Google Workspace の監査ログを表示して管理する

このドキュメントでは、Google Workspace の監査ログを構成、表示、Google Cloud にルーティングする方法について説明します。監査ログを Google Cloud にルーティングすることで、データ セキュリティとコンプライアンスに関連する一般的な問題を診断し、解決できます。

Google Workspace の監査ログのコンセプトについては、Google Workspace の監査ログをご覧ください。

概要

Google Workspace、Cloud Identity、Drive Enterprise アカウントを使用すると、Google Cloud 組織と監査ログを共有できます。共有監査ログには、Google Cloud の Cloud Logging からアクセスできます。

Google Cloud では、次のサービスの Google Workspace、Cloud Identity、Drive Enterprise 監査ログにアクセスできます。

  • 管理者の監査ログ
  • Enterprise グループの監査ログ
  • ログインの監査ログ
  • OAuth トークンの監査ログ
  • SAML 監査ログ

これらのサービスの監査ログの詳細については、サービス固有の情報をご覧ください。

始める前に

Google Cloud で Google Workspace の監査ログを表示するには、Google Workspace の監査ログを表示するための適切な権限があることを確認してください。

IAM の権限とロールにより、Logging APIログ エクスプローラgcloud コマンドライン ツールでログデータにアクセス可能かどうか判断されます。

必要な組織レベルの IAM 権限とロールの詳細については、Cloud Logging の IAM によるアクセス制御をご覧ください。

Google Workspace 管理コンソールでログイン監査ログを表示する。

Google Workspace の監査ログは、Google Workspace 管理コンソールから直接表示できます。これらの監査ログを表示する方法については、次のトピックをご覧ください。

監査ログを Google Cloud と共有する

Google Workspace、Cloud Identity、Drive Enterprise アカウントからの Google Workspace データの Google Cloud との共有を有効にする方法については、Google Cloud サービスとデータを共有するの指示に沿って操作します。

Google Cloud と Google Workspace データの共有を有効にすると、Google Cloud が Google Workspace のすべての監査ログを受け取ります。Google Cloud から特定の監査ログを除外するには、除外フィルタを使用してシンクを設定します。Google Cloud Console の IAM ページを使用して、データの共有を選択的に無効にすることはできません。

Google Cloud で Google Workspace の監査ログを表示する

Logging で Google Workspace の監査ログを表示するには、Logging クエリ言語を使用してデータを選択します。少なくとも、Google Cloud 組織の識別子が必要です。さらに、resource.type などの他のインデックス付き LogEntry フィールドを指定して、イベントタイプでフィルタすることもできます。

Google Workspace に適用される監査ログ名は次のとおりです。

上記のログ名で、ORGANIZATION_ID は監査ログを表示する Google Cloud 組織を表します。

監査ログエントリを表示する方法はいくつかあります。

Console

Google Cloud Console のログ エクスプローラを使用して Google Cloud 組織の監査ログエントリを取得するには、次の手順に従います。

  1. [ログ エクスプローラ] ページに移動します。

    [ログ エクスプローラ] に移動

  2. プロジェクト セレクタで組織を選択します。

  3. [リソース] プルダウン メニューから、監査ログを表示するリソースタイプを選択します。

  4. [ログ名] プルダウン メニューで、データアクセス監査ログの場合は data_access を、管理アクティビティ監査ログの場合は activity を選択します。

    これらのオプションが表示されない場合、これらの監査ログは現在組織で使用できません。

  5. (省略可)[クエリビルダー] ペインでフィルタを作成して、表示するログをさらに指定できます。ログに対するクエリの詳細については、クエリの作成をご覧ください。

API

Logging API を使用して監査ログエントリを読み取る手順は次のとおりです。

  1. entries.list メソッドのドキュメント内の [Try this API] セクションに移動します。

  2. [Try this API] フォームのリクエストの本文に、次のコードを入力します。この事前入力されたフォームをクリックすると、リクエストの本文が自動的に入力されますが、それぞれのログ名に有効な ORGANIZATION_ID を指定する必要があります。

          {
            "resourceNames": [
              "organizations/ORGANIZATION_ID"
            ],
            "pageSize": 5,
            "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
          }
    
  3. [実行] をクリックします。

Logging API を使用してログを読み取る方法について詳しくは、Logging のクエリ言語をご覧ください。

gcloud

gcloud コマンドライン ツールは、Cloud Logging API へのコマンドライン インターフェースを提供します。監査ログエントリを読み取るには、次のコマンドを実行します。

    gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"

各ログ名の ORGANIZATION_ID を、監査ログを読み取る Google Cloud 組織の ID に置き換えます。

このコマンドの詳細については、gcloud logging read リファレンスをご覧ください。

監査ログを提供する各 Google Workspace サービスは、サービスに固有のイベントをキャプチャします。ログインの成功やアクセスの取り消しなど、監査された特定のイベントのログを読み取るには、フィルタに以下を追加し、有効な EVENT_NAME を指定します。

protoPayload.metadata.event.eventName="EVENT_NAME"
resource.type="audited_resource"

有効なイベント名とパラメータのリストについては、Reports API のドキュメントを参照し、い知覧表示されているサービスから選択してください。

たとえば、ログイン サービスによってアカウントのパスワードが変更されたことが報告されるたびにログを読み取る場合は、フィルタは次のようになります。

protoPayload.metadata.event.eventName="password_edit"
resource.type="audited_resource"

Google Cloud から監査ログをルーティングする

Google Workspace の監査ログを Google Cloud に保存したら、サポートされている宛先にログをルーティングできます。たとえば、シンクを作成して Splunk または BigQuery にログをルーティングできます。Cloud Logging からログがルーティングされる方法のコンセプトの概要については、ルーティングとストレージの概要をご覧ください。

Google Workspace の監査ログは組織レベルのログであるため、組織レベルで集約シンクを使用してこれらの宛先にルーティングします。

シンクを構成してログをルーティングする方法については、集約シンクを構成するをご覧ください。

データの保持期間をカスタマイズする

Cloud Logging の保持期間は、ログバケットに保存する監査ログに適用されます。

監査ログをデフォルトの保持期間より長く保持するには、カスタム保持を構成します。

次のステップ