Google WorkspaceのログをSumo Logicに取り込む方法

 2022.05.15  株式会社テリロジー 技術統括部

Sumo Logicで各種クラウドサービスのログを取り込めることは既に皆さんご存知だと思います。

今回は「Google Workspace」のログを取り込む方法を紹介いたします。

Sumo Logicで取り込む方法を調べると、「G Suite」と「Google Workspace」の2種類の設定方法がでてきます。本記事は「Google Workspace」の設定方法です。

↓↓「G Suite」の記事はこちら↓↓

現状、Google Workspaceのログは削除されたユーザ、またはドメイン内のすべてのユーザを取得することが可能です。

早速設定手順の紹介にいきたいと思います。

事前準備

  • 以下が完了している前提で進めていきます。
    Google Cloud Platform(以下、GCP)とGoogle Workspaceにログインできるアカウント作成
     ※今回、GCPのロールは「オーナー、プロジェクト作成者」で実施しています。
  • GCPのプロジェクト作成

設定の流れ

大まかに3箇所で設定を行います。

  1. GCPの設定(サービスアカウント、API)
  2. Google Workspaceの設定
  3. Sumo Logicの設定

それぞれ見ていきます。

GCPの設定

・サービスアカウントの作成

IAMと管理 -> サービスアカウント の順にクリックします。

サービスアカウントの作成 画像1

サービスアカウントの作成をクリックします。

サービスアカウントの作成 画像2

サービスアカウント名にアカウント名を指定し入力して完了をクリックします。

※Google Workspaceの設定でOAuth2クライアントIDを使用しますので控えておいてください。

サービスアカウントの作成 画像3

操作より「鍵を管理」をクリックします。

サービスアカウントの作成 画像4

鍵を追加 -> 新しい鍵を作成をクリックします。

サービスアカウントの作成 画像5

キータイプを選択する画面が出てくるので「JSON」を選択し、作成をクリックします。

サービスアカウントの作成 画像6

JSONファイルがダウンロードされます。

※JSONファイルはCollectorのSourceの設定でも使用しますので保管しておくようお願いいたします。

サービスアカウントの作成 画像7

・APIの設定

APIとサービス -> 有効なAPIとサービス の順にクリックします。

APIの設定 画像1

APIとサービスの有効化をクリックします。

APIの設定 画像2

検索バーに「admin sdk api」と入力し、検索します。

APIの設定 画像3

「Admin SDK API」を選択し、「APIを有効にする」をクリックします。

APIの設定 画像4

OAuth同意画面をクリックします。

APIの設定 画像5

「内部」を選択し、作成をクリックします。

APIの設定 画像6

必須項目(*)の以下の項目を入力し、「保存して次へ」をクリックします。

  • アプリ名                       → 任意で
  • ユーザサポートメール          → GCPにログインしているメールアドレスにしました
  • デベロッパーの連絡先情報   → GCPにログインしているメールアドレスにしました

APIの設定 画像7

スコープを追加または削除をクリックし、以下のいずれかのスコープを追加します。

※追加したスコープはGoogle Workspaceの設定、Sumo LogicのSourceの設定で使用します。 取得できるデータは同じなためスコープは以下のいずれか1つで大丈夫です。

APIの設定 画像8

Google Workspaceの設定

セキュリティ -> アクセスとデータ管理 -> APIの制御の順にクリックします。

Google Workspaceの設定 画像1

「ドメイン全体の委任を管理」の部分をクリックします。

Google Workspaceの設定 画像2

「新しく追加」をクリックし、必要項目を入力して「承認」をクリックします。

  • クライアントID:GCPで作成したサービスアカウントのOAuth2クライアントID
  • OAuthスコープ:GCPで追加したスコープ

Google Workspaceの設定 画像3

Sumo Logicの設定

・Collectorの追加

Sumo LogicのWebUIにログインします。

Manage Data -> Collection の順にクリックし、Add Collector -> Hosted Collectorの順にクリックします。

Collectorの追加 画像1

Collector名、Time Zoneを設定しSaveをクリックします。

Collectorの追加 画像2

・Sourceの設定

作成したCollectorのAdd Sourceをクリックします。

Sourceの設定 画像1

Cloud APIsで「Google Workspace」をクリックします。

Sourceの設定 画像2

設定値を入力していきますが、GCPのサービスアカウントでダウンロードされたJSONファイルを使用します。

以下を入力していきます。

  • Name                                    → 一意の値で指定(各自の命名規則に則って指定)
  • Source Category                     → 一意の値で指定(各自の命名規則に則って指定)
  • Delegated User Email              → GCP、Google Workspaceにログインしているメールアドレス
  • Client Email                           → JSONファイルのclient_email
  • Private Key                            → JSONファイルのprivate_key
  • Token URL                             → JSONファイルのtoken_uri
  • Scope Provided to Account       → GCPで追加したスコープ

Sourceの設定 画像3

※Customer IDは変更しなくて大丈夫です。

Sourceの設定が完了し、無事にログ取り込みが完了すると以下のように出力が確認できます。

Sourceの設定 画像4

以上でGoogle Workspaceのログ取り込み完了です。

最後に

今回はGoogle WorkspaceのログをSumo Logicへ取り込みました。

削除されたユーザまたはドメイン内のすべてのユーザのデータを24時間に1回取得しています。

現状、G SuiteのログのようにApp Catalogはなく、取得できるデータもユーザのデータのみとなっているので今後拡充されることを期待します。

Google WorkspaceのAPIを利用すると様々なログが取得でき、APIを実行するサーバを用意してログを送ることも可能かと思います。

こんなログを取り込んでみたい、このログを可視化したいなどご要望がございましたらぜひご相談ください。

↓↓「G Suite」の記事はこちら↓↓


RECENT POST「Sumo Logic」の最新記事


Sumo Logic

【第3弾】Sumo Logic可視化サービス Terilogy Blend for Infobloxリリース

Sumo Logic

SumologicのMITRE ATT&CK® Threat Coverage Explorerとは

Sumo Logic

【第2弾】 Sumo Logic 可視化サービス Terilogy Blend for Cato Networksリリース

Sumo Logic

Sumo LogicのAutomation機能でSlackにメンションするメッセージを送ってみた

Google WorkspaceのログをSumo Logicに取り込む方法