Google Workspace 模块
编辑Google Workspace 模块
编辑这是一个用于摄取来自不同 Google Workspace 审计报告 API 的数据的模块。
阅读 快速入门,了解如何配置和运行模块。
兼容性
编辑它与 Google Reports API v1 下一部分应用程序兼容。截至目前,它支持
| Google Workspace 服务 | 描述 | |
|---|---|---|
查看用户对 SAML 应用程序的成功和失败登录。 |
||
用户对其自身帐户执行的审计操作,包括密码更改、帐户恢复详细信息和两步验证注册。 |
||
跟踪用户登录到您的域的活动。 |
||
查看在 Google 管理控制台中执行的管理员活动。 |
||
记录用户在 Google Drive 中的活动,包括在 Google Docs 等中创建内容,以及用户上传到 Drive 的其他地方创建的内容,例如 PDF 和 Microsoft Word 文件。 |
||
跟踪对群组、群组成员资格和群组消息的更改。 |
配置模块
编辑为了让 Filebeat 从 Google Reports API 摄取数据,您必须
- 拥有一个 管理员帐户,如 此处 所述。
- 使用管理员帐户设置 ServiceAccount。
- 为 ServiceAccount 设置对 Admin SDK API 的访问权限。
- 为您的 ServiceAccount 启用域范围委托。
此模块将使用以下 oauth2 范围
-
https://www.googleapis.com/auth/admin.reports.audit.readonly
将您的服务帐户凭据下载为 JSON 文件后,您可以设置您的模块
配置选项
编辑- module: google_workspace
saml:
enabled: true
var.jwt_file: "./credentials_file.json"
var.delegated_account: "[email protected]"
user_accounts:
enabled: true
var.jwt_file: "./credentials_file.json"
var.delegated_account: "[email protected]"
login:
enabled: true
var.jwt_file: "./credentials_file.json"
var.delegated_account: "[email protected]"
admin:
enabled: true
var.jwt_file: "./credentials_file.json"
var.delegated_account: "[email protected]"
drive:
enabled: true
var.jwt_file: "./credentials_file.json"
var.delegated_account: "[email protected]"
groups:
enabled: true
var.jwt_file: "./credentials_file.json"
var.delegated_account: "[email protected]"
每个文件集都有以下配置选项
-
var.jwt_file - 指定 JWT 凭据文件的路径。
-
var.delegated_account - 用于访问 API 的管理员用户的电子邮件。
-
var.http_client_timeout - 模块发出的 HTTP 请求的时间限制持续时间。默认为
60s。 -
var.interval - 对 API 发出请求之间的持续时间。默认为
2h。
Google Workspace 默认为 2 小时的轮询间隔,因为 Google 报告的延迟时间可能从几分钟到 3 天不等。有关此内容的更多详细信息,您可以阅读 此处 的内容。
-
var.user_key - 指定要从中提取报告的用户密钥。默认为
all。 -
var.initial_interval - 模块启动时,它将轮询此时间段内的事件。这样做是为了防止在模块重新启动时轮询过多或重复的事件。默认为
24h。
Google Workspace 报告 ECS 字段
编辑这是一个映射到 ECS 的 Google Workspace 报告字段列表。
| Google Workspace 报告 | ECS 字段 | |
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
这些是所有文件集的通用字段。
字段
编辑有关模块中每个字段的描述,请参阅 导出字段 部分。