このドキュメントでは、Cloud Audit Logs の一部として Google Workspace が提供する監査ログのコンセプトの概要について説明します。
Google Workspace の監査ログの管理については、Google Workspace の監査ログを表示して管理するをご覧ください。
概要
Google Cloud サービスは、「誰がいつどこで何をしたか」を調べるために役立つ監査ログを記録します。Google Workspace 監査ログを Google Cloud と共有して、Google Workspace データの保存、分析、モニタリング、アラートを行うことができます。
Google Workspace の監査ログは、Cloud Identity、Cloud Identity Premium、すべての Google Workspace のお客様がご利用いただけます。
Google Cloudで Google Workspace データ共有を有効にしている場合、Google Workspace の監査ログは常に有効になります。
Google Workspace データ共有を無効にすると、新しい Google Workspace 監査ログのイベントが Google Cloudに送信されなくなりますが、カスタム保持を構成してログを長期間保持する場合を除き、既存のログはデフォルトの保持期間を通じて保持されます。
Google Cloudとの Google Workspace データ共有が有効になっていない場合、 Google Cloudで Google Workspace の監査ログを表示できません。
監査ログの種類
管理アクティビティの監査ログには、リソースの構成やメタデータを変更する API 呼び出しやその他の操作に関するログエントリが含まれます。このログは、たとえば、ユーザーが VM インスタンスを作成したときや、Identity and Access Management(IAM)権限を変更したときに記録されます。
データアクセス監査ログには、リソースの構成やメタデータを読み取る API 呼び出しや、ユーザー指定のリソースデータの作成、変更、または読み取りのための、ユーザーによる API 呼び出しが含まれます。データアクセス監査ログには、一般公開されているリソース(すべてのユーザーまたは認証済みのすべてのユーザーが利用可能)や、 Google Cloud、Google Workspace、Cloud Identity、Drive Enterprise のアカウントにログインせずにアクセスできるリソースのデータアクセス操作は記録されません。
監査ログを Google Cloudに転送する Google Workspace サービス
Google Workspace は、Google Cloud 組織レベルで次の監査ログを提供します。
アクセスの透明性: アクセスの透明性ログには、Google の担当者がお客様の Google Workspace リソース内のお客様のコンテンツにアクセスした際のアクションが記録されます。アクセスの透明性とは対照的に、Cloud Audit Logs には、 Google Cloud 組織のメンバーが Google Cloud リソースで行った操作が記録されます。
アクセスの透明性ログの構造とログに記録されるアクセスの種類の詳細については、ログフィールドの説明をご覧ください。
Google Workspace 管理監査: 管理者の監査ログには、Google 管理コンソールで行われた操作の記録が表示されます。たとえば、管理者がユーザーを追加した日時や Google Workspace サービスを有効にした日時を確認できます。
管理監査ログは、管理アクティビティ監査ログのみを書き込みます。
Google Workspace Enterprise グループの監査ログ: Enterprise グループの監査ログは、グループとグループ メンバーシップに対して行われたアクションの記録を提供します。たとえば、管理者がいつユーザーを追加したか、グループ オーナーがいつグループを削除したかを確認できます。
Enterprise グループの監査では、管理アクティビティの監査ログのみを書き込みます。
Google Workspace ログイン監査: ログイン監査ログは、ドメインへのユーザーのログインを追跡します。これらのログにはログイン イベントのみが記録されます。どのシステムがログイン操作の実行に使用されたかは記録されません。
ログイン監査は、データアクセス監査ログのみを書き込みます。
Google Workspace OAuth トークン監査: OAuth トークン監査ログは、ドメイン内でどのユーザーがどのサードパーティのモバイルアプリまたはウェブ アプリケーションを使用しているかを追跡します。たとえば、Google Workspace Marketplace アプリをユーザーが起動すると、そのアプリ名とユーザーが記録されます。また、Google アカウント データ(Google コンタクト、カレンダー、ドライブ ファイルなど)へのアクセスがサードパーティ製アプリケーションに対して承認された場合も、その都度ログに記録されます(Google Workspace のみ)。
OAuth トークン監査では、管理アクティビティの監査ログとデータアクセスの監査ログの両方が書き込まれます。
Google Workspace SAML 監査: SAML 監査ログは、ユーザーの SAML アプリケーションへのログインの成功と失敗を追跡します。通常、ユーザーの操作は 1 時間以内にログに記録されます。
SAML Audit は、データアクセス監査ログのみを書き込みます。
サービス固有の情報
Google Workspace サービスの監査ログの詳細は次のとおりです。
Google Workspace 管理者の監査
Google Workspace 管理監査ログでは、すべての監査ログに対してリソースタイプ audited_resource が使用されます。
Google Workspace 管理監査ログでは、サービス名 admin.googleapis.com が使用されます。
Google Workspace 管理監査は、管理アクティビティ監査ログのみを書き込みます。監査対象のオペレーションは次のとおりです。
| アクティビティのタイプ | AuditLog.method_name |
|---|---|
| AI_CLASSIFICATION_SETTINGS | google.admin.AdminService.aiClassificationInsufficientTrainingExamplesgoogle.admin.AdminService.aiClassificationModelLowScoregoogle.admin.AdminService.aiClassificationNewModelReady |
