概要

このラボでは、Google Cloud Audit Logs について詳しく学習します。Cloud Audit Logs では、プロジェクト、フォルダ、組織ごとに複数の監査ログが保持されます。これらのログはすべて「誰がいつどこで何をしたか」という疑問に答えるのに役立ちます。

目標

このラボでは、次の方法について学びます。

• Cloud Storage のデータアクセス ログを有効にする。
• 管理アクティビティとデータアクセス アクティビティを生成する。
• 監査ログを表示する。

設定と要件

各ラボでは、新しい Google Cloud プロジェクトとリソースセットを一定時間無料で利用できます。

1. [ラボを開始] ボタンをクリックします。ラボの料金をお支払いいただく必要がある場合は、表示されるポップアップでお支払い方法を選択してください。 左側の [ラボの詳細] パネルには、以下が表示されます。

   • [Google Cloud コンソールを開く] ボタン
   • 残り時間
   • このラボで使用する必要がある一時的な認証情報
   • このラボを行うために必要なその他の情報（ある場合）

2. [Google Cloud コンソールを開く] をクリックします（Chrome ブラウザを使用している場合は、右クリックして [シークレット ウィンドウで開く] を選択します）。

   ラボでリソースが起動し、別のタブで [ログイン] ページが表示されます。

   ヒント: タブをそれぞれ別のウィンドウで開き、並べて表示しておきましょう。

   注: [アカウントの選択] ダイアログが表示されたら、[別のアカウントを使用] をクリックします。

3. 必要に応じて、下のユーザー名をコピーして、[ログイン] ダイアログに貼り付けます。

   {{{user_0.username | "Username"}}}

   [ラボの詳細] パネルでもユーザー名を確認できます。

4. [次へ] をクリックします。

5. 以下のパスワードをコピーして、[ようこそ] ダイアログに貼り付けます。

   {{{user_0.password | "Password"}}}

   [ラボの詳細] パネルでもパスワードを確認できます。

6. [次へ] をクリックします。

   重要: ラボで提供された認証情報を使用する必要があります。Google Cloud アカウントの認証情報は使用しないでください。 注: このラボでご自身の Google Cloud アカウントを使用すると、追加料金が発生する場合があります。

7. その後次のように進みます。

   • 利用規約に同意してください。
   • 一時的なアカウントなので、復元オプションや 2 要素認証プロセスは設定しないでください。
   • 無料トライアルには登録しないでください。

その後、このタブで Google Cloud コンソールが開きます。

注: Google Cloud のプロダクトやサービスのリストを含むメニューを表示するには、左上のナビゲーション メニューをクリックするか、[検索] フィールドにサービス名またはプロダクト名を入力します。

最初のログイン手順を完了すると、プロジェクト ダッシュボードが表示されます。

Google Cloud Shell の有効化

Google Cloud Shell は、開発ツールと一緒に読み込まれる仮想マシンです。5 GB の永続ホーム ディレクトリが用意されており、Google Cloud で稼働します。

Google Cloud Shell を使用すると、コマンドラインで Google Cloud リソースにアクセスできます。

1. Google Cloud コンソールで、右上のツールバーにある [Cloud Shell をアクティブにする] ボタンをクリックします。

   

2. [続行] をクリックします。

環境がプロビジョニングされ、接続されるまでしばらく待ちます。接続した時点で認証が完了しており、プロジェクトに各自のプロジェクト ID が設定されます。次に例を示します。

gcloud は Google Cloud のコマンドライン ツールです。このツールは、Cloud Shell にプリインストールされており、タブ補完がサポートされています。

• 次のコマンドを使用すると、有効なアカウント名を一覧表示できます。

gcloud auth list

出力:

Credentialed accounts: - @.com (active)

出力例:

Credentialed accounts: - google1623327_student@qwiklabs.net

• 次のコマンドを使用すると、プロジェクト ID を一覧表示できます。

gcloud config list project

出力:

[core] project =

出力例:

[core] project = qwiklabs-gcp-44776a13dea667a6 注: gcloud ドキュメントの全文については、 gcloud CLI の概要ガイド をご覧ください。

タスク 1. Cloud Storage のデータアクセス ログを有効にする

このタスクでは、Cloud Storage でデータアクセス ログを有効にして、ユーザー提供データの読み取りまたは書き込みを行うオペレーション、メタデータ、構成情報を追跡します。

1. Google Cloud コンソールのナビゲーション メニュー（）で、[IAM と管理] > [監査ログ] をクリックします。

2. スクロールまたは [フィルタ] を使用して「Google Cloud Storage」を探し、横にあるチェックボックスをオンにします。これにより、[情報パネル] が [ログタイプ] のオプションとともに表示されます。

データアクセス監査ログは、次のようなカテゴリに分類されます。

• 管理読み取り: メタデータまたは構成情報を読み取るオペレーションを記録します。管理アクティビティ監査ログには、メタデータおよび構成情報の書き込みが記録されます。無効にすることはできません。
• データ読み取り: ユーザー提供データを読み取るオペレーションを記録します。
• データ書き込み: ユーザー提供データを書き込むオペレーションを記録します。

3. [管理読み取り]、[データ読み取り]、[データ書き込み] を選択し、[保存] をクリックします。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 Cloud Storage のデータアクセス ログを有効にする

