G Suite
G Suite アプリケーションにより、すべての G Suite アプリケーションのアクティビティを 1 か所からモニタリングして分析できます。包括的なダッシュボードには、管理アクティビティとユーザ アクティビティ、Google ドライブの使用状況、ログインに関する情報が表示されます。
また、G Suite Alert Center からのアラートを完全に視覚化することで、アラートを調査して相関させ、すべての G Suite アプリケーションの潜在的な脅威をモニタリングできます。
ログとアラートのタイプ
各 G Suite アプリケーションには、アクションを JSON 形式でトラッキングする独自のログがあります。すべてのログの構造はほぼ同じです。違うのは、アクションが記録される JSON のイベント セクションです。
ログの共通の領域は次の通りです。
Event (イベント) | 説明 |
Id |
applicationName (drive や admin など) が含まれます。 |
Actor |
メール アドレスが含まれます。これは、アクションを実行したユーザの Google メール アドレスです。 |
ipAddress |
アクションを実行したユーザの IP アドレス。 |
ログのイベント セクションは次の通りです。
G Suite ログイン アプリケーション
Event (イベント) | 説明 |
Login type name |
ステータスまたはアクティビティのタイプに相当: login_success、logout、または login_failure。ログイン ダッシュボードには、ログイン失敗の理由を示す login_failure_type を表示するパネルもあります。 |
login_challenge |
疑わしいサインインのログイン チャレンジに関連するアクションを記録します。それぞれの結果は login_challenge_status に記録されます。ここで、正の値は Challenge Failed または Challenge Passed です。login_challenge の詳細については、Google ドキュメントを参照してください。 |
G Suite 管理およびトークン アプリケーション
これらのアクションは、Google サイト管理者が実行するアクションです。
Event (イベント) | 説明 |
USER_SETTINGS |
これらのアクションは、CREATE_USER、DELETE_USER、CHANGE_PASSWORD など、各ユーザ レベルで実行されるアクションです。 各ユーザ アクションの特定のタイプは CREATE_DATA_TRANSFER_REQUEST です。これは通常、ユーザが削除された後に起こり、ドライブなどのユーザのコンテンツはそのユーザのマネージャに転送されます。 |
GROUP_SETTINGS |
これらは、ユーザの追加やグループからのユーザの削除などのアクションです。 |
Other |
その他のタイプのアクションも実行されますが、それほど一般的ではありません (CHROME_OS_SETTINGS、DEVICE_SETTINGS など)。 |
G Suite ドライブ アプリケーション
Google ドライブ アプリケーションのログには Access と acl_change の 2 つのタイプがあります。ドライブでは 1 つのユーザ アクションで複数のイベントが生成される場合があります。これらのうち、1 つがプライマリ イベントになり、その他はそのイベントの副作用となります。調べるのはプライマリ イベントです。
Access タイプとは、ドキュメントやフォルダの表示やダウンロードなどです。コンテンツの作成、アップロード、名前変更、編集、移動も含まれます。
Acl_change タイプには、ここで実行する内容に関する範囲の変更を含めて、ドキュメントやフォルダを編集できるユーザが含まれます。
ドキュメント タイプ (doc_type) の場合、Google は独自のドキュメント (文書、スプレッドシート、プレゼンテーションなど) のみを認識します。その他のドキュメント タイプ (Excel、PDF、MP4 など) は不明と分類されます。ドライブ ダッシュボード パネルでは、Google タイプを取得し、ファイル拡張子を使用して本来は不明と表示されるはずのその他のタイプを分類します。
G Suite Alert Center
G Suite Alert Center により、アラートを調査して相関させ、すべての G Suite アプリケーションの潜在的な脅威をモニタリングできます。すべてのアラートは JSON 形式です。ほとんどのアラートには、alertId、customerId、createTime、source、type、data などの共通フィールドがあります。異なるのは、アラート特有の詳細が記録される JSON のデータ セクションです。各アラート タイプの詳細については、G Suite Alert のドキュメントを参照してください。