| ALERT_CENTER | google.admin.AdminService.alertCenterBatchDeleteAlertsgoogle.admin.AdminService.alertCenterBatchUndeleteAlertsgoogle.admin.AdminService.alertCenterCreateAlertgoogle.admin.AdminService.alertCenterCreateFeedbackgoogle.admin.AdminService.alertCenterDeleteAlertgoogle.admin.AdminService.alertCenterGetAlertMetadatagoogle.admin.AdminService.alertCenterGetCustomerSettingsgoogle.admin.AdminService.alertCenterGetSitLinkgoogle.admin.AdminService.alertCenterListChangegoogle.admin.AdminService.alertCenterListFeedbackgoogle.admin.AdminService.alertCenterListRelatedAlertsgoogle.admin.AdminService.alertCenterUndeleteAlertgoogle.admin.AdminService.alertCenterUpdateAlertgoogle.admin.AdminService.alertCenterUpdateAlertMetadatagoogle.admin.AdminService.alertCenterUpdateCustomerSettingsgoogle.admin.AdminService.alertCenterView |
| APPLICATION_SETTINGS | google.admin.AdminService.changeApplicationSettinggoogle.admin.AdminService.createApplicationSettinggoogle.admin.AdminService.deleteApplicationSettinggoogle.admin.AdminService.reorderGroupBasedPoliciesEventgoogle.admin.AdminService.gplusPremiumFeaturesgoogle.admin.AdminService.createManagedConfigurationgoogle.admin.AdminService.deleteManagedConfigurationgoogle.admin.AdminService.updateManagedConfigurationgoogle.admin.AdminService.flashlightEduNonFeaturedServicesSelected |
| CALENDAR_SETTINGS | google.admin.AdminService.createBuildinggoogle.admin.AdminService.deleteBuildinggoogle.admin.AdminService.updateBuildinggoogle.admin.AdminService.createCalendarResourcegoogle.admin.AdminService.deleteCalendarResourcegoogle.admin.AdminService.createCalendarResourceFeaturegoogle.admin.AdminService.deleteCalendarResourceFeaturegoogle.admin.AdminService.updateCalendarResourceFeaturegoogle.admin.AdminService.renameCalendarResourcegoogle.admin.AdminService.updateCalendarResourcegoogle.admin.AdminService.changeCalendarSettinggoogle.admin.AdminService.cancelCalendarEventsgoogle.admin.AdminService.releaseCalendarResources |
| CHAT_SETTINGS | google.admin.AdminService.meetInteropCreateGatewaygoogle.admin.AdminService.meetInteropDeleteGatewaygoogle.admin.AdminService.meetInteropModifyGatewaygoogle.admin.AdminService.changeChatSetting |
| CHROME_OS_SETTINGS | google.admin.AdminService.changeChromeOsAndroidApplicationSettinggoogle.admin.AdminService.changeChromeOsApplicationSettinggoogle.admin.AdminService.sendChromeOsDeviceCommandgoogle.admin.AdminService.changeChromeOsDeviceAnnotationgoogle.admin.AdminService.changeChromeOsDeviceSettinggoogle.admin.AdminService.changeChromeOsDeviceStategoogle.admin.AdminService.changeChromeOsPublicSessionSettinggoogle.admin.AdminService.insertChromeOsPrintergoogle.admin.AdminService.deleteChromeOsPrintergoogle.admin.AdminService.updateChromeOsPrintergoogle.admin.AdminService.changeChromeOsSettinggoogle.admin.AdminService.changeChromeOsUserSettinggoogle.admin.AdminService.removeChromeOsApplicationSettings |
| CONTACTS_SETTINGS | google.admin.AdminService.changeContactsSetting |
| DELEGATED_ADMIN_SETTINGS | google.admin.AdminService.assignRolegoogle.admin.AdminService.createRolegoogle.admin.AdminService.deleteRolegoogle.admin.AdminService.addPrivilegegoogle.admin.AdminService.removePrivilegegoogle.admin.AdminService.renameRolegoogle.admin.AdminService.updateRolegoogle.admin.AdminService.unassignRole |
| DEVICE_SETTINGS | google.admin.AdminService.deleteDevicegoogle.admin.AdminService.moveDeviceToOrgUnit |
| DOCS_SETTINGS | google.admin.AdminService.transferDocumentOwnershipgoogle.admin.AdminService.driveDataRestoregoogle.admin.AdminService.changeDocsSetting |
