このページでは、Cloud Audit Logs の一部として Security Command Center によって作成される監査ログについて説明します。
概要
Google Cloud サービスは、「誰がいつどこで何をしたか」の確認に役立つ監査ログを記録します。各 Cloud プロジェクトで記録されるのは、そのプロジェクト内に直接存在するリソースの監査ログのみです。その他のエンティティ(フォルダ、組織、請求先アカウントなど)については、そのエンティティ自体の監査ログが記録されます。
Cloud 監査ログの概要については、Cloud 監査ログをご覧ください。Cloud 監査ログの詳細については、監査ログについてをご覧ください。
Cloud 監査ログでは、Google Cloud のプロジェクト、フォルダ、組織ごとに次の 3 つの監査ログが保存されます。
- 管理アクティビティ監査ログ
- データアクセス監査ログ
- システム イベント監査ログ
Security Command Center は、管理アクティビティ監査ログに書き込みます。管理アクティビティ監査ログには、Security Command Center の内部リソース(組織設定と IAM 設定)の構成またはメタデータを変更するオペレーションが記録されます。管理アクティビティ監査ログは無効にできません。
Security Command Center では、明示的に有効にした場合に限り、データアクセス監査ログが書き込まれます。データアクセス監査ログには、リソースの構成やメタデータを読み取る API 呼び出しや、ユーザー提供のリソースデータの作成、変更、読み取りを行うユーザー主導の API 呼び出しが含まれます。データアクセス監査ログは、一般公開されているリソース(すべてのユーザーまたは認証済みのすべてのユーザーが利用可能)や、Google Cloud にログインせずにアクセスできるリソースのデータアクセス操作は記録しません。
Security Command Center では、システム イベント監査ログは書き込まれません。
監査対象のオペレーション
次の表は、Security Command Center の各監査ログタイプに対応する API オペレーションをまとめたものです。
監査ログのカテゴリ | Security Command Center のオペレーション |
---|---|
管理アクティビティ監査ログ |
|
データアクセス監査ログ |
|
システム イベント監査ログ | なし |
監査ログ形式
Cloud Logging でログビューア、Cloud Logging API、gcloud
コマンドライン ツールを使用して表示できる監査ログエントリには、次のオブジェクトがあります。
ログエントリ自体。
LogEntry
型のオブジェクトです。よく使用されるフィールドは次のとおりです。logName
: プロジェクト ID と監査ログタイプresource
: 監査対象オペレーションのターゲットtimeStamp
: 監査対象オペレーションの日時protoPayload
: 監査情報
監査ロギングデータ。ログエントリの
protoPayload
フィールドに保持されるAuditLog
オブジェクトです。サービス固有の監査情報(省略可)。
AuditLog
オブジェクトのserviceData
フィールドに保持されるサービス固有のオブジェクトです。詳細は、サービス固有の監査データをご覧ください。
これらのオブジェクトのその他のフィールドと、それらを解釈する方法については、監査ログについてをご覧ください。
ログ名
Cloud 監査ログのリソース名は、監査ログを所有するプロジェクトまたは他のエンティティを表します。この名前を見ると、ログに管理アクティビティ、データアクセス、システム イベントの監査ログデータが含まれているかどうかがわかります。たとえば、次のログ名はプロジェクトの管理アクティビティ監査ログと組織のデータアクセス監査ログを表しています。
projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access
サービス名
Security Command Center 監査ログでは、サービス名 securitycenter.googleapis.com
が使用されます。
ロギング サービスの詳細については、サービスとリソースのマッピングをご覧ください。
リソースタイプ
Security Command Center 監査ログでは、すべての監査ログにリソースタイプ audited_resource
が使用されます。
詳細な一覧については、モニタリング対象リソースタイプをご覧ください。
監査ログの有効化
管理アクティビティ監査ログは常に有効になっています。無効にすることはできません。
データアクセス監査ログはデフォルトで無効になっており、明示的に有効にしない限り書き込まれません(例外は BigQuery のデータアクセス監査ログで、これは無効にすることができません)。
データアクセス監査ログの一部または全部を有効にする方法については、データアクセス ログの構成をご覧ください。
データアクセス監査ログを構成すると、Cloud Logging のログの料金に影響を与える場合があります。このページの料金を確認してください。
監査ログに関する権限
どの監査ログを表示またはエクスポートできるかは、Identity and Access Management の権限とロールによって決まります。ログは、プロジェクト内またはその他のエンティティ(組織、フォルダ、請求先アカウントなど)内に存在します。詳しくは、ロールについてをご覧ください。
管理アクティビティ監査ログを表示するユーザーには、その監査ログが存在するプロジェクト内で次のいずれかの IAM ロールが割り当てられている必要があります。- プロジェクト オーナー、プロジェクト編集者、またはプロジェクト閲覧者。
- Logging のログ閲覧者のロール。
- カスタムの IAM ロール(
logging.logEntries.list
IAM 権限を含む)。
