Chronicle の監査ロギング情報
Google Cloud サービスにより監査ログが書き込まれ、Google Cloud リソース内で誰が、何を、どこで、いつ行ったかを把握できます。このページでは、Chronicle によって作成され、Cloud Audit Logs として書き込まれる監査ログについて説明します。
Cloud Audit Logs の概要については、Cloud Audit Logs の概要をご覧ください。監査ログ形式の詳細については、監査ログについてをご覧ください。
利用可能な監査ログ
監査ログサービス名と監査対象のオペレーションは、登録しているプレビュー プログラムによって異なります。Chronicle 監査ログでは、次のいずれかのサービス名が使用されます。
chronicle.googleapis.comchronicleservicemanager.googleapis.commalachitefrontend-pa.googleapis.com
監査オペレーションでは、プレビュー プログラムに関係なく、書き込まれたすべての監査ログにリソースタイプ audited_resource が使用されます。登録しているプレビュー プログラムに基づく違いはありません。
サービス名 chronicle.googleapis.com のログ
chronicle.googleapis.com サービス名の Chronicle 監査ログでは、次のログタイプを使用できます。
詳しくは、IAM の Chronicle の権限をご覧ください。
| 監査ログのタイプ | 説明 |
|---|---|
| 管理アクティビティ監査ログ | メタデータまたは構成情報を書き込む「管理書き込み」オペレーションなどを含みます。この種のログを生成する Chronicle のアクションには、フィードの更新とルールの作成が含まれます。chronicle.googleapis.com/feeds.updatechronicle.googleapis.com/rules.createchronicle.googleapis.com/parsers.activate
|
| データアクセス監査ログ | メタデータまたは構成情報を読み取る管理読み取りオペレーションが含まれます。ユーザー提供データの読み取りまたは書き込みを行うデータ読み取りとデータ書き込みのオペレーションも含まれます。この種のログを生成する Chronicle のアクションには、フィードの取得とルールのリスト表示が含まれます。chronicle.googleapis.com/feeds.getchronicle.googleapis.com/rules.listchronicle.googleapis.com/curatedRuleSets.countCuratedRuleSetDetections |
サービス名 chronicleservicemanager.googleapis.com のログ
chronicleservicemanager.googleapis.com サービス名を使用して書き込まれた Chronicle 監査ログは、プロジェクト レベルではなく、組織レベルでのみ利用可能です。
chronicleservicemanager.googleapis.com サービス名を使用して書き込まれた Chronicle 監査ログには、次のログタイプを使用できます。
| 監査ログのタイプ | 説明 |
|---|---|
| 管理アクティビティ監査ログ | メタデータまたは構成情報を書き込む「管理書き込み」オペレーションなどを含みます。このタイプのログを生成する Chronicle では、Google Cloud の関連付けの作成と Google Cloud のログフィルタの更新が行われます。chronicleservicemanager.googleapis.com/gcpAssociations.createchronicleservicemanager.googleapis.com/gcpAssociations.deletechronicleservicemanager.googleapis.com/gcpSettings.delete
|
| データアクセス監査ログ | メタデータまたは構成情報を読み取る管理読み取りオペレーションが含まれます。ユーザー提供データの読み取りまたは書き込みを行うデータ読み取りとデータ書き込みのオペレーションも含まれます。このタイプのログを生成する Chronicle のアクションには、インスタンスと顧客メタデータの一覧表示が含まれます。chronicleservicemanager.googleapis.com/gcpAssociations.getchronicleservicemanager.googleapis.com/gcpSettings.get
|
サービス名 malachitefrontend-pa.googleapis.com のログ
malachitefrontend-pa.googleapis.com サービス名の Chronicle 監査ログでは、次のログタイプを使用できます。
Chronicle Frontend API オペレーションでは、Chronicle UI との間のデータが提供されます。Chronicle フロントエンド API は、主にデータアクセス オペレーションで構成されます。
| 監査ログのタイプ | Chronicle 運用 |
|---|---|
| 管理アクティビティ監査ログ | UpdateRole や UpdateSubject など、更新関連のアクティビティが含まれます。 |
| データアクセス監査ログ | ListRoles や ListSubjects などのビュー関連のアクティビティが含まれます。 |
監査ログ形式
監査ログエントリには、次のオブジェクトが含まれます。
ログエントリ自体。
LogEntry型のオブジェクトです。よく使用されるフィールドは次のとおりです。logNameには、リソース ID と監査ログの種類が含まれます。resource: 監査対象オペレーションのターゲットが格納されます。timeStamp: 監査対象オペレーションの時間が格納されます。protoPayload: 監査情報が格納されます。
監査ロギングデータ。ログエントリの
protoPayloadフィールドに保持されるAuditLogオブジェクトです。任意のサービス固有の監査情報。サービス固有のオブジェクトです。古い統合では、このオブジェクトは
AuditLogオブジェクトのserviceDataフィールドに保持されます。新しい統合では、metadataフィールドを使用します。protoPayload.authenticationInfo.principalSubjectフィールドには、ユーザー プリンシパルが含まれます。これは、操作を行ったユーザーを示します。protoPayload.methodNameフィールドには、ユーザーに代わって UI が呼び出す API メソッド名が格納されます。protoPayload.statusフィールドには、API 呼び出しのステータスが含まれます。空のstatus値は成功を示します。空でないstatus値は失敗を示し、エラーの説明が含まれます。ステータス コード 7 は権限が拒否されたことを示します。chronicle.googleapis.comサービスにはprotoPayload.authorizationInfoフィールドが含まれます。これには、リクエストされたリソースの名前、チェックされた権限名、アクセス権が付与または拒否されたかどうかが含まれます。
