はじめに
Google Workspace 監査ログを Google Cloud と共有して、Google Workspace 監査ログデータの保存、検索、分析、モニタリング、アラートを行うことができる (記載元)
実際にログを Cloud Logging に共有したので、その内容や閲覧方法・表示例などを記載する (2021.0828 時点での動作・情報)
※動作確認でのアカウントは Cloud Identity
ログ共有の有効
Google Admin 画面で、ログを Google Cloud へ共有するオプションの有効化を実施する
Google Admin へログイン
https://admin.google.com/
アカウント → 法とコンプライアンス をクリック
共有オプション → Google Cloud Platform の共有オプション を 有効 にして 保存
以上で設定完了
ログ閲覧権限
ログを閲覧するには Google Cloud の組織 IAM で、下記の権限 (もしくは組織オーナ) が必要になるので、
必要に応じて IAM 設定をすること (ドキュメント, Logging のロール)
- ログ閲覧者 [roles/logging.viewer]
- プライベート ログ閲覧者 [roles/logging.privateLogViewer]
ログ閲覧
ログについて、Cloud Logging のログエクスプローラで実際にテストユーザを作成・削除して
どのようにログを見ることができるかを例示する
Cloud Logging で、ログ エクスプローラを開く
https://console.cloud.google.com/logs/
ドメイン(組織)を選択する
下記は、テストユーザ(test.user0999@[ドメイン])を作成した際のログの状況
次に、テストユーザ(test.user0999@[ドメイン])を削除された際のログの状況
詳細なログ形式については ドキュメントに記載がある
ログ保存設定
ログタイプは 監査ログ になっているので、デフォルトは保存バケット: _Required になり下記の通り。
保存期間:400日、費用:無料なので長期保存が必須とならない限りは大体のケースはカバーできると思われる。
※「Google Workspace の組織レベルのログは現在無料」とも明示されている(2021.08.28確認。記載元)
リージョンがglobalとなっているので、保存リージョンに縛りがある環境では変えたいところだと思うが、
そもそも_Required は Locked となっていてそこに転送設定するデフォルトで設定されているログルータも消せないため、変更できない
保存ログ内容
2021.0828 時点での対応ログは下記の通り (記載元)
| 監査ログを使用する Google Workspace サービス | 管理アクティビティ ログ | データアクセス ログ | システム イベント ログ | ポリシー拒否 ログ |
|---|---|---|---|---|
| Google Workspace 管理者アクティビティ | GA | n/a | n/a | n/a |
| Google Workspaceのログイン監査アクティビティ | n/a | GA | n/a | n/a |
| Google Workspace Enterprise グループの監査アクティビティ | GA | n/a | n/a | n/a |
詳細については、上記のサービス名のリンク先に記載がある
おわりに
Google アカウントのログを Cloud Logging と共有することで、ログの閲覧がしやすくなった
設定自体は数クリックで、現状無料なのでやっておいて損はないと思う