Esta página foi traduzida pela API Cloud Translation.

Registos de auditoria do Google Workspace

Este documento oferece uma vista geral conceptual dos registos de auditoria que o Google Workspace disponibiliza como parte dos registos de auditoria do Google Cloud.

Para ver informações sobre a gestão dos registos de auditoria do Google Workspace, consulte o artigo Veja e faça a gestão dos registos de auditoria do Google Workspace.

Vista geral

Google Cloud Os serviços escrevem registos de auditoria para ajudar a responder às perguntas "Quem fez o quê, onde e quando?". Pode partilhar os registos de auditoria do Google Workspace com o Google Cloud para armazenar, analisar, monitorizar e enviar alertas sobre os seus dados do Google Workspace.

Os registos de auditoria do Google Workspace estão disponíveis para clientes do Cloud ID, Cloud ID Premium e todos os clientes do Google Workspace.

Se tiver ativado a partilha de dados do Google Workspace com o Google Cloud, os registos de auditoria estão sempre ativados para o Google Workspace.

A desativação da partilha de dados do Google Workspace impede o envio de novos eventos do registo de auditoria do Google Workspace para o Google Cloud. Todos os registos existentes permanecem durante os respetivos períodos de retenção predefinidos, a menos que tenha configurado a retenção personalizada para reter os registos durante um período mais longo.

Se não ativar a partilha de dados do Google Workspace com a marca Google Cloud, não pode ver registos de auditoria do Google Workspace em Google Cloud.

Tipos de registos de auditoria

Os registos de auditoria da atividade do administrador contêm entradas de registo para chamadas API ou outras ações que modificam a configuração ou os metadados dos recursos. Por exemplo, estes registos registam quando os utilizadores criam instâncias de VMs ou alteram as autorizações de gestão de identidade e de acesso (IAM).

Os registos de auditoria de acesso aos dados contêm chamadas API que leem a configuração ou os metadados dos recursos, bem como chamadas API orientadas pelo utilizador que criam, modificam ou leem dados de recursos fornecidos pelos utilizadores. Os registos de auditoria de acesso aos dados não registam as operações de acesso aos dados em recursos que são partilhados publicamente (disponíveis para todos os utilizadores ou todos os utilizadores autenticados) ou aos quais se pode aceder sem iniciar sessão na conta do Google Workspace, Cloud Identity ou Drive Enterprise Google Cloud.

Os serviços do Google Workspace encaminham registos de auditoria para Google Cloud

O Google Workspace fornece os seguintes registos de auditoria ao Google Cloud nível da organização:

Transparência de acesso: os registos da Transparência de acesso fornecem um registo das ações quando o pessoal da Google acede ao conteúdo do cliente nos seus recursos do Google Workspace. Ao contrário da Transparência de acesso, os registos de auditoria da nuvem registam as ações que os membros da sua Google Cloud organização realizaram nos seus recursos Google Cloud .

Para mais informações sobre a estrutura dos registos da Transparência de acesso e os tipos de acessos registados, consulte as descrições dos campos de registo.
Auditoria do administrador do Google Workspace: os registos de auditoria do administrador fornecem um registo das ações realizadas na consola do administrador Google. Por exemplo, pode ver quando um administrador adicionou um utilizador ou ativou um serviço do Google Workspace.

A auditoria de administrador escreve apenas registos de auditoria de atividade de administrador.

Nota: a menos que use a Consola do administrador Google, as alterações às definições dos grupos são captadas nos registos de auditoria dos grupos do Google Workspace Enterprise. Quando usa a consola do administrador Google, as alterações às definições do grupo são captadas nos registos de auditoria do administrador do Google Workspace. Por exemplo, se alterou um endereço de email de um grupo em groups.google.com, essas alterações são captadas nos registos de auditoria dos grupos do Google Workspace Enterprise.
Auditoria de grupos do Google Workspace Enterprise: os registos de auditoria de grupos Enterprise fornecem um registo das ações realizadas em grupos e associações a grupos. Por exemplo, pode ver quando um administrador adicionou um utilizador ou quando o proprietário de um grupo eliminou o respetivo grupo.

A auditoria de grupos empresariais escreve apenas registos de auditoria de atividade de administrador.
Auditoria de início de sessão do Google Workspace: os registos de auditoria de início de sessão monitorizam os inícios de sessão dos utilizadores no seu domínio. Estes registos apenas registam o evento de início de sessão. Não registam que sistema foi usado para realizar a ação de início de sessão.

