Cloud Spanner 監査ロギングの情報

このページでは、Cloud 監査ログの一部として Cloud Spanner によって作成される監査ログについて説明します。

概要

Google Cloud サービスは、「誰がいつどこで何をしたか」の確認に役立つ監査ログを記録します。Cloud プロジェクトで記録されるのは、そのプロジェクト内に直接存在するリソースの監査ログのみです。フォルダ、組織、Cloud 請求先アカウントなどの他のエンティティでは、そのエンティティ自体の監査ログが記録されます。

Cloud Audit Logs の概要については、Cloud Audit Logs をご覧ください。Cloud Audit Logs の詳細については、監査ログについてをご覧ください。

Cloud Audit Logs では、Cloud プロジェクト、フォルダ、組織ごとに以下の監査ログが保存されます。

管理アクティビティ監査ログ
データアクセス監査ログ
システムイベント監査ログ
ポリシー拒否監査ログ

Cloud Spanner は、管理アクティビティの監査ログを書き込みます。このログには、リソースの構成やメタデータを変更するオペレーションが記録されます。管理アクティビティ監査ログは無効にできません。

明示的に有効にした場合にのみ、Cloud Spanner はデータアクセス監査ログを書き込みます。例外は BigQuery のデータアクセス監査ログで、これは無効にすることができません。データアクセス監査ログには、リソースの構成やメタデータを読み取る API 呼び出しや、ユーザー提供のリソースデータの作成、変更、読み取りを行うユーザー主導の API 呼び出しが含まれます。

Cloud Spanner によってシステムイベント監査ログが書き込まれ、その中には、リソースの構成を変更する Google Cloud 操作のログエントリが含まれます。システムイベント監査ログは Google システムによって有効化されます。直接的なユーザーのアクションによって操作されません。

システムイベント監査ログは無効にできません。

Cloud Spanner では、ポリシー拒否監査ログは書き込まれません。

監査対象のオペレーション

次の表は、Cloud Spanner の各監査ログタイプに対応する API オペレーションをまとめたものです。

監査ログのカテゴリ	Cloud Spanner のオペレーション
管理アクティビティログ	インスタンスオペレーション: `CreateInstance` `DeleteInstance` `UpdateInstance` データベースオペレーション: `CreateDatabase` `DropDatabase` `RestoreDatabase`^[1] ^[2] `UpdateDatabaseDdl` バックアップオペレーション `CreateBackup`^[2] `DeleteBackup` `UpdateBackup`
データアクセスログ（`ADMIN_READ`）	インスタンスオペレーション: `GetInstance` `GetInstanceConfig` `ListInstanceConfigs` `ListInstances` データベースオペレーション: `GetDatabase` `GetDatabaseDdl` `ListDatabases` バックアップオペレーション `GetBackup` `ListBackups`
データアクセスログ（`DATA_READ`）	`BeginTransaction`（`ReadOnly` トランザクション） `ExecuteSql`（`ReadOnly` トランザクション） `ExecuteStreamingSql`（`ReadOnly` トランザクション） `GetSession` `ListSessions` `Read`（リクエストされたキーはログに記録されません） `StreamingRead`（リクエストされたキーはログに記録されません）
データアクセスログ（`DATA_WRITE`）	`BeginTransaction`（`ReadWrite` トランザクション） `ExecuteSql`（`ReadWrite` トランザクション） `ExecuteStreamingSql`（`ReadWrite` トランザクション） `Commit` `CreateSession` `DeleteSession` `Rollback`
システムイベントログ	`OptimizeRestoredDatabase`

^[1] データベースの復元には 2 つのリソース（バックアップと復元されたデータベース、異なるインスタンスに存在する可能性があります）に対する承認が必要ですが、RestoreDatabase イベントは復元されたデータベースのインスタンスの単一のエントリとして一度だけ記録されます。このエントリ内には、2 つの authorizationInfo エントリがあります。1 つはデータベース用の、spanner.databases.create 権限のチェック、もう 1 つはバックアップ用（spanner.backups.restoreDatabase 権限）のチェックです。

^[2] RestoreDatabase と CreateBackup の場合、オペレーション終了時にログに記録されるエントリに認証情報や認可情報は含まれません。認証と承認の情報は、オペレーションの開始時にログに記録された一致するエントリ内にあります。一致するログエントリをログビューアで見つけるには、ログエントリの operation.id フィールドをクリックし、メニューの [一致するエントリを表示] を選択します。

