Halaman ini diterjemahkan oleh Cloud Translation API.

Logging audit

Halaman ini berisi penjelasan mengenai log audit yang dibuat oleh Add-on Google Workspace sebagai bagian dari Cloud Audit Logs.

Ringkasan

Layanan Google Cloud menulis log audit untuk membantu Anda menjawab pertanyaan, "Siapa yang melakukan apa, di mana, dan kapan?" Project Cloud Anda hanya berisi log audit untuk resource yang berada dalam project secara langsung. Entitas lain, seperti folder, organisasi, dan akun Penagihan Cloud, berisi log audit untuk entity itu sendiri.

Untuk ringkasan umum tentang Cloud Audit Logs, lihat Cloud Audit Logs. Agar dapat lebih memahami Cloud Audit Logs, baca Memahami log audit.

Jenis log audit berikut tersedia untuk Add-on Google Workspace:

Log audit Aktivitas Admin

Mencakup operasi "penulisan admin" yang menulis metadata atau informasi konfigurasi.

Anda tidak dapat menonaktifkan log audit Aktivitas Admin.

Operasi yang diaudit

Tabel berikut merangkum operasi API yang sesuai dengan setiap jenis log audit di Add-on Google Workspace:

Kategori log audit	Operasi Add-on Google Workspace
Log audit Aktivitas Admin	Projects.GetAuthorization Deployments.CreateDeployment Deployments.ReplaceDeployment Deployments.ListDeployments Deployment.GetDeployment Deployments.DeleteDeployment Deployments.InstallDeployment Deployments.UninstallDeployment sebesar

Format log audit

Entri log audit, yang dapat dilihat di Cloud Logging menggunakan Logs Viewer, Cloud Logging API, atau Google Cloud CLI, mencakup objek berikut:

Entri log itu sendiri, yang merupakan objek dengan jenis LogEntry. Kolom berguna yang meliputi hal berikut ini:
- logName berisi identifikasi project dan jenis log audit.
- resource berisi target operasi yang diaudit.
- timeStamp berisi waktu operasi yang diaudit.
- protoPayload berisi informasi yang diaudit.
Data logging audit, yang merupakan objek AuditLog yang disimpan di kolom protoPayload entri log.
Informasi audit khusus layanan opsional, yang merupakan objek khusus layanan. Untuk integrasi sebelumnya, objek ini disimpan di kolom serviceData dari objek AuditLog; integrasi berikutnya menggunakan kolom metadata.

Untuk kolom lain dalam objek ini, dan cara menafsirkannya, pelajari Memahami log audit.

Nama log

Nama resource Cloud Audit Logs menunjukkan project Cloud atau entity Google Cloud lainnya yang memiliki log audit, dan apakah log berisi data logging audit Aktivitas Admin, Akses Data, atau Peristiwa Sistem. Misalnya, contoh berikut menunjukkan nama log untuk log audit Aktivitas Admin project dan log audit Akses Data organisasi. Variabel menunjukkan ID project dan organisasi.

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Nama layanan

Log audit Add-on Google Workspace menggunakan nama layanan gsuiteaddons.googleapis.com.

Untuk mengetahui informasi tentang semua layanan logging, lihat Memetakan layanan ke resource.

Jenis resource

Log audit Add-on Google Workspace menggunakan jenis resource audited_resource untuk semua log audit.

Untuk daftar jenis resource lainnya, lihat Jenis resource yang dimonitor.

Mengaktifkan logging audit

Log audit Aktivitas Admin selalu diaktifkan; Anda tidak dapat menonaktifkannya.

Add-on Google Workspace tidak menulis log audit Akses Data.

Izin log audit

Izin dan peran pada Identity and Access Management menentukan log audit mana yang dapat Anda lihat atau ekspor. Log berada di project Cloud dan di beberapa entitas lainnya, termasuk organisasi, folder, dan akun Penagihan Cloud. Untuk mengetahui informasi selengkapnya, lihat Memahami peran.

Untuk melihat log audit Aktivitas Admin, Anda harus memiliki salah satu peran IAM berikut dalam project yang berisi log audit Anda:

Pemilik Project, Editor Project, atau Project Viewer
Peran Logs Viewer
Peran IAM khusus dengan izin IAM logging.logEntries.list

Add-on Google Workspace tidak menulis log audit Akses Data atau log audit Peristiwa Sistem.

Jika Anda menggunakan log audit dari entity non-project, seperti organisasi, ubah peran project Cloud ke peran organisasi yang sesuai.

