Niigata5分Tech#14_監査ログの保存どうしてます？

Transcript

1. 監査ログの保存ってどうしています？ Niigata5分Tech#14 髙橋悠　@yukyu2nd

2. 自己紹介 Yu Takahashi @yukyu2nd 株式会社モニクル コーポレートエンジニア Niigata5分Tech　実行委員会のメンバーやってます。

3. 突然ですが

4. 普段いろんなSaaSサービスの監査ロ グってどうしていますか？

5. サービスが提供するもので満足していま すか？

6. 保存期間足りていますか？

7. いきなりですが GoogleWorkspaceの場合

8. GoogleWorkspaceが提供する監査ログ GoogleWorkspaceでは下記のような種類・期間、監査ログを保持しています。 ログの種類 保存期間 アクセスの透明性に関するログイベ ント データ 6か月 ドライブのログイベント データ

   6か月 アカウントの使用状況レポート 6か月 参考 ：https://support.google.com/a/answer/7061566?sjid=687292420 9747448012-AP

9. まぁまぁ残してくれていますね。

10. でも

11. GoogleWorkspaceが提供する監査ログ ログの種類 保存期間 メールログ 30日

12. はい、メールログは30日しか残りませ ん。

13. メールを連絡手段として常用している所 ではいざ何かあったときにログが見れな いのは困りますよね？

14. どうするか

15. 最初検討したのはGoogleCloud連携 • GoogleWorkspaceにはGoogleCloudのCloudLoggingに監査ログを連携する機能 がデフォルトであります。 • すでにGoogleCloudを使っている組織であれば便利そう。 • CloudLoggingのバケットの保存期間を指定すればデフォルトの期間よりも長い期 間、ログを保存できそう。 •

    設定も簡単で、連携だけなら管理画面でチェックボックスにチェックをつけるだけ！

16. このオプションを有効にするだけ

17. いいじゃん

18. でも共有できたのはCloudLoggingに転送できたのは • GoogleWorkspaceの管理画面（Goolge　Admin）の操作ログ • GoogleWorkspaceの管理画面のログインのログ

19. コレジャナイｗ

20. どうする？

21. API経由でログを取得して保存するのが良さそう GoogleWorkspaceの監査ログのデータを取得するAPI（ReportAPIやEmail Audit API） が用意されており、そこから監査ログを取得して保存するのが良さそう。 https://developers.google.com/admin-sdk/reports/v1/get-start/overview?hl=ja

22. 試してみた

23. フロー ①GASでReportAPIに アクセスして監査ログを 取得 ②CloudLoggingのロ グバケットに格納する。

24. やってみた感想

25. 感想 • GoogleCloud側の知識が結構必要 ◦ IAM、CloudLogging（ログバケットやログルーター）とか知って無いと結構設定とか大変 ◦ かなりハマった（今も） • GASの実行時間やCloudLoggingのAPI制限もあるので、どのくらいの頻度でAPI経 由で監査ログを取得するかは考える必要がある。

    ◦ CloudLoggingのAPI経由で一度に送信できるログは 1000件なので、１日分を一気に送ろうとする と、モノによっては詰まる。（ GoogleDriveログだと、半日くらいで詰まりそう） • ログの精査をしないとあっという間にログの課金がエライことになりそう。 ◦ 監査ログにある情報をそのまま保存するのではなく、精査してから保存するとかした方がよいかも。 • アーカイブして保存しておくだけなら、CloudLoggingではなく、CloudStorageに ルーティングして保存しておく方がよさそう。

26. ログって奥深いですね。

27. ご清聴ありがとうございました。

28. None