| DOMAIN_SETTINGS | google.admin.AdminService.changeAccountAutoRenewalgoogle.admin.AdminService.addApplicationgoogle.admin.AdminService.addApplicationToWhitelistgoogle.admin.AdminService.changeAdvertisementOptiongoogle.admin.AdminService.createAlertgoogle.admin.AdminService.changeAlertCriteriagoogle.admin.AdminService.deleteAlertgoogle.admin.AdminService.alertReceiversChangedgoogle.admin.AdminService.renameAlertgoogle.admin.AdminService.alertStatusChangedgoogle.admin.AdminService.addDomainAliasgoogle.admin.AdminService.removeDomainAliasgoogle.admin.AdminService.skipDomainAliasMxgoogle.admin.AdminService.verifyDomainAliasMxgoogle.admin.AdminService.verifyDomainAliasgoogle.admin.AdminService.toggleOauthAccessToAllApisgoogle.admin.AdminService.toggleAllowAdminPasswordResetgoogle.admin.AdminService.enableApiAccessgoogle.admin.AdminService.authorizeApiClientAccessgoogle.admin.AdminService.removeApiClientAccessgoogle.admin.AdminService.chromeLicensesRedeemedgoogle.admin.AdminService.toggleAutoAddNewServicegoogle.admin.AdminService.changePrimaryDomaingoogle.admin.AdminService.changeWhitelistSettinggoogle.admin.AdminService.communicationPreferencesSettingChangegoogle.admin.AdminService.changeConflictAccountActiongoogle.admin.AdminService.enableFeedbackSolicitationgoogle.admin.AdminService.toggleContactSharinggoogle.admin.AdminService.createPlayForWorkTokengoogle.admin.AdminService.toggleUseCustomLogogoogle.admin.AdminService.changeCustomLogogoogle.admin.AdminService.changeDataLocalizationForRussiagoogle.admin.AdminService.changeDataLocalizationSettinggoogle.admin.AdminService.changeDataProtectionOfficerContactInfogoogle.admin.AdminService.deletePlayForWorkTokengoogle.admin.AdminService.viewDnsLoginDetailsgoogle.admin.AdminService.changeDomainDefaultLocalegoogle.admin.AdminService.changeDomainDefaultTimezonegoogle.admin.AdminService.changeDomainNamegoogle.admin.AdminService.toggleEnablePreReleaseFeaturesgoogle.admin.AdminService.changeDomainSupportMessagegoogle.admin.AdminService.addTrustedDomainsgoogle.admin.AdminService.removeTrustedDomainsgoogle.admin.AdminService.changeEduTypegoogle.admin.AdminService.toggleEnableOauthConsumerKeygoogle.admin.AdminService.toggleSsoEnabledgoogle.admin.AdminService.toggleSslgoogle.admin.AdminService.changeEuRepresentativeContactInfogoogle.admin.AdminService.generateTransferTokengoogle.admin.AdminService.changeLoginBackgroundColorgoogle.admin.AdminService.changeLoginBorderColorgoogle.admin.AdminService.changeLoginActivityTracegoogle.admin.AdminService.playForWorkEnrollgoogle.admin.AdminService.playForWorkUnenrollgoogle.admin.AdminService.mxRecordVerificationClaimgoogle.admin.AdminService.toggleNewAppFeaturesgoogle.admin.AdminService.toggleUseNextGenControlPanelgoogle.admin.AdminService.uploadOauthCertificategoogle.admin.AdminService.regenerateOauthConsumerSecretgoogle.admin.AdminService.toggleOpenIdEnabledgoogle.admin.AdminService.changeOrganizationNamegoogle.admin.AdminService.toggleOutboundRelaygoogle.admin.AdminService.changePasswordMaxLengthgoogle.admin.AdminService.changePasswordMinLengthgoogle.admin.AdminService.updateDomainPrimaryAdminEmailgoogle.admin.AdminService.enableServiceOrFeatureNotificationsgoogle.admin.AdminService.removeApplicationgoogle.admin.AdminService.removeApplicationFromWhitelistgoogle.admin.AdminService.changeRenewDomainRegistrationgoogle.admin.AdminService.changeResellerAccessgoogle.admin.AdminService.ruleActionsChangedgoogle.admin.AdminService.createRulegoogle.admin.AdminService.changeRuleCriteriagoogle.admin.AdminService.deleteRulegoogle.admin.AdminService.renameRulegoogle.admin.AdminService.ruleStatusChangedgoogle.admin.AdminService.addSecondaryDomaingoogle.admin.AdminService.removeSecondaryDomaingoogle.admin.AdminService.skipSecondaryDomainMxgoogle.admin.AdminService.verifySecondaryDomainMxgoogle.admin.AdminService.verifySecondaryDomaingoogle.admin.AdminService.updateDomainSecondaryEmailgoogle.admin.AdminService.changeSsoSettingsgoogle.admin.AdminService.generatePingoogle.admin.AdminService.updateRule |