Melihat log

Untuk menemukan dan melihat log audit, Anda perlu mengetahui ID project, folder, atau organisasi Cloud yang informasi logging auditnya ingin Anda lihat. Anda dapat menentukan lebih lanjut kolom LogEntry yang diindeks lainnya, seperti resource.type; untuk mengetahui detailnya, tinjau Membuat kueri di Logs Explorer.

Berikut adalah nama log audit; yang menyertakan variabel untuk ID project, folder, atau organisasi Cloud:

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

Anda memiliki beberapa opsi untuk melihat entri log audit.

Konsol

Anda dapat menggunakan Logs Explorer di Konsol Cloud untuk mengambil entri log audit untuk project Cloud Anda:

Di Konsol Cloud, buka halaman Logging > Logs Explorer.

Buka halaman Logs Explorer

Catatan: Jika Anda menggunakan halaman Logs Viewer Lama, ganti ke halaman Logs Explorer.
Di halaman Logs Explorer, pilih project Cloud yang sudah ada.
Di panel Query builder, lakukan hal berikut:
- Di Resource, pilih jenis resource Google Cloud yang log auditnya ingin Anda lihat.
- Di Log name, pilih jenis log audit yang ingin dilihat:
  - Untuk log audit Aktivitas Admin, pilih activity.
  - Untuk log audit Akses Data, pilih data_access.
  - Untuk log audit Peristiwa Sistem, pilih system_event.
  - Untuk log audit Kebijakan Ditolak, pilih policy.
Jika Anda tidak melihat opsi ini, berarti tidak ada log audit dengan jenis tersebut yang tersedia di project Cloud.

Untuk mengetahui detail selengkapnya tentang pembuatan kueri menggunakan Logs Explorer baru, lihat Mem-build kueri di Logs Explorer.

gcloud

Google Cloud CLI menyediakan antarmuka command line ke Cloud Logging API. Berikan PROJECT_ID, FOLDER_ID, atau ORGANIZATION_ID yang valid di setiap nama log.

Untuk membaca entri log audit level project Google Cloud Anda, jalankan perintah berikut:

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
    --project=PROJECT_ID

Untuk membaca entri log audit level folder, jalankan perintah berikut:

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
    --folder=FOLDER_ID

Untuk membaca entri log audit tingkat organisasi, jalankan perintah berikut:

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
    --organization=ORGANIZATION_ID

Untuk mengetahui informasi selengkapnya tentang penggunaan CLI gcloud, lihat gcloud logging read.

API

Saat membuat kueri, ganti variabel dengan nilai yang valid, ganti nama atau ID log audit level project, level folder, atau level organisasi yang sesuai seperti yang tercantum dalam nama log audit. Misalnya, jika kueri Anda menyertakan PROJECT_ID, ID project yang Anda berikan harus merujuk ke project Cloud yang saat ini dipilih.

Untuk menggunakan Logging API guna melihat entri log audit Anda, lakukan hal berikut:

Buka bagian Coba API ini dalam dokumentasi untuk metode entries.list.
Masukkan string berikut ke dalam bagian Isi permintaan di formulir Coba API ini. Mengklik formulir yang telah diisi sebelumnya ini akan otomatis mengisi isi permintaan, tetapi Anda harus memberikan PROJECT_ID yang valid di setiap nama log.
```
{
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
```
Klik Jalankan.

Untuk mengetahui detail lebih lanjut tentang pembuatan kueri, lihat Bahasa kueri logging.

Untuk contoh entri log audit dan cara mencari informasi yang paling penting di dalamnya, lihat Memahami log audit.

Mengekspor log audit

Anda dapat mengekspor log audit dengan cara yang sama seperti mengekspor jenis log lainnya. Untuk mengetahui detail tentang cara mengekspor log Anda, lihat Mengekspor log. Berikut adalah beberapa penerapan dari ekspor log audit:

Untuk menyimpan log audit dalam jangka waktu yang lebih lama atau menggunakan kemampuan penelusuran yang lebih andal, Anda dapat mengekspor salinan log audit Anda ke Cloud Storage, BigQuery, atau Pub/Sub. Dengan Pub/Sub, Anda dapat mengekspor ke aplikasi lain, repositori lain, dan ke pihak ketiga.
Untuk mengelola log audit di seluruh organisasi, Anda dapat membuat sink gabungan yang dapat mengekspor log dari setiap atau semua project Cloud di organisasi.

Harga

Cloud Logging tidak mengenakan biaya untuk log audit yang tidak dapat dinonaktifkan, termasuk semua log audit Aktivitas Admin.

Untuk mengetahui informasi lebih lanjut tentang harga log audit, lihat harga Google Cloud Operations Suite.