OS Login と OS Login 2 要素認証(2FA)が有効になっている仮想マシン(VM)インスタンスへの接続試行をモニタリングするには、OS Login の監査ログを表示します。これらの監査ログは常に有効になっており、データアクセス構成で無効にすることはできません。
Google Workspace Admin SDK を使用して、SSH 認証鍵の追加、削除、更新、POSIX 情報の削除など、OS Login 関連のイベントやアクティビティを追跡することもできます。
準備
-
まだ設定していない場合は、認証を設定します。認証とは、Google Cloud サービスと API にアクセスするために ID を確認するプロセスです。ローカル開発環境からコードまたはサンプルを実行するには、次のように Compute Engine に対する認証を行います。
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init - Set a default region and zone.
Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。
[クエリ] フィールドに次のクエリを入力します。
protoPayload.serviceName="oslogin.googleapis.com"
探しているイベントが 1 時間以上前に発生している場合は、時計のアイコンをクリックしてカスタム期間を入力し、カスタムの期間を設定します。
[クエリを実行] をクリックします。結果は、[クエリ結果] セクションに表示されます。
各結果の横にある 展開矢印をクリックすると、詳細情報が表示されます。
OS Login の監査ログの種類とその説明については、OS Login の監査ログを確認するをご覧ください。
Cloud Audit Logs を表示するには、
gcloud logging readコマンドを使用します。gcloud logging read --freshness=TIME 'protoPayload.serviceName="oslogin.googleapis.com"'
TIMEは、クエリを実行する時間で置き換えます。たとえば、1hは、過去 1 時間のログエントリをクエリします。日付と時刻の形式については、gcloud topic datetimes をご覧ください。結果が表示されます。
OS Login の監査ログの種類とその説明については、OS Login の監査ログを確認するをご覧ください。
protoPayloadセクションを開いて、接続試行のmethodNameフィールドを表示します。各methodNameフィールドの意味については、次の表をご覧ください。メソッド 接続タイプ 説明 google.cloud.oslogin.v1.OsLoginService.CheckPolicyすべての OS Login 接続 VM への接続試行を示します。2 要素認証以外の接続の場合、正常なレスポンスは、ユーザーが VM に接続したことを示します。 2 要素認証接続の場合、接続の成功は、 CheckPolicy呼び出しの成功とContinueSession呼び出しの成功の両方によって示されます。google.cloud.oslogin.OsLoginService.v1.StartSessionOS Login の 2 要素認証接続 新しい 2FA 認証セッションを示します。 StartSession呼び出しで、クライアントがサーバーに機能を宣言し、使用可能なチャレンジに関する情報を取得します。google.cloud.oslogin.OsLoginService.v1.ContinueSessionOS Login の 2 要素認証接続 認証セッションの継続を示します。クライアントは、前回の
StartSession呼び出しまたはリクエストでサーバーから提案された本人確認方法を完了し、別の種類の本人確認を行います。次に、ContinueSessionメソッドはチャレンジまたはメソッドに対するレスポンスを受け入れ、認証試行を承認または拒否します。authenticationInfoセクションを開いて、principalEmailフィールドを表示します。principalEmailフィールドには、VM に接続を試みたユーザーのメールアドレスが表示されます。- Logging のクエリ言語で、OS Login 監査ログのクエリをカスタマイズする方法について学習する。
- Compute Engine での Linux VM への SSH 接続の仕組みを学習する。
OS Login の監査ログを表示する
OS Login の接続試行リストを表示するには、Cloud Audit Logs に対してクエリを実行します。
コンソール
gcloud
OS Login の監査ログを確認する
OS Login が有効になっている VM への接続試行の種類と、その接続試行を開始したユーザーを確認するには、監査ログの
methodNameフィールドとprincipalEmailフィールドを確認します。OS Login の監査ログのプロパティ
以下のセクションでは、監査ログのプロパティについて説明します。プロパティには、すべての監査ログに共通するプロパティと、
CheckPolicy、StartSession、ContinueSessionメソッドに固有のプロパティがあります。OS Login の監査ログの一般的なプロパティ
