このドキュメントでは、Google Workspace の監査ログを構成、表示、Google Cloud に転送する方法について説明します。監査ログを Google Cloud に転送することで、データ セキュリティとコンプライアンスに関連する一般的な問題を診断し、解決できます。
Google Workspace 監査ログのコンセプトについては、Google Workspace の監査ログをご覧ください。
概要
監査ログは、Google Workspace、Cloud Identity、または Google Drive Enterprise アカウントを使用して、Google Cloud 組織と共有できます。共有の監査ログには、Google Cloud の Cloud Logging からアクセスできます。
Google Cloud では、次のサービスの Google Workspace、Cloud Identity、Google Drive Enterprise 監査ログにアクセスできます。
- 管理者の監査ログ
- Enterprise グループ監査ログ
- ログインの監査ログ
- OAuth トークンの監査ログ
- SAML 監査ログ
これらのサービスの監査ログについて詳しくは、サービス固有の情報をご覧ください。
始める前に
Google Cloud で Google Workspace の監査ログを表示するには、Google Workspace の監査ログを表示するための適切な権限があることを確認してください。
IAM の権限とロールによって、Logging API、ログ エクスプローラ、Google Cloud CLI内の監査ログデータにアクセス可能かどうか判断されます。
必要となる組織レベルの IAM 権限とロールの詳細については、Cloud Logging のIAM を使用したアクセス制御をご覧ください。
Google 管理コンソールで監査ログを表示する
Google Workspace の監査ログは、Google 管理コンソールで直接表示できます。これらの監査ログを表示する方法については、次のトピックをご覧ください。
監査ログを Google Cloud と共有する
Google Workspace、Cloud Identity、Google Drive Enterprise アカウントからの Google Workspace データの Google Cloud との共有を有効にする方法については、Google Cloud サービスとデータを共有するの指示に沿って操作します。
Google Cloud との Google Workspace データの共有を有効にすると、Google Cloud が Google Workspace のすべての監査ログを受け取ります。特定の監査ログを Google Cloud から除外するには、除外フィルタを使用してシンクを設定します。Google Cloud コンソールの IAM ページで、データの共有を選択的に無効にすることはできません。
Google Cloud 上の Google Workspace の監査ログを表示する
Logging で Google Workspace の監査ログを表示するには、Logging クエリ言語を使用してデータを選択します。少なくとも、Google Cloud 組織の ID が必要です。さらに、他のインデックス付き LogEntry フィールド(resource.type など)を指定して、イベントタイプでフィルタすることもできます。
Google Workspace に適用される監査ログ名は次のとおりです。
-
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
-
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
上記のログ名で、ORGANIZATION_ID は、監査ログを表示する Google Cloud 組織を指します。
監査ログエントリを表示する方法はいくつかあります。
Console
Google Cloud Console のログ エクスプローラを使用して Google Cloud 組織の監査ログエントリを取得するには、次の手順に従います。
-
Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。
検索バーを使用してこのページを検索する場合は、小見出しが [Logging] である結果を選択します。
プロジェクト セレクタで組織を選択します。
[リソース] プルダウン メニューから、監査ログを表示するリソースタイプを選択します。
[ログ名] プルダウン メニューで、データアクセス監査ログの場合は
data_accessを、管理アクティビティ監査ログの場合はactivityを選択します。これらのオプションが表示されない場合、これらの監査ログは現在組織で使用できません。
省略可: [クエリビルダー] ペインでフィルタを作成して、表示するログをさらに指定できます。ログのクエリの詳細については、クエリを作成するをご覧ください。
API
Logging API を使用して監査ログエントリを読み取るには、次の操作を行います。
entries.listメソッドのドキュメント内の [Try this API] セクションに移動します。[Try this API] フォームのリクエストの本文に、次のコードを入力します。この事前入力されたフォームをクリックすると、リクエストの本文が自動的に入力されますが、それぞれのログ名に有効な ORGANIZATION_ID を指定する必要があります。
{ "resourceNames": [ "organizations/ORGANIZATION_ID" ], "pageSize": 5, "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" }[実行] をクリックします。
Logging API を使用してログを読み取る方法の詳細については、Logging のクエリ言語をご覧ください。
gcloud
Google Cloud CLI は、Cloud Logging API へのコマンドライン インターフェースを提供します。監査ログエントリを読み取るには、次のコマンドを実行します。
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
各ログ名の ORGANIZATION_ID は、監査ログを読み取る Google Cloud 組織の ID に置き換えます。
このコマンドの詳細については、gcloud logging read リファレンスをご覧ください。
監査ログを提供する各 Google Workspace サービスでは、サービスに固有のイベントをキャプチャします。監査された特定のイベントのログ(ログインの成功やアクセスの取り消しなど)を読み取るには、次の内容を、有効な EVENT_NAME を指定してフィルタに追加します。
protoPayload.metadata.event.eventName="EVENT_NAME" resource.type="audited_resource"
有効なイベント名とパラメータのリストについては、Reports API のドキュメントを参照し、い知覧表示されているサービスから選択してください。
たとえば、ログイン サービスによってアカウントのパスワードが変更されたことが報告されるたびにログを読み取る場合は、フィルタは次のようになります。
protoPayload.metadata.event.eventName="password_edit" resource.type="audited_resource"
Google Cloud から監査ログを転送する
Google Workspace の監査ログを Google Cloud に保存したら、サポートされている宛先にログを転送できます。たとえば、シンクを作成して Splunk または BigQuery にログをルーティングできます。Cloud Logging からログがルーティングされる方法のコンセプトの概要については、ルーティングとストレージの概要をご覧ください。
Google Workspace の監査ログは、組織レベルのログであるため、組織レベルで集約シンクを使用してこれらの宛先に転送します。
シンクを構成してログを転送する方法については、組織レベルのログをサポートされている宛先に照合して転送するをご覧ください。
データの保持期間をカスタマイズする
Cloud Logging の保持期間は、ログバケットに保存する監査ログに適用されます。
監査ログをデフォルトの保持期間より長く保持するには、カスタム保持を構成します。
次のステップ
- Google Workspace の監査ログに関する問題をトラブルシューティングする。
- Cloud 監査ログのベスト プラクティスを確認する
- Google Workspace のアクセスの透明性ログについて学ぶ。