OAuth トークンの監査ログ
組織の管理者は、OAuthトークンの監査ログを使用して、ドメイン内でどのユーザーがどのサードパーティ製のモバイル アプリケーションやウェブ アプリケーションを使用しているかを確認できます。たとえば、ユーザーが Google Marketplace アプリを起動した場合、トークンのログにはアプリ名と利用者が記録されます。
また、サードパーティ製アプリケーションによる Google アカウント データ(コンタクト、カレンダー、ドライブ ファイルなど)へのアクセスが承認された場合も、その都度ログに記録されます(G Suite のみ)。
ステップ 1: OAuth トークンの監査ログを開く
-
-
管理コンソールのホームページから、[レポート] にアクセスします。
[レポート] が表示されていない場合は、画面下部の [その他の設定] をクリックします。
- 左側にある [監査] で、[トークン] をクリックします。
- ツールバーにある、列を選択アイコン
をクリックします。次に、ログに表示するデータを選択します。
- ログデータを確認、カスタマイズする方法については下記をご覧ください。
ステップ 2: トークンの監査ログデータを確認する
表示できるデータ管理コンソールの OAuth トークンの監査ログは、次のユーザーデータを基にしています。
データの種類 | 説明 |
---|---|
イベントの名前 | ユーザーが行った操作(承認、取り消し)。 |
イベントの説明 | イベントの概要(「特権管理者の太郎さんが https://www.google.com/accounts/OAuthLogin のスコープについて Google Chrome へのアクセスを承認しました」など) |
ユーザー | アクセスが承認または取り消されたユーザーのメールアドレス。 |
アプリケーション名 | アクセスが承認または取り消されたアプリケーション。 |
クライアント ID | アクセスが承認または取り消されたアプリケーションの OAuth クライアント ID。 |
スコープ | アクセスが承認または取り消された範囲。 |
日付 | イベントが発生した日時(ブラウザのデフォルトのタイムゾーンで表示されます)。 |
IP アドレス | アクセスが承認または取り消されたユーザーのインターネット プロトコル(IP)アドレス。物理的な位置を表していることもありますが、プロキシ サーバーやバーチャル プライベート ネットワーク(VPN)のアドレスである場合もあります。 |
ステップ 3: 監査ログデータのカスタマイズや書き出しを行う
ユーザーやアクティビティで監査ログデータをフィルタする
監査ログデータを絞り込んで特定のイベントやユーザーを表示することができます。たとえば、特定のアプリケーションによるアクセスの承認または取り消しに関するすべてのログイベントや、特定のユーザーのすべての OAuth トークン承認アクティビティを検索できます。
- 上記の手順で OAuth トークンの監査ログを開きます。
- [フィルタ] 欄が表示されない場合は、フィルタ アイコン
をクリックします。
- フィルタの条件を入力または選択します。ログに表示できるデータを自由に組み合わせてフィルタリングできます。
- [検索] をクリックします。
組織部門でフィルタリングする
組織部門でフィルタリングして、ドメイン内の下位組織と統計情報を比較することができます。
- 上記の手順でレポートを開きます。
- 左側の [フィルタ] で、一覧から組織部門を選択します。
古いデータを検索する場合でも、フィルタできるのは現在の組織階層のみです。2018 年 12 月 20 日より前のデータは、結果に表示されません。
監査ログデータを書き出す
監査ログデータは、Google スプレッドシートに書き出したり CSV ファイル形式でダウンロードしたりできます。
- 上記の手順で監査ログを開きます。
- (省略可)書き出すデータの項目を変更するには、次の操作を行います。
- ツールバーにある、列を選択アイコン
をクリックします。
- 書き出すデータの横にあるチェックボックスをオンにして、[適用] をクリックします。
- ツールバーにある、列を選択アイコン
- ツールバーにある、ダウンロード アイコン
をクリックします。
書き出しの最大セル数は 210,000 個です。最大の行数は、選択している列の数によって変わります。監査ログからスプレッドシートに書き出せる行は 10,000 行までですが、CSV には 500,000 行まで書き出すことができます。
表示されているデータはいつのものですか?
データを確認できるようになるまでの時間とデータの保持期間については、データの保持期間とタイムラグをご覧ください。
ステップ 4: メールアラートを設定する
アラートを設定すると、特定の OAuth トークン アクティビティを簡単に確認できます。たとえば、ユーザーが特定のアプリケーションによるアクセスを承認または取り消したときにアラートを受け取ることができます。
- 上記の手順で OAuth トークンの監査ログを開きます。
- [フィルタ] 欄が表示されない場合は、フィルタ アイコン
をクリックします。
- フィルタの条件を入力または選択します。アラートの設定では、ログに表示できるデータ(期間を除く)を自由に組み合わせてフィルタリングできます。
- [アラートを設定] をクリックします。
- [アラートの設定: トークン] ボックスにアラートの名前を入力します。
- アカウントの特権管理者のチェックボックスをオンにしてアラートの送信先にします。
- 他のユーザーにもアラートを送信する場合は、受信者のメールアドレスを入力します。
- [保存] をクリックします。
カスタム アラートを編集する方法については、管理者へのメールアラートをご覧ください。