Sumo Logicで各種クラウドサービスのログを取り込めることは既に皆さんご存知だと思います。
今回は「Google Workspace」のログを取り込む方法を紹介いたします。
Sumo Logicで取り込む方法を調べると、「G Suite」と「Google Workspace」の2種類の設定方法がでてきます。本記事は「Google Workspace」の設定方法です。
↓↓「G Suite」の記事はこちら↓↓
現状、Google Workspaceのログは削除されたユーザ、またはドメイン内のすべてのユーザを取得することが可能です。
早速設定手順の紹介にいきたいと思います。
事前準備
- 以下が完了している前提で進めていきます。
Google Cloud Platform(以下、GCP)とGoogle Workspaceにログインできるアカウント作成
※今回、GCPのロールは「オーナー、プロジェクト作成者」で実施しています。 - GCPのプロジェクト作成
設定の流れ
大まかに3箇所で設定を行います。
- GCPの設定(サービスアカウント、API)
- Google Workspaceの設定
- Sumo Logicの設定
それぞれ見ていきます。
GCPの設定
・サービスアカウントの作成
IAMと管理 -> サービスアカウント の順にクリックします。
サービスアカウントの作成をクリックします。
サービスアカウント名にアカウント名を指定し入力して完了をクリックします。
※Google Workspaceの設定でOAuth2クライアントIDを使用しますので控えておいてください。
操作より「鍵を管理」をクリックします。
鍵を追加 -> 新しい鍵を作成をクリックします。
キータイプを選択する画面が出てくるので「JSON」を選択し、作成をクリックします。
JSONファイルがダウンロードされます。
※JSONファイルはCollectorのSourceの設定でも使用しますので保管しておくようお願いいたします。
・APIの設定
APIとサービス -> 有効なAPIとサービス の順にクリックします。
APIとサービスの有効化をクリックします。
検索バーに「admin sdk api」と入力し、検索します。
「Admin SDK API」を選択し、「APIを有効にする」をクリックします。
OAuth同意画面をクリックします。
「内部」を選択し、作成をクリックします。
必須項目(*)の以下の項目を入力し、「保存して次へ」をクリックします。
- アプリ名 → 任意で
- ユーザサポートメール → GCPにログインしているメールアドレスにしました
- デベロッパーの連絡先情報 → GCPにログインしているメールアドレスにしました
スコープを追加または削除をクリックし、以下のいずれかのスコープを追加します。
※追加したスコープはGoogle Workspaceの設定、Sumo LogicのSourceの設定で使用します。 取得できるデータは同じなためスコープは以下のいずれか1つで大丈夫です。
- https://www.googleapis.com/auth/admin.directory.user
- https://www.googleapis.com/auth/admin.directory.user.readonly
- https://www.googleapis.com/auth/cloud-platform
Google Workspaceの設定
セキュリティ -> アクセスとデータ管理 -> APIの制御の順にクリックします。
「ドメイン全体の委任を管理」の部分をクリックします。
「新しく追加」をクリックし、必要項目を入力して「承認」をクリックします。
- クライアントID:GCPで作成したサービスアカウントのOAuth2クライアントID
- OAuthスコープ:GCPで追加したスコープ
Sumo Logicの設定
・Collectorの追加
Sumo LogicのWebUIにログインします。
Manage Data -> Collection の順にクリックし、Add Collector -> Hosted Collectorの順にクリックします。
Collector名、Time Zoneを設定しSaveをクリックします。
・Sourceの設定
作成したCollectorのAdd Sourceをクリックします。
Cloud APIsで「Google Workspace」をクリックします。
設定値を入力していきますが、GCPのサービスアカウントでダウンロードされたJSONファイルを使用します。
以下を入力していきます。
- Name → 一意の値で指定(各自の命名規則に則って指定)
- Source Category → 一意の値で指定(各自の命名規則に則って指定)
- Delegated User Email → GCP、Google Workspaceにログインしているメールアドレス
- Client Email → JSONファイルのclient_email
- Private Key → JSONファイルのprivate_key
- Token URL → JSONファイルのtoken_uri
- Scope Provided to Account → GCPで追加したスコープ
※Customer IDは変更しなくて大丈夫です。
Sourceの設定が完了し、無事にログ取り込みが完了すると以下のように出力が確認できます。
以上でGoogle Workspaceのログ取り込み完了です。
最後に
今回はGoogle WorkspaceのログをSumo Logicへ取り込みました。
削除されたユーザまたはドメイン内のすべてのユーザのデータを24時間に1回取得しています。
現状、G SuiteのログのようにApp Catalogはなく、取得できるデータもユーザのデータのみとなっているので今後拡充されることを期待します。
Google WorkspaceのAPIを利用すると様々なログが取得でき、APIを実行するサーバを用意してログを送ることも可能かと思います。
こんなログを取り込んでみたい、このログを可視化したいなどご要望がございましたらぜひご相談ください。
↓↓「G Suite」の記事はこちら↓↓