次の表に示すプロパティは、すべての OS Login の監査ログで共通です。
プロパティ 値 serviceNameoslogin.googleapis.comresourceName監査ログが属するログイン リクエストを示すプロジェクト番号を含む文字列。例: projects/myproject12345severityログ メッセージの重大度。 INFO、WARNINGなど。重大度の詳細については、LogSeverity をご覧ください。authenticationInfo.principalEmailメソッドが認証しているユーザーのメールアドレス。 request.numericProjectIdGoogle Cloud プロジェクトのプロジェクト番号。 CheckPolicyの監査ログのプロパティ次の表に示すプロパティは、
CheckPolicyの監査ログに適用されます。プロパティ 値 methodNamegoogle.cloud.oslogin.v1.OsLoginService.CheckPolicyrequest.@typetype.googleapis.com/google.cloud.oslogin.v1.CheckPolicyRequestrequest.policy確認する権限。ユーザーに VM へのログインが許可されているかどうかを確認する場合は LOGIN、ユーザーに VM の管理アクセス権限があるかどうかを確認する場合はADMIN_LOGIN。response.successLOGINまたはADMIN_LOGINrequest.policyチェックの結果。ユーザーが指定されたポリシーに対して承認されているかどうかに応じて、trueまたはfalse。StartSessionの監査ログのプロパティ次の表に示すプロパティは、OS Login 2FA が有効になっている VM の
StartSessionの監査ログに適用されます。プロパティ 値 methodNamegoogle.cloud.oslogin.OsLoginService.v1.StartSessionrequest.@typetype.googleapis.com/google.cloud.oslogin.OsLoginService.v1.StartSessionRequestrequest.supportedChallengeTypes選択可能な本人確認方法または 2FA 方式のリスト。 response.authenticationStatusセッションのステータス。 Authenticated、Challenge required、Challenge pendingのいずれか。response.sessionIdセッションを一意に識別する ID 文字列。このセッション ID は、シーケンス内の ContinueSessionの呼び出しに渡されます。response.challengesこの回の認証で試みることができる本人確認方法のセット。これらの本人確認方法のうち最大 1 つが開始され、ステータスが READYになります。他の方法は、提案された最初の本人確認方法の代わりにユーザーが指定できるオプションとして提示されます。ContinueSessionの監査ログのプロパティ次の表に示すプロパティは、OS Login 2FA が有効になっている VM の
ContinueSessionの監査ログに適用されます。プロパティ 値 methodNamegoogle.cloud.oslogin.OsLoginService.v1.ContinueSessionrequest.sessionId前のセッションを一意に識別する ID 文字列。このセッション ID は StartSession呼び出しから渡されます。request.@typetype.googleapis.com/google.cloud.oslogin.OsLoginService.v1.ContinueSessionRequestrequest.challengeId開始または実行する本人確認方法を識別する ID 文字列。この ID は、 StartSessionレスポンスのresponse.challenges呼び出しから返されたチャレンジ タイプに属している必要があります。request.actionチャレンジを完了するためのアクション。 response.authenticationStatusセッションのステータス。 Authenticated、Challenge required、Challenge pendingなど。response.challenges.statusSUCCESSは、ユーザーが VM に正常に接続されたことを示します。response.challengesこの回の認証で試みることができる本人確認方法のセット。これらの本人確認方法のうち最大 1 つが開始され、ステータスが READYになります。他の方法は、提案された最初の本人確認方法の代わりにユーザーが指定できるオプションとして提示されます。次のステップ
特に記載のない限り、このページのコンテンツはクリエイティブ・コモンズの表示 4.0 ライセンスにより使用許諾されます。コードサンプルは Apache 2.0 ライセンスにより使用許諾されます。詳しくは、Google Developers サイトのポリシーをご覧ください。Java は Oracle および関連会社の登録商標です。
最終更新日 2024-11-21 UTC。
-