| EMAIL_SETTINGS | google.admin.AdminService.dropFromQuarantinegoogle.admin.AdminService.emailLogSearchgoogle.admin.AdminService.emailUndeletegoogle.admin.AdminService.changeEmailSettinggoogle.admin.AdminService.changeGmailSettinggoogle.admin.AdminService.createGmailSettinggoogle.admin.AdminService.deleteGmailSettinggoogle.admin.AdminService.rejectFromQuarantinegoogle.admin.AdminService.releaseFromQuarantine |
| GROUP_SETTINGS | google.admin.AdminService.createGroupgoogle.admin.AdminService.deleteGroupgoogle.admin.AdminService.changeGroupDescriptiongoogle.admin.AdminService.groupListDownloadgoogle.admin.AdminService.addGroupMembergoogle.admin.AdminService.removeGroupMembergoogle.admin.AdminService.updateGroupMembergoogle.admin.AdminService.updateGroupMemberDeliverySettingsgoogle.admin.AdminService.updateGroupMemberDeliverySettingsCanEmailOverridegoogle.admin.AdminService.groupMemberBulkUploadgoogle.admin.AdminService.groupMembersDownloadgoogle.admin.AdminService.changeGroupEmailgoogle.admin.AdminService.changeGroupNamegoogle.admin.AdminService.changeGroupSettinggoogle.admin.AdminService.whitelistedGroupsUpdated |
| ラベル | google.admin.AdminService.labelDeletedgoogle.admin.AdminService.labelDisabledgoogle.admin.AdminService.labelReenabledgoogle.admin.AdminService.labelPermissionUpdatedgoogle.admin.AdminService.labelPermissionDeletedgoogle.admin.AdminService.labelPublishedgoogle.admin.AdminService.labelCreatedgoogle.admin.AdminService.labelUpdated |
| LICENSES_SETTINGS | google.admin.AdminService.orgUsersLicenseAssignmentgoogle.admin.AdminService.orgAllUsersLicenseAssignmentgoogle.admin.AdminService.userLicenseAssignmentgoogle.admin.AdminService.changeLicenseAutoAssigngoogle.admin.AdminService.userLicenseReassignmentgoogle.admin.AdminService.orgLicenseRevokegoogle.admin.AdminService.userLicenseRevokegoogle.admin.AdminService.updateDynamicLicensegoogle.admin.AdminService.licenseUsageUpdate |
| MOBILE_SETTINGS | google.admin.AdminService.actionCancelledgoogle.admin.AdminService.actionRequestedgoogle.admin.AdminService.addMobileCertificategoogle.admin.AdminService.companyDevicesBulkCreationgoogle.admin.AdminService.companyOwnedDeviceBlockedgoogle.admin.AdminService.companyDeviceDeletiongoogle.admin.AdminService.companyOwnedDeviceUnblockedgoogle.admin.AdminService.companyOwnedDeviceWipedgoogle.admin.AdminService.changeMobileApplicationPermissionGrantgoogle.admin.AdminService.changeMobileApplicationPriorityOrdergoogle.admin.AdminService.removeMobileApplicationFromWhitelistgoogle.admin.AdminService.changeMobileApplicationSettingsgoogle.admin.AdminService.addMobileApplicationToWhitelistgoogle.admin.AdminService.mobileDeviceApprovegoogle.admin.AdminService.mobileDeviceBlockgoogle.admin.AdminService.mobileDeviceDeletegoogle.admin.AdminService.mobileDeviceWipegoogle.admin.AdminService.changeMobileSettinggoogle.admin.AdminService.changeAdminRestrictionsPingoogle.admin.AdminService.changeMobileWirelessNetworkgoogle.admin.AdminService.addMobileWirelessNetworkgoogle.admin.AdminService.removeMobileWirelessNetworkgoogle.admin.AdminService.changeMobileWirelessNetworkPasswordgoogle.admin.AdminService.removeMobileCertificategoogle.admin.AdminService.enrollForGoogleDeviceManagementgoogle.admin.AdminService.useGoogleMobileManagementgoogle.admin.AdminService.useGoogleMobileManagementForNonIosgoogle.admin.AdminService.useGoogleMobileManagementForIosgoogle.admin.AdminService.mobileAccountWipegoogle.admin.AdminService.mobileDeviceCancelWipeThenApprovegoogle.admin.AdminService.mobileDeviceCancelWipeThenBlock |
