Google Workspace 監査ログの構成、表示、エクスポート

概要

このページでは、Google Workspace と Cloud Identity 監査ログの構成、表示、Google Cloud へのエクスポート方法について説明します。Google Workspace 監査ログと Cloud Identity 監査ログを Google Cloud にエクスポートすることで、一般的な問題の診断と解決を行えます。

Google Cloud の Google Workspace 監査ログ

Google ワークスペース、Cloud Identity、Drive Enterprise アカウントの監査ログを組織の Google Cloud アカウントと共有できます。共有監査ログには、Google Cloud の Cloud Logging からアクセスできます。

Google Cloud では、次のタイプの Google Workspace、Cloud Identity、Drive Enterprise 監査ログにアクセスできます。

  • Google Workspace 管理監査 管理者の監査ログには、Google Workspace 管理コンソールで行われた操作の記録が表示されます。たとえば、管理者がユーザーを追加した日時や Google Workspace サービスを有効にした日時を確認できます。Google Workspace 管理監査ログの詳細については、管理アクティビティ レポートのイベント名のページをご覧ください。

  • Google Workspace Login の監査ログイン監査ログは、ドメインに対するユーザー ログインを追跡します。ログインログでは、ログイン イベントのみが記録されます。ログイン アクションの実行に使用されたシステムは記録されません。

    ログインは次のいずれかで行われます。

    • Google Workspace 管理コンソール

    • Google Cloud Console

    • Cloud Identity API

    • gcloud コマンドライン ツール

    • Google アカウントのユーザー インターフェース

    Google Workspace のログイン監査ログの詳細については、ログイン監査アクティビティ イベントのページをご覧ください。

  • Google Workspace Enterprise Group の監査Enterprise グループの監査ログは、グループとグループ メンバーに対して行われた操作の記録を提供します。たとえば、管理者がユーザーを追加した日時や、グループ オーナーがグループを削除した日時を確認できます。

    グループ操作とグループメンバー操作は、次のいずれかで行われます。

    • Google Workspace 管理コンソール

    • Google Cloud Console

    • Admin SDK / API

    • Cloud Identity API

    • Google グループのユーザー インターフェース

    Google Workspace Enterprise Groups の監査ログの詳細については、Enterprise グループの監査アクティビティ イベントのページをご覧ください。

現時点では、他の種類の Google Workspace 監査ログは Google Cloud と共有されていません。

Google Workspace 管理コンソールでの Google Workspace 監査ログの表示

Google Workspace 管理コンソールで、Google Workspace の監査ログを表示できます。Google Workspace 監査ログを表示する方法については、次のトピックをご覧ください。

Google Cloud を使用した Google Workspace 監査ログの構成と表示

Google Cloud で Google Workspace 監査ログを表示するには、次の操作を行う必要があります。

  1. Google Cloud との Google Workspace の監査ログの共有を構成します。

  2. Google Workspace 監査ログを表示するように Google Cloud 権限を構成します。

Google Cloud との Google Workspace 監査ログの共有の構成

Google Workspace、Cloud Identity、Drive Enterprise アカウントの Cloud Audit Logs の Google Workspace データとの共有を有効にするには、Google Workspace 管理者ヘルプ記事の Google Cloud サービスとデータを共有するの手順を行います。

Google Cloud との Google Workspace データの共有を有効にした場合、[Google Cloud Console] > [IAM と管理] > [監査ログ] のページを使用して、Google Workspace 監査ログを選択的に無効にすることはできません。つまり、Google Cloud はすべての Google Workspace 監査ログを受け取ります。Google Cloud から特定の監査ログを削除するには、Cloud Logging でのログの除外を設定します。

Google Cloud と Google Workspace データの共有を有効にすると、Google Workspace 監査ログが常に Google Cloud に送信されます。Google Workspace のデータ共有を無効にすると、新しい Google Workspace 監査ログが Google Cloud に送信されなくなります。ただし、ログをより長く保存するようにカスタム保持期間を構成しない限り、Google Cloud の既存のログはデフォルトの保持期間で保持されます。

Google Workspace 監査ログを表示する Google Cloud 権限の構成

Google Workspace 監査ログは Google Cloud 組織に存在します。したがって、Identity and Access Management(IAM)の権限とロールによって、ユーザーが表示またはエクスポートできる監査ログが決まります。

Google Cloud Console での Google Workspace 監査ログの表示

Google Cloud の Google Workspace 監査ログは次の方法で表示できます。

Google Cloud からの Google Workspace 監査ログのエクスポート

Google Workspace 監査ログは、Google Cloud に記録された後に、他の Google Cloud ストレージの宛先または Google Cloud の外部に存在するストレージの宛先にエクスポートできます。たとえば、シンクを作成して Splunk または BigQuery にログをエクスポートできます。Cloud Logging からログをエクスポートする方法に関するコンセプトの概要については、ログのエクスポートの概要をご覧ください。

Google Workspace 監査ログは組織レベルのログであるため、組織レベルで集約エクスポートを使用してこれらの宛先にエクスポートできます。

Cloud Logging でのログデータ保持期間のカスタマイズ

Cloud Logging は、_Default バケットと _Required バケットの 2 つのバケットにログを保存します。_Default バケットは、Google Cloud とユーザーによって生成されたログを保持します。_Required バケットは、管理アクティビティ監査ログ、システム イベント監査ログ、アクセスの透明性ログを保持します。Cloud Logging バケットの詳細については、ログの保存をご覧ください。

Google Workspace のログイン監査ログGoogle ワークスペースの監査ログは _Default バケットに保存されます。ログを _Default ログバケットに 1 日~3,650 日を範囲とする期間保持するよう、Cloud Logging を構成できます。_Default ログバケットの保持期間を更新するには、ログの保存ページのカスタム保持セクションをご覧ください。

Google ワークスペース管理者と Google Workspace Enterprise グループの監査ログ。Google Workspace 管理者と Google Workspace のエンタープライズ グループの監査ログは、_Required バケットに格納されます。_Required バケットの保持期間は変更できません。