G Suite の監査ログに関する情報

このページでは、G Suite が提供する監査ログを Cloud Audit Logs の一部として説明します。

概要

Google Cloud サービスは、「誰がいつどこで何をしたか」の確認に役立つ監査ログを記録します。G Suite の監査ログを Google Cloud と共有して、G Suite 監査ログデータの保存、検索、分析、モニタリング、アラートを行うことができます。

Cloud Audit Logs では、Google Cloud リソースの 3 種類の監査ログが維持されます。

  • 管理アクティビティ監査ログ: リソースの構成やメタデータを変更するオペレーションを記録します。
  • データアクセス監査ログ: リソースの構成やメタデータを読み取る API 呼び出しや、ユーザー提供のリソースデータの作成、変更、読み取りを行うユーザー主導の API 呼び出しが含まれます。データアクセス監査ログは、一般公開されているリソース(すべてのユーザーまたは認証されたすべてのユーザーが利用可能)や、G Suite、Cloud Identity、Drive Enterprise アカウントにログインせずにアクセスできるリソースに対するデータアクセス オペレーションを記録しません。
  • システム イベント監査ログ: リソースの構成を変更する Google Cloud 管理アクションのログエントリが含まれます。

G Suite は、次のように Google Cloud 組織レベルで監査ログを提供します。

Cloud 監査ログの概要については、Cloud 監査ログをご覧ください。Cloud Audit Logs の詳細については、監査ログについてをご覧ください。

スタートガイド: G Suite データの共有

G Suite、Cloud Identity、Drive Enterprise アカウントの G Suite データと Cloud Audit Logs の共有を有効にする方法については、G Suite 管理者用ヘルプ記事をご覧ください。

G Suite データと Google Cloud の共有を有効にした場合、Google Cloud Console の [IAM と管理] > [監査ログ] ページを使用して G Suite 監査ログを選択的に無効にすることはできません。ただし、これらのログはログの除外を使用して除外できます。

Google Cloud との G Suite のデータ共有が有効になっている場合、G Suite 監査ログは常に有効です。G Suite データの共有を無効にすると、新しい G Suite 監査ログのイベントが Cloud Audit Logs に送信されなくなりますが、カスタム保持を構成してログを長期間保持する場合を除き、既存のログはデフォルトの保持期間を通じて保持されます。

サービス固有の情報

各 G Suite サービスの監査ログの詳細は次のとおりです。

監査ログに関する権限

Google Cloud では、表示またはエクスポートできる監査ログが Cloud Identity and Access Management の権限とロールによって決まります。G Suite 監査ログは Google Cloud 組織に存在します。

管理アクティビティ監査ログを表示するには、監査ログを含む Google Cloud 組織で次のいずれかの Cloud IAM ロールが必要です。

データアクセス監査ログを表示するには、監査ログを含む Google Cloud 組織で次のいずれかのロールが必要です。

詳しくは、ロールについてをご覧ください。

監査ログ形式

Cloud Logging でログビューア(プレビュー版)、Cloud Logging API、gcloud コマンドライン ツールを使用して表示できる G Suite 監査ログエントリには、次のオブジェクトがあります。

  • ログエントリ自体。LogEntry 型のオブジェクトです。よく使用されるフィールドは次のとおりです。

    • logName: プロジェクト ID と監査ログタイプ
    • resource: 監査対象オペレーションのターゲット
    • timeStamp: 監査対象オペレーションの日時
    • protoPayload: 監査情報
  • 監査ロギングデータ。ログエントリの protoPayload フィールドに保持される AuditLog オブジェクトです。

  • サービス固有の監査情報(省略可)。AuditLog オブジェクトの serviceData フィールドに保持されるサービス固有のオブジェクトです。詳細は、サービス固有の監査データをご覧ください。

これらのオブジェクトのその他のフィールドと、それを解釈する方法については、監査ログについてをご覧ください。

ログの表示

Logging で監査ログを検索して表示するには、監査ログ情報を表示する Google Cloud 組織の識別子が必要です。resource.type などの他のインデックス付き LogEntry フィールドをさらに指定できます。詳しくは、ログエントリの迅速な検索をご覧ください。

G Suite 監査ログの監査ログ名は次のとおりです。

   organizations/organization-id/logs/cloudaudit.googleapis.com%2Factivity
   organizations/organization-id/logs/cloudaudit.googleapis.com%2Fdata_access

監査ログエントリを表示する方法はいくつかあります。

CLOUD CONSOLE

Google Cloud Console のログビューア(プレビュー版)を使用して Google Cloud 組織の監査ログエントリを取得するには、次の操作を行います。

  1. [Logging] > [ログ](ログビューア)ページに移動します。

    ログビューア ページに移動

  2. ページの上部にある既存の Google Cloud プロジェクトを選択します。

  3. バージョン選択ツールのメニューから、ログビューアのバージョンを [Classic] から [新しいログビューアをプレビュー] に切り替えます。

    ログビューア(プレビュー版)が表示されます。

  4. プロジェクト セレクタで組織を選択します。

  5. [リソース] プルダウン メニューから、監査ログを表示するリソースタイプを選択します。

  6. [ログ名] プルダウン メニューで、データアクセス監査ログの場合は data_access を、管理アクティビティ監査ログの場合は activity を選択します。

    これらのオプションが表示されない場合、これらの監査ログは現在組織で使用できません。

詳細については、ログビューア(プレビュー版)インターフェースをご覧ください。

API

Logging API を使用して監査ログエントリを確認する手順は次のとおりです。

  1. entries.list メソッドのドキュメント内の [Try this API] セクションに移動します。

  2. [Try this API] フォームのリクエストの本文に、次のコードを入力します。この事前入力されたフォームをクリックすると、リクエストの本文が自動的に入力されますが、それぞれのログ名に有効な organization-id を指定する必要があります。

          {
            "resourceNames": [
              "organizations/organization-id"
            ],
            "pageSize": 5,
            "filter": "logName : organizations/organization-id/logs/cloudaudit.googleapis.com"
          }
    
  3. [Execute] をクリックします。

クエリの詳細については、ロギングクエリ言語をご覧ください。

GCLOUD

gcloud コマンドライン ツールには、コマンドのグループである gcloud logging があり、Cloud Logging API にコマンドライン インターフェースを提供します。ログエントリを読み取るには、次のコマンドを実行します。それぞれのログ名の中で有効な organization-id を指定します。

    gcloud logging read "logName : organizations/organization-id/logs/cloudaudit.googleapis.com"

gcloud コマンドライン ツールの使用の詳細については、ログエントリの読み取りをご覧ください。

監査ログの管理

監査ログをデフォルトの保持期間より長く保持するには、カスタム保持を構成します。

他の種類のログをエクスポートするのと同じ方法で、Cloud Logging から G Suite の監査ログをエクスポートすることもできます。ログをエクスポートする方法の詳細については、ログのエクスポートをご覧ください。

監査ログのエクスポートに関する応用例の一部を以下に示します。

  • より強力な検索機能を使用するには、監査ログのコピーを Cloud Storage、BigQuery、Pub/Sub にエクスポートします。Pub/Sub を使用すると、他のアプリケーション、他のリポジトリ、サードパーティ製品にエクスポートできます。

  • 組織全体の監査ログを管理するには、組織内の一部またはすべてのプロジェクトからログをエクスポートできる集約シンクを作成します。

料金

G Suite の組織レベルのログは現在無料です。