Google Workspace 模块
编辑Google Workspace 模块
编辑这是一个用于从不同的 Google Workspace 审计报告 API 提取数据的模块。
阅读快速入门,了解如何配置和运行模块。
兼容性
编辑它与 Google Reports API v1 下的应用程序子集兼容。目前它支持
Google Workspace 服务 | 描述 | |
---|---|---|
查看用户成功和失败的 SAML 应用程序登录。 |
||
审核用户对其自身帐户执行的操作,包括密码更改、帐户恢复详细信息和两步验证注册。 |
||
跟踪用户对您域的登录活动。 |
||
查看在 Google 管理控制台中执行的管理员活动。 |
||
记录 Google 云端硬盘内的用户活动,包括在 Google 文档中创建的内容,以及用户上传到云端硬盘的其他位置创建的内容(例如 PDF 和 Microsoft Word 文件)。 |
||
跟踪对群组、群组成员资格和群组消息的更改。 |
配置模块
编辑为了使 Filebeat 从 Google Reports API 提取数据,您必须
- 拥有一个管理员帐户,如 此处所述。
- 使用管理员帐户设置 ServiceAccount。
- 为 ServiceAccount 设置对 Admin SDK API 的访问权限。
- 为您的 ServiceAccount 启用域范围委派。
此模块将使用以下 oauth2 范围
-
https://www.googleapis.com/auth/admin.reports.audit.readonly
将您的服务帐户凭据下载为 JSON 文件后,您可以设置模块
配置选项
编辑- module: google_workspace saml: enabled: true var.jwt_file: "./credentials_file.json" var.delegated_account: "[email protected]" user_accounts: enabled: true var.jwt_file: "./credentials_file.json" var.delegated_account: "[email protected]" login: enabled: true var.jwt_file: "./credentials_file.json" var.delegated_account: "[email protected]" admin: enabled: true var.jwt_file: "./credentials_file.json" var.delegated_account: "[email protected]" drive: enabled: true var.jwt_file: "./credentials_file.json" var.delegated_account: "[email protected]" groups: enabled: true var.jwt_file: "./credentials_file.json" var.delegated_account: "[email protected]"
每个文件集都有以下配置选项
-
var.jwt_file
- 指定 JWT 凭据文件的路径。
-
var.delegated_account
- 用于访问 API 的管理员用户的电子邮件。
-
var.http_client_timeout
- 模块发出的 HTTP 请求的时间限制的持续时间。默认为
60s
。 -
var.interval
- 向 API 发出请求之间的时间间隔。默认为
2h
。
Google Workspace 默认为 2 小时的轮询间隔,因为 Google 报告可能会延迟几分钟到 3 天。有关此的更多详细信息,您可以在此处阅读更多信息。
-
var.user_key
- 指定要从中获取报告的用户密钥。默认为
all
。 -
var.initial_interval
- 模块启动时,它将轮询到此时段的事件。这是为了防止在模块重新启动时轮询过多或重复的事件。默认为
24h
。
Google Workspace Reports ECS 字段
编辑这是映射到 ECS 的 Google Workspace Reports 字段的列表。
Google Workspace Reports | ECS 字段 | |
---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
这些是所有文件集通用的字段。
字段
编辑有关模块中每个字段的描述,请参阅导出的字段部分。