| ORG_SETTINGS | google.admin.AdminService.chromeLicensesEnabledgoogle.admin.AdminService.chromeApplicationLicenseReservationCreatedgoogle.admin.AdminService.chromeApplicationLicenseReservationDeletedgoogle.admin.AdminService.chromeApplicationLicenseReservationUpdatedgoogle.admin.AdminService.assignCustomLogogoogle.admin.AdminService.unassignCustomLogogoogle.admin.AdminService.createEnrollmentTokengoogle.admin.AdminService.revokeEnrollmentTokengoogle.admin.AdminService.chromeLicensesAllowedgoogle.admin.AdminService.createOrgUnitgoogle.admin.AdminService.removeOrgUnitgoogle.admin.AdminService.editOrgUnitDescriptiongoogle.admin.AdminService.moveOrgUnitgoogle.admin.AdminService.editOrgUnitNamegoogle.admin.AdminService.toggleServiceEnabled |
| SECURITY_INVESTIGATION | google.admin.AdminService.securityInvestigationActiongoogle.admin.AdminService.securityInvestigationActionCancellationgoogle.admin.AdminService.securityInvestigationActionCompletiongoogle.admin.AdminService.securityInvestigationActionRetrygoogle.admin.AdminService.securityInvestigationActionVerificationConfirmationgoogle.admin.AdminService.securityInvestigationActionVerificationRequestgoogle.admin.AdminService.securityInvestigationActionVerificationRequestExpirationgoogle.admin.AdminService.securityInvestigationChartCreategoogle.admin.AdminService.securityInvestigationContentAccessgoogle.admin.AdminService.securityInvestigationDownloadAttachmentgoogle.admin.AdminService.securityInvestigationExportActionResultsgoogle.admin.AdminService.securityInvestigationExportQuerygoogle.admin.AdminService.securityInvestigationObjectCreateDraftInvestigationgoogle.admin.AdminService.securityInvestigationObjectDeleteInvestigationgoogle.admin.AdminService.securityInvestigationObjectDuplicateInvestigationgoogle.admin.AdminService.securityInvestigationObjectOwnershipTransfergoogle.admin.AdminService.securityInvestigationObjectSaveInvestigationgoogle.admin.AdminService.securityInvestigationObjectUpdateDirectSharinggoogle.admin.AdminService.securityInvestigationObjectUpdateLinkSharinggoogle.admin.AdminService.securityInvestigationQuerygoogle.admin.AdminService.securityInvestigationSettingUpdate |
| SECURITY_SETTINGS | google.admin.AdminService.addToTrustedOauth2Appsgoogle.admin.AdminService.allowAspWithout2Svgoogle.admin.AdminService.allowServiceForOauth2Accessgoogle.admin.AdminService.allowStrongAuthenticationgoogle.admin.AdminService.blockOnDeviceAccessgoogle.admin.AdminService.changeAllowedTwoStepVerificationMethodsgoogle.admin.AdminService.changeAppAccessSettingsCollectionIdgoogle.admin.AdminService.changeCaaAppAssignmentsgoogle.admin.AdminService.changeCaaDefaultAssignmentsgoogle.admin.AdminService.changeCaaErrorMessagegoogle.admin.AdminService.changeSessionLengthgoogle.admin.AdminService.changeTwoStepVerificationEnrollmentPeriodDurationgoogle.admin.AdminService.changeTwoStepVerificationFrequencygoogle.admin.AdminService.changeTwoStepVerificationGracePeriodDurationgoogle.admin.AdminService.changeTwoStepVerificationStartDategoogle.admin.AdminService.disallowServiceForOauth2Accessgoogle.admin.AdminService.enableNonAdminUserPasswordRecoverygoogle.admin.AdminService.enforceStrongAuthenticationgoogle.admin.AdminService.removeFromTrustedOauth2Appsgoogle.admin.AdminService.sessionControlSettingsChangegoogle.admin.AdminService.toggleCaaEnablementgoogle.admin.AdminService.trustDomainOwnedOauth2Appsgoogle.admin.AdminService.unblockOnDeviceAccessgoogle.admin.AdminService.untrustDomainOwnedOauth2Appsgoogle.admin.AdminService.updateErrorMsgForRestrictedOauth2Appsgoogle.admin.AdminService.weakProgrammaticLoginSettingsChanged |
| SITES_SETTINGS | google.admin.AdminService.addWebAddressgoogle.admin.AdminService.deleteWebAddressgoogle.admin.AdminService.changeSitesSettinggoogle.admin.AdminService.changeSitesWebAddressMappingUpdatesgoogle.admin.AdminService.viewSiteDetails |
| USER_SETTINGS | google.admin.AdminService.delete2SvScratchCodesgoogle.admin.AdminService.generate2SvScratchCodesgoogle.admin.AdminService.revoke3LoDeviceTokensgoogle.admin.AdminService.revoke3LoTokengoogle.admin.AdminService.addRecoveryEmailgoogle.admin.AdminService.addRecoveryPhonegoogle.admin.AdminService.grantAdminPrivilegegoogle.admin.AdminService.revokeAdminPrivilegegoogle.admin.AdminService.revokeAspgoogle.admin.AdminService.toggleAutomaticContactSharinggoogle.admin.AdminService.bulkUploadgoogle.admin.AdminService.bulkUploadNotificationSentgoogle.admin.AdminService.cancelUserInvitegoogle.admin.AdminService.changeUserCustomFieldgoogle.admin.AdminService.changeUserExternalIdgoogle.admin.AdminService.changeUserGendergoogle.admin.AdminService.changeUserImgoogle.admin.AdminService.enableUserIpWhitelistgoogle.admin.AdminService.changeUserKeywordgoogle.admin.AdminService.changeUserLanguagegoogle.admin.AdminService.changeUserLocationgoogle.admin.AdminService.changeUserOrganizationgoogle.admin.AdminService.changeUserPhoneNumbergoogle.admin.AdminService.changeRecoveryEmailgoogle.admin.AdminService.changeRecoveryPhonegoogle.admin.AdminService.changeUserRelationgoogle.admin.AdminService.changeUserAddressgoogle.admin.AdminService.createEmailMonitorgoogle.admin.AdminService.createDataTransferRequestgoogle.admin.AdminService.grantDelegatedAdminPrivilegesgoogle.admin.AdminService.deleteAccountInfoDumpgoogle.admin.AdminService.deleteEmailMonitorgoogle.admin.AdminService.deleteMailboxDumpgoogle.admin.AdminService.changeFirstNamegoogle.admin.AdminService.gmailResetUsergoogle.admin.AdminService.changeLastNamegoogle.admin.AdminService.mailRoutingDestinationAddedgoogle.admin.AdminService.mailRoutingDestinationRemovedgoogle.admin.AdminService.addNicknamegoogle.admin.AdminService.removeNicknamegoogle.admin.AdminService.changePasswordgoogle.admin.AdminService.changePasswordOnNextLogingoogle.admin.AdminService.downloadPendingInvitesListgoogle.admin.AdminService.removeRecoveryEmailgoogle.admin.AdminService.removeRecoveryPhonegoogle.admin.AdminService.requestAccountInfogoogle.admin.AdminService.requestMailboxDumpgoogle.admin.AdminService.resendUserInvitegoogle.admin.AdminService.resetSigninCookiesgoogle.admin.AdminService.securityKeyRegisteredForUsergoogle.admin.AdminService.revokeSecurityKeygoogle.admin.AdminService.userInvitegoogle.admin.AdminService.viewTempPasswordgoogle.admin.AdminService.turnOff2StepVerificationgoogle.admin.AdminService.unblockUserSessiongoogle.admin.AdminService.unenrollUserFromTitaniumgoogle.admin.AdminService.archiveUsergoogle.admin.AdminService.updateBirthdategoogle.admin.AdminService.createUsergoogle.admin.AdminService.deleteUsergoogle.admin.AdminService.downgradeUserFromGplusgoogle.admin.AdminService.userEnrolledInTwoStepVerificationgoogle.admin.AdminService.downloadUserlistCsvgoogle.admin.AdminService.moveUserToOrgUnitgoogle.admin.AdminService.userPutInTwoStepVerificationGracePeriodgoogle.admin.AdminService.renameUsergoogle.admin.AdminService.unenrollUserFromStrongAuthgoogle.admin.AdminService.suspendUsergoogle.admin.AdminService.unarchiveUsergoogle.admin.AdminService.undeleteUsergoogle.admin.AdminService.unsuspendUsergoogle.admin.AdminService.upgradeUserToGplusgoogle.admin.AdminService.usersBulkUploadgoogle.admin.AdminService.usersBulkUploadNotificationSent |
Google Workspace Enterprise グループの監査
Google Workspace Enterprise グループの監査ログでは、すべての監査ログに対してリソースタイプ audited_resource が使用されます。
Google Workspace Enterprise グループの監査ログでは、サービス名 cloudidentity.googleapis.com が使用されます。
Google Workspace Enterprise グループの監査ログは、管理アクティビティ監査ログのみを書き込みます。監査対象のオペレーションは次のとおりです。
監査ログのカテゴリ |
AuditLog.method_name
|
|---|---|
| 管理アクティビティ監査ログ | google.apps.cloudidentity.groups.v1.GroupsService.UpdateGroupgoogle.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership |
Google Workspace Login の監査
すべての Google Workspace ログイン監査の監査ログでは、リソースタイプ audited_resource が使用されます。
Google Workspace ログイン監査ログでは、サービス名 login.googleapis.com が使用されます。
Google Workspace ログイン監査では、データアクセス監査ログのみを書き込みます。監査対象のオペレーションは次のとおりです。各オペレーションについて ログサンプルが用意されています。
| 監査ログのカテゴリ | AuditLog.method_name |
|---|---|
| データアクセスの監査ログ | google.login.LoginService.2svDisable google.login.LoginService.2svEnroll google.login.LoginService.accountDisabledPasswordLeak google.login.LoginService.accountDisabledGeneric google.login.LoginService.accountDisabledSpammingThroughRelay google.login.LoginService.accountDisabledSpamming google.login.LoginService.accountDisabledHijacked google.login.LoginService.emailForwardingOutOfDomain google.login.LoginService.govAttackWarning google.login.LoginService.loginChallenge google.login.LoginService.loginFailure google.login.LoginService.loginVerification google.login.LoginService.logout google.login.LoginService.loginSuccess google.login.LoginService.passwordEdit google.login.LoginService.recoveryEmailEdit google.login.LoginService.recoveryPhoneEdit google.login.LoginService.recoverySecretQaEdit google.login.LoginService.riskySensitiveActionAllowed google.login.LoginService.riskySensitiveActionBlocked google.login.LoginService.suspiciousLogin google.login.LoginService.suspiciousLoginLessSecureApp google.login.LoginService.suspiciousProgrammaticLogin google.login.LoginService.titaniumEnroll google.login.LoginService.titaniumUnenroll |
Google Workspace の OAuth トークンの監査
Google Workspace の OAuth トークンの監査ログでは、すべての監査ログにリソースタイプ audited_resource が使用されます。
Google Workspace OAuth トークンの監査ログでは、サービス名 oauth2.googleapis.com が使用されます。
Google Workspace OAuth トークン監査では、管理アクティビティ監査ログとデータアクセス監査ログの両方が書き込まれます。監査対象のオペレーションは次のとおりです。
監査ログのカテゴリ |
AuditLog.method_name
|
|---|---|
| 管理アクティビティ監査ログ | google.identity.oauth2.Denygoogle.identity.oauth2.GetTokengoogle.identity.oauth2.Requestgoogle.identity.oauth2.RevokeToken |
| データアクセスの監査ログ | google.identity.oauth2.GetTokenInfo |
Google Workspace の SAML の監査
Google Workspace SAML 監査ログでは、すべての監査ログに対してリソースタイプ audited_resource が使用されます。
