監査ロギング

このドキュメントでは、Cloud Audit Logsの一部として Dataproc Metastore によって作成される監査ログについて説明します。

概要

Google Cloud サービスにより監査ログが書き込まれ、Google Cloud リソース内で「誰が、いつ、どこで、何をしたか」の確認に役立ちます。

Google Cloud プロジェクトで記録されるのは、その Cloud プロジェクト内に直接存在するリソースの監査ログのみです。フォルダ、組織、請求先アカウントなど、その他の Google Cloud リソースには、そのエンティティ自体の監査ログが記録されます。

Cloud Audit Logs の概要については、Cloud Audit Logs の概要をご覧ください。監査ログ形式の詳細については、監査ログについてをご覧ください。

利用可能な監査ログ

Dataproc Metastore では、次の種類の監査ログを使用できます。

  • 管理アクティビティ監査ログ

    メタデータまたは構成情報を書き込む「管理書き込み」オペレーションが含まれます。

    管理アクティビティ監査ログは無効にできません。

  • データアクセス監査ログ

    メタデータまたは構成情報を読み取る「管理読み取り」オペレーションが含まれます。ユーザー提供データの読み取りまたは書き込みを行う「データ読み取り」オペレーションと「データ書き込み」オペレーションも含まれます。

    データアクセス監査ログを受信するには、監査ログを明示的に有効にする必要があります。

監査ログタイプの詳細については、監査ログのタイプをご覧ください。

監査対象のオペレーション

Dataproc Metastore の各監査ログタイプに対応する API オペレーションの概要は、次のとおりです。

監査ログのカテゴリ Dataproc Metastore オペレーション
管理アクティビティ
  • metastore.services.create
  • metastore.services.update
  • metastore.services.delete
  • metastore.services.setIamPolicy
  • metastore.imports.update
  • metastore.databases.update
  • metastore.databases.delete
  • metastore.databases.setIamPolicy
  • metastore.tables.update
  • metastore.tables.delete
  • metastore.tables.setIamPolicy
  • metastore.operations.delete
データアクセス(ADMIN_READ
  • metastore.services.get
  • metastore.services.list
  • metastore.services.getIamPolicy
  • metastore.imports.get
  • metastore.imports.list
  • metastore.databases.get
  • metastore.databases.list
  • metastore.databases.getIamPolicy
  • metastore.tables.get
  • metastore.tables.list
  • metastore.operations.get
  • metastore.operations.list
    データアクセス(DATA_READ
    • metastore.services.export
      データアクセス(DATA_WRITE
      • metastore.imports.create
      • metastore.databases.create
      • metastore.tables.create

        監査ログ形式

        監査ログエントリには、次のオブジェクトが含まれます。

        • ログエントリ自体。LogEntry タイプのオブジェクトです。よく使用されるフィールドは次のとおりです。

          • logName には、リソース ID と監査ログの種類が含まれます。
          • resource には、監査対象オペレーションのターゲットが含まれます。
          • timeStamp には、監査対象オペレーションの時間が含まれます。
          • protoPayload には、監査対象の情報が含まれます。
        • 監査ロギングデータ。ログエントリの protoPayload フィールドに保持される AuditLog オブジェクトです。

        • 任意のサービス固有の監査情報。サービス固有のオブジェクトです。前のインテグレーションでは、このオブジェクトは AuditLog オブジェクトの serviceData フィールドに保持されています。後のインテグレーションでは、metadata フィールドを使用します。

        これらのオブジェクトのその他のフィールドと、その解釈方法については、監査ログについてをご覧ください。

        ログ名

        Cloud Audit Logs のログ名には、監査ログを所有する Cloud プロジェクトまたは他の Google Cloud エンティティ、およびログに管理アクティビティ、データアクセス、ポリシーの拒否、システム イベントの監査ログデータが含まれているかどうかを示すリソース識別子が含まれます。

        リソース識別子の変数を含む監査ログ名は次のとおりです。

           projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
           projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
           projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
           projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy
        
           folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
           folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
           folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
           folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy
        
           billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Factivity
           billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
           billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
           billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com%2Fpolicy
        
           organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
           organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
           organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
           organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
        

        サービス名

        Dataproc Metastore の監査ログでは、サービス名 metastore.googleapis.com が使用されます。

        すべての Cloud Logging API サービス名とそれに対応するモニタリング対象リソースタイプの一覧については、サービスとリソースのマッピングをご覧ください。

        リソースタイプ

        Dataproc Metastore 監査ログでは、すべての監査ログに対してリソースタイプ audited_resource が使用されます。

        Cloud Logging でモニタリングされるすべてのリソースタイプのリストと記述情報については、モニタリング対象リソースタイプをご覧ください。

        監査ロギングの有効化

        管理アクティビティ監査ログは常に有効になっています。無効にすることはできません。

        データアクセス監査ログはデフォルトで無効になっており、明示的に有効にしない限り書き込まれません(例外は BigQuery のデータアクセス監査ログで、これは無効にすることができません)。

        データアクセス監査ログの一部またはすべてを有効にする方法については、データアクセス監査ログを構成するをご覧ください。

        権限とロール

        IAM の権限とロールにより、Google Cloud リソース内の監査ログデータにアクセス可能かどうか判断されます。

        ユースケースに適用する Logging 固有の権限とロールを決定する際は、次の点を考慮してください。

        • ログ閲覧者のロール(roles/logging.viewer)は、管理アクティビティ、ポリシー拒否、システム イベントの監査ログに対する読み取り専用権限を付与します。このロールしかない場合は、_Required バケットと _Default バケットにあるデータアクセスの監査ログを閲覧できません。

