メインコンテンツまでスキップ
Sumo Logic Japanese

G Suite Alert Center 用の Google Cloud Platform 収集の設定

このページでは、G Suite Alert Center 用の Google Cloud Platform 収集の設定方法について説明します。

この方法は、Google Cloud Platform (GCP) 環境での収集に使用してください。

Google Cloud Platform (GCP) 収集 

このセクションでは、Google Cloud Platform 環境での G Suite Alert Center 収集の設定方法について説明します。G suite Alert Center Collector 機能は、G Suite から知見を取り出して Sumo Logic に送信します。

GCP 環境で G Suite Alert Center 収集を設定するには、以下の手順を実行します。

  1. https://console.cloud.google.com/cloudshell/ に移動します。

  2. 次のコマンドを実行します。

wget https://s3.amazonaws.com/appdev-cloudformation-templates/sumo_gsuite_alerts_collector_deploy.sh
  1. sumo_gsuite_alerts_collector_deploy.sh bash スクリプトを編集して以下の変数を設定します。

  • region:   Google 関数をデプロイするリージョン。例: "us-central1"
  • project_id: Collector とそのリソースをデプロイするプロジェクトのプロジェクト ID。
  • delegated_email: スーパー管理者アクセス権限を持つ G Suite ユーザの有効なメール アドレス。
  • Sumo_endpoint:  ステップ 1 で作成した Sumo Logic HTTP エンドポイント。
  1. 次のスクリプトを実行します。

sh sumo_gsuite_alerts_collector_deploy.sh
  1. スクリプト出力の最後に表示されているクライアント ID をコピーします。この ID は、次の作業でクライアント IP アクセスを許可するように G Suite Alert Center を設定するときに [Client Name (クライアント名)] フィールドで使用します。

  2. この手順のこれまでのステップで設定したプロジェクト ID を持つプロジェクトの [Cloud Datastore] ページに移動して、[Cloud Firestore in Datastore Mode (Datastore モードの Cloud Firestore)] オプションでデータベースを作成します。詳細については Google Cloud Datastore のドキュメントを参照してください。

GSuite_AlertCenter_DatastoreMode.png

クライアント API アクセスを許可するための G Suite Alert Center の設定

このセクションでは、クライアント API アクセスを許可するように G Suite Alert Center を設定する方法を説明します。 

G Suite Alert Center を設定するには、以下の手順を実行します。

  1. G Suite ドメインの管理コンソール に移動して (「管理コンソールへのサインイン」の手順を参照してください)、[Security (セキュリティ)] をクリックし、[Settings (設定)] を選択します。

GCP_Security-Settings.png

  1. [Advanced Settings (詳細設定)] に移動して [Manage API client access (API クライアント アクセスの管理)] をクリックします。

GCP_Manage-API-Client-Access.png

  1. [Client Name (クライアント名)] フィールドに、ステップ 2 でコピーしたサービス アカウントのクライアント ID を入力して、[One or More API Scopes (1 つ以上の API 範囲)] フィールドに以下を入力します。https://www.googleapis.com/auth/apps.alerts  

GCP_Manage-API-client-access-dialog.png

  1. [Authorize (認証)] をクリックします。

高度な設定 

このセクションでは、G Suite Alert Center の環境変数のリストを示し、それぞれの使い方を説明します。これらの環境変数の設定方法については、Google Cloud のドキュメントを参照してください。

環境変数  使い方
ALERT_TYPES

"Customer takeout initiated"

"Misconfigured whitelist "

"User reported phishing"

"User reported spam spike"

"Suspicious message reported"

"Phishing reclassification"

"Malware reclassification"

"Leaked password"

"Suspicious login"

"Suspicious login (less secure app)"

"Suspicious programmatic login"

"User suspended"

"User suspended (spam)"

"User suspended (spam through relay)"

"User suspended (suspicious activity)"

"Google Operations"

"Government attack warning"

"Device compromised"

"Suspicious activity"

BACKFILL_DAYS イベント収集を開始する前の日数。1 を指定すると、昨日から今日にかけてイベントがフェッチされます。
PAGINATION_LIMIT 1 つの API コールでフェッチするイベント数。
LOG_FORMAT Python ログ モジュールがログをファイルに書き込むために使用するログ形式。
ENABLE_LOGFILE すべてのログとエラーをログ ファイルに書き込む場合は TRUE に設定します。
ENABLE_CONSOLE_LOG コンソールへのログ出力を有効にします。
LOG_FILEPATH ENABLE_LOGFILE を TRUE に設定した場合に使用するログ ファイルのパス。
NUM_WORKERS API コールで生成するスレッド数。
MAX_RETRY リクエスト失敗時の再試行回数。
BACKOFF_FACTOR

2 回目以降の再試行において、再試行と再試行の間に適用されるバックオフ係数。backoff_factor が 0.1 の場合、sleep() は再試行と再試行の間で [0.0s, 0.2s, 0.4s, ...] とスリープします。

TIMEOUT リクエスト ライブラリで使用するリクエスト タイムアウト。
SUMO_ENDPOINT Sumo Logic で作成される HTTP Source エンドポイント URL。

Google Cloud Platform 関数のトラブルシューティング 

このセクションでは、発生したエラーを解決するために関数をトラブルシューティングする方法を説明します。

関数を検証するには、次の手順を実行します。

  1. Google Cloud Platform アカウントにログインし、作成したクラウド関数に移動して、[Testing (テスト)] をクリックします。
  2. [Test the function (関数のテスト)] ボタンをクリックします。

GSuite_Troubleshooting_TestFunction.png

  1. [View Logs (ログの表示)] ボタンをクリックして、関数のログを表示します。環境変数が設定されていない場合は、次のようなエラー メッセージが表示されます。

GSuite_Troubleshooting_ErrorLogs.png

  1. 問題を解決するために必要な環境変数を設定します。

 

  • この記事は役に立ちましたか?