Cette page a été traduite par l'API Cloud Translation.

Journaux d'audit

Cette page décrit les journaux d'audit créés par les modules complémentaires Google Workspace dans le cadre des journaux d'audit Cloud.

Présentation

Les services Google Cloud alimentent des journaux d'audit pour vous aider à déterminer qui fait quoi, où et quand. Chaque projet Cloud ne contient que les journaux d'audit des ressources directement intégrées au projet. Les autres entités, telles que les dossiers, les organisations et les comptes de facturation Cloud, ne contiennent que les journaux d'audit qui les concernent.

Pour découvrir Cloud Audit Logging, consultez la page Cloud Audit Logging. Pour approfondir vos connaissances sur Cloud Audit Logs, consultez la page Comprendre les journaux d'audit.

Les types de journaux d'audit suivants sont disponibles pour les modules complémentaires Google Workspace:

Journaux d'audit pour les activités d'administration

Ils incluent les opérations d'écriture administrateur qui écrivent des métadonnées ou des informations de configuration.

Vous ne pouvez pas les désactiver.

Opérations auditées

Le tableau suivant récapitule les opérations d'API correspondant à chaque type de journal d'audit dans les modules complémentaires Google Workspace:

Catégorie de journal d'audit	Opérations liées aux modules complémentaires Google Workspace
Journaux d'audit pour les activités d'administration	Projects.GetAuthorization Deployments.CreateDeployment Deployments.ReplaceDeployment Deployments.ListDeployments Deployments.GetDeployment Deployments.DeleteDeployment Déploiements.InstallDeployment Déploiements.DésinstallerDéploiement Déploiements.GetInstallStatus.

Format des journaux d'audit

Les entrées des journaux d'audit, qui peuvent être affichées dans Cloud Logging à l'aide de la visionneuse de journaux, de l'API Cloud Logging ou de Google Cloud CLI, comprennent les objets suivants :

L'entrée de journal proprement dite, qui est un objet de type LogEntry. Les champs utiles sont les suivants :
- logName, qui contient l'identification du projet et le type du journal d'audit
- resource, qui contient la cible de l'opération auditée
- timeStamp, qui indique l'heure à laquelle l'opération auditée a été effectuée
- protoPayload, qui contient les informations auditées
Les données de journalisation d'audit, qui correspondent à un objet AuditLog inclus dans le champ protoPayload de l'entrée de journal
Un objet (facultatif) de type "informations d'audit propres au service". Pour les intégrations précédentes, cet objet est conservé dans le champ serviceData de l'objet AuditLog. Les intégrations ultérieures utilisent le champ metadata.

Pour en savoir plus sur les autres champs de ces objets, ainsi que sur leur interprétation, consultez la page Comprendre les journaux d'audit.

Nom du journal

Les noms des ressources des journaux d'audit Cloud indiquent le projet Cloud ou toute autre entité Google Cloud dont ils dépendent. En outre, ils précisent si les journaux contiennent des données sur les activités d'administration, sur l'accès aux données ou sur les événements système. Les exemples ci-dessous présentent respectivement la structure des noms des journaux concernant les activités d'administration d'un projet et celle des noms des journaux concernant l'accès aux données d'une organisation. Les variables désignent les identifiants de projet et d'organisation.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Nom du service

Les journaux d'audit des modules complémentaires Google Workspace utilisent le nom de service gsuiteaddons.googleapis.com.

Pour en savoir plus sur tous les services de journalisation, consultez la section Mapper des services sur des ressources.

Types de ressources

Les journaux d'audit des modules complémentaires Google Workspace utilisent le type de ressource audited_resource pour tous les journaux d'audit.

Pour obtenir la liste des autres types de ressources, consultez la page Types de ressources surveillés.

Activer les journaux d'audit

Les journaux d'audit pour les activités d'administration sont toujours activés. Vous ne pouvez pas les désactiver.

Les modules complémentaires Google Workspace n'écrivent pas de journaux d'audit pour l'accès aux données.

Autorisations relatives aux journaux d'audit

Les autorisations et rôles Cloud IAM (Cloud Identity and Access Management) dont vous disposez déterminent les journaux d'audit que vous pouvez afficher ou exporter. Les journaux sont consignés dans des projets Cloud et dans certaines autres entités, telles que des organisations, des dossiers et des comptes de facturation Cloud. Pour en savoir plus, consultez la page Comprendre les rôles.

Pour afficher les journaux relatifs aux activités d'administration, vous devez disposer d'un des rôles Cloud IAM suivants dans le projet qui contient vos journaux d'audit :

Propriétaire de projet, éditeur de projet ou lecteur de projet
Rôle Lecteur de journaux de Logging
Rôle IAM personnalisé disposant de l'autorisation IAM logging.logEntries.list

Les modules complémentaires Google Workspace n'écrivent ni de journaux d'audit pour l'accès aux données, ni pour les événements système.

Si vous utilisez des journaux d'audit pour une entité autre qu'un projet, telle qu'une organisation, vous devez remplacer les rôles au niveau du projet Cloud par des rôles appropriés au niveau de l'organisation.