A auditoria de início de sessão escreve apenas registos de auditoria de acesso a dados.
Auditoria de tokens OAuth do Google Workspace: os registos de auditoria de tokens OAuth monitorizam que utilizadores estão a usar que aplicações Web ou para dispositivos móveis de terceiros no seu domínio. Por exemplo, quando um utilizador abre uma app do Google Workspace Marketplace, o registo regista o nome da app e a pessoa que a está a usar. O registo também regista cada vez que uma aplicação de terceiros é autorizada a aceder aos dados da Conta Google, como o Google Contacts, o Calendário e os ficheiros do Drive (apenas no Google Workspace).

A auditoria de tokens OAuth escreve registos de auditoria de atividade do administrador e de acesso aos dados.
Auditoria SAML do Google Workspace: os registos de auditoria SAML monitorizam os inícios de sessão bem-sucedidos e com falhas dos utilizadores em aplicações SAML. Normalmente, as entradas aparecem no prazo de uma hora após a ação do utilizador.

A auditoria de SAML escreve apenas registos de auditoria de acesso aos dados.

Informações específicas do serviço

Seguem-se os detalhes dos registos de auditoria de cada serviço do Google Workspace:

Auditoria de administrador do Google Workspace

Os registos de auditoria do Google Workspace Admin Audit usam o tipo de recurso audited_resource para todos os registos de auditoria.

Os registos de auditoria do Google Workspace Admin Audit usam o nome do serviço admin.googleapis.com.

A auditoria de administrador do Google Workspace escreve apenas registos de auditoria de atividade de administrador. Seguem-se as operações auditadas:

