OAuth トークンの監査ログ

サードパーティ製アプリケーションの使用状況とデータ アクセス リクエストを確認する

組織の管理者は、OAuth トークンの監査ログを使用して、ドメイン内でどのユーザーがどのサードパーティ製のモバイル アプリケーションやウェブ アプリケーションを使用しているかを確認できます。たとえば、ユーザーが Google Marketplace アプリを起動した場合、トークンのログにはアプリ名と利用者が記録されます。

また、Google アカウント データ(コンタクト、カレンダー、ドライブ ファイルなど)へのアクセスがサードパーティ製アプリケーションに対して承認された場合も、その都度ログに記録されます(G Suite のみ)。

ステップ 1: OAuth トークンの監査ログを開く

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[レポート] にアクセスします。

    [レポート] が表示されていない場合は、画面下部の [その他の設定] をクリックします。

  3. 左側にある [監査] で、[トークン] をクリックします。
  4. (省略可)列の横にある、列を管理アイコン 列を管理 をクリックし、表示または非表示にする列を選択します。

ステップ 2: トークンの監査ログデータを確認する

表示できるデータ

管理コンソールの OAuth トークンの監査ログは、次のユーザーデータを基にしています。

データの種類 説明
イベントの名前 アクティビティ、承認、取り消しのイベントがログに記録されます。
  • アクティビティ イベントの説明には、API 呼び出しを行ったアプリの名前、呼び出された特定の API メソッド、呼び出しの代理元のユーザーが含まれます。
  • 承認イベントまたは取り消しイベントの説明には、ユーザー、アクセス権を付与されたアプリケーション、承認された API スコープが含まれます。
イベントの説明 イベントの概要(「特権管理者の太郎さんが https://www.google.com/accounts/OAuthLogin のスコープについて Google Chrome へのアクセスを承認しました」など)
ユーザー アクセスが承認または取り消されたユーザーのメールアドレス。
アプリケーション名 アクセスが承認または取り消されたアプリケーション。
クライアント ID アクセスが承認または取り消されたアプリケーションの OAuth クライアント ID。
スコープ アクセスが承認または取り消された範囲。
日付 イベントが発生した日時(ブラウザのデフォルトのタイムゾーンで表示されます)。
IP アドレス アクセスが承認または取り消されたユーザーのインターネット プロトコル(IP)アドレス。物理的な位置を表していることもありますが、プロキシ サーバーやバーチャル プライベート ネットワーク(VPN)のアドレスである場合もあります。

ステップ 3: 監査ログデータのカスタマイズや書き出しを行う

ユーザーやアクティビティで監査ログデータをフィルタする

監査ログデータを絞り込んで特定のイベントやユーザーを表示することができます。たとえば、特定のアプリケーションによるアクセスの承認または取り消しに関するすべてのログイベントや、特定のユーザーのすべての OAuth トークン承認アクティビティを検索できます。

  1. 上述の手順で OAuth トークンの監査ログを開きます
  2. [フィルタを追加] をクリックします。
  3. フィルタの条件を選択して入力し、必要に応じて [適用] をクリックします。
  4. (省略可)組織部門で絞り込むには、右上の [組織のフィルタ] をクリックし、組織部門を選択して [適用] をクリックします。
  5. (省略可)検索対象期間を指定するには、[期間] をクリックし、リストから期間を選択するか、開始日、終了日、時間を入力します。必要に応じて [適用] をクリックします。

組織部門でフィルタリングする

組織部門でフィルタリングして、ドメイン内の下位組織間の統計情報を比較することができます。

  1. 上記の手順でレポートを開きます
  2. 上部の [組織のフィルタ] をクリックします。
  3. 組織部門を選択し、[適用] をクリックします。

日付による絞り込み

  1. 上記の手順でレポートを開きます
  2. 上部の [期間] をクリックします。
  3. リストから期間を選択するか、開始日、終了日、時間を入力します。
  4. 必要に応じて [適用] をクリックします。

古いデータを検索する場合でも、フィルタできるのは現在の組織階層のみです。2018 年 12 月 20 日より前のデータは、結果に表示されません。

監査ログデータを書き出す

監査ログデータは、Google スプレッドシートに書き出したり CSV ファイル形式でダウンロードしたりできます。

  1. 前述の手順で監査ログを開きます
  2. (省略可)書き出すデータを変更するには、列を管理アイコン 列を管理 をクリックして書き出す列を選択または削除し、[保存] をクリックします。
  3. ダウンロード アイコン ダウンロード をクリックします。
  4. [列を選択] で、[現在選択されている列] または [すべての列] をクリックします。
  5. [ファイル形式を選択] で、[Google スプレッドシート] または [カンマ区切り値(CSV)] をクリックします。
  6. [ダウンロード] をクリックします。

最多で 100,000 行をスプレッドシートまたは CSV ファイルに書き出せます。

表示されているデータはいつのものですか?

データを確認できるようになるまでの時間とデータの保持期間については、データの保持期間とタイムラグをご覧ください。

ステップ 4: メール通知アラートを設定する

アラートを設定すると、特定の OAuth トークン アクティビティを確認できます。たとえば、ユーザーが特定のアプリケーションによるアクセスを承認または取り消したときにアラートを受け取ることができます。

  1. 上述の手順で監査ログを開きます
  2. [フィルタを追加] をクリックします。
  3. フィルタの条件を入力または選択し、アラートを作成アイコンをクリックします。
  4. アラートの名前を入力します。
  5. (省略可)すべての特権管理者にアラートを送信するには、[受信者] で特権管理者に送信スライダー オンにする をオンにします。
  6. アラート受信者のメールアドレスを入力します。
  7. [作成] をクリックします。

カスタム アラートを編集する方法については、管理者へのメールアラートをご覧ください。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。