Cloud Storage での Cloud 監査ログ

このページでは、Cloud Storage で Cloud 監査ログを使用する場合の補足情報を提供します。Cloud 監査ログを使用すると、Cloud Storage で実行された API オペレーションのログを生成できます。Cloud Audit Logs を設定するには、データアクセス ログの構成をご覧ください。

概要

Google Cloud サービスは、「誰がいつどこで何をしたか」の確認に役立つ監査ログを記録します。Cloud プロジェクトで記録されるのは、そのプロジェクト内に直接存在するリソースの監査ログのみです。フォルダ、組織、Cloud 請求先アカウントなどの他のエンティティでは、そのエンティティ自体の監査ログが記録されます。

Cloud Audit Logs の概要については、Cloud Audit Logs をご覧ください。Cloud Audit Logs の詳細については、監査ログについてをご覧ください。

Cloud Audit Logs では、Cloud Storage でのオペレーションに対して次の監査ログが生成されます。

  • 管理アクティビティ ログ: プロジェクト、バケット、オブジェクトの構成またはメタデータを変更するオペレーションが記録されます。

  • データアクセス ログ: オブジェクトを変更するオペレーションや、プロジェクト、バケット、オブジェクトを読み取るオペレーションが記録されます。データアクセス ログには、さらにいくつかのサブタイプがあります。

    • ADMIN_READ: プロジェクト、バケット、オブジェクトの構成またはメタデータを読み込むオペレーションが記録されます。

    • DATA_READ: オブジェクトを読み取るオペレーションが記録されます。

    • DATA_WRITE: オブジェクトを作成または変更するオペレーションが記録されます。

監査対象のオペレーション

次の表に、監査ログタイプに対応する Cloud Storage オペレーションを示します。

ログエントリのタイプ サブタイプ オペレーション
管理アクティビティ
  • バケットの作成
  • バケットの削除
  • IAM ポリシーの設定 / 変更
  • オブジェクトの ACL の変更3
  • バケットのメタデータの更新
データアクセス ADMIN_READ
  • バケットのメタデータの取得
  • IAM ポリシーの取得
  • オブジェクトの ACL の取得
  • バケットのリストの表示
DATA_READ
  • オブジェクト データの取得
  • オブジェクト メタデータの取得
  • オブジェクトのリスト
  • オブジェクトのコピー / 作成 1
DATA_WRITE
  • オブジェクトの作成
  • オブジェクトの削除 2
  • ACL 以外のオブジェクト メタデータの更新 2
  • オブジェクトのコピー / 作成 1

1 オブジェクトのコピーと作成にはデータの読み取りと書き込みの両方が含まれます。そのため、これらのアクションにはそれぞれ 2 つのログエントリが生成されます。

2 Cloud Audit Logs は、オブジェクトのライフサイクル管理機能によって行われた処理を記録しません。これらの処理を追跡する代替方法については、ライフサイクルの処理を追跡するためのオプションをご覧ください。

3 オブジェクト作成時に ACL が初期設定される場合、管理アクティビティ ログは生成されません。また、オブジェクト ACL が一般公開に設定されている場合、そのオブジェクトまたはその ACL への読み書きで監査ログは生成されません。

監査ログ形式

監査ログエントリには、次の要素が含まれます。

  • ログエントリ自体。これは LogEntry オブジェクトです。ログエントリでよく使用されるフィールドは次のとおりです。

    • logName: プロジェクト ID と監査ログタイプが格納されます。
    • resource: 監査対象オペレーションのターゲットが格納されます。
    • timeStamp: 監査対象オペレーションの時間が格納されます。
    • protoPayload: 監査対象の情報が格納されます。
  • 監査ロギングデータ。ログエントリの protoPayload フィールドに保持される AuditLog オブジェクトです。AuditLog オブジェクト エントリには、次のような情報が格納されます。

    • リクエストを行ったユーザー(ユーザーのメールアドレスなど)
    • リクエストされたリソース名
    • リクエストの結果
    • 必要に応じて、リクエストとレスポンスの詳細な情報。詳細については、詳細な監査ロギングモードをご覧ください。

これらのオブジェクトのその他のフィールドと、それらを解釈する方法については、監査ログについてをご覧ください。

ログ名

logName フィールドは、監査ログを所有する Cloud プロジェクトまたは他の Google Cloud エンティティを表します。また、このフィールドにより、ログエントリに管理アクティビティ データが含まれているのか、データアクセス ロギングデータが含まれているかがわかります。たとえば、プロジェクトの管理アクティビティの監査ログとデータアクセスの監査ログのログ名は次のようになります。変数は、ログに関連付けられているプロジェクトを示します。

projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity
projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access

サービス名

Cloud Storage オペレーションのログでは、サービス名 storage.googleapis.com が使用されます。

すべてのロギング サービスについては、サービスとリソースのマッピングをご覧ください。

リソースタイプ

Cloud Storage に関連するログはリソースタイプ GCS bucket に分類されます。

他のリソースタイプの一覧については、モニタリング対象リソースタイプをご覧ください。

ログの設定

デフォルトでは、管理アクティビティ ログが記録されます。これらのログは、ログ取り込み割り当ての計算対象になりません。

デフォルトでは、Cloud Storage オペレーションに関連するデータアクセス ログは記録されません。データアクセスに関連するオペレーションのロギングを有効にする方法については、データアクセス ログの構成をご覧ください。管理アクティビティ ログと異なり、データアクセス ログはログ取り込み割り当ての計算対象になり、Cloud Logging の料金に影響を及ぼします。

ログへのアクセス

次のユーザーは管理アクティビティ ログを閲覧できます。

次のユーザーは、データアクセス ログを閲覧できます。

アクセス権の付与方法については、プロジェクトへの IAM メンバーの追加をご覧ください。

ログの表示

プロジェクトの監査ログの概要は、Google Cloud Console のアクティビティ ストリームで確認できます。監査ログエントリを表示するその他のオプションについては、監査ログの表示をご覧ください。

ログのエクスポート

監査ログは、他の種類のログをエクスポートする場合と同じ方法でエクスポートできます。ログのエクスポート方法について詳しくは、ログのエクスポートをご覧ください。

制限事項

Cloud Storage での Cloud 監査ログには、次の制限が適用されます。

次のステップ