Google Workspace SMAL 監査ログでは、サービス名 login.googleapis.com が使用されます。
Google Workspace SMAL 監査では、データアクセス監査ログのみを書き込みます。監査対象のオペレーションは次のとおりです。
監査ログのカテゴリ |
AuditLog.method_name
|
|---|---|
| データアクセスの監査ログ | google.apps.login.v1.SamlLoginFailed |
google.apps.login.v1.SamlLoginSucceeded |
監査ログに関する権限
IAM の権限とロールによって、Logging API、ログ エクスプローラ、Google Cloud CLI内の監査ログデータにアクセス可能かどうか判断されます。
必要となる組織レベルの IAM 権限とロールの詳細については、IAM を使用したアクセス制御をご覧ください。
監査ログ形式
Google Workspace 監査ログエントリには、次のオブジェクトが含まれています。
ログエントリ自体。
LogEntry型のオブジェクトです。監査ロギングデータを調べる際は、次の情報が役立ちます。logNameには、組織 ID と監査ログの種類が含まれます。resource: 監査対象オペレーションのターゲットが格納されます。timeStamp: 監査対象オペレーションの時間が格納されます。protoPayloadのmetadataフィールドには、Google Workspace 監査ログが含まれています。
protoPayload.metadata フィールドには、監査対象の Google Workspace の情報が保持されます。ログイン監査ログの例を次に示します。
{ "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": "test-user@example.net" }, "requestMetadata": { "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff", "requestAttributes": {}, "destinationAttributes": {} }, "serviceName": "login.googleapis.com", "methodName": "google.login.LoginService.loginFailure", "resourceName": "organizations/123", "metadata": { "event": [ { "eventName": "login_failure", "eventType": "login", "parameter": [ { "value": "google_password", "type": "TYPE_STRING", "name": "login_type", }, { "name": "login_challenge_method", "type": "TYPE_STRING", "label": "LABEL_REPEATED", "multiStrValue": [ "password", "idv_preregistered_phone", "idv_preregistered_phone" ] }, ] } ], "activityId": { "uniqQualifier": "358068855354", "timeUsec": "1632500217183212" }, "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto" } }, "insertId": "-nahbepd4l1x", "resource": { "type": "audited_resource", "labels": { "method": "google.login.LoginService.loginFailure", "service": "login.googleapis.com" } }, "timestamp": "2021-09-24T16:16:57.183212Z", "severity": "NOTICE", "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access", "receiveTimestamp": "2021-09-24T17:51:25.034361197Z" }
サービス固有の監査ロギング フィールドとそれらを解釈する方法については、使用可能な監査ログに記載されているサービスを選択してください。
ログを表示
Google Workspace 監査ログの表示については、Google Workspace の監査ログを表示して管理するをご覧ください。
監査ログの転送
Google Workspace の監査ログは、Cloud Logging からサポートされている他のバケット(他の Logging バケットなど)にルーティングできます。
監査ログの転送に関する応用例の一部を以下に示します。
より強力な検索機能を使用するには、監査ログのコピーを Cloud Storage、BigQuery、Pub/Sub にルーティングします。Pub/Sub を使用すると、他のアプリケーション、他のリポジトリ、サードパーティ製品に転送できます。
組織全体の監査ログを管理するには、集約シンクを作成します。これにより、組織に含まれているすべての Google Cloud プロジェクト、請求先アカウント、フォルダのログを組み合わせてルーティングできます。たとえば、監査ログエントリを組織のフォルダから Cloud Storage バケットに集約し、ルーティングできます。
ログの転送手順については、サポートされている宛先にログをルーティングするをご覧ください。
リージョン指定
Google Workspace のログを保存するリージョンを選択することはできません。Google Workspace のログは Google Workspace のデータ リージョン ポリシーの対象外です。
保持期間
監査ログデータには次の保持期間が適用されます。
Cloud Logging は、組織ごとに _Default バケットと _Required バケットの 2 つのバケットにログを自動的に保存します。_Required バケットには、管理アクティビティの監査ログ、システム イベントの監査ログ、アクセスの透明性ログが保存されます。_Default バケットには、_Required バケットに保存されていない他のすべてのログエントリが保持されます。Logging バケットの詳細については、転送とストレージの概要をご覧ください。
_Default ログバケットに 1 日~3,650 日の範囲でログを保持するように Cloud Logging を構成できます。
_Default ログバケットの保持期間を更新するには、カスタム保持をご覧ください。
_Required バケットでの保持期間は変更できません。
割り当てと上限
Google Workspace と Cloud Audit Logs の監査ログにも同じ割り当てが適用されます。
監査ログの最大サイズを含む、これらの使用量上限について詳しくは、割り当てと上限をご覧ください。
料金
料金情報については、Google Cloud Observability の料金をご覧ください。
次のステップ
- Google Workspace 監査ログを構成して管理する方法を学習する。
- Cloud Audit Logs のベスト プラクティスを確認する。
- Google Workspace のアクセスの透明性ログを表示して理解する方法を確認する。