› ›

Google Workspace 模块

编辑

Google Workspace 模块

编辑

这是一个用于从不同的 Google Workspace 审计报告 API 提取数据的模块。

阅读快速入门，了解如何配置和运行模块。

兼容性

编辑

它与 Google Reports API v1 下的应用程序子集兼容。目前它支持

Google Workspace 服务	描述
SAML API 文档帮助	查看用户成功和失败的 SAML 应用程序登录。
用户帐户 API 文档帮助	审核用户对其自身帐户执行的操作，包括密码更改、帐户恢复详细信息和两步验证注册。
登录 API 文档帮助	跟踪用户对您域的登录活动。
管理员 API 文档帮助	查看在 Google 管理控制台中执行的管理员活动。
云端硬盘 API 文档帮助	记录 Google 云端硬盘内的用户活动，包括在 Google 文档中创建的内容，以及用户上传到云端硬盘的其他位置创建的内容（例如 PDF 和 Microsoft Word 文件）。
群组 API 文档帮助	跟踪对群组、群组成员资格和群组消息的更改。

配置模块

编辑

为了使 Filebeat 从 Google Reports API 提取数据，您必须

拥有一个管理员帐户，如此处所述。
使用管理员帐户设置 ServiceAccount。
为 ServiceAccount 设置对 Admin SDK API 的访问权限。
为您的 ServiceAccount 启用域范围委派。

此模块将使用以下 oauth2 范围

https://www.googleapis.com/auth/admin.reports.audit.readonly

将您的服务帐户凭据下载为 JSON 文件后，您可以设置模块

配置选项

编辑

- module: google_workspace
  saml:
    enabled: true
    var.jwt_file: "./credentials_file.json"
    var.delegated_account: "user@example.com"
  user_accounts:
    enabled: true
    var.jwt_file: "./credentials_file.json"
    var.delegated_account: "user@example.com"
  login:
    enabled: true
    var.jwt_file: "./credentials_file.json"
    var.delegated_account: "user@example.com"
  admin:
    enabled: true
    var.jwt_file: "./credentials_file.json"
    var.delegated_account: "user@example.com"
  drive:
    enabled: true
    var.jwt_file: "./credentials_file.json"
    var.delegated_account: "user@example.com"
  groups:
    enabled: true
    var.jwt_file: "./credentials_file.json"
    var.delegated_account: "user@example.com"

每个文件集都有以下配置选项

var.jwt_file: 指定 JWT 凭据文件的路径。
var.delegated_account: 用于访问 API 的管理员用户的电子邮件。
var.http_client_timeout: 模块发出的 HTTP 请求的时间限制的持续时间。默认为 60s。
var.interval: 向 API 发出请求之间的时间间隔。默认为 2h。

Google Workspace 默认为 2 小时的轮询间隔，因为 Google 报告可能会延迟几分钟到 3 天。有关此的更多详细信息，您可以在此处阅读更多信息。

var.user_key: 指定要从中获取报告的用户密钥。默认为 all。
var.initial_interval: 模块启动时，它将轮询到此时段的事件。这是为了防止在模块重新启动时轮询过多或重复的事件。默认为 24h。

Google Workspace Reports ECS 字段

编辑

这是映射到 ECS 的 Google Workspace Reports 字段的列表。

Google Workspace Reports	ECS 字段
`items[].id.time`	`@timestamp`
`items[].id.uniqueQualifier`	`event.id`
`items[].id.applicationName`	`event.provider`
`items[].events[].name`	`event.action`
`items[].customerId`	`organization.id`
`items[].ipAddress`	`source.ip`, related.ip`, `source.as.`, `source.geo.`
`items[].actor.email`	`source.user.email`, `source.user.name`, `source.user.domain`
`items[].actor.profileId`	`source.user.id`

这些是所有文件集通用的字段。

字段

编辑

有关模块中每个字段的描述，请参阅导出的字段部分。

« Google Cloud 模块 HAproxy 模块 »