LogStare Collector リファレンス

Google Workspace監査ログ収集設定

当記事では、LogStare Collector v2.4.0にて追加された新機能であるGoogle Workspace監査ログ収集設定について記載します。

若手エンジニア志望者を募集!支度金あり

その他の新機能・変更・修正内容につきましては以下の記事を参照してください。
LSC v2.4.0 build 241024 リリースノート

対象バージョン

LogStare Collector v2.4.0 build 241024以降のバージョン

Google Workspace監査ログ収集とは…

Google Workspaceの監査ログを、Google Cloudで作成したプロジェクトにて、Reports APIを用いて、LogStare Collectorが収集する機能となります。利用する際には、予めGoogle Cloudでログ収集用のプロジェクトの作成を行います。LogStare Collectorサーバにその情報を設定することで、Google Workspaceイベントログを収集することができます。

前提

  • Google Workspaceの管理者権限で操作できること
  • Google Workspaceの管理者アカウントと同一のアカウントで、Google Cloudでも管理者として操作できること
  • ドメインを所有していることを証明済みであること
    Google Workspace管理者ヘルプ ドメイン所有権の証明方法
  • LogStare CollectorサーバとGoogle間でHTTPSの疎通ができること

設定の流れ

  1. プロジェクトを作成
  2. APIを有効化
  3. サービスアカウント(認証情報)の作成
  4. ドメイン全体の委任
  5. シークレットキーの作成
  6. LogStare Collectorにて設定

プロジェクトを作成

    1. Google Cloudコンソールに管理者権限で、ログインします。
    2. 画面左上の「ナビゲーションメニュー」>「IAMと管理」>「プロジェクトを作成」とクリックします。
    3. 設定項目を入力していきます。
      1. プロジェクト名:任意の名称をつけます。
      2. 請求先アカウント:任意のアカウントを選択します。
      3. 組織:収集対象のGoogle Workspaceアカウントの組織を選択します。
      4. 場所:c.と同じ組織を選択します。
    4. 「作成」をクリックします。
    5. 作成したプロジェクトが表示されたら、完了です。

APIを有効化

    1. 作成したプロジェクトを選択して、画面左上の「ナビゲーションメニュー」>「APIとサービス」>「有効なAPIとサービス」とクリックします。
    2. 「APIとサービスを有効にする」をクリックする。
    3. 検索欄に「Admin SDK API」と入力して検索、検索結果の「Admin SDK API」をクリックします。
    4. 「有効にする」をクリックします。

サービスアカウント(認証情報)の作成

    1. 作成したプロジェクトを選択して、画面左上の「ナビゲーションメニュー」>「APIとサービス」>「認証情報」>「認証情報を作成」>「サービス アカウント」とクリックします。
    2. 詳細を入力して、「完了」をクリックします。
      サービスアカウント名:任意
      サービスアカウントID:任意
      このサービス アカウントにプロジェクトへのアクセスを許可する (省略可):省略

      ユーザーにこのサービス アカウントへのアクセスを許可 (省略可):省略

ドメイン全体の委任

    1. 作成したサービスアカウントの「詳細」タブをクリックして、「一意のID」をメモに控えます。
    2. ログ収集対象のGoogle Workspaceの管理コンソールに管理者アカウントでログイン
    3. 左上側メニューより「セキュリティ」>「アクセスとデータ管理」>「APIの制御」>「ドメイン全体の委任を管理」をクリック
    4. 「新しく追加」をクリック
    5. 以下の通り入力して、承認をクリック
      クライアントID:一意のID
      OAuth スコープ:https://www.googleapis.com/auth/admin.reports.audit.readonly

サービスアカウントキーの作成

    1. 作成したサービスアカウントの「キー」タブ>「鍵を追加」>「新しい鍵を作成」をクリックします。
    2. JSONにチェックを入れて、「作成」をクリックします。
    3. サービスアカウントキーがダウンロードされるので、保管します。Attention!
      新しい鍵が作成できない場合、以下のメッセージが表示されることがあります。
      この場合、ポリシーを次の手順で変更する必要があります。

      1. プロジェクトの「IAMと管理」>「組織のポリシー」に移動します。
      2. フィルタにて「iam.disableServiceAccountKeyCreation」を検索して、クリックします。
      3. 「ポリシーを管理」をクリックします。
      4. 「ポリシーのソース」にて、「親のポリシーをオーバーライドする」にチェックを入れて、ルールの追加をクリックします。
      5. 「新しいルール」を「オフ」にチェックを入れて完了をクリックします。
      6. 「ポリシーを設定」をクリックして、数分経過してから、再度秘密鍵の作成を行います。
        「ポリシーの設定」ができない場合は、プロジェクトの「IAMと管理」>「ロール」に移動して、「Organization Policy Administrator」を有効にしてから、再度お試しください。

以上で、GoogleWorkspace側の設定は完了です。 以下の2つが揃っていることを確認してください。

  • プリンシパル(管理者アカウント)
  • サービスアカウントキーファイル

LogStare GoogleWorkspaceをご利用の方は、この2つの情報を弊社までお寄せください。
LogStare Collectorでログ収集を行う際は、次の手順に進んでください。