データアクセス監査ログを表示するには、監査ログを含むプロジェクト内でユーザーが次のいずれかの役割を持っている必要があります。
- プロジェクト オーナー。
- Logging のプライベート ログ閲覧者ロール。
- カスタムの IAM ロール(
logging.privateLogEntries.list
IAM 権限を含む)。
組織などのプロジェクト以外のエンティティからの監査ログを使用する場合は、プロジェクトのロールを適切な組織のロールに変更します。
ログの表示
監査ログを検索して表示するには、監査ログ情報を表示する対象の Cloud プロジェクト、フォルダ、または組織の識別子を把握している必要があります。resource.type
などの他のインデックス付き LogEntry
フィールドをさらに指定できます。詳しくは、ログエントリの迅速な検索をご覧ください。
監査ログ名は次のようになります。名前には、Cloud プロジェクト、フォルダ、または組織の識別子の変数が含まれています。
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy
監査ログエントリを表示する方法はいくつかあります。
Console
Cloud Console のログ エクスプローラを使用して、Cloud プロジェクトの監査ログエントリを取得できます。
Cloud Console で、[ロギング] > [ログ エクスプローラ] ページに移動します。
[ログ エクスプローラ] ページで、既存の Cloud プロジェクトを選択します。
[クエリビルダー] ペインで、次の操作を行います。
[リソース] で、監査ログを表示する対象の Google Cloud リソースタイプを選択します。
[ログ名] で、表示する監査ログタイプを選択します。
- 管理アクティビティ監査ログの場合は、[activity] を選択します。
- データアクセス監査ログの場合は、[data_access] を選択します。
- システム イベント監査ログの場合は、[system_event] を選択します。
- ポリシー拒否監査ログの場合は、[policy] を選択します。
これらのオプションが表示されない場合、Cloud プロジェクトにそのタイプの監査ログが存在しないことを意味します。
新しいログ エクスプローラを使用したクエリの詳細については、ログクエリの作成をご覧ください。
gcloud
gcloud
コマンドライン ツールは、Cloud Logging API へのコマンドライン インターフェースを提供します。それぞれのログ名の中で有効な PROJECT_ID
、FOLDER_ID
または ORGANIZATION_ID
を指定します。
Google Cloud プロジェクト レベルの監査ログエントリを読み取るには、次のコマンドを実行します。
gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID
フォルダレベルの監査ログエントリを読み取るには、次のコマンドを実行します。
gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID
組織レベルの監査ログエントリを読み取るには、次のコマンドを実行します。
gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID
gcloud
ツールの使用の詳細については、ログエントリの読み取りをご覧ください。
API
クエリを作成する場合は、変数を有効な値に置き換え、適切なプロジェクトレベル、フォルダレベル、または監査ログ名に表示されている組織レベルの監査ログ名もしくは ID を代わりに使用します。たとえば、クエリに PROJECT_ID が含まれている場合、指定するプロジェクト識別子は、現在選択された Cloud プロジェクトを参照している必要があります。
Logging API を使用して監査ログエントリを確認する手順は次のとおりです。
entries.list
メソッドのドキュメント内の [Try this API] セクションに移動します。[Try this API] フォームのリクエストの本文に、次のコードを入力します。この事前入力されたフォームをクリックすると、リクエストの本文が自動的に入力されますが、それぞれのログ名に有効な
PROJECT_ID
を指定する必要があります。{ "resourceNames": [ "projects/PROJECT_ID" ], "pageSize": 5, "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" }
[実行] をクリックします。
クエリの詳細については、ロギングクエリ言語をご覧ください。
監査ログエントリのサンプルと、その中にある特に重要な情報を見つける方法については、監査ログについてをご覧ください。
監査ログのエクスポート
監査ログは、他の種類のログをエクスポートする場合と同じ方法でエクスポートできます。ログをエクスポートする方法の詳細については、ログのエクスポートをご覧ください。監査ログのエクスポートに関する応用例の一部を以下に示します。
監査ログを長期間保持する、またはより強力な検索機能を使用するには、監査ログのコピーを Cloud Storage、BigQuery、または Pub/Sub にエクスポートします。Pub/Sub を使用すると、他のアプリケーション、他のリポジトリ、サードパーティ製品にエクスポートできます。
組織全体の監査ログを管理するには、組織内の一部またはすべてのプロジェクトからログをエクスポートできる集約シンクを作成します。
- 有効にしたデータアクセス監査ログが原因でプロジェクトのログ割り当て量を超過した場合は、データアクセス監査ログをエクスポートして Logging から除外できます。詳しくは、ログの除外をご覧ください。
料金
Cloud Logging では、無効にできない監査ログ(すべての管理アクティビティ監査ログを含む)は無料です。明示的にリクエストしたデータアクセス監査ログについては課金されます。監査ログの料金の詳細については、Google Cloud のオペレーション スイート料金をご覧ください。