        • プライベート ログ閲覧者ロール((roles/logging.privateLogViewer)には、roles/logging.viewer に含まれる権限に加え、_Required バケットと _Default バケット内のデータアクセス監査ログの読み取り権限が含まれます。

          これらのプライベート ログがユーザー定義バケットに保存されている場合、それらのバケット内のログを読み取る権限を持つユーザーは、プライベート ログを読み取ることができます。ログバケットの詳細については、転送とストレージの概要をご覧ください。

        監査ログデータに適用される IAM の権限とロールの詳細については、IAM を使用したアクセス制御をご覧ください。

        ログを表示する

        監査ログのクエリを実行するには、監査ログ名が必要です。この名前には、Cloud プロジェクト、フォルダ、請求先アカウント、または監査ロギング情報を表示する組織のリソース識別子が含まれています。クエリでは、resource.type などの他のインデックス付き LogEntry フィールドをさらに指定できます。クエリの詳細については、ログ エクスプローラでクエリを作成するをご覧ください。

        Cloud Console、Google Cloud CLI、または Logging API を使用して、Cloud Logging で監査ログを表示できます。

        Console

        Cloud Console では、ログ エクスプローラを使用して、Cloud プロジェクト、フォルダ、または組織の監査ログエントリを取得できます。

        1. Cloud Console で、[ロギング] > [ログ エクスプローラ] ページに移動します。

          [ログ エクスプローラ] に移動

        2. 既存の Cloud プロジェクト、フォルダ、または組織を選択します。

        3. [クエリビルダー] ペインで、次の操作を行います。

          • リソースタイプに、表示する監査ログを含む Google Cloud リソースを選択します。

          • [ログ名] で、表示する監査ログタイプを選択します。

            • 管理アクティビティ監査ログの場合は、[activity] を選択します。
            • データアクセス監査ログの場合は、[data_access] を選択します。
            • システム イベント監査ログの場合は、[system_event] を選択します。
            • ポリシー拒否監査ログの場合は、[policy] を選択します。

          これらのオプションが表示されない場合、Cloud プロジェクト、フォルダ、または組織で利用可能なそのタイプの監査ログは存在しないことを意味します。

          ログ エクスプローラでログを表示する際に問題が発生した場合は、トラブルシューティングの情報をご覧ください。

          ログ エクスプローラを使用したクエリの詳細については、ログ エクスプローラでクエリを作成するをご覧ください。

        gcloud

        Google Cloud CLI は、Logging API へのコマンドライン インターフェースを提供します。ログ名ごとに有効なリソース識別子を指定します。たとえば、クエリに PROJECT_ID が含まれている場合、指定するプロジェクト ID は、現在選択された Cloud プロジェクトを参照している必要があります。

        Cloud プロジェクト レベルの監査ログエントリを読み取るには、次のコマンドを実行します。

        gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" \
            --project=PROJECT_ID
        

        フォルダレベルの監査ログエントリを読み取るには、次のコマンドを実行します。

        gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" \
            --folder=FOLDER_ID
        

        組織レベルの監査ログエントリを読み取るには、次のコマンドを実行します。

        gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" \
            --organization=ORGANIZATION_ID
        

        Cloud 請求先アカウント レベルの監査ログエントリを読み取るには、次のコマンドを実行します。

        gcloud logging read "logName : billingAccounts/BILLING_ACCOUNT_ID/logs/cloudaudit.googleapis.com" \
            --billing-account=BILLING_ACCOUNT_ID
        

        1 日以上経過したログを読み取るには、コマンドに --freshness フラグを追加します。

        gcloud CLI の使用方法に関する詳細については、gcloud logging read をご覧ください。

        API

        クエリを作成するときは、ログ名ごとに有効なリソース識別子を指定します。たとえば、クエリに PROJECT_ID が含まれている場合、指定するプロジェクト ID は、現在選択された Cloud プロジェクトを参照している必要があります。

        たとえば、Logging API を使用してプロジェクト レベルの監査ログエントリを表示する手順は次のとおりです。

        1. entries.list メソッドのドキュメント内の [Try this API] セクションに移動します。

        2. [Try this API] フォームのリクエストの本文に、次のコードを入力します。この事前入力されたフォームをクリックすると、リクエストの本文が自動的に入力されますが、それぞれのログ名に有効な PROJECT_ID を指定する必要があります。

          {
            "resourceNames": [
              "projects/PROJECT_ID"
            ],
            "pageSize": 5,
            "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
          }
          
        3. [実行] をクリックします。

        監査ログの転送

        他の種類のログと同様に、サポートされている宛先に監査ログを転送できます。監査ログを転送する理由を以下に示します。

        • 監査ログを長期間保持する場合や、より強力な検索機能を使用する場合は、監査ログのコピーを Cloud Storage、BigQuery、または Pub/Sub に転送します。Pub/Sub を使用すると、他のアプリケーション、他のリポジトリ、サードパーティ製品に転送できます。

        • 組織全体の監査ログを管理するには、組織内の一部またはすべての Cloud プロジェクトからログを転送できる集約シンクを作成します。

        • 有効にしたデータアクセス監査ログが原因で Cloud プロジェクト数がログ割り当てを超過している場合は、データアクセス監査ログを Logging から除外するシンクを作成できます。

        ログの転送手順については、シンクを構成して管理するをご覧ください。

        料金

        Cloud Logging の料金については、Google Cloud のオペレーション スイートの料金: Cloud Logging をご覧ください。