Cloud Pub/Sub 監査ロギングの情報

このページでは、Cloud 監査ログの一部として Cloud Pub/Sub によって作成される監査ログについて説明します。

概要

Google Cloud サービスは、「誰がいつどこで何をしたか」の確認に役立つ監査ログを記録します。各 Google Cloud プロジェクトで記録されるのは、そのプロジェクト内に直接存在するリソースの監査ログのみです。その他のエンティティ(フォルダ、組織、請求先アカウントなど)については、そのエンティティ自体の監査ログが記録されます。

Cloud 監査ログの概要については、Cloud 監査ログをご覧ください。Cloud 監査ログの詳細については、監査ログについてをご覧ください。

Cloud 監査ログでは、Google Cloud のプロジェクト、フォルダ、組織ごとに次の 3 つの監査ログが保存されます。

  • 管理アクティビティ監査ログ
  • データアクセス監査ログ
  • システム イベント監査ログ

Cloud Pub/Sub では、管理アクティビティ監査ログが記録されます。このログには、リソースの構成やメタデータを変更するオペレーションに関するログが含まれます。管理アクティビティ監査ログは無効にできません。

Cloud Pub/Sub はデータアクセス監査ログを書き込みません。

Cloud Pub/Sub によってシステム イベント監査ログが書き込まれ、その中には、リソースの構成を変更する Google Cloud 管理アクションのログエントリが含まれます。システム イベント監査ログは Google システムによって有効化されます。直接的なユーザーのアクションによっては操作されません。

システム イベント監査ログは無効にできません。

監査対象のオペレーション

以下は、Cloud Pub/Sub の監査ログの各タイプに対応する API オペレーションをまとめたものです。

監査ログのカテゴリ Cloud Pub/Sub オペレーション
管理アクティビティ CreateTopic
UpdateTopic GetTopic ListTopics ListTopicSubscriptions DeleteTopic CreateSubscription GetSubscription UpdateSubscription ListSubscriptions DeleteSubscription ModifyPushConfig CreateSnapshot GetSnapshot ListSnapshots UpdateSnapshot DeleteSnapshot GetIamPolicy SetIamPolicy TestIamPermissions
システム イベント 以下を含む Cloud Pub/Sub 内部イベント
  • サブスクリプションとスナップショットの期限切れ
  • GCP プロジェクトの削除に伴う、トピック、サブスクリプション、スナップショットの削除

監査ログ形式

Stackdriver Logging でログビューア、Stackdriver Logging API、gcloud コマンドライン ツールを使用して表示できる監査ログエントリには、次のオブジェクトがあります。

  • ログエントリ自体。LogEntry 型のオブジェクトです。よく使用されるフィールドは次のとおりです。

    • logName: プロジェクト ID と監査ログタイプが格納されます。
    • resource: 監査対象オペレーションのターゲットが格納されます。
    • timeStamp: 監査対象オペレーションの時間が格納されます。
    • protoPayload: 監査情報が格納されます。
  • 監査ロギングデータ。ログエントリの protoPayload フィールドに保持される AuditLog オブジェクトです。

  • サービス固有の監査情報(省略可)。AuditLog オブジェクトの serviceData フィールドに保持されるサービス固有のオブジェクトです。詳細は、サービス固有の監査データをご覧ください。

このようなオブジェクトのその他のフィールドと、それを解釈する方法については、監査ログについてをご覧ください。

ログ名

Cloud 監査ログのリソース名は、監査ログを所有するプロジェクトまたは他のエンティティを表します。この名前を見ると、ログに管理アクティビティ、データアクセス、システム イベントの監査ログデータが含まれているかどうかがわかります。たとえば、次のログ名はプロジェクトの管理アクティビティ監査ログと組織のデータアクセス監査ログを表しています。

projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

サービス名

Cloud Pub/Sub 監査ログでは、サービス名 pubsub.googleapis.com を使用します。

ロギング サービスの詳細については、サービスとリソースのマッピングをご覧ください。

リソースタイプ

すべての監査ログについて、Cloud Pub/Sub では次のリソースタイプが使用されます。

一覧については、モニタリング対象リソースタイプをご覧ください。

監査ロギングの有効化

システム イベント監査ログは常に有効になっています。無効にすることはできません。

管理アクティビティ監査ログは常に有効になっています。無効にすることはできません。

Cloud Pub/Sub はデータアクセス監査ログを書き込みません。

監査ログに関する権限

監査ログを表示またはエクスポートできるかは、Cloud Identity and Access Management の権限と役割によって決まります。ログは、プロジェクト内またはその他のエンティティ(組織、フォルダ、請求先アカウントなど)内に存在します。詳しくは、役割についてをご覧ください。

