--- id: "18430" Slack: https://topgate.slack.com/archives/CDBNPLL2X/p1718358857537809 Zendesk: https://topgate-support.zendesk.com/agent/tickets/18430 --- # 18430 ## 2024-06-17 お世話になっております。JWITS四方と申します。 以下の3件についてご教示いただけないでしょうか。 1.CloudIdentityのログ取得方法 ●前提 以下のログについて、GCPプロジェクトXのGCSに保管する必要があります。 ①管理者の監査ログ ②Enterpriseグループの監査ログ ③OAuthトークンの監査ログ ④ログインの監査ログ ⑤SAML監査ログ これらのログについては、Google WS上にて「CloudIdentityをGCPプロジェクトXに共有する」といった設定を行うと、 自動的にGCPプロジェクトXの監査ログ「管理アクティビティログ」または「データアクセス監査ログ」の1つとして取得される認識です。  ★まずこの認識に誤りがありましたらご教示ください。 ●実施内容 Google WSにて、①~⑤のログをGCPプロジェクトXに共有する設定を実施。 GCPプロジェクトXにおいてログシンク・GCS(ログ保管用)を作成し、ログシンクを以下のように設定。  包含フィルタ:LOG_ID("cloudaudit.googleapis.com/activity") OR LOG_ID("cloudaudit.googleapis.com/data_access") OR LOG_ID("externalaudit.googleapis.com/activity") OR LOG_ID("externalaudit.googleapis.com/data_access")  シンクの宛先:GCS(ログ保管用) ●結果 GCS(ログ保管用)に格納されたログは、「管理アクティビティログ」だけであった。 ●疑問点 1)前提として、CloudIdentityログをGCPプロジェクトに共有するだけで、対象の監査ログが自動的に取得される認識ですが、正しいでしょうか。  もし別途設定が必要なようでしたら、方法をご連携いただきたいです。 2)ログシンクの包含フィルタは正しいでしょうか。(externalauditやdata_access周りが特に気になります)  本PJにおいてデータアクセス監査ログがそもそも吐かれる状況かどうかが判断がついていない状態でして、今回の結果を受けて以下の可能性を認識しています。  ・ログは存在しているが包含フィルタが間違っており、ひっかけられていない。⇒この場合、正しい包含フィルタをご連携いただきたいです。  ・そもそもログが存在していない。包含フィルタは正しく設定されている。 3)①~⑤のログをGCSに保管するにあたり、そもそも全体的に気になる点がございましたらご教示いただけますと幸いです。 2.プロジェクト内のログ取得方法 ●前提 以下のログについて、GCPプロジェクトAのGCSに保管する必要があります。 ⑥GCPプロジェクトAの管理アクティビティログ ⑦GCPプロジェクトAのポリシー拒否監査ログ ●実施内容 GCPプロジェクトにおいてログシンク・GCS(ログ保管用)を作成し、ログシンクを以下のように設定。  包含フィルタ:LOG_ID("cloudaudit.googleapis.com/activity") OR LOG_ID("cloudaudit.googleapis.com/policy") OR LOG_ID("externalaudit.googleapis.com/activity") OR LOG_ID("externalaudit.googleapis.com/policy")  シンクの宛先:GCS(ログ保管用) ●結果 GCS(ログ保管用)に格納されたログは、「管理アクティビティログ」だけであった。 ●疑問点 1)ログシンクの包含フィルタは正しいでしょうか。  GCPプロジェクトAにおいてポリシー拒否監査ログがそもそも吐かれる状況かどうかが判断がついていない状態でして、今回の結果を受けて以下の可能性を認識しています。  ・ログは存在しているが包含フィルタが間違っており、ひっかけられていない。⇒この場合、正しい包含フィルタをご連携いただきたいです。  ・そもそもログが存在していない。包含フィルタは正しく設定されている。 2)⑥⑦のログをGCSに保管するにあたり、そもそも全体的に気になる点がございましたらご教示いただけますと幸いです。 3.Google WS ●前提 Google WSを利用するユーザーのログ取得ではなく、GCPを利用する一般ユーザーのイベント(コンソールログイン等)を取得することを目的としています。 そもそも一般ユーザーがGoogle WSにアクセスできないよう、権限設定をする想定です。 ●疑問点 1)目的達成のために①~⑤のログを取得する想定でしたが、正しいでしょうか。取得する必要が無いのではと疑問に思っています。  ①管理者の監査ログ  ②Enterpriseグループの監査ログ  ③OAuthトークンの監査ログ  ④ログインの監査ログ  ⑤SAML監査ログ 2)①~⑤のログを取得する必要が無い場合、例えばGCPコンソールログインイベントのログは何で取得できますでしょうか。 以上、よろしくお願いいたします。 ## 2024-06-17 Sent 株式会社JR西日本ITソリューションズ 四方 様 いつもお世話になっております、トップゲートサポートの高井です。 お問い合わせいただきありがとうございます。 お問い合わせいただいた内容につきまして、現在弊社にて内容を確認しております。 お待たせしており恐れ入りますが、ご案内まで少々お時間いただけますと幸いです。 引き続きよろしくお願いいたします。 ## 2024-06-21 Sent 株式会社JR西日本ITソリューションズ 四方 様 いつもお世話になっております、トップゲートサポートの高井です。 ご案内にお時間いただいており恐れ入ります。 本件につきましては、ご提供いただいた情報を元に Google にて調査依頼を実施しております。 お問い合わせ内容の一部につきまして回答を得ておりますので、以下に案内いたします。 > 3.Google WS > ●疑問点 > 1)目的達成のために①~⑤のログを取得する想定でしたが、正しいでしょうか。取得する必要が無いのではと疑問に思っています。 >  ①管理者の監査ログ >  ②Enterpriseグループの監査ログ >  ③OAuthトークンの監査ログ >  ④ログインの監査ログ >  ⑤SAML監査ログ > 2)①~⑤のログを取得する必要が無い場合、例えばGCPコンソールログインイベントのログは何で取得できますでしょうか。 こちらにつきまして、上記(1) - (5)のログはGoogle Cloudコンソールイベントを取得することが目的であれば必要ございません。 Google Cloudコンソールのイベント収集についてはAdministrator Activity Audit Log[1]を使用いただければと存じます。 このログは、ログイン、権限の変更、リソース管理のアクションなど、Google Cloudコンソールへのアクセスに関連するアクティビティをキャプチャするログとなっております。 また「1.CloudIdentityのログ取得方法」「2.プロジェクト内のログ取得方法」については恐れ入りますがご案内までお時間いただけますと幸いです。 [1] Cloud Audit Logs の概要 (Google Cloud Observability公式ドキュメント) https://cloud.google.com/logging/docs/audit?hl=ja ご案内までにお時間をいただいており大変恐縮ではございますが、情報の確認までお待ちいただけますようお願いいたします。 引き続きよろしくお願いいたします。 ## 2024-06-24 株式会社JR西日本ITソリューションズ 四方 様 いつもお世話になっております、トップゲートサポートの高井です。 ご案内にお時間いただいており恐れ入ります。 保留となっていた「1.CloudIdentityのログ取得方法」「2.プロジェクト内のログ取得方法」についてGoogleから確認が得られましたので、下記に案内いたします。 > 1.CloudIdentityのログ取得方法 > 1)前提として、CloudIdentityログをGCPプロジェクトに共有するだけで、対象の監査ログが自動的に取得される認識ですが、正しいでしょうか。もし別途設定が必要なようでしたら、方法をご連携いただきたいです。 こちらにつきまして、ご認識に相違ございません。Cloud IdentityのログをGoogle Cloudプロジェクトに共有することで、対象プロジェクトの「管理アクティビティログ」[1]または「データアクセス監査ログ」[2]へ必要な監査ログが自動的に反映される仕様となっております。 > 2)ログシンクの包含フィルタは正しいでしょうか。(externalauditやdata_access周りが特に気になります) 共有いただいたフィルタは問題ないと存じます。Cloud Audit及び外部監査サービスに関するログをキャプチャするための適切なフィルタでございます。 そのため、フィルタは正常であるがログが存在しないため表示されていない状態であると推察いたします。 > 3)①~⑤のログをGCSに保管するにあたり、そもそも全体的に気になる点がございましたらご教示いただけますと幸いです。 こちらについては特に懸念事項はございません。 > 2.プロジェクト内のログ取得方法 > 1)ログシンクの包含フィルタは正しいでしょうか。 はい、共有いただいたフィルタ条件は特に問題ございません。 > 2)⑥⑦のログをGCSに保管するにあたり、そもそも全体的に気になる点がございましたらご教示いただけますと幸いです。 こちらにつきましても、特に懸念事項は見受けられませんでした。 [1] 管理アクティビティ監査ログ - Cloud Audit Logs の概要 (Google Cloud Observability公式ドキュメント) https://cloud.google.com/logging/docs/audit?hl=ja#admin-activity [2] データアクセス監査ログ - Cloud Audit Logs の概要 (Google Cloud Observability公式ドキュメント) https://cloud.google.com/logging/docs/audit?hl=ja#data-access ご質問いただいております内容への回答は以上となりますが、認識の相違ある場合や不明点などありましたらお知らせくださいませ。 引き続きどうぞよろしくお願いいたします。 ## 2024-06-26 Incoming 高井さま お世話になっております。JWITS四方です。 ご回答ありがとうございます。 1,2ともに認識相違ないとのことで安心いたしました。 3につきましても、不明点が解消いたしました。 以上を持ちまして、本件クローズとさせていただければと思います。 ご対応いただき、ありがとうございました。 ## 2024-06-27 Sent 株式会社JR西日本ITソリューションズ 四方 様 いつもお世話になっております、トップゲートサポートの高井です。 ご案内内容をご確認いただきありがとうございます。 これからも四方 様が少しでもお困りなことや不安なこと等ございましたらいつでもお問い合わせ下さい。 ご満足いただけるよう、できる限りお手伝いさせて頂きます。 本件はこちらのメールをもちましてご案内終了とさせていただきます。 今後ともどうぞよろしくお願いいたします。