Google Workspace 模块

编辑

Google Workspace 模块

编辑

这是一个用于从不同的 Google Workspace 审计报告 API 提取数据的模块。

阅读快速入门,了解如何配置和运行模块。

兼容性

编辑

它与 Google Reports API v1 下的应用程序子集兼容。目前它支持

Google Workspace 服务 描述

SAML API 文档 帮助

查看用户成功和失败的 SAML 应用程序登录。

用户帐户 API 文档 帮助

审核用户对其自身帐户执行的操作,包括密码更改、帐户恢复详细信息和两步验证注册。

登录 API 文档 帮助

跟踪用户对您域的登录活动。

管理员 API 文档 帮助

查看在 Google 管理控制台中执行的管理员活动。

云端硬盘 API 文档 帮助

记录 Google 云端硬盘内的用户活动,包括在 Google 文档中创建的内容,以及用户上传到云端硬盘的其他位置创建的内容(例如 PDF 和 Microsoft Word 文件)。

群组 API 文档 帮助

跟踪对群组、群组成员资格和群组消息的更改。

配置模块

编辑

为了使 Filebeat 从 Google Reports API 提取数据,您必须

此模块将使用以下 oauth2 范围

  • https://www.googleapis.com/auth/admin.reports.audit.readonly

将您的服务帐户凭据下载为 JSON 文件后,您可以设置模块

配置选项
编辑
- module: google_workspace
  saml:
    enabled: true
    var.jwt_file: "./credentials_file.json"
    var.delegated_account: "[email protected]"
  user_accounts:
    enabled: true
    var.jwt_file: "./credentials_file.json"
    var.delegated_account: "[email protected]"
  login:
    enabled: true
    var.jwt_file: "./credentials_file.json"
    var.delegated_account: "[email protected]"
  admin:
    enabled: true
    var.jwt_file: "./credentials_file.json"
    var.delegated_account: "[email protected]"
  drive:
    enabled: true
    var.jwt_file: "./credentials_file.json"
    var.delegated_account: "[email protected]"
  groups:
    enabled: true
    var.jwt_file: "./credentials_file.json"
    var.delegated_account: "[email protected]"

每个文件集都有以下配置选项

var.jwt_file
指定 JWT 凭据文件的路径。
var.delegated_account
用于访问 API 的管理员用户的电子邮件。
var.http_client_timeout
模块发出的 HTTP 请求的时间限制的持续时间。默认为 60s
var.interval
向 API 发出请求之间的时间间隔。默认为 2h

Google Workspace 默认为 2 小时的轮询间隔,因为 Google 报告可能会延迟几分钟到 3 天。有关此的更多详细信息,您可以在此处阅读更多信息。

var.user_key
指定要从中获取报告的用户密钥。默认为 all
var.initial_interval
模块启动时,它将轮询到此时段的事件。这是为了防止在模块重新启动时轮询过多或重复的事件。默认为 24h

Google Workspace Reports ECS 字段

编辑

这是映射到 ECS 的 Google Workspace Reports 字段的列表。

Google Workspace Reports ECS 字段

items[].id.time

@timestamp

items[].id.uniqueQualifier

event.id

items[].id.applicationName

event.provider

items[].events[].name

event.action

items[].customerId

organization.id

items[].ipAddress

source.ip, related.ip`, source.as.*, source.geo.*

items[].actor.email

source.user.email, source.user.name, source.user.domain

items[].actor.profileId

source.user.id

这些是所有文件集通用的字段。

字段

编辑

有关模块中每个字段的描述,请参阅导出的字段部分。