監査ログ形式

Cloud Logging でログビューア、Cloud Logging API、gcloud コマンドラインツールを使用して表示できる監査ログエントリには、次のオブジェクトがあります。

ログエントリ自体。LogEntry 型のオブジェクトです。よく使用されるフィールドは次のとおりです。
- logName: プロジェクト ID と監査ログタイプが格納されます。
- resource: 監査対象オペレーションのターゲットが格納されます。
- timeStamp: 監査対象オペレーションの時間が格納されます。
- protoPayload: 監査対象の情報が格納されます。
監査ロギングデータ。ログエントリの protoPayload フィールドに保持される AuditLog オブジェクトです。
サービス固有の監査情報（省略可）。サービス固有のオブジェクトです。古い統合では、このオブジェクトは AuditLog オブジェクトの serviceData フィールドに保持されます。新しい統合では、metadata フィールドを使用します。

これらのオブジェクトのその他のフィールドと、それらを解釈する方法については、監査ログについてをご覧ください。

ログ名

Cloud 監査ログのリソース名は、監査ログを所有する Cloud プロジェクトまたは他の Google Cloud エンティティを表します。この名前を見ると、ログに管理アクティビティ、データアクセス、システムイベントの監査ロギングデータが含まれているかどうかがわかります。たとえば次のログ名は、プロジェクトの管理アクティビティ監査ログと組織のデータアクセス監査ログを表しています。変数は、プロジェクトと組織の識別子を表します。

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

サービス名

Cloud Spanner 監査ログでは、サービス名 spanner.googleapis.com が使用されます。

すべてのロギングサービスについては、サービスとリソースのマッピングをご覧ください。

リソースタイプ

Cloud Spanner の監査ログは、すべての監査ログにリソースタイプ spanner_instance を使用します。

他のリソースタイプの一覧については、モニタリング対象リソースタイプをご覧ください。

監査ロギングの有効化

システムイベント監査ログは常に有効になっています。無効にすることはできません。

管理アクティビティ監査ログは常に有効になっています。無効にすることはできません。

データアクセス監査ログはデフォルトで無効になっており、明示的に有効にしない限り書き込まれません（例外は BigQuery のデータアクセス監査ログで、これは無効にすることができません）。

データアクセス監査ログの一部またはすべてを有効にする手順については、データアクセスログの構成をご覧ください。

監査ログに関する権限

どの監査ログを表示またはエクスポートできるかは、Identity and Access Management の権限とロールによって決まります。ログは、Cloud プロジェクトの中、および組織、フォルダ、Cloud 請求先アカウントなど他のいくつかのエンティティの中に存在します。詳しくは、ロールについてをご覧ください。

管理アクティビティ監査ログまたはシステムイベント監査ログを表示するには、その監査ログが存在するプロジェクト内で次のいずれかの IAM ロールが付与されている必要があります。

プロジェクトオーナー、プロジェクト編集者、またはプロジェクト閲覧者
Logging のログ閲覧者ロール
カスタムの IAM ロール（logging.logEntries.list IAM 権限を含む）

データアクセス監査ログを表示するには、監査ログを含むプロジェクト内でユーザーが次のいずれかのロールを持っている必要があります。

プロジェクトオーナー
Logging のプライベートログ閲覧者ロール
カスタムの IAM ロール（logging.privateLogEntries.list IAM 権限を含む）

組織などのプロジェクト以外のエンティティからの監査ログを使用する場合は、Cloud プロジェクトロールを適切な組織ロールに変更します。

ログの表示

監査ログを検索して表示するには、監査ロギング情報を表示する対象の Cloud プロジェクト、フォルダ、または組織の識別子を把握している必要があります。resource.type などの他のインデックス付き LogEntry フィールドをさらに指定できます。詳しくは、ログエントリの迅速な検索をご覧ください。

監査ログ名は次のようになります。名前には、Cloud プロジェクト、フォルダ、または組織の識別子の変数が含まれています。

   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Factivity
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   folders/FOLDER_ID/logs/cloudaudit.googleapis.com%2Fpolicy

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fsystem_event
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fpolicy