Tipo de atividade	`AuditLog.method_name`
AI_CLASSIFICATION_SETTINGS	`google.admin.AdminService.aiClassificationInsufficientTrainingExamples` `google.admin.AdminService.aiClassificationModelLowScore` `google.admin.AdminService.aiClassificationNewModelReady`
ALERT_CENTER	`google.admin.AdminService.alertCenterBatchDeleteAlerts` `google.admin.AdminService.alertCenterBatchUndeleteAlerts` `google.admin.AdminService.alertCenterCreateAlert` `google.admin.AdminService.alertCenterCreateFeedback` `google.admin.AdminService.alertCenterDeleteAlert` `google.admin.AdminService.alertCenterGetAlertMetadata` `google.admin.AdminService.alertCenterGetCustomerSettings` `google.admin.AdminService.alertCenterGetSitLink` `google.admin.AdminService.alertCenterListChange` `google.admin.AdminService.alertCenterListFeedback` `google.admin.AdminService.alertCenterListRelatedAlerts` `google.admin.AdminService.alertCenterUndeleteAlert` `google.admin.AdminService.alertCenterUpdateAlert` `google.admin.AdminService.alertCenterUpdateAlertMetadata` `google.admin.AdminService.alertCenterUpdateCustomerSettings` `google.admin.AdminService.alertCenterView`
APPLICATION_SETTINGS	`google.admin.AdminService.changeApplicationSetting` `google.admin.AdminService.createApplicationSetting` `google.admin.AdminService.deleteApplicationSetting` `google.admin.AdminService.reorderGroupBasedPoliciesEvent` `google.admin.AdminService.gplusPremiumFeatures` `google.admin.AdminService.createManagedConfiguration` `google.admin.AdminService.deleteManagedConfiguration` `google.admin.AdminService.updateManagedConfiguration` `google.admin.AdminService.flashlightEduNonFeaturedServicesSelected`
CALENDAR_SETTINGS	`google.admin.AdminService.createBuilding` `google.admin.AdminService.deleteBuilding` `google.admin.AdminService.updateBuilding` `google.admin.AdminService.createCalendarResource` `google.admin.AdminService.deleteCalendarResource` `google.admin.AdminService.createCalendarResourceFeature` `google.admin.AdminService.deleteCalendarResourceFeature` `google.admin.AdminService.updateCalendarResourceFeature` `google.admin.AdminService.renameCalendarResource` `google.admin.AdminService.updateCalendarResource` `google.admin.AdminService.changeCalendarSetting` `google.admin.AdminService.cancelCalendarEvents` `google.admin.AdminService.releaseCalendarResources`
CHAT_SETTINGS	`google.admin.AdminService.meetInteropCreateGateway` `google.admin.AdminService.meetInteropDeleteGateway` `google.admin.AdminService.meetInteropModifyGateway` `google.admin.AdminService.changeChatSetting`
CHROME_OS_SETTINGS	`google.admin.AdminService.changeChromeOsAndroidApplicationSetting` `google.admin.AdminService.changeChromeOsApplicationSetting` `google.admin.AdminService.sendChromeOsDeviceCommand` `google.admin.AdminService.changeChromeOsDeviceAnnotation` `google.admin.AdminService.changeChromeOsDeviceSetting` `google.admin.AdminService.changeChromeOsDeviceState` `google.admin.AdminService.changeChromeOsPublicSessionSetting` `google.admin.AdminService.insertChromeOsPrinter` `google.admin.AdminService.deleteChromeOsPrinter` `google.admin.AdminService.updateChromeOsPrinter` `google.admin.AdminService.changeChromeOsSetting` `google.admin.AdminService.changeChromeOsUserSetting` `google.admin.AdminService.removeChromeOsApplicationSettings`
CONTACTS_SETTINGS	`google.admin.AdminService.changeContactsSetting`
DELEGATED_ADMIN_SETTINGS	`google.admin.AdminService.assignRole` `google.admin.AdminService.createRole` `google.admin.AdminService.deleteRole` `google.admin.AdminService.addPrivilege` `google.admin.AdminService.removePrivilege` `google.admin.AdminService.renameRole` `google.admin.AdminService.updateRole` `google.admin.AdminService.unassignRole`
DEVICE_SETTINGS	`google.admin.AdminService.deleteDevice` `google.admin.AdminService.moveDeviceToOrgUnit`
DOCS_SETTINGS	`google.admin.AdminService.transferDocumentOwnership` `google.admin.AdminService.driveDataRestore` `google.admin.AdminService.changeDocsSetting`
DOMAIN_SETTINGS	`google.admin.AdminService.changeAccountAutoRenewal` `google.admin.AdminService.addApplication` `google.admin.AdminService.addApplicationToWhitelist` `google.admin.AdminService.changeAdvertisementOption` `google.admin.AdminService.createAlert` `google.admin.AdminService.changeAlertCriteria` `google.admin.AdminService.deleteAlert` `google.admin.AdminService.alertReceiversChanged` `google.admin.AdminService.renameAlert` `google.admin.AdminService.alertStatusChanged` `google.admin.AdminService.addDomainAlias` `google.admin.AdminService.removeDomainAlias` `google.admin.AdminService.skipDomainAliasMx` `google.admin.AdminService.verifyDomainAliasMx` `google.admin.AdminService.verifyDomainAlias` `google.admin.AdminService.toggleOauthAccessToAllApis` `google.admin.AdminService.toggleAllowAdminPasswordReset` `google.admin.AdminService.enableApiAccess` `google.admin.AdminService.authorizeApiClientAccess` `google.admin.AdminService.removeApiClientAccess` `google.admin.AdminService.chromeLicensesRedeemed` `google.admin.AdminService.toggleAutoAddNewService` `google.admin.AdminService.changePrimaryDomain` `google.admin.AdminService.changeWhitelistSetting` `google.admin.AdminService.communicationPreferencesSettingChange` `google.admin.AdminService.changeConflictAccountAction` `google.admin.AdminService.enableFeedbackSolicitation` `google.admin.AdminService.toggleContactSharing` `google.admin.AdminService.createPlayForWorkToken` `google.admin.AdminService.toggleUseCustomLogo` `google.admin.AdminService.changeCustomLogo` `google.admin.AdminService.changeDataLocalizationForRussia` `google.admin.AdminService.changeDataLocalizationSetting` `google.admin.AdminService.changeDataProtectionOfficerContactInfo` `google.admin.AdminService.deletePlayForWorkToken` `google.admin.AdminService.viewDnsLoginDetails` `google.admin.AdminService.changeDomainDefaultLocale` `google.admin.AdminService.changeDomainDefaultTimezone` `google.admin.AdminService.changeDomainName` `google.admin.AdminService.toggleEnablePreReleaseFeatures` `google.admin.AdminService.changeDomainSupportMessage` `google.admin.AdminService.addTrustedDomains` `google.admin.AdminService.removeTrustedDomains` `google.admin.AdminService.changeEduType` `google.admin.AdminService.toggleEnableOauthConsumerKey` `google.admin.AdminService.toggleSsoEnabled` `google.admin.AdminService.toggleSsl` `google.admin.AdminService.changeEuRepresentativeContactInfo` `google.admin.AdminService.generateTransferToken` `google.admin.AdminService.changeLoginBackgroundColor` `google.admin.AdminService.changeLoginBorderColor` `google.admin.AdminService.changeLoginActivityTrace` `google.admin.AdminService.playForWorkEnroll` `google.admin.AdminService.playForWorkUnenroll` `google.admin.AdminService.mxRecordVerificationClaim` `google.admin.AdminService.toggleNewAppFeatures` `google.admin.AdminService.toggleUseNextGenControlPanel` `google.admin.AdminService.uploadOauthCertificate` `google.admin.AdminService.regenerateOauthConsumerSecret` `google.admin.AdminService.toggleOpenIdEnabled` `google.admin.AdminService.changeOrganizationName` `google.admin.AdminService.toggleOutboundRelay` `google.admin.AdminService.changePasswordMaxLength` `google.admin.AdminService.changePasswordMinLength` `google.admin.AdminService.updateDomainPrimaryAdminEmail` `google.admin.AdminService.enableServiceOrFeatureNotifications` `google.admin.AdminService.removeApplication` `google.admin.AdminService.removeApplicationFromWhitelist` `google.admin.AdminService.changeRenewDomainRegistration` `google.admin.AdminService.changeResellerAccess` `google.admin.AdminService.ruleActionsChanged` `google.admin.AdminService.createRule` `google.admin.AdminService.changeRuleCriteria` `google.admin.AdminService.deleteRule` `google.admin.AdminService.renameRule` `google.admin.AdminService.ruleStatusChanged` `google.admin.AdminService.addSecondaryDomain` `google.admin.AdminService.removeSecondaryDomain` `google.admin.AdminService.skipSecondaryDomainMx` `google.admin.AdminService.verifySecondaryDomainMx` `google.admin.AdminService.verifySecondaryDomain` `google.admin.AdminService.updateDomainSecondaryEmail` `google.admin.AdminService.changeSsoSettings` `google.admin.AdminService.generatePin` `google.admin.AdminService.updateRule`
EMAIL_SETTINGS	`google.admin.AdminService.dropFromQuarantine` `google.admin.AdminService.emailLogSearch` `google.admin.AdminService.emailUndelete` `google.admin.AdminService.changeEmailSetting` `google.admin.AdminService.changeGmailSetting` `google.admin.AdminService.createGmailSetting` `google.admin.AdminService.deleteGmailSetting` `google.admin.AdminService.rejectFromQuarantine` `google.admin.AdminService.releaseFromQuarantine`
GROUP_SETTINGS	`google.admin.AdminService.createGroup` `google.admin.AdminService.deleteGroup` `google.admin.AdminService.changeGroupDescription` `google.admin.AdminService.groupListDownload` `google.admin.AdminService.addGroupMember` `google.admin.AdminService.removeGroupMember` `google.admin.AdminService.updateGroupMember` `google.admin.AdminService.updateGroupMemberDeliverySettings` `google.admin.AdminService.updateGroupMemberDeliverySettingsCanEmailOverride` `google.admin.AdminService.groupMemberBulkUpload` `google.admin.AdminService.groupMembersDownload` `google.admin.AdminService.changeGroupEmail` `google.admin.AdminService.changeGroupName` `google.admin.AdminService.changeGroupSetting` `google.admin.AdminService.whitelistedGroupsUpdated`
ETIQUETAS	`google.admin.AdminService.labelDeleted` `google.admin.AdminService.labelDisabled` `google.admin.AdminService.labelReenabled` `google.admin.AdminService.labelPermissionUpdated` `google.admin.AdminService.labelPermissionDeleted` `google.admin.AdminService.labelPublished` `google.admin.AdminService.labelCreated` `google.admin.AdminService.labelUpdated`
