当記事では、LogStare Collector v2.4.0にて追加された新機能であるGoogle Workspace監査ログ収集設定について記載します。
その他の新機能・変更・修正内容につきましては以下の記事を参照してください。
LSC v2.4.0 build 241024 リリースノート
目次
対象バージョン
LogStare Collector v2.4.0 build 241024以降のバージョン
Google Workspace監査ログ収集とは…
Google Workspaceの監査ログを、Google Cloudで作成したプロジェクトにて、Reports APIを用いて、LogStare Collectorが収集する機能となります。利用する際には、予めGoogle Cloudでログ収集用のプロジェクトの作成を行います。LogStare Collectorサーバにその情報を設定することで、Google Workspaceイベントログを収集することができます。
前提
- Google Workspaceの管理者権限で操作できること
- Google Workspaceの管理者アカウントと同一のアカウントで、Google Cloudでも管理者として操作できること
- ドメインを所有していることを証明済みであること
Google Workspace管理者ヘルプ ドメイン所有権の証明方法 - LogStare CollectorサーバとGoogle間でHTTPSの疎通ができること
設定の流れ
プロジェクトを作成
APIを有効化
サービスアカウント(認証情報)の作成
ドメイン全体の委任
サービスアカウントキーの作成
-
- 作成したサービスアカウントの「キー」タブ>「鍵を追加」>「新しい鍵を作成」をクリックします。
- JSONにチェックを入れて、「作成」をクリックします。
- サービスアカウントキーがダウンロードされるので、保管します。Attention!
新しい鍵が作成できない場合、以下のメッセージが表示されることがあります。
この場合、ポリシーを次の手順で変更する必要があります。
- プロジェクトの「IAMと管理」>「組織のポリシー」に移動します。
- フィルタにて「iam.disableServiceAccountKeyCreation」を検索して、クリックします。
- 「ポリシーを管理」をクリックします。
- 「ポリシーのソース」にて、「親のポリシーをオーバーライドする」にチェックを入れて、ルールの追加をクリックします。
- 「新しいルール」を「オフ」にチェックを入れて完了をクリックします。
- 「ポリシーを設定」をクリックして、数分経過してから、再度秘密鍵の作成を行います。
「ポリシーの設定」ができない場合は、プロジェクトの「IAMと管理」>「ロール」に移動して、「Organization Policy Administrator」を有効にしてから、再度お試しください。
- 作成したサービスアカウントの「キー」タブ>「鍵を追加」>「新しい鍵を作成」をクリックします。
以上で、GoogleWorkspace側の設定は完了です。 以下の2つが揃っていることを確認してください。
- プリンシパル(管理者アカウント)
- サービスアカウントキーファイル
LogStare GoogleWorkspaceをご利用の方は、この2つの情報を弊社までお寄せください。
LogStare Collectorでログ収集を行う際は、次の手順に進んでください。
LogStare Collectorにて設定
-
- LogStare Collectorにログインします。
- メニュー「デバイス・グループ」を選択、任意のグループを選択、右側の「+」をクリックします。
- デバイス名「Google Workspace」(任意)、IPアドレス「127.0.0.1」と入力して、追加ボタンを押します。
- 「デバイス・グループ」から、「監視・収集」タブにクリックして移動します。
- 右側の「+」をクリックして、「デバイス」プルダウンメニューから、「Google Workspace」(3.で設定したデバイス名)を選択、「監視・収集」項目の「収集」ボタンを選択し、プルダウンメニューから「Google Workspace 監査ログ」を選択します。
- 表示された「監視・収集追加」画面にてGoogle Workspace 監査ログ収集情報を入力します。
- 監視・収集項目:「Google Workspace 監査ログ収集」を選択します。
- 監視ON/OFF:監視ONが選択されていることを確認します。
- IPアドレス:監視対象のIPアドレスを設定します。
※GoogleWorkspace 監査ログでは、登録する機器のIPアドレスは問わないため、当記事では「127.0.0.1」を使用します。 - タイムアウト:タイムアウト値を設定します。
- 実行周期(分):Google Workspace監査ログを毎時いつのタイミングで収集するかを指定します。
- 設定範囲は、1分から1440分(1日 1440分)です。
- 規定値の60分の場合、LogStare Collector が10:00:00にサービス起動した場合は、10:00:00、11:00:00、12:00:00の60分間隔でログを収集します。
- 2回目以降の収集タイミングでは、前回収集した時間帯のログから収集を開始します。
- 初めてログを収集する初回のタイミングでは、最大7日遡ってログを収集します。
- 収集をOFF、LSCを停止、収集に失敗した、これらの後に収集を再開した時は前回の収集したログ以降の時間のログを収集します。ただし、遡って収集できるのは最大7日前までです。例えば、8日停止していた場合は、7日前からのログを収集します。
- 設定を短くすることでログの収集間隔も短くなりますが、ログ量が少ない場合は、空振りとなる通信が多くなる点に留意する必要があります。
- ログ量が多い場合は、収集間隔を短くすることで処理を早めるようチューニングすることができます。
- プリンシパル:監査ログにアクセスできるプリンシパルを入力します。通常、管理者アカウントになります。
- コンテンツタイプ:収集したいログのアプリケーションを選択してください。
選択肢:access_transparency admin calendar chat chrome context_aware_access data_studio drive gcp gplus groupsgroups_enterprise jamboard keep login meet mobile rules saml token user_accounts vaultデフォルト:admin、login、drive - サービスアカウントキー:サービスアカウントキーファイルを開いて、中身を入力します。全選択→コピー→ペーストで構いません。
- 時間演算:通常Google Workspace監査ログのタイムスタンプはUTC +00:00です。イベントログのタイムスタンプをこの時間演算に指定したタイムゾーンに合わせます。
- Proxy選択: Proxyが間にある場合にProxy設定を行います。
- マッチング検知:アラート条件を設定します。アラートメール通知を行うためには環境設定にて通知設定を行う必要があります。環境設定の詳細につきましては、下記の記事をご参照ください。アラートが必要ない場合は設定の必要はありません。
LogStare Collector における環境設定について - アラートメール送信先:当該収集項目におけるアラートメール送信先を設定します。詳細につきましては下記の記事をご参照ください。
アラートメールの仕様(環境設定/個別設定) - テストボタン:設定した認証情報を基にログが収集できるかどうかテストします。下記は正常にイベントログが収集できることを表しています。
コンテンツタイプで選択したアプリケーション毎にテスト結果が表示されます。
- 右下の「追加」を押下すると追加確認画面が表示されますので「はい」をクリックします。
- LogStare Collectorにログインします。
以上でGoogleWorkspace 監査ログ収集の設定についての説明は終了となります。
記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。
当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。