Afficher les journaux

Pour rechercher et afficher les journaux d'audit, vous devez connaître l'identifiant de l'organisation, du dossier ou du projet Cloud concerné. Vous pouvez également spécifier d'autres champs LogEntry indexés, comme resource.type. Pour en savoir plus, consultez la section Créer des requêtes dans l'explorateur de journaux.

Les noms de journaux d'audit sont indiqués ci-dessous. Ils incluent des variables correspondant aux identifiants de l'organisation, du dossier ou du projet Cloud :

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Plusieurs options s'offrent à vous pour afficher les entrées de vos journaux d'audit.

Console

Vous pouvez utiliser l'explorateur de journaux de Cloud Console pour récupérer les entrées du journal d'audit de votre projet Cloud :

Dans Cloud Console, accédez à la page Journaux > Explorateur de journaux.

Accéder à la page "Explorateur de journaux"

Remarque :Si vous utilisez la page Ancienne visionneuse de journaux, accédez à la page Explorateur de journaux.
Sur la page Explorateur de journaux, sélectionnez un projet Cloud existant.
Dans le volet Générateur de requêtes, procédez comme suit :
- Dans Ressource, sélectionnez le type de ressource Google Cloud dont vous souhaitez afficher les journaux d'audit.
- Dans Nom du journal, sélectionnez le type de journal d'audit que vous souhaitez afficher :
  - Pour les journaux d'audit pour les activités d'administration, sélectionnez activity.
  - Pour les journaux d'audit des accès aux données, sélectionnez data_access.
  - Pour les journaux d'audit des événements système, sélectionnez system_event.
  - Pour les journaux d'audit des refus de règles, sélectionnez policy.
Si ces options ne sont pas visibles, cela signifie qu'aucun journal d'audit de ce type n'est disponible dans le projet Cloud.

Pour en savoir plus sur l'exécution de requêtes à l'aide du nouvel explorateur de journaux, consultez la page Créer des requêtes dans l'explorateur de journaux.

gcloud

Google Cloud CLI fournit une interface de ligne de commande à l'API Cloud Logging. Fournissez un ID PROJECT_ID, FOLDER_ID ou ORGANIZATION_ID valide dans chacun des noms de journaux.

Pour lire les entrées de journal d'audit au niveau du projet Google Cloud, exécutez la commande suivante :

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Pour lire les entrées de journal d'audit au niveau d'un dossier, exécutez la commande suivante :

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Pour lire les entrées de journal d'audit au niveau de l'organisation, exécutez la commande suivante :

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Pour en savoir plus sur l'utilisation de la CLI gcloud, consultez la page gcloud logging read.

API

Lorsque vous créez des requêtes, remplacez les variables par des valeurs valides. Spécifiez des noms et identifiants de journaux d'audit appropriés au niveau d'un projet, d'un dossier ou d'une organisation, comme indiqué dans les noms des journaux d'audit. Par exemple, si votre requête inclut un PROJECT_ID, l'identifiant de projet que vous fournissez doit faire référence au projet Cloud actuellement sélectionné.

Pour consulter les entrées de journal d'audit à l'aide de l'API Logging, procédez comme suit :

Accédez à la section Essayer cette API dans la documentation de la méthode entries.list.
Insérez les éléments suivants dans la partie Corps de la requête du formulaire Essayer cette API. En cliquant sur ce formulaire prérempli, vous remplissez automatiquement le corps de la requête mais vous devez fournir un ID de projet PROJECT_ID valide pour chaque nom de journal.
```
{
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
```
Cliquez sur Exécuter.

Pour en savoir plus sur les requêtes, consultez la page Langage de requête Logging.

Pour obtenir un exemple d'entrée de journal d'audit et savoir comment y trouver les informations les plus importantes, consultez la page Comprendre les journaux d'audit.

Exporter des journaux d'audit

Vous pouvez exporter les journaux d'audit de la même manière que vous exportez d'autres types de journaux. Pour plus de détails sur l'exportation des journaux, consultez la page Exporter des journaux. Voici des exemples d'applications associées à l'exportation des journaux d'audit :

Pour conserver les journaux d'audit pendant une période plus longue ou pour utiliser des fonctionnalités de recherche plus puissantes, vous pouvez exporter des copies des journaux d'audit vers Cloud Storage, BigQuery ou Pub/Sub. Avec Pub/Sub, vous avez la possibilité d'exporter vos journaux vers d'autres applications, d'autres dépôts, ainsi que vers des organisations tierces.
Pour gérer les journaux d'audit à l'échelle de votre organisation, vous pouvez créer des récepteurs agrégés capables d'exporter les journaux pour un projet spécifique ou pour l'ensemble des projets de l'organisation.

Tarification

Cloud Logging ne facture pas les journaux d'audit qui ne peuvent pas être désactivés, ce qui inclut tous les journaux d'audit pour les activités d'administration.

Pour en savoir plus sur la tarification des journaux d'audit, consultez la page Tarifs de la suite Google Cloud Operations.