LICENSES_SETTINGS	`google.admin.AdminService.orgUsersLicenseAssignment` `google.admin.AdminService.orgAllUsersLicenseAssignment` `google.admin.AdminService.userLicenseAssignment` `google.admin.AdminService.changeLicenseAutoAssign` `google.admin.AdminService.userLicenseReassignment` `google.admin.AdminService.orgLicenseRevoke` `google.admin.AdminService.userLicenseRevoke` `google.admin.AdminService.updateDynamicLicense` `google.admin.AdminService.licenseUsageUpdate`
MOBILE_SETTINGS	`google.admin.AdminService.actionCancelled` `google.admin.AdminService.actionRequested` `google.admin.AdminService.addMobileCertificate` `google.admin.AdminService.companyDevicesBulkCreation` `google.admin.AdminService.companyOwnedDeviceBlocked` `google.admin.AdminService.companyDeviceDeletion` `google.admin.AdminService.companyOwnedDeviceUnblocked` `google.admin.AdminService.companyOwnedDeviceWiped` `google.admin.AdminService.changeMobileApplicationPermissionGrant` `google.admin.AdminService.changeMobileApplicationPriorityOrder` `google.admin.AdminService.removeMobileApplicationFromWhitelist` `google.admin.AdminService.changeMobileApplicationSettings` `google.admin.AdminService.addMobileApplicationToWhitelist` `google.admin.AdminService.mobileDeviceApprove` `google.admin.AdminService.mobileDeviceBlock` `google.admin.AdminService.mobileDeviceDelete` `google.admin.AdminService.mobileDeviceWipe` `google.admin.AdminService.changeMobileSetting` `google.admin.AdminService.changeAdminRestrictionsPin` `google.admin.AdminService.changeMobileWirelessNetwork` `google.admin.AdminService.addMobileWirelessNetwork` `google.admin.AdminService.removeMobileWirelessNetwork` `google.admin.AdminService.changeMobileWirelessNetworkPassword` `google.admin.AdminService.removeMobileCertificate` `google.admin.AdminService.enrollForGoogleDeviceManagement` `google.admin.AdminService.useGoogleMobileManagement` `google.admin.AdminService.useGoogleMobileManagementForNonIos` `google.admin.AdminService.useGoogleMobileManagementForIos` `google.admin.AdminService.mobileAccountWipe` `google.admin.AdminService.mobileDeviceCancelWipeThenApprove` `google.admin.AdminService.mobileDeviceCancelWipeThenBlock`
ORG_SETTINGS	`google.admin.AdminService.chromeLicensesEnabled` `google.admin.AdminService.chromeApplicationLicenseReservationCreated` `google.admin.AdminService.chromeApplicationLicenseReservationDeleted` `google.admin.AdminService.chromeApplicationLicenseReservationUpdated` `google.admin.AdminService.assignCustomLogo` `google.admin.AdminService.unassignCustomLogo` `google.admin.AdminService.createEnrollmentToken` `google.admin.AdminService.revokeEnrollmentToken` `google.admin.AdminService.chromeLicensesAllowed` `google.admin.AdminService.createOrgUnit` `google.admin.AdminService.removeOrgUnit` `google.admin.AdminService.editOrgUnitDescription` `google.admin.AdminService.moveOrgUnit` `google.admin.AdminService.editOrgUnitName` `google.admin.AdminService.toggleServiceEnabled`
SECURITY_INVESTIGATION	`google.admin.AdminService.securityInvestigationAction` `google.admin.AdminService.securityInvestigationActionCancellation` `google.admin.AdminService.securityInvestigationActionCompletion` `google.admin.AdminService.securityInvestigationActionRetry` `google.admin.AdminService.securityInvestigationActionVerificationConfirmation` `google.admin.AdminService.securityInvestigationActionVerificationRequest` `google.admin.AdminService.securityInvestigationActionVerificationRequestExpiration` `google.admin.AdminService.securityInvestigationChartCreate` `google.admin.AdminService.securityInvestigationContentAccess` `google.admin.AdminService.securityInvestigationDownloadAttachment` `google.admin.AdminService.securityInvestigationExportActionResults` `google.admin.AdminService.securityInvestigationExportQuery` `google.admin.AdminService.securityInvestigationObjectCreateDraftInvestigation` `google.admin.AdminService.securityInvestigationObjectDeleteInvestigation` `google.admin.AdminService.securityInvestigationObjectDuplicateInvestigation` `google.admin.AdminService.securityInvestigationObjectOwnershipTransfer` `google.admin.AdminService.securityInvestigationObjectSaveInvestigation` `google.admin.AdminService.securityInvestigationObjectUpdateDirectSharing` `google.admin.AdminService.securityInvestigationObjectUpdateLinkSharing` `google.admin.AdminService.securityInvestigationQuery` `google.admin.AdminService.securityInvestigationSettingUpdate`