これらのオブジェクトのその他のフィールドと、その解釈方法については、監査ログについてをご覧ください。
次の例は、プロジェクト レベルの管理アクティビティ監査ログとデータアクセス監査ログのログ名を示しています。変数は、Google Cloud プロジェクト ID を示します。
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
監査ロギングの有効化
chronicle.googleapis.com サービスの監査ロギングを有効にするには、データアクセス監査ログを有効にするをご覧ください。
所有するプロジェクトの Chronicle API サーフェスを有効にすると、Chronicle の監査ログが Google Cloud プロジェクトに書き込まれます。以前の監査ログ(malachitefrontend-pa.googleapis.com のログ)は、Google Cloud が所有するプロジェクトに書き込まれます。
管理アクティビティ監査ログを表示するには、まず アクセス制御のために Chronicle インスタンスを IAM に移行する必要があります。
管理アクティビティ監査ログは常に使用可能です。無効にすることはできません。データアクセス監査ログはデフォルトで有効になっています。お客様所有のプロジェクトでデータアクセス監査ログを無効にする場合は、この機能を無効にできる Chronicle の担当者にお問い合わせください。Cloud Logging の料金については、Google Cloud Observability の料金: Cloud Logging をご覧ください。
他のサービスの監査ロギングを有効にするには、Chronicle のサポートにお問い合わせください。
書き込まれるログの種類については、使用可能な監査ログをご覧ください。
ログの表示
監査ログを検索して表示するには、Google Cloud プロジェクト ID を使用します。Google Cloud 所有のプロジェクトを使用して構成された malachitefrontend-pa.googleapis.com の以前の監査ロギングについては、Chronicle のサポートからこの情報が提供されます。さらに、resource.type などの他のインデックス付き LogEntry フィールドも指定できます。詳しくは、ログエントリの迅速な検索をご覧ください。
Google Cloud コンソールで、ログ エクスプローラを使用して Google Cloud プロジェクトの監査ログエントリを取得します。
Google Cloud コンソールで、[ロギング] > [ログ エクスプローラ] ページに移動します。
[ログ エクスプローラ] ページで、既存の Google Cloud プロジェクト、フォルダ、または組織を選択します。
[クエリビルダー] ペインで、次の操作を行います。
リソースタイプに、表示する監査ログを含む Google Cloud リソースを選択します。
[ログ名] で、表示する監査ログタイプを選択します。
管理アクティビティ監査ログの場合は、[activity] を選択します。
データアクセス監査ログの場合は、[data_access] を選択します。
これらのオプションが表示されない場合、Google Cloud プロジェクト、フォルダ、または組織では、そのタイプの監査ログは使用できません。
ログ エクスプローラを使用したクエリの詳細については、ログクエリのビルドをご覧ください。
監査ログエントリの例と、その中に記録されている最も重要な情報を見つける方法については、監査ログエントリの例をご覧ください。
例: chronicle.googleapis.com Service name のログ
以降のセクションでは、chronicle.googleapis.com サービス名を使用する Cloud Audit Logs の一般的なユースケースについて説明します。
特定のユーザーが行った操作の一覧表示
特定のユーザーが行った操作を確認するには、ログ エクスプローラで次のクエリを実行します。
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
特定のアクションを行ったユーザーを特定する
検出ルールを更新したユーザーを見つけるには、ログ エクスプローラで次のクエリを実行します。
resource.type="audited_resource"
resource.labels.service="chronicle.googleapis.com"
protoPayload.methodName="google.cloud.chronicle.v1main.RuleService.UpdateRule"
例: cloudresourcemanager.googleapis.com サービス名のログ
アクセス制御のロールまたはサブジェクトを更新したユーザーを見つけるには、ログ エクスプローラで次のクエリを実行します。
resource.type="project"
resource.labels.service="cloudresourcemanager.googleapis.com"
protoPayload.methodName="SetIamPolicy"
例: malachitefrontend-pa.googleapis.com Service name のログ
以降のセクションでは、malachitefrontend-pa.googleapis.com サービス名を使用する Cloud Audit Logs の一般的なユースケースについて説明します。
特定のユーザーが行った操作の一覧表示
特定のユーザーが行った操作を確認するには、ログ エクスプローラで次のクエリを実行します。
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.authenticationInfo.principalSubject=USER
特定のアクションを行ったユーザーを特定する
アクセス制御サブジェクトを更新したユーザーを見つけるには、ログ エクスプローラで次のクエリを実行します。
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateSubject"
アクセス制御ロールを更新したユーザーを見つけるには、ログ エクスプローラで次のクエリを実行します。
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRole"
検出ルールを更新したユーザーを見つけるには、ログ エクスプローラで次のクエリを実行します。
resource.type="audited_resource"
resource.labels.service="malachitefrontend-pa.googleapis.com"
protoPayload.methodName="malachite.frontend.v1.MalachiteFrontendService.UpdateRule"