メインコンテンツまでスキップ
Sumo Logic Japanese

G Suite Alert Center の収集の設定

このページでは、G Suite 用 Sumo Logic アプリケーションで使用するために G Suite Alert Center からのログ収集を設定する方法を説明します。

このページでは、G Suite Alert Center からログを収集して Sumo Logic に取り込み、G Suite アプリケーションで事前定義済みのダッシュボードとサーチで使用する方法を説明します。リンクをクリックして、トピックに移動してください。

Alert Type (アラート タイプ)

すべてのアラートは JSON 形式です。ほとんどのアラートには、alertId、customerId、createTime、source、type、data などの共通フィールドがあります。異なるのは、アラート特有の詳細が記録される JSON のデータ セクションです。各アラート タイプの詳細については、G Suite Alert のドキュメントを参照してください。

収集の概要

Sumo Logic は、G Suite から API コールでログを取り出すサーバレス ソリューションを提供しています。収集するアラートのリストを設定できますが、デフォルトではすべてのアラートが収集されます。アラートは、Sumo Logic の HTTP エンドポイントに JSON 形式で転送されます。デフォルトでは、収集は現在の日付と時刻から開始されますが、「詳細設定」セクションで説明されているように、この設定も変更できます。

GSuite_AlertCenter_Collection_Overview3.png

ステップ 1: Hosted Collector と HTTP Source を追加する

このセクションでは、G Suite Alert Center のアラートを収集するために、Sumo Logic の Hosted Collector と HTTP ログおよびメトリクス Source を追加する方法を説明します。

前提条件

HTTP Source を作成する前に、使用する Sumo Logic の Hosted Collector を指定するか、次の手順で新しい Hosted Collector を作成します。

Hosted Collector と HTTP Source を追加するには、次の手順を実行します。

  1. 「Hosted Collector を設定する」の手順を実行して、新しい Sumo Logic の Hosted Collector を作成します。
  2. HTTP ログとメトリクス Source を追加します。
  3. [Advanced Options for Logs (ログの詳細オプション)] の下にある [Timestamp Format (タイムスタンプの形式)] で [Specify a format (形式を指定)] をクリックして、各フィールドに以下の情報を入力します。
  • Format (形式):
yyyy-MM-dd'T'HH:mm:ss.SSS'Z'
  • Timestamp locator (タイムスタンプ ロケータ):
\"createTime\":(.*),

GSuite_AlertCenter_HTTP-Source-dialog.png

  1. [Add (追加)] をクリックします。

ステップ 2: G Suite Alert Center の収集の設定 

このセクションでは、G Suite Alert Center から知見を収集して Sumo Logic に送信するさまざまなメカニズムについて調べます。知見は、G Suite アプリケーションのダッシュボードに表示されます。Google Cloud Platform (GCP) で G Suite Alert Center Collector を設定するか、または Linux マシンでスクリプトを使用できます。最も適した方法を選択してください。

ログ メッセージのサンプル

このセクションでは、G Suite Alert Center のログ メッセージの例を示します。

{
 "alertId": "2b49ec18-2f92-4d58-acca-45994b740848",
 "createTime": "TIMESTAMP",
 "customerId": "03gm7p8e",
 "data": {
   "@type": "type.googleapis.com/google.apps.alertcenter.type.DomainWideTakeoutInitiated",
   "takeoutRequestId": "unique9gfd87ss",
   "email": "john@alertcenter1.bigr.name"
 },
 "deleteTime": "TIMESTAMP",
 "endTime": "TIMESTAMP",
 "metadata": {
   "alertId": "2b49ec18-2f92-4d58-acca-45994b740848",
   "customerId": "03gm7p8e",
   "status": "NOT_STARTED",
   "updateTime": "TIMESTAMP"
 },
 "source": "Domain wide takeout",
 "startTime": "TIMESTAMP",
 "type": "Customer takeout initiated"
}

クエリのサンプル

このセクションに示されているクエリ例は、[G Suite - Alert Center - Investigations (G Suite - Alert Center - 調査)] ダッシュボードの [G Suite Activity by Users with Compromised Credentials (資格情報が漏洩したユーザごとの G Suite アクティビティ)] パネルから引用されています。

_sourceCategory=gsuite_google_apps
| json "actor", "events", "id" nodrop
| json field=actor "email"
| json field=id "applicationName"
| where [subquery:_sourceCategory=gsuite_alerts "Leaked password"
 | json "alertId","customerId","source","type","data", "data.email" as alert_id, customer_id, source, type, data, email
 | where type="Leaked password"  
 | count by email
 | compose email  
]
| parse regex field=events "\"name\":\"(?<event_name>[^\"]+)\",\"type\":\"(?<event_type>[^\"]+)\"" multi
| formatDate(_messageTime,"MM-dd-yyyy HH:mm:ss:SSS") as event_time
| count by event_time, event_name, event_type, email, applicationName
| fields -_count
| sort by event_time

 

  • この記事は役に立ちましたか?