Google Workspace. Pour exclure certains journaux d'audit de Google Cloud, configurez des récepteurs avec des filtres d'exclusion. Vous ne pouvez pas utiliser la page IAM dans la console Google Cloud pour désactiver de façon sélective le partage des données.

Afficher les journaux d'audit pour Google Workspace dans Google Cloud

Pour afficher les journaux d'audit de Google Workspace dans Logging, utilisez le langage de requête Logging pour sélectionner des données. Vous devez au minimum connaître l'identifiant de votre organisation Google Cloud. Vous pouvez également spécifier d'autres champs LogEntry indexés, comme resource.type, et filtrer par type d'événement.

Voici les noms des journaux d'audit qui s'appliquent à Google Workspace :

Dans les noms de journaux précédents, ORGANIZATION_ID fait référence à l'organisation Google Cloud pour laquelle vous souhaitez afficher les journaux d'audit.

Vous avez plusieurs options pour afficher les entrées de votre journal d'audit :

Console

Pour obtenir les entrées des journaux d'audit de votre organisation Google Cloud à l'aide de l'explorateur de journaux de la console Google Cloud, procédez comme suit:

  1. Dans la console Google Cloud, accédez à la page Explorateur de journaux.

    Accéder à l'explorateur de journaux

    Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.

  2. Dans le menu Sélecteur de projet, sélectionnez une organisation.

  3. Dans le menu déroulant Ressource, sélectionnez le type de ressource dont vous souhaitez afficher les journaux d'audit.

  4. Dans le menu déroulant Nom du journal, sélectionnez data_access pour les journaux d'audit des accès aux données ou activity pour les journaux d'audit des activités d'administration.

    Si ces options ne s'affichent pas, cela signifie que ces journaux d'audit ne sont actuellement pas disponibles dans l'organisation.

  5. Facultatif : vous pouvez créer un filtre dans le volet Générateur de requêtes pour spécifier davantage les journaux que vous souhaitez afficher. Pour en savoir plus sur les requêtes de journaux, consultez la page Générer des requêtes.

API

Pour lire vos entrées de journaux d'audit à l'aide de l'API Logging, procédez comme suit :

  1. Accédez à la section Essayer cette API dans la documentation de la méthode entries.list.

  2. Insérez les éléments suivants dans la partie Corps de la requête du formulaire Essayer cette API. En cliquant sur ce formulaire prérempli, vous remplissez automatiquement le corps de la requête mais vous devez fournir un ID de projet ORGANIZATION_ID valide pour chaque nom de journal.

          {
            "resourceNames": [
              "organizations/ORGANIZATION_ID"
            ],
            "pageSize": 5,
            "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
          }
  3. Cliquez sur Exécuter.

Pour en savoir plus sur la lecture des journaux à l'aide de l'API Logging, consultez la page Langage de requête Logging.

gcloud

Google Cloud CLI fournit une interface de ligne de commande à l'API Cloud Logging. Pour lire les entrées de journal d'audit, exécutez la commande suivante :

    gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"

Remplacez ORGANIZATION_ID dans chacun des noms de journaux par l'ID de l'organisation Google Cloud dont vous souhaitez lire les journaux d'audit.

Pour en savoir plus sur cette commande, consultez la documentation de référence sur gcloud logging read.

Chaque service Google Workspace qui fournit des journaux d'audit capture les événements spécifiques au service. Si vous souhaitez lire les journaux d'un événement audité spécifique, par exemple une connexion réussie ou un accès révoqué, ajoutez les éléments suivants à votre filtre et fournissez un EVENT_NAME valide :

protoPayload.metadata.event.eventName="EVENT_NAME"
resource.type="audited_resource"

Pour obtenir la liste des noms d'événements valides et leurs paramètres, consultez la documentation de l'API Reports et sélectionnez l'un des services répertoriés.

Par exemple, si vous souhaitez lire les journaux chaque fois que le service de connexion indique qu'un mot de passe de compte a été modifié, votre filtre se présente comme suit :

protoPayload.metadata.event.eventName="password_edit"
resource.type="audited_resource"

Routage des journaux d'audit depuis Google Cloud

Une fois que les journaux d'audit de Google Workspace sont disponibles dans Google Cloud, vous pouvez les acheminer vers les destinations compatibles. Par exemple, vous pouvez créer un récepteur pour router des journaux vers Splunk ou BigQuery. Pour en savoir plus sur le routage des journaux depuis Cloud Logging, consultez la page Présentation du routage et du stockage.

Les journaux d'audit de Google Workspace étant des journaux au niveau de l'organisation, vous les routez à l'aide de récepteurs agrégés au niveau de l'organisation, vers les destinations suivantes :

Pour obtenir des instructions sur la configuration des récepteurs pour acheminer les journaux, consultez Rassemblez et acheminez les journaux au niveau de l'organisation vers des destinations compatibles.

Personnaliser la durée de conservation des données

Les durées de conservation de Cloud Logging s'appliquent aux journaux d'audit que vous stockez dans des buckets de journaux.

Pour conserver les journaux d'audit plus longtemps que les durées de conservation par défaut, vous pouvez définir une conservation personnalisée.

Étape suivante