監査ログエントリを表示する方法はいくつかあります。

Console

Cloud Console のログエクスプローラを使用して、Cloud プロジェクトの監査ログエントリを取得できます。

Cloud Console で、[ロギング] > [ログエクスプローラ] ページに移動します。

[ログエクスプローラ] ページに移動
注: 以前のログビューア ページを使用している場合は、[ログエクスプローラ] ページに切り替えます。
[ログエクスプローラ] ページで、既存の Cloud プロジェクトを選択します。
[クエリビルダー] ペインで、次の操作を行います。
- [リソース] で、監査ログを表示する対象の Google Cloud リソースタイプを選択します。
- [ログ名] で、表示する監査ログタイプを選択します。
  - 管理アクティビティ監査ログの場合は、[activity] を選択します。
  - データアクセス監査ログの場合は、[data_access] を選択します。
  - システムイベント監査ログの場合は、[system_event] を選択します。
  - ポリシー拒否監査ログの場合は、[policy] を選択します。
これらのオプションが表示されない場合、Cloud プロジェクトにそのタイプの監査ログが存在しないことを意味します。

新しいログエクスプローラを使用したクエリの詳細については、ログクエリの作成をご覧ください。

gcloud

gcloud コマンドラインツールは、Cloud Logging API へのコマンドラインインターフェースを提供します。それぞれのログ名の中で有効な PROJECT_ID、FOLDER_ID または ORGANIZATION_ID を指定します。

Google Cloud プロジェクトレベルの監査ログエントリを読み取るには、次のコマンドを実行します。

gcloud logging read "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com" --project=PROJECT_ID

フォルダレベルの監査ログエントリを読み取るには、次のコマンドを実行します。

gcloud logging read "logName : folders/FOLDER_ID/logs/cloudaudit.googleapis.com" --folder=FOLDER_ID

組織レベルの監査ログエントリを読み取るには、次のコマンドを実行します。

gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com" --organization=ORGANIZATION_ID

gcloud ツールの使用の詳細については、ログエントリの読み取りをご覧ください。

API

クエリを作成する場合は、変数を有効な値に置き換え、適切なプロジェクトレベル、フォルダレベル、または監査ログ名に表示されている組織レベルの監査ログ名もしくは ID を代わりに使用します。たとえば、クエリに PROJECT_ID が含まれている場合、指定するプロジェクト識別子は、現在選択された Cloud プロジェクトを参照している必要があります。

Logging API を使用して監査ログエントリを確認する手順は次のとおりです。

entries.list メソッドのドキュメント内の [Try this API] セクションに移動します。
[Try this API] フォームのリクエストの本文に、次のコードを入力します。この事前入力されたフォームをクリックすると、リクエストの本文が自動的に入力されますが、それぞれのログ名に有効な PROJECT_ID を指定する必要があります。
```
{
  "resourceNames": [
    "projects/PROJECT_ID"
  ],
  "pageSize": 5,
  "filter": "logName : projects/PROJECT_ID/logs/cloudaudit.googleapis.com"
}
```
[実行] をクリックします。

クエリの詳細については、Logging のクエリ言語をご覧ください。

監査ログエントリの例と、その中に記録されている最も重要な情報を見つける方法については、監査ログエントリの例をご覧ください。

監査ログのエクスポート

監査ログは、他の種類のログをエクスポートする場合と同じ方法でエクスポートできます。ログのエクスポート方法の詳細については、ログのエクスポートをご覧ください。監査ログのエクスポートに関する応用例の一部を以下に示します。

監査ログを長期間保持する、またはより強力な検索機能を使用するには、監査ログのコピーを Cloud Storage、BigQuery、または Pub/Sub にエクスポートします。Pub/Sub を使用すると、他のアプリケーション、他のリポジトリ、サードパーティ製品にエクスポートできます。
組織全体の監査ログを管理するには、組織内の一部または全部のプロジェクトからログをエクスポートできる集約シンクを作成します。

有効にしたデータアクセス監査ログが原因で Cloud プロジェクトのログ割り当て量を超過した場合は、データアクセス監査ログをエクスポートして Logging から除外できます。詳細については、ログの除外をご覧ください。

料金

管理アクティビティ監査ログとシステムイベント監査ログは無料です。

データアクセス監査ログとポリシー拒否監査ログは課金対象です。

Cloud Logging の料金については、Google Cloud のオペレーションスイートの料金: Cloud Logging をご覧ください。