Google Workspace の監査ロギングの概要

このドキュメントでは、Cloud Audit Logs の一部として Google Workspace が提供する監査ログの概要について説明します。

Google Workspace 監査ログの管理については、Google Workspace 監査ログを構成するをご覧ください。

概要

Google Cloud サービスは、「誰がいつどこで何をしたか」の確認に役立つ監査ログを記録します。Google Workspace 監査ログを Google Cloud と共有して、Google Workspace 監査ログデータの保存、検索、分析、モニタリング、アラートを行うことができます。

Google Workspace、Cloud Identity、Drive Enterprise アカウントからの Google Workspace データの Google Cloud との共有を有効にする方法については、Google Cloud サービスとデータを共有するの手順をご覧ください。

Google Cloud との Google Workspace データの共有を有効にした場合、[Google Cloud Console] > [IAM と管理] > [監査ログ] のページを使用して、Google Workspace 監査ログを選択的に無効にすることはできません。除外フィルタを設定すると、シンクでこれらのログを除外できます。

Google Cloud との Google Workspace のデータ共有が有効になっている場合、Google Workspace の監査ログは常に有効です。Google Workspace データの共有を無効にすると、新しい Google Workspace 監査ログのイベントが Google Cloud に送信されなくなりますが、カスタム保持を構成してログを長期間保持する場合を除き、既存のログはデフォルトの保持期間を通じて保持されます。

監査ログを Google Cloud に転送する Google Workspace サービス

Google Workspace は、次のように Google Cloud 組織レベルで監査ログを提供します。

管理アクティビティ監査ログには、リソースの構成またはメタデータを変更する API 呼び出しやその他の管理アクションに関するログエントリが含まれます。このログは、たとえば、ユーザーが VM インスタンスを作成したときや、Identity and Access Management 権限を変更したときに記録されます。

データアクセス監査ログには、リソースの構成やメタデータを読み取る API 呼び出しや、ユーザー提供のリソースデータの作成、変更、読み取りを行うユーザー主導の API 呼び出しが含まれます。データアクセス監査ログには、一般公開されているリソース(すべてのユーザーまたは認証済みのすべてのユーザーが利用可能)や、Google Cloud、Google Workspace、Cloud Identity、Drive Enterprise のアカウントにログインせずにアクセスできるリソースのデータアクセス操作は記録されません。

サービス固有の情報

Google Workspace サービスの監査ログの詳細は次のとおりです。

監査ログに関する権限

IAM の権限とロールにより、Logging APIログ エクスプローラgcloud コマンドライン ツールでログデータにアクセス可能かどうか判断されます。

必要となる組織レベルの IAM 権限とロールの詳細については、アクセス制御ガイドをご覧ください。

監査ログ形式

Google Workspace の監査ログエントリには、次のオブジェクトが含まれています。

  • ログエントリ自体。LogEntry 型のオブジェクトです。監査ロギングデータを確認すると、次のような利点があります。

    • logName には、組織 ID と監査ログタイプが含まれます。
    • resource: 監査対象オペレーションのターゲットが格納されます。
    • timeStamp: 監査対象オペレーションの時間が格納されます。
    • protoPayloadmetadata フィールドに、Google Workspace 監査ログが含まれています。

protoPayload.metadata フィールドには、監査対象の Google Workspace 情報が格納されます。Google Workspace ログイン監査ログの例を次に示します。

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "test-user@example.net"
    },
    "requestMetadata": {
      "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "login.googleapis.com",
    "methodName": "google.login.LoginService.loginFailure",
    "resourceName": "organizations/123",
    "metadata": {
      "event": [
        {
          "eventName": "login_failure",
          "eventType": "login",
          "parameter": [
            {
              "value": "google_password",
              "type": "TYPE_STRING",
              "name": "login_type",
            },
            {
              "name": "login_challenge_method",
              "type": "TYPE_STRING",
              "label": "LABEL_REPEATED",
              "multiStrValue": [
                "password",
                "idv_preregistered_phone",
                "idv_preregistered_phone"
              ]
            },
          ]
        }
      ],
      "activityId": {
        "uniqQualifier": "358068855354",
        "timeUsec": "1632500217183212"
      },
      "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto"
    }
  },
  "insertId": "-nahbepd4l1x",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "method": "google.login.LoginService.loginFailure",
      "service": "login.googleapis.com"
    }
  },
  "timestamp": "2021-09-24T16:16:57.183212Z",
  "severity": "NOTICE",
  "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2021-09-24T17:51:25.034361197Z"
}

サービス固有の監査ロギング フィールドとその解釈方法については、使用可能な監査ログに記載されているサービスを選択してください。

ログを表示

Google Workspace 監査ログの表示については、Google Workspace 監査ログを構成するをご覧ください。

監査ログの転送

Google Workspace の監査ログは、Cloud Logging からサポートされている他のバケット(他の Logging バケットなど)にルーティングできます。

監査ログのルーティング用のアプリケーションは次のとおりです。

  • より強力な検索機能を使用するには、監査ログのコピーを Cloud Storage、BigQuery、Pub/Sub にルーティングします。Pub/Sub を使用すると、他のアプリケーション、他のリポジトリ、サードパーティ製品にルーティングできます。

  • 組織全体の監査ログを管理するには、集約シンクを作成します。これにより、組織に含まれているすべての Cloud プロジェクト、請求先アカウント、フォルダのログを組み合わせてルーティングできます。たとえば、監査ログエントリを組織のフォルダから Cloud Storage バケットに集約し、転送できます。

ログの転送手順については、シンクの構成をご覧ください。

保持期間

Cloud Logging は、組織ごとに _Default バケットと _Required バケットという 2 つのバケットにログを自動的に保存します。_Required バケットは、管理アクティビティ監査ログ、システム イベント監査ログ、アクセスの透明性ログを保持します。_Default バケットは、_Required バケットによって取り込まれていない他のすべてのログエントリを保持します。ログバケットの詳細については、転送とストレージの概要をご覧ください。

_Default ログバケットに 1 日~3,650 日の範囲でログを保持するように Cloud Logging を構成できます。

_Default ログバケットの保持期間を更新するには、カスタム保持をご覧ください。

_Required バケットでの保持期間は変更できません。

割り当てと上限

監査ログの最大サイズを含む、ロギングの使用量上限について詳しくは、割り当てと上限をご覧ください。

料金

Google Workspace の組織レベルのログは現在無料です。

次のステップ