タスク 2. 管理アクティビティとデータアクセス アクティビティを生成する

このタスクでは、ストレージ バケットを作成して、管理アクティビティとデータアクセス アクティビティを生成します。次に、ファイルをアップロードし、ネットワークと VM を作成して、ストレージ バケットを削除します。

1. Cloud Shell ターミナルを開くか、Cloud Shell ターミナルに画面を切り替えます。

2. gcloud storage を使用して、プロジェクトと同じ名前の Cloud Storage バケットを作成します。プロンプトが表示されたら、[承認] をクリックします。

gcloud storage buckets create gs://$DEVSHELL_PROJECT_ID

3. バケットが正しく作成されたことを確認します。

gcloud storage ls

4. 単純な「Hello World」のようなテキスト ファイルを作成し、バケットにアップロードします。

echo "Hello World!" > sample.txt gcloud storage cp sample.txt gs://$DEVSHELL_PROJECT_ID

5. ファイルがバケットに収まっていることを確認します。

gcloud storage ls gs://$DEVSHELL_PROJECT_ID

6. 新しい自動モード ネットワークを mynetwork という名前で作成し、新しい仮想マシンを作成して、そのネットワークに配置します。

gcloud compute networks create mynetwork --subnet-mode=auto gcloud compute instances create default-us-vm \ --zone={{{project_0.default_zone|Zone}}} --network=mynetwork \ --machine-type=e2-medium

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 バケット、ネットワーク、仮想マシン インスタンスが作成されたことを確認する

7. ストレージ バケットを削除します。

gcloud storage rm -r gs://$DEVSHELL_PROJECT_ID

タスク 3. 監査ログの表示

このタスクでは、ログ エクスプローラで管理アクティビティ監査ログとデータアクセス監査ログの両方を表示して確認し、バケットの削除やデータアクセス オペレーションといった、ログに記録されたイベントの詳細を確認します。次に、Cloud SDK を使用してデータアクセス ログを読み取ります。

管理アクティビティ ログには、リソースの構成またはメタデータを変更する API 呼び出しなどの管理操作に関するログエントリが含まれます。たとえば、VM インスタンスや App Engine アプリケーションが作成されたり、権限が変更されたりするとログに記録されます。ログを表示するには、Logging / ログ閲覧者またはプロジェクト / 閲覧者の Cloud Identity and Access Management ロールが必要です。

管理アクティビティ ログは常に有効なので、有効化する必要はありません。管理アクティビティ監査ログは無料で使用できます。

1. Google Cloud コンソールのナビゲーション メニュー（）で、[すべてのプロダクトを表示] > [オブザーバビリティ] > [ロギング] をクリックします。

2. ログ エクスプローラで [クエリを表示] を有効にして、[クエリ] ボックスの内容を削除します。

3. [すべてのログ名] プルダウンをクリックし、フィルタを使用して [Cloud Audit] セクションの activity ログを探します。ログを見つけたら、それをクエリに適用します。

4. [クエリを実行] をクリックし、ログのフィールド エクスプローラを使用して「GCS バケット」のログエントリに絞り込みます。

5. Cloud Storage が削除された時点のログエントリを探します。

6. 削除エントリを開き、[protoPayload] > [authenticationInfo] フィールドを調べると、この操作を行ったユーザーのメールアドレスを確認できます。

   必要に応じてエントリ内の他のフィールドも確認してください。クエリに対象と除外を追加するためにクリックできる値がどのくらいあるかにも注目してください。

7. 既存のクエリを削除し、[すべてのログ名] を使用して data_access ログを表示します。

どのようなオペレーションが表示されましたか。

[進行状況を確認] をクリックして、目標に沿って進んでいることを確認します。 監査ログを表示する

Cloud SDK を使用する

ログエントリは Cloud SDK コマンドを使用して読み取ることもできます。

例:

gcloud logging read [FILTER]

1. Cloud Shell ターミナルに切り替えるか、Cloud Shell ターミナルを再度開きます。

2. UI 操作で表示したものと同じデータアクセス ログをコマンドラインを使用して表示するには、次のコマンドを実行します。

gcloud logging read \ "logName=projects/$DEVSHELL_PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access"

お疲れさまでした

この演習では、Google Cloud Audit Logs について学習し、その使用方法を見てきました。これにより、誰がいつ何をしたのかを正確に把握するための作業を効率化できます。これで完了となります。

ラボを終了する

ラボが完了したら、[ラボを終了] をクリックします。ラボで使用したリソースが Google Cloud Skills Boost から削除され、アカウントの情報も消去されます。

ラボの評価を求めるダイアログが表示されたら、星の数を選択してコメントを入力し、[送信] をクリックします。

星の数は、それぞれ次の評価を表します。

• 星 1 つ = 非常に不満
• 星 2 つ = 不満
• 星 3 つ = どちらともいえない
• 星 4 つ = 満足
• 星 5 つ = 非常に満足

フィードバックを送信しない場合は、ダイアログ ボックスを閉じてください。

フィードバックやご提案の送信、修正が必要な箇所をご報告いただく際は、[サポート] タブをご利用ください。

Copyright 2024 Google LLC All rights reserved. Google および Google のロゴは、Google LLC の商標です。その他すべての社名および製品名は、それぞれ該当する企業の商標である可能性があります。