メインコンテンツまでスキップ
Sumo Logic Japanese

G Suite Apps 監査ソース

G Suite Apps 監査ソースは、Google Apps Reports API を使用して、ウォッチポイントからすべての監査ログを取得します。次の Google アプリケーションからアクティビティを収集できます。

  • 管理
  • カレンダー
  • ドライブ
  • ログイン
  • トークン
  • グループ
  • Google+
  • モバイル
  • ルール

ソースはアプリごとに 1 つだけ設定する必要があります。つまり、カレンダー監査ログを収集するために 1 つのソースを設定し、トークン監査ログを収集するために別のソースを 1 つ設定します。

Google 認証と承認

このソースでは、Google Apps Reports API との統合に OAuth を使用します。そのため、Google Apps の認証情報が Sumo Logic に保存されることはなく、Sumo Logic から Google Apps アカウントの詳細を確認することはできません。Sumo Logic は、認証および承認後に生成された OAuth トークンのみを保存します。

Google Apps 監査ソースを作成または変更するときは、Google のアカウントおよび Reports API へのアクセス権を持つユーザの資格情報を使用して Google で認証する必要があります。詳細は、Google の「Reports API: Prerequisites (レポート API: 前提条件)」のドキュメントを参照してください。Google の OAuth 同意フローで、Sumo Logic アプリに Reports API を使用する権限を付与するように求められます。

G Suite Apps 監査ソースの設定

ホスト型コレクタをセットアップして資格情報を用意したら、ソースを設定するため準備は完了です。

G Suite Apps 監査ソースを設定するには、次の手順を実行します。

  1. Sumo Logic で、[Manage Data (データの管理)] > [Collection (コレクション)] > [Collection (コレクション)] を選択します。 
  2. [Collectors (コレクタ)] ページで、ホスト型コレクタの横の [Add Source (ソースを追加)] をクリックします。
  3. [G Suite Apps Audit (G Suite Apps 監査)] を選択します。
  4. [Name (名前)] に、ソースの名前を入力します。説明 (省略可能) を入力します。
  5. [Application (アプリケーション)] で、このソースからデータを収集するアプリケーションを選択します。
  6. [Source Category (ソース カテゴリ)] に、このソースから収集されたデータを検索するために使用するソース カテゴリを入力します
  7. Google Apps Reports API を使用してウォッチポイントを設定することを Sumo Logic に許可するには、[Sign in with Google (Google でサインイン)] をクリックします。[Accept (受け入れる)] をクリックします。
  8. [Save (保存)] をクリックします。

イベントがログ記録されていることを確認するには、Sumo Logic のデータを Google 管理コンソールの [Reports (レポート)] に表示されているデータと比較します。

Google Apps Audit の既知の問題

いくつかの既知の問題は Google API の制限によるものであり、Sumo Logic では変更できません。 

認証トークンの制限:  Google では、アプリケーション (Sumo Logic など) に対して、1 つの Google Apps アカウントごとにアクティブ認証トークンが 25 個までに制限されています。Google のドキュメントでは、26 番目のトークンが作成されると最も古いトークンが無効になると記述されています。ただし、テストでは、26 番目のトークンが発行されると、それまでの 25 個のトークンすべてが無効になることがわかりました。この場合は、Sumo Logic ですべての Google Apps 監査ソースを削除して再作成することが唯一の回避策です。

レコードの重複:  以下の状況では、重複するログ メッセージが収集される可能性があります。

  • 複雑なイベント:  新しいカレンダー エントリなど、複数のサブイベントを含む複雑なイベントのログが記録されると、そのイベントのログを記録する JSON オブジェクトが作成されます。そのオブジェクトには、読み込まれるアクション (ゲストの招待など) ごとにイベントの詳細情報の配列が作成されます。この場合、各サブアクションで重複したイベント ログが作成されることがあります。そのため、3 つのサブアクションを持つイベントが 1 つある場合、まったく同じメッセージ イベント データが 3 つ重複する可能性があります。これは、おそらく Google API のバグによるものです。
  • ウォッチポイントの有効期限: Google API のウォッチポイントは約 1 週間後に期限切れになります。残念ながら、ウォッチポイントの有効期限を更新する方法はありません。Sumo Logic では、各ウォッチポイントの期限切れになる時期をトラッキングし、短い間隔で新しいウォッチポイントを作成し、古いウォッチポイントを削除する必要があります。これにより、同じアプリケーションに 2 つのウォッチポイントが存在する重複期間が短くなり、通常では数秒しか発生しません。この重複した期間では、ログが重複する可能性があり、その両方が収集されます (これは、一部のデータが失われる可能性がある場合よりも、これは望ましい状況です)。

サービスの可用性:  ログ記録は Google サービスの可用性に依存します。場合によっては、アプリケーションが一定期間ログの作成を停止することがあります。Sumo Logic では、開発や QA テストでこの問題を確認しました。

これらの制限や既知の問題に関するフィードバックを送る場合は、Google サポートまたは Google アカウントの連絡先に連絡してください。

OAuth 2.0 アクセス トークンとサブスクリプションの有効期限

アクセス トークン

監査イベントの収集に必要な監査ログ API にアクセスするには、G Suite などのサードパーティ サービスから Sumo 用のアクセス トークンを取得します。アクセス トークンは、暗号化されて保存されます。さらに、数時間の短い有効期限が与えられます。データの消失を防ぐため、有効期限が切れる前に自動的に更新されます。成功および失敗したトークン更新イベントは監査インデックスにログ記録されます。リクエストが失敗した場合、Sumo はトークンの更新を約 1 週間試行し続けます。何回か失敗したときは、G Suite Apps 監査ソースを再作成することをお勧めします。

サブスクリプションのウォッチポイント

サブスクリプションは、通知イベントを受信するためにサードパーティ サービスとの間で確立されたチャネルです。アクセス トークンと同様に、サブスクリプションは有効期限が切れる前まで有効です。契約が期限切れになる前に、Sumo は現在のサブスクリプションを無効にして新しいサブスクリプションを取得します。サブスクリプションの更新に失敗した場合、エントリが監査インデックスに記録されます。

  • この記事は役に立ちましたか?