Google Workspace の監査ロギングの情報

このページでは、Cloud Audit Logs の一部として Google Workspace によって提供される監査ログについて説明します。

概要

Google Cloud サービスは、「誰がいつどこで何をしたか」の確認に役立つ監査ログを記録します。Google Workspace 監査ログを Google Cloud と共有して、Google Workspace 監査ログデータの保存、検索、分析、モニタリング、アラートを行うことができます。

Cloud Audit Logs では、Google Cloud リソースの 3 種類の監査ログが維持されます。

  • 管理アクティビティ監査ログ: リソースの構成やメタデータを変更するオペレーションを記録します。
  • データアクセス監査ログ: リソースの構成やメタデータを読み取る API 呼び出しや、ユーザー提供のリソースデータの作成、変更、読み取りを行うユーザー主導の API 呼び出しが含まれます。データアクセス監査ログは、一般公開されているリソース(すべてのユーザーまたは認証されたすべてのユーザーが利用可能)や、Google Workspace、Cloud Identity、Drive Enterprise アカウントにログインせずにアクセスできるリソースに対するデータアクセス オペレーションを記録しません。
  • システム イベント監査ログ: リソースの構成を変更する Google Cloud 管理アクションのログエントリが含まれます。

Google Workspace は、次のように Google Cloud 組織レベルで監査ログを提供します。

Cloud 監査ログの概要については、Cloud 監査ログをご覧ください。Cloud 監査ログの詳細については、監査ログについてをご覧ください。

スタートガイド: Google Workspace データの共有

Google Workspace、Cloud Identity、Drive Enterprise アカウントの Google Workspace データと Cloud Audit Logs の共有を有効にする方法については、Google Workspace 管理者用ヘルプ記事をご覧ください。

Google Workspace データと Google Cloud の共有を有効にした場合、Google Cloud Console の [IAM と管理] > [監査ログ] ページを使用して Google Workspace 監査ログを選択的に無効にすることはできません。ただし、これらのログはログの除外を使用して除外できます。

Google Cloud との Google Workspace のデータ共有が有効になっている場合、Google Workspace の監査ログは常に有効です。Google Workspace データの共有を無効にすると、新しい Google Workspace 監査ログのイベントが Cloud Audit Logs に送信されなくなりますが、カスタム保持を構成してログを長期間保持する場合を除き、既存のログはデフォルトの保持期間を通じて保持されます。

サービス固有の情報

Google Workspace サービスの監査ログの詳細は次のとおりです。

監査ログに関する権限

Google Cloud では、Identity and Access Management の権限とロールによって、表示またはエクスポートできる監査ログが決まります。Google Workspace 監査ログは Google Cloud 組織に存在します。

管理アクティビティ監査ログを表示するには、監査ログを含む Google Cloud 組織で次のいずれかの IAM ロールを所有している必要があります。

データアクセス監査ログを表示するには、監査ログを含む Google Cloud 組織で次のいずれかのロールが必要です。

詳しくは、役割についてをご覧ください。

監査ログ形式

Cloud Logging で ログ エクスプローラ、Cloud Logging API、gcloud コマンドライン ツールを使用して表示できる Google Workspace 監査ログエントリには、次のオブジェクトがあります。

  • ログエントリ自体。LogEntry 型のオブジェクトです。よく使用されるフィールドは次のとおりです。

    • logName: プロジェクト ID と監査ログタイプ
    • resource: 監査対象オペレーションのターゲット
    • timeStamp: 監査対象オペレーションの日時
    • protoPayload: 監査情報が格納されます。
  • 監査ロギングデータ。ログエントリの protoPayload フィールドに保持される AuditLog オブジェクトです。

  • サービス固有の監査情報(省略可)。AuditLog オブジェクトの serviceData フィールドに保持されるサービス固有のオブジェクトです。詳細は、サービス固有の監査データをご覧ください。

これらのオブジェクトのその他のフィールドと、それを解釈する方法については、監査ログについてをご覧ください。

ログの表示

Logging で監査ログを検索して表示するには、監査ログ情報を表示する Google Cloud 組織の識別子が必要です。resource.type などの他のインデックス付き LogEntry フィールドをさらに指定できます。詳しくは、ログエントリの迅速な検索をご覧ください。

Google Workspace 監査ログの監査ログ名は次のとおりです。

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

監査ログエントリを表示する方法はいくつかあります。

CLOUD CONSOLE

Google Cloud Console のログ エクスプローラを使用して Google Cloud 組織の監査ログエントリを取得するには、次の手順に従います。

  1. [ロギング] > [ログ エクスプローラ] に移動します。

    [ログ エクスプローラ] ページに移動

  2. ページの上部にある既存の Google Cloud プロジェクトを選択します。

  3. 以前のログビューアではなく、ログ エクスプローラを使用していることを確認します。

  4. プロジェクト セレクタで組織を選択します。

  5. [リソース] プルダウン メニューから、監査ログを表示するリソースタイプを選択します。

  6. [ログ名] プルダウン メニューで、データアクセス監査ログの場合は data_access を、管理アクティビティ監査ログの場合は activity を選択します。

    これらのオプションが表示されない場合、これらの監査ログは現在組織で使用できません。

詳しくは、ログ エクスプローラの使用をご覧ください。

API

Logging API を使用して監査ログエントリを確認する手順は次のとおりです。

  1. entries.list メソッドのドキュメント内の [Try this API] セクションに移動します。

  2. [Try this API] フォームのリクエストの本文に、次のコードを入力します。この事前入力されたフォームをクリックすると、リクエストの本文が自動的に入力されますが、それぞれのログ名に有効な ORGANIZATION_ID を指定する必要があります。

          {
            "resourceNames": [
              "organizations/ORGANIZATION_ID"
            ],
            "pageSize": 5,
            "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
          }
    
  3. [実行] をクリックします。

クエリの詳細については、ロギングクエリ言語をご覧ください。

gcloud

gcloud コマンドライン ツールは、Cloud Logging API へのコマンドライン インターフェースを提供します。ログエントリを読み取るには、次のコマンドを実行します。それぞれのログ名の中で有効な ORGANIZATION_ID を指定します。

    gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"

gcloud コマンドライン ツールの使用の詳細については、ログエントリの読み取りをご覧ください。

監査ログの管理

監査ログをデフォルトの保持期間より長く保持するには、カスタム保持を構成します。

他の種類のログをエクスポートするのと同じ方法で、Cloud Logging から Google Workspace の監査ログをエクスポートすることもできます。ログをエクスポートする方法の詳細については、ログのエクスポートをご覧ください。

監査ログのエクスポートに関する応用例の一部を以下に示します。

  • より強力な検索機能を使用するには、監査ログのコピーを Cloud Storage、BigQuery、Pub/Sub にエクスポートします。Pub/Sub を使用すると、他のアプリケーション、他のリポジトリ、サードパーティ製品にエクスポートできます。

  • 組織全体の監査ログを管理するには、組織内の一部またはすべてのプロジェクトからログをエクスポートできる集約シンクを作成します。

料金

Google Workspace の組織レベルのログは現在無料です。