SECURITY_SETTINGS	`google.admin.AdminService.addToTrustedOauth2Apps` `google.admin.AdminService.allowAspWithout2Sv` `google.admin.AdminService.allowServiceForOauth2Access` `google.admin.AdminService.allowStrongAuthentication` `google.admin.AdminService.blockOnDeviceAccess` `google.admin.AdminService.changeAllowedTwoStepVerificationMethods` `google.admin.AdminService.changeAppAccessSettingsCollectionId` `google.admin.AdminService.changeCaaAppAssignments` `google.admin.AdminService.changeCaaDefaultAssignments` `google.admin.AdminService.changeCaaErrorMessage` `google.admin.AdminService.changeSessionLength` `google.admin.AdminService.changeTwoStepVerificationEnrollmentPeriodDuration` `google.admin.AdminService.changeTwoStepVerificationFrequency` `google.admin.AdminService.changeTwoStepVerificationGracePeriodDuration` `google.admin.AdminService.changeTwoStepVerificationStartDate` `google.admin.AdminService.disallowServiceForOauth2Access` `google.admin.AdminService.enableNonAdminUserPasswordRecovery` `google.admin.AdminService.enforceStrongAuthentication` `google.admin.AdminService.removeFromTrustedOauth2Apps` `google.admin.AdminService.sessionControlSettingsChange` `google.admin.AdminService.toggleCaaEnablement` `google.admin.AdminService.trustDomainOwnedOauth2Apps` `google.admin.AdminService.unblockOnDeviceAccess` `google.admin.AdminService.untrustDomainOwnedOauth2Apps` `google.admin.AdminService.updateErrorMsgForRestrictedOauth2Apps` `google.admin.AdminService.weakProgrammaticLoginSettingsChanged`
SITES_SETTINGS	`google.admin.AdminService.addWebAddress` `google.admin.AdminService.deleteWebAddress` `google.admin.AdminService.changeSitesSetting` `google.admin.AdminService.changeSitesWebAddressMappingUpdates` `google.admin.AdminService.viewSiteDetails`
USER_SETTINGS	`google.admin.AdminService.delete2SvScratchCodes` `google.admin.AdminService.generate2SvScratchCodes` `google.admin.AdminService.revoke3LoDeviceTokens` `google.admin.AdminService.revoke3LoToken` `google.admin.AdminService.addRecoveryEmail` `google.admin.AdminService.addRecoveryPhone` `google.admin.AdminService.grantAdminPrivilege` `google.admin.AdminService.revokeAdminPrivilege` `google.admin.AdminService.revokeAsp` `google.admin.AdminService.toggleAutomaticContactSharing` `google.admin.AdminService.bulkUpload` `google.admin.AdminService.bulkUploadNotificationSent` `google.admin.AdminService.cancelUserInvite` `google.admin.AdminService.changeUserCustomField` `google.admin.AdminService.changeUserExternalId` `google.admin.AdminService.changeUserGender` `google.admin.AdminService.changeUserIm` `google.admin.AdminService.enableUserIpWhitelist` `google.admin.AdminService.changeUserKeyword` `google.admin.AdminService.changeUserLanguage` `google.admin.AdminService.changeUserLocation` `google.admin.AdminService.changeUserOrganization` `google.admin.AdminService.changeUserPhoneNumber` `google.admin.AdminService.changeRecoveryEmail` `google.admin.AdminService.changeRecoveryPhone` `google.admin.AdminService.changeUserRelation` `google.admin.AdminService.changeUserAddress` `google.admin.AdminService.createEmailMonitor` `google.admin.AdminService.createDataTransferRequest` `google.admin.AdminService.grantDelegatedAdminPrivileges` `google.admin.AdminService.deleteAccountInfoDump` `google.admin.AdminService.deleteEmailMonitor` `google.admin.AdminService.deleteMailboxDump` `google.admin.AdminService.changeFirstName` `google.admin.AdminService.gmailResetUser` `google.admin.AdminService.changeLastName` `google.admin.AdminService.mailRoutingDestinationAdded` `google.admin.AdminService.mailRoutingDestinationRemoved` `google.admin.AdminService.addNickname` `google.admin.AdminService.removeNickname` `google.admin.AdminService.changePassword` `google.admin.AdminService.changePasswordOnNextLogin` `google.admin.AdminService.downloadPendingInvitesList` `google.admin.AdminService.removeRecoveryEmail` `google.admin.AdminService.removeRecoveryPhone` `google.admin.AdminService.requestAccountInfo` `google.admin.AdminService.requestMailboxDump` `google.admin.AdminService.resendUserInvite` `google.admin.AdminService.resetSigninCookies` `google.admin.AdminService.securityKeyRegisteredForUser` `google.admin.AdminService.revokeSecurityKey` `google.admin.AdminService.userInvite` `google.admin.AdminService.viewTempPassword` `google.admin.AdminService.turnOff2StepVerification` `google.admin.AdminService.unblockUserSession` `google.admin.AdminService.unenrollUserFromTitanium` `google.admin.AdminService.archiveUser` `google.admin.AdminService.updateBirthdate` `google.admin.AdminService.createUser` `google.admin.AdminService.deleteUser` `google.admin.AdminService.downgradeUserFromGplus` `google.admin.AdminService.userEnrolledInTwoStepVerification` `google.admin.AdminService.downloadUserlistCsv` `google.admin.AdminService.moveUserToOrgUnit` `google.admin.AdminService.userPutInTwoStepVerificationGracePeriod` `google.admin.AdminService.renameUser` `google.admin.AdminService.unenrollUserFromStrongAuth` `google.admin.AdminService.suspendUser` `google.admin.AdminService.unarchiveUser` `google.admin.AdminService.undeleteUser` `google.admin.AdminService.unsuspendUser` `google.admin.AdminService.upgradeUserToGplus` `google.admin.AdminService.usersBulkUpload` `google.admin.AdminService.usersBulkUploadNotificationSent`