管理アクティビティ監査ログまたはシステム イベント監査ログを表示するには、その監査ログが存在するプロジェクト内で次のいずれかの Cloud IAM 役割を持っている必要があります。

  • プロジェクト オーナー、プロジェクト編集者、またはプロジェクト閲覧者。
  • Logging のログ閲覧者の役割。
  • カスタムの Cloud IAM 役割logging.logEntries.list Cloud IAM 権限が付与されていること)。

Cloud Pub/Sub によって、データアクセス監査ログやシステム イベント監査ログは書き込まれません。

組織などのプロジェクト以外のエンティティからの監査ログを使用する場合は、プロジェクトの役割を適切な組織の役割に変更します。

ログの表示

監査ログエントリを表示する方法はいくつかあります。

基本ビューア

Cloud Console のログビューアの基本インターフェースを使用して、監査ログエントリを取得できます。次の手順に従います。

  1. Cloud Console の [Stackdriver Logging] > [ログ](ログビューア)ページに移動します。

    ログビューア ページに移動

  2. ページの上部で既存の Google Cloud プロジェクトを選択するか、新しいプロジェクトを作成します。

  3. 最初のプルダウン メニューで、監査ログを表示するリソースタイプを選択します。特定のリソースを選択するか、Global を使用してすべてのリソースを選択できます。

  4. 2 番目のプルダウン メニューで、表示するログの種類として、activity(管理アクティビティ監査ログ)、data_access(データアクセス監査ログ)、system_events(システム イベント監査ログ)を選択します。

    これらのオプションがどれも表示されない場合は、そのタイプの監査ログはプロジェクトに存在しません。

高度なビューア

Cloud Console のログビューアの高度なインターフェースを使用することで、監査ログエントリを取得できます。次の手順に従います。

  1. Cloud Console の [Stackdriver Logging] > [ログ](ログビューア)ページに移動します。

    ログビューア ページに移動

  2. ページの上部で既存の Google Cloud プロジェクトを選択するか、新しいプロジェクトを作成します。

  3. 最初のプルダウン メニューで、監査ログを表示するリソースタイプを選択します。特定のリソース、またはすべてのリソースに対して Global を選択できます。

  4. 検索フィルタ ボックスの右端にあるプルダウン矢印(▾)をクリックして、[高度なフィルタに変換] を選択します。

  5. 表示するログエントリをさらに詳しく指定するクエリを作成します。プロジェクト内のすべての監査ログを取得するには、次のクエリを追加します。それぞれのログ名の中で有効な [PROJECT_ID] を指定します。

      logName = ("projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
          OR "projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events"
          OR "projects/[PROJECT_ID]logs/cloudaudit.googleapis.com%2Fdata_access")
    

    クエリの詳細については、高度なログクエリをご覧ください。

API

Stackdriver Logging API を使用して監査ログエントリを表示するには:

  1. entries.list メソッドのドキュメント内の [Try this API] セクションに移動します。

  2. [Try this API] フォームのリクエストの本文に、次のコードを入力します。この事前入力されたフォームをクリックするとリクエストの本文が自動的に入力されますが、それぞれのログ名に有効な [PROJECT_ID] を指定する必要があります。

      {
        "resourceNames": [
          "projects/[PROJECT_ID]"
        ],
        "pageSize": 5,
        "filter": "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)"
      }
    
  3. [Execute] をクリックします。

クエリの詳細については、高度なログクエリをご覧ください。

gcloud

gcloud コマンドライン ツールを使用してログエントリを読み取るには、次のコマンドを実行します。それぞれのログ名の中で有効な [PROJECT_ID] を指定します。

gcloud logging read "logName=(projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_events OR projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access)"

gcloud コマンドライン ツールの使用法の詳細については、ログエントリを読み取るをご覧ください。

監査ログエントリのサンプルと、その中に記載されている最も重要な情報を見つける方法については、監査ログについてをご覧ください。

監査ログのエクスポート

監査ログは、他の種類のログをエクスポートする場合と同じ方法でエクスポートできます。ログをエクスポートする方法の詳細については、ログのエクスポートをご覧ください。監査ログのエクスポートに関する応用例の一部を以下に示します。

  • 監査ログを長期間保持する、またはより強力な検索機能を使用するには、監査ログのコピーを Cloud Storage、BigQuery、または Pub/Sub にエクスポートします。Pub/Sub を使用すると、他のアプリケーション、他のリポジトリ、サードパーティ製品にエクスポートできます。

  • 組織全体の監査ログを管理するには、組織内の一部またはすべてのプロジェクトからログをエクスポートできる集約エクスポート シンクを作成します。

料金

Stackdriver Logging では、すべての管理アクティビティやシステム イベントの監査ログを含め、無効にできない監査ログには課金されません。

監査ログの料金の詳細については、Stackdriver の料金をご覧ください。

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...