Google Workspace 模块
编辑Google Workspace 模块编辑
这是一个用于从不同的 Google Workspace 审计报告 API 中提取数据的模块。
阅读 快速入门,了解如何配置和运行模块。
兼容性编辑
它与 Google Reports API v1 下的一部分应用程序兼容。截至目前,它支持
| Google Workspace 服务 | 描述 | |
|---|---|---|
查看用户对 SAML 应用程序的成功和失败登录。 |
||
审计用户在其自身帐户上执行的操作,包括密码更改、帐户恢复详细信息和两步验证注册。 |
||
跟踪用户登录您域的活动。 |
||
查看管理员在 Google 管理控制台中执行的活动。 |
||
记录用户在 Google Drive 中的活动,包括 Google 文档等内容创建,以及用户上传到 Drive 的其他内容(如 PDF 和 Microsoft Word 文件)。 |
||
跟踪群组、群组成员资格和群组消息的更改。 |
配置模块编辑
为了让 Filebeat 从 Google Reports API 中提取数据,您必须
- 拥有一个 管理员帐户,如 此处 所述。
- 使用管理员帐户设置 ServiceAccount。
- 为 ServiceAccount 设置对 Admin SDK API 的访问权限。
- 为您的 ServiceAccount 启用域范围委托。
此模块将使用以下 oauth2 范围
-
https://www.googleapis.com/auth/admin.reports.audit.readonly
下载您的服务帐户凭据作为 JSON 文件后,您可以设置您的模块
配置选项编辑
- module: google_workspace
saml:
enabled: true
var.jwt_file: "./credentials_file.json"
var.delegated_account: "[email protected]"
user_accounts:
enabled: true
var.jwt_file: "./credentials_file.json"
var.delegated_account: "[email protected]"
login:
enabled: true
var.jwt_file: "./credentials_file.json"
var.delegated_account: "[email protected]"
admin:
enabled: true
var.jwt_file: "./credentials_file.json"
var.delegated_account: "[email protected]"
drive:
enabled: true
var.jwt_file: "./credentials_file.json"
var.delegated_account: "[email protected]"
groups:
enabled: true
var.jwt_file: "./credentials_file.json"
var.delegated_account: "[email protected]"
每个文件集都有以下配置选项
-
var.jwt_file - 指定 JWT 凭据文件路径。
-
var.delegated_account - 用于访问 API 的管理员用户的电子邮件。
-
var.http_client_timeout - 模块执行的 HTTP 请求的超时时间。默认值为
60s。 -
var.interval - 对 API 的请求间隔。默认值为
2h。
Google Workspace 默认情况下每 2 小时轮询一次,因为 Google 报告可能存在几分钟到 3 天的延迟。有关更多详细信息,您可以阅读更多 此处。
-
var.user_key - 指定要从中获取报告的用户密钥。默认值为
all。 -
var.initial_interval - 模块启动时,它将轮询事件的时间段。这样可以防止模块重新启动时轮询太多事件或重复事件。默认值为
24h。
Google Workspace Reports ECS 字段编辑
这是一个将 Google Workspace Reports 字段映射到 ECS 的列表。
| Google Workspace Reports | ECS 字段 | |
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
这些是所有文件集的通用字段。
字段编辑
有关模块中每个字段的描述,请参阅 导出字段 部分。