Auditoria de grupos do Google Workspace Enterprise

Os registos de auditoria de Grupos Enterprise do Google Workspace usam o tipo de recurso audited_resource para todos os registos de auditoria.

Os registos de auditoria de auditoria de grupos do Google Workspace Enterprise usam o nome do serviço cloudidentity.googleapis.com.

A auditoria de grupos do Google Workspace Enterprise escreve apenas registos de auditoria de atividade de administrador. Seguem-se as operações auditadas:

Categoria de registos de auditoria	`AuditLog.method_name`
Registos de auditoria de atividade do administrador	`google.apps.cloudidentity.groups.v1.GroupsService.UpdateGroup` `google.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership`

Todos os registos de auditoria de auditoria de início de sessão do Google Workspace usam o tipo de recurso audited_resource.

Os registos de auditoria do Google Workspace Login Audit usam o nome do serviço login.googleapis.com.

A auditoria de início de sessão do Google Workspace escreve apenas registos de auditoria de acesso a dados. Seguem-se as operações auditadas. Estão disponíveis exemplos de registos para cada operação.

Categoria de registos de auditoria AuditLog.method_name

Registos de auditoria de acesso a dados google.login.LoginService.2svDisable
google.login.LoginService.2svEnroll
google.login.LoginService.accountDisabledPasswordLeak
google.login.LoginService.accountDisabledGeneric
google.login.LoginService.accountDisabledSpammingThroughRelay
google.login.LoginService.accountDisabledSpamming
google.login.LoginService.accountDisabledHijacked
google.login.LoginService.emailForwardingOutOfDomain
google.login.LoginService.govAttackWarning
google.login.LoginService.loginChallenge
google.login.LoginService.loginFailure
google.login.LoginService.loginVerification
google.login.LoginService.logout
google.login.LoginService.loginSuccess
google.login.LoginService.passwordEdit
google.login.LoginService.recoveryEmailEdit
google.login.LoginService.recoveryPhoneEdit
google.login.LoginService.recoverySecretQaEdit
google.login.LoginService.riskySensitiveActionAllowed
google.login.LoginService.riskySensitiveActionBlocked
google.login.LoginService.suspiciousLogin
google.login.LoginService.suspiciousLoginLessSecureApp
google.login.LoginService.suspiciousProgrammaticLogin
google.login.LoginService.titaniumEnroll
google.login.LoginService.titaniumUnenroll

Categoria de registos de auditoria	`AuditLog.method_name`
Registos de auditoria de acesso a dados	`google.login.LoginService.2svDisable` `google.login.LoginService.2svEnroll` `google.login.LoginService.accountDisabledPasswordLeak` `google.login.LoginService.accountDisabledGeneric` `google.login.LoginService.accountDisabledSpammingThroughRelay` `google.login.LoginService.accountDisabledSpamming` `google.login.LoginService.accountDisabledHijacked` `google.login.LoginService.emailForwardingOutOfDomain` `google.login.LoginService.govAttackWarning` `google.login.LoginService.loginChallenge` `google.login.LoginService.loginFailure` `google.login.LoginService.loginVerification` `google.login.LoginService.logout` `google.login.LoginService.loginSuccess` `google.login.LoginService.passwordEdit` `google.login.LoginService.recoveryEmailEdit` `google.login.LoginService.recoveryPhoneEdit` `google.login.LoginService.recoverySecretQaEdit` `google.login.LoginService.riskySensitiveActionAllowed` `google.login.LoginService.riskySensitiveActionBlocked` `google.login.LoginService.suspiciousLogin` `google.login.LoginService.suspiciousLoginLessSecureApp` `google.login.LoginService.suspiciousProgrammaticLogin` `google.login.LoginService.titaniumEnroll` `google.login.LoginService.titaniumUnenroll`

Auditoria de tokens OAuth do Google Workspace

Os registos de auditoria do Símbolo OAuth do Google Workspace usam o tipo de recurso audited_resource para todos os registos de auditoria.

Os registos de auditoria de auditoria de tokens OAuth do Google Workspace usam o nome do serviço oauth2.googleapis.com.

A auditoria de tokens OAuth do Google Workspace escreve registos de auditoria da atividade do administrador e de acesso aos dados. Seguem-se as operações auditadas:

Categoria de registos de auditoria	`AuditLog.method_name`
Registos de auditoria de atividade do administrador	`google.identity.oauth2.Deny` `google.identity.oauth2.GetToken` `google.identity.oauth2.Request` `google.identity.oauth2.RevokeToken`
Registos de auditoria de acesso a dados	`google.identity.oauth2.GetTokenInfo`

Auditoria SAML do Google Workspace

Os registos de auditoria de auditoria SAML do Google Workspace usam o tipo de recurso audited_resource para todos os registos de auditoria.

Os registos de auditoria da auditoria SAML do Google Workspace usam o nome do serviço login.googleapis.com.

A auditoria SAML do Google Workspace escreve apenas registos de auditoria de acesso a dados. Seguem-se as operações auditadas:

Categoria de registos de auditoria	`AuditLog.method_name`
Registos de auditoria de acesso a dados	`google.apps.login.v1.SamlLoginFailed`
	`google.apps.login.v1.SamlLoginSucceeded`

Autorizações de registo de auditoria

As autorizações e as funções da IAM determinam a sua capacidade de aceder aos dados dos registos de auditoria na API Logging, no Explorador de registos e na CLI Google Cloud.

Para obter informações detalhadas sobre as autorizações e as funções de IAM ao nível da organização de que pode precisar, consulte o artigo Controlo de acesso com a IAM.