LogStare Collectorにて設定

    1. LogStare Collectorにログインします。
    2. メニュー「デバイス・グループ」を選択、任意のグループを選択、右側の「+」をクリックします。
    3. デバイス名「Google Workspace」(任意)、IPアドレス「127.0.0.1」と入力して、追加ボタンを押します。
    4. 「デバイス・グループ」から、「監視・収集」タブにクリックして移動します。
    5. 右側の「+」をクリックして、「デバイス」プルダウンメニューから、「Google Workspace」(3.で設定したデバイス名)を選択、「監視・収集」項目の「収集」ボタンを選択し、プルダウンメニューから「Google Workspace 監査ログ」を選択します。
    6. 表示された「監視・収集追加」画面にてGoogle Workspace 監査ログ収集情報を入力します。
      • 監視・収集項目:「Google Workspace 監査ログ収集」を選択します。
      • 監視ON/OFF:監視ONが選択されていることを確認します。
      • IPアドレス:監視対象のIPアドレスを設定します。
        ※GoogleWorkspace 監査ログでは、登録する機器のIPアドレスは問わないため、当記事では「127.0.0.1」を使用します。
      • タイムアウト:タイムアウト値を設定します。
      • 実行周期(分):Google Workspace監査ログを毎時いつのタイミングで収集するかを指定します。
        • 設定範囲は、1分から1440分(1日 1440分)です。
        • 規定値の60分の場合、LogStare Collector が10:00:00にサービス起動した場合は、10:00:00、11:00:00、12:00:00の60分間隔でログを収集します。
        • 2回目以降の収集タイミングでは、前回収集した時間帯のログから収集を開始します。
        • 初めてログを収集する初回のタイミングでは、最大7日遡ってログを収集します。
        • 収集をOFF、LSCを停止、収集に失敗した、これらの後に収集を再開した時は前回の収集したログ以降の時間のログを収集します。ただし、遡って収集できるのは最大7日前までです。例えば、8日停止していた場合は、7日前からのログを収集します。
        • 設定を短くすることでログの収集間隔も短くなりますが、ログ量が少ない場合は、空振りとなる通信が多くなる点に留意する必要があります。
        • ログ量が多い場合は、収集間隔を短くすることで処理を早めるようチューニングすることができます。
      • プリンシパル:監査ログにアクセスできるプリンシパルを入力します。通常、管理者アカウントになります。
      • コンテンツタイプ:収集したいログのアプリケーションを選択してください。
        選択肢:access_transparency admin calendar chat chrome context_aware_access data_studio drive gcp gplus groupsgroups_enterprise jamboard keep login meet mobile rules saml token user_accounts vaultデフォルト:admin、login、drive
      • サービスアカウントキー:サービスアカウントキーファイルを開いて、中身を入力します。全選択→コピー→ペーストで構いません。
      • 時間演算:通常Google Workspace監査ログのタイムスタンプはUTC +00:00です。イベントログのタイムスタンプをこの時間演算に指定したタイムゾーンに合わせます。
      • Proxy選択: Proxyが間にある場合にProxy設定を行います。
      • マッチング検知:アラート条件を設定します。アラートメール通知を行うためには環境設定にて通知設定を行う必要があります。環境設定の詳細につきましては、下記の記事をご参照ください。アラートが必要ない場合は設定の必要はありません。
        LogStare Collector における環境設定について
      • アラートメール送信先:当該収集項目におけるアラートメール送信先を設定します。詳細につきましては下記の記事をご参照ください。
        アラートメールの仕様(環境設定/個別設定)
      • テストボタン:設定した認証情報を基にログが収集できるかどうかテストします。下記は正常にイベントログが収集できることを表しています。
        コンテンツタイプで選択したアプリケーション毎にテスト結果が表示されます。
    7. 右下の「追加」を押下すると追加確認画面が表示されますので「はい」をクリックします。

以上でGoogleWorkspace 監査ログ収集の設定についての説明は終了となります。

 

若手エンジニア志望者を募集!支度金あり

LogStare Collector 無償版

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

Boxイベントログ収集設定前のページ

PaloAlto/FortiGate/BIG-IPのバージョン情報まとめ次のページ

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. IoT機器「Raspberry pi」とLogStare Collectorで温…
  3. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  4. ログフォワーダー「okurun.jar」について

関連記事

  1. LogStare Collector リファレンス

    LogStare Collectorでの冗長化監視の設定方法について FortiGate版

    当記事では、FortiGateにおける冗長化監視の設定方法について記載…

  2. LogStare Collector リファレンス

    LSCリソース状況機能の改善

    当記事の内容は、以下の記事に統合しました。Dynamic St…

  3. LogStare Collector リファレンス

    ファイル収集 - FTP,FTP(passive) - 編

    ファイル収集 - FTP,FTP(passive)- とは...F…

  4. LogStare Collector リファレンス

    SNMP監視の設定

    当記事では、選択したデバイスに対してSNMP監視をプルダウンメニューか…

若手エンジニア志望者を募集!
LogStare Collector 無償版
クラウド活用の「困った」「焦った」事例
月額200円でM356の監査ログの運用レベルUP LogStare M365
AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  2. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  3. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  4. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  5. 実践記事

    DNSキャッシュポイズニングやってみた
PAGE TOP