Para a coleta dos logs do google workspace o Harpia usa o módulo do filebeat. A configuração deve ser feita seguindo a documentação oficial descrita nos itens seguintes.
Tenha uma conta de administrador - https://developers.google.com/admin-sdk/reports/v1/get-start/overview?hl=pt-br .
Configure uma ServiceAccount usando a conta de administrador. - https://support.google.com/workspacemigrate/answer/9222993?hl=en
Configure o acesso à API Admin SDK para ServiceAccount.- https://developers.google.com/workspace/guides/configure-oauth-consent?hl=pt-br
Habilite a delegação em todo o domínio para sua ServiceAccount. - https://developers.google.com/workspace/guides/create-credentials?hl=pt-br
SAML api - https://developers.google.com/admin-sdk/reports/v1/appendix/activity/saml?hl=pt-br
Visualize logins bem-sucedidos e malsucedidos dos usuários em aplicativos SAML.
User Accounts api - https://developers.google.com/admin-sdk/reports/v1/appendix/activity/user-accounts?hl=pt-br
Ações de auditoria realizadas pelos usuários em suas próprias contas, incluindo alterações de senha, detalhes de recuperação de conta e inscrição na verificação em duas etapas.
Login api - https://developers.google.com/admin-sdk/reports/v1/appendix/activity/login?hl=pt-br
Rastreie a atividade de login do usuário em seu domínio.
Admin api - https://developers.google.com/admin-sdk/reports/v1/appendix/activity/admin-application-settings?hl=pt-br
Veja as atividades do administrador realizadas no Google Admin Console.
Drive api - https://developers.google.com/admin-sdk/reports/v1/appendix/activity/drive?hl=pt-br
Registre a atividade do usuário no Google Drive, incluindo a criação de conteúdo, como o Google Docs, bem como o conteúdo criado em outros lugares que seus usuários enviam para o Drive, como PDFs e arquivos do Microsoft Word.
Groups api - https://developers.google.com/admin-sdk/reports/v1/appendix/activity/groups?hl=pt-br
Acompanhe alterações em grupos, associações a grupos e mensagens de grupo.