Formato do registo de auditoria

As entradas do registo de auditoria do Google Workspace incluem os seguintes objetos:

A própria entrada do registo, que é um objeto do tipo LogEntry. Ao examinar os dados de registo de auditoria, pode considerar o seguinte útil:
- logName contém o ID da organização e o tipo de registo de auditoria.
- resource contém o destino da operação auditada.
- timeStamp contém a hora da operação auditada.
- protoPayload contém o registo de auditoria do Google Workspace no campo metadata.

O campo protoPayload.metadata contém as informações do Google Workspace auditadas. Segue-se um exemplo de um registo de auditoria do início de sessão:

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "test-user@example.net"
    },
    "requestMetadata": {
      "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "login.googleapis.com",
    "methodName": "google.login.LoginService.loginFailure",
    "resourceName": "organizations/123",
    "metadata": {
      "event": [
        {
          "eventName": "login_failure",
          "eventType": "login",
          "parameter": [
            {
              "value": "google_password",
              "type": "TYPE_STRING",
              "name": "login_type",
            },
            {
              "name": "login_challenge_method",
              "type": "TYPE_STRING",
              "label": "LABEL_REPEATED",
              "multiStrValue": [
                "password",
                "idv_preregistered_phone",
                "idv_preregistered_phone"
              ]
            },
          ]
        }
      ],
      "activityId": {
        "uniqQualifier": "358068855354",
        "timeUsec": "1632500217183212"
      },
      "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto"
    }
  },
  "insertId": "-nahbepd4l1x",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "method": "google.login.LoginService.loginFailure",
      "service": "login.googleapis.com"
    }
  },
  "timestamp": "2021-09-24T16:16:57.183212Z",
  "severity": "NOTICE",
  "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2021-09-24T17:51:25.034361197Z"
}

Para obter informações sobre os campos de registo de auditoria específicos do serviço e como os interpretar, selecione os serviços apresentados em Registos de auditoria disponíveis.

Ver registos

Para ver informações sobre como ver os registos de auditoria do Google Workspace, consulte o artigo Veja e faça a gestão dos registos de auditoria do Google Workspace.

Encaminhe registos de auditoria

Pode encaminhar os registos de auditoria do Google Workspace do Cloud Logging para destinos suportados, incluindo outros contentores do Logging.

Seguem-se algumas aplicações para encaminhar registos de auditoria:

Para usar capacidades de pesquisa mais poderosas, pode encaminhar cópias dos seus registos de auditoria para o Cloud Storage, o BigQuery ou o Pub/Sub. Com o Pub/Sub, pode encaminhar para outras aplicações, outros repositórios e terceiros.
Para gerir os registos de auditoria numa organização inteira, pode criar destinos agregados que combinam e encaminham registos de todos os Google Cloud projetos, contas de faturação e pastas contidos na sua organização. Por exemplo, pode agregar e encaminhar entradas do registo de auditoria das pastas de uma organização para um contentor do Cloud Storage.

Para ver instruções sobre o encaminhamento de registos, consulte o artigo Encaminhe registos para destinos suportados.

Regionalização

Não pode escolher uma região onde os seus registos do Google Workspace são armazenados. Os registos do Google Workspace não estão abrangidos pela Política de Região de Dados do Google Workspace.

Períodos de retenção

Os seguintes períodos de retenção aplicam-se aos dados dos registos de auditoria:

Para cada organização, o Cloud Logging armazena automaticamente registos em dois contentores: um contentor _Default e um contentor _Required. O contentor _Required contém registos de auditoria da atividade do administrador, registos de auditoria de eventos do sistema e registos da Transparência de acesso. O contentor _Default contém todas as outras entradas do registo que não estão armazenadas no contentor _Required. Para mais informações sobre os contentores de registo, consulte a Vista geral do encaminhamento e armazenamento.

Pode configurar o Cloud Logging para reter os registos no contentor de registos _Default durante um período que varia entre 1 dia e 3650 dias.

Para atualizar o período de retenção do contentor de registos _Default, consulte o artigo Retenção personalizada.

Não pode alterar o período de retenção no contentor _Required.

Quotas e limites

As mesmas quotas aplicam-se aos registos de auditoria do Google Workspace e aos registos de auditoria na nuvem.

Para ver detalhes acerca destes limites de utilização, incluindo os tamanhos máximos dos registos de auditoria, consulte o artigo Quotas e limites.

Preços

Para informações sobre preços, consulte os preços do Google Cloud Observability.

O que se segue?

Saiba como configurar e gerir os registos de auditoria do Google Workspace.
Reveja as práticas recomendadas para os registos de auditoria do Cloud.
Saiba como ver e compreender os registos da Transparência de acesso para o Google Workspace.