G Suite Alert Center の収集の設定
このページでは、G Suite Alert Center からログを収集して Sumo Logic に取り込み、G Suite アプリケーションで事前定義済みのダッシュボードとサーチで使用する方法を説明します。リンクをクリックして、トピックに移動してください。
- Alert Type (アラート タイプ)
- 収集の概要
- ステップ 1: Hosted Collector と HTTP Source を追加する
- ステップ 2: G Suite Alert Center の収集の設定
- ログ メッセージのサンプル
- クエリのサンプル
Alert Type (アラート タイプ)
すべてのアラートは JSON 形式です。ほとんどのアラートには、alertId、customerId、createTime、source、type、data などの共通フィールドがあります。異なるのは、アラート特有の詳細が記録される JSON のデータ セクションです。各アラート タイプの詳細については、G Suite Alert のドキュメントを参照してください。
収集の概要
Sumo Logic は、G Suite から API コールでログを取り出すサーバレス ソリューションを提供しています。収集するアラートのリストを設定できますが、デフォルトではすべてのアラートが収集されます。アラートは、Sumo Logic の HTTP エンドポイントに JSON 形式で転送されます。デフォルトでは、収集は現在の日付と時刻から開始されますが、「詳細設定」セクションで説明されているように、この設定も変更できます。
ステップ 1: Hosted Collector と HTTP Source を追加する
このセクションでは、G Suite Alert Center のアラートを収集するために、Sumo Logic の Hosted Collector と HTTP ログおよびメトリクス Source を追加する方法を説明します。
前提条件
HTTP Source を作成する前に、使用する Sumo Logic の Hosted Collector を指定するか、次の手順で新しい Hosted Collector を作成します。
Hosted Collector と HTTP Source を追加するには、次の手順を実行します。
- 「Hosted Collector を設定する」の手順を実行して、新しい Sumo Logic の Hosted Collector を作成します。
- HTTP ログとメトリクス Source を追加します。
- [Advanced Options for Logs (ログの詳細オプション)] の下にある [Timestamp Format (タイムスタンプの形式)] で [Specify a format (形式を指定)] をクリックして、各フィールドに以下の情報を入力します。
- Format (形式):
yyyy-MM-dd'T'HH:mm:ss.SSS'Z'
- Timestamp locator (タイムスタンプ ロケータ):
\"createTime\":(.*),
- [Add (追加)] をクリックします。
ステップ 2: G Suite Alert Center の収集の設定
このセクションでは、G Suite Alert Center から知見を収集して Sumo Logic に送信するさまざまなメカニズムについて調べます。知見は、G Suite アプリケーションのダッシュボードに表示されます。Google Cloud Platform (GCP) で G Suite Alert Center Collector を設定するか、または Linux マシンでスクリプトを使用できます。最も適した方法を選択してください。
ログ メッセージのサンプル
このセクションでは、G Suite Alert Center のログ メッセージの例を示します。
{
"alertId": "2b49ec18-2f92-4d58-acca-45994b740848",
"createTime": "TIMESTAMP",
"customerId": "03gm7p8e",
"data": {
"@type": "type.googleapis.com/google.apps.alertcenter.type.DomainWideTakeoutInitiated",
"takeoutRequestId": "unique9gfd87ss",
"email": "john@alertcenter1.bigr.name"
},
"deleteTime": "TIMESTAMP",
"endTime": "TIMESTAMP",
"metadata": {
"alertId": "2b49ec18-2f92-4d58-acca-45994b740848",
"customerId": "03gm7p8e",
"status": "NOT_STARTED",
"updateTime": "TIMESTAMP"
},
"source": "Domain wide takeout",
"startTime": "TIMESTAMP",
"type": "Customer takeout initiated"
}
クエリのサンプル
このセクションに示されているクエリ例は、[G Suite - Alert Center - Investigations (G Suite - Alert Center - 調査)] ダッシュボードの [G Suite Activity by Users with Compromised Credentials (資格情報が漏洩したユーザごとの G Suite アクティビティ)] パネルから引用されています。
_sourceCategory=gsuite_google_apps | json "actor", "events", "id" nodrop | json field=actor "email" | json field=id "applicationName" | where [subquery:_sourceCategory=gsuite_alerts "Leaked password" | json "alertId","customerId","source","type","data", "data.email" as alert_id, customer_id, source, type, data, email | where type="Leaked password" | count by email | compose email ] | parse regex field=events "\"name\":\"(?<event_name>[^\"]+)\",\"type\":\"(?<event_type>[^\"]+)\"" multi | formatDate(_messageTime,"MM-dd-yyyy HH:mm:ss:SSS") as event_time | count by event_time, event_name, event_type, email, applicationName | fields -_count | sort by event_time