Trace 監査ログ情報

このページでは、Cloud Audit Logging の一部として Trace で作成される監査ログについて説明します。

概要

Google Cloud Platform サービスは、「誰がいつどこで何をしたか」を調べるのに役立つ監査ログを記録します。各 GCP プロジェクトで記録されるのは、そのプロジェクト内に直接存在するリソースの監査ログのみです。その他のエンティティ、たとえばフォルダ、組織、請求先アカウントなどについては、そのエンティティ自体の監査ログが記録されます。

明示的にリクエストされた場合、Trace ではデータアクセスに関する監査ログを書き込みます。このログには、ユーザー提供データを作成、変更、または読み込む API 呼び出しが記録されます。ログをリクエストする方法については、データアクセス ログの構成をご覧ください。

データアクセス監査ログは、次のようなカテゴリに分類されます。

  • データアクセス(ADMIN_READ): リソースの構成やメタデータを読み取るオペレーション。

    Trace のデフォルトでは管理読み取り情報を提供しません。

  • データアクセス(DATA_READ): ユーザー提供データをリソースから読み取るオペレーション。

    Trace のデフォルトではデータ読み取り情報を提供しません。

  • データアクセス(DATA_WRITE): ユーザー提供データをリソースに書き込むオペレーション。

    Trace のデフォルトではデータ書き込み情報を提供しません。

管理アクティビティ監査ログは、Trace では使用できません。

監査されるオペレーション

次の表は、Trace の各監査ログタイプに対応する API オペレーションをまとめたものです。

監査ログのカテゴリ オペレーション
DATA_READ cloudtrace.traces.get
cloudtrace.traces.list

監査ログ形式

Stackdriver Logging でログビューア、API、または SDK gcloud logging コマンドを使用して表示できる監査ログエントリには、次のオブジェクトがあります。

  • ログエントリ自体。LogEntry 型のオブジェクトです。次のようなフィールドが有用です。

    • logName: プロジェクト ID と監査ログのタイプを保持します。
    • resource: 監査対象オペレーションのターゲットを保持します。
    • timeStamp: 監査対象オペレーションの時刻を保持します。
    • protoPayload: 監査情報を保持します。
  • 監査情報。これは AuditLog オブジェクトで、ログエントリの protoPayload フィールドに保持されます。

  • サービス固有の監査情報(オプション)。AuditLog オブジェクトの serviceData フィールドに保持されるサービス固有のオブジェクトです。詳しくは、サービス固有の監査データをご覧ください。

これらのオブジェクトの他のフィールドとその内容の例、オブジェクト内の情報に対するクエリの例については、監査ログのデータ型をご覧ください。

ログ名

Cloud Audit Logging のログ名は、監査ログを所有するプロジェクトまたはその他のエンティティと、そのログに管理アクティビティとデータアクセス情報のどちらが含まれているかを示します。たとえば、次のログ名はプロジェクトの管理アクティビティ ログと組織のデータアクセス ログを表しています。

projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity
organizations/[ORGANIZATION_ID]/logs/cloudaudit.googleapis.com%2Fdata_access

サービス名

Trace の監査ログでは、サービス名 cloudaudit.googleapis.com が使用されます。

ロギング サービスについて詳しくは、サービスとリソースのマッピングをご覧ください。

リソースタイプ

Trace の監査ログでは、すべての監査ログに対してリソースタイプ audited_resource が使用されます。

詳細な一覧については、モニタリング対象リソースタイプをご覧ください。

監査ログの有効化

ほとんどのデータアクセス監査ログは、デフォルトで無効になっています。例外は BigQuery のデータアクセス監査ログです。これはデフォルトで有効で、無効にすることはできません。BigQuery のデータアクセス ログは、プロジェクトのログ割り当て量にはカウントされません。

データアクセス ログの一部またはすべてを有効にする方法については、データアクセス ログの構成をご覧ください。

構成したデータアクセス ログは、Stackdriver のログに関する使用料に影響する可能性があります。このページの料金セクションをご覧ください。

管理アクティビティ ログは、Trace では使用できません。

監査ログに関する権限

どの監査ログを表示またはエクスポートできるかは、Cloud Identity and Access Management の権限と役割によって決まります。ログはプロジェクト内またはその他の一部のエンティティ(組織、フォルダ、請求先アカウントなど)内に存在します。詳しくは、役割についてをご覧ください。

管理アクティビティ ログを表示するには、その監査ログが存在するプロジェクト内で次のいずれかの Cloud IAM の役割を持っている必要があります。

データアクセス ログを表示するには、監査ログを含むプロジェクト内で次のいずれかの役割を持っている必要があります。

組織などのプロジェクト以外のエンティティからの監査ログを使用する場合は、プロジェクトの役割を適切な組織の役割に変更します。

ログの表示

いずれかのプロジェクトの監査ログを表示する方法は次のいずれかです。

詳しくは、次のオプションをご覧ください。

基本ビューア

ログビューアの基本的なインターフェースを使用し、次の手順で監査ログのエントリを取得できます。

  1. 最初のメニューで、監査ログを表示するリソースタイプを選択します。特定のリソースまたはすべてのリソースを選択します。
  2. 2 番目のメニューで、表示するログ名(管理アクティビティ監査ログの場合は activity、データアクセス監査ログの場合は data_access)を選択します。これらのオプションの一方または両方が表示されない場合、そのタイプの監査ログは使用できません。

高度なビューア

  1. ログビューアで高度なフィルタ インターフェースに切り替えます。
  2. 目的のリソースタイプとログ名を指定するフィルタを作成します。詳細については、監査ログの取得をご覧ください。

API

Logging API を使用してログエントリを読み取る方法については、entries.list をご覧ください。

SDK

Cloud SDK の gcloud コマンドライン ツールを使用してログエントリを読み取る方法については、ログエントリを読み取るをご覧ください。

監査ログのエクスポート

監査ログは、他の種類のログをエクスポートする場合と同じ方法でエクスポートできます。ログのエクスポート方法について詳しくは、ログのエクスポートをご覧ください。監査ログのエクスポートに関する応用例の一部を以下に示します。

  • 監査ログを長期間保持する場合や、より強力な検索機能を使用する場合は、監査ログのコピーを Cloud Storage、BigQuery、または Cloud Pub/Sub にエクスポートします。Cloud Pub/Sub を使用すると、他のアプリケーション、他のリポジトリ、サードパーティ製品にエクスポートできます。

  • 組織全体の監査ログを管理するには、組織内の一部またはすべてのプロジェクトからログをエクスポートできる集約エクスポート シンクを作成します。

  • 有効にしたデータアクセス ログが原因でプロジェクトのログ割り当て量を超過した場合は、データアクセス ログをエクスポートしてロギングから除外できます。詳しくは、ログの除外をご覧ください。

料金

Stackdriver Logging のデフォルトで有効になっている監査ログ(すべての管理アクティビティ ログを含む)は無料です。

明示的にリクエストされるデータアクセス ログについては課金されます。

ログ(監査ログを含む)の料金の詳細については、Stackdriver の料金をご覧ください。

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Stackdriver Trace ドキュメント