SAML 로그 이벤트

SAML 애플리케이션 로그인 정보 보기

Google Workspace 버전에 따라 고급 기능이 포함된 보안 조사 도구에 액세스할 수도 있습니다. 예를 들어 최고 관리자는 보안 및 개인 정보 보호 문제를 식별하고 분류하여 조치를 취할 수 있습니다. 자세히 알아보기

조직의 관리자는 SAML 로그 이벤트와 관련하여 검색하고 조치를 취할 수 있습니다. 예를 들어 사용자의 SAML 애플리케이션 로그인 완료 및 실패 정보를 추적하는 작업 기록을 확인할 수 있습니다. 대개 로그 항목은 사용자가 작업한 후 1시간 이내에 표시됩니다.

로그 이벤트 데이터를 Google Cloud로 전달하기

로그 이벤트 데이터를 Google Cloud와 공유하도록 선택할 수 있습니다. 공유를 사용 설정하면 데이터가 Cloud Logging으로 전달되고 여기서 로그를 쿼리하고 조회할 수 있으며 로그 라우팅 및 저장 방식을 관리할 수 있습니다.

로그 이벤트 검색하기

검색 실행 가능 여부는 Google 버전, 관리 권한, 데이터 소스에 따라 달라집니다. Google Workspace 버전과 관계없이 모든 사용자를 대상으로 검색을 실행할 수 있습니다.

감사 및 조사 도구

로그 이벤트를 검색하려면 먼저 데이터 소스를 선택하세요. 그런 다음 검색을 위해 하나 이상의 필터를 선택합니다.

관리자 계정으로 Google 관리 콘솔에 로그인합니다.
관리자 계정을 사용하지 않으면 관리 콘솔에 액세스할 수 없습니다.
메뉴 보고서 > 감사 및 조사 > SAML 로그 이벤트로 이동합니다.
보고서 관리자 권한이 필요합니다.
필터 추가를 클릭한 다음 속성을 선택합니다.
팝업 창에서 연산자를 선택하고값을 선택한 다음적용을 클릭합니다.
- (선택사항) 검색을 위해 여러 필터를 만들려면 이 단계를 반복합니다.
- (선택사항) 검색 연산자를 추가하려면 필터 추가 위에서 AND 또는 OR을 선택합니다.
- (선택사항) 검색을 위해 여러 필터를 만들려면 이 단계를 반복합니다.
- (선택사항) 검색 연산자를 추가하려면 필터 추가 위에서 AND 또는 OR을 선택합니다.
검색을 클릭합니다.
참고: 필터 탭에서 간단한 매개변수 및 값 쌍을 포함하여 검색결과를 필터링할 수 있습니다. 필터가 AND/OR 연산자로 조건으로 표시되는 조건 작성 도구 탭을 사용할 수도 있습니다.

보안 조사 도구

이 기능은 Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud ID Premium 버전에서 지원됩니다 사용 중인 버전 비교하기

보안 조사 도구에서 검색을 실행하려면 먼저 데이터 소스를 선택합니다. 그런 다음 하나 이상의 검색 조건을 선택합니다. 각 조건에서 속성, 연산자, 값을 선택합니다.

관리자 계정으로 Google 관리 콘솔에 로그인합니다.
관리자 계정을 사용하지 않으면 관리 콘솔에 액세스할 수 없습니다.
메뉴 보안 > 보안 센터 > 조사 도구로 이동합니다.
보안 센터 관리자 권한이 필요합니다.
데이터 소스를 클릭하고 SAML 로그 이벤트를 선택합니다.
조건 추가를 클릭합니다.
도움말: 검색에 조건을 하나 이상 포함하거나 중첩된 쿼리로 검색을 맞춤설정할 수 있습니다. 자세한 내용은 중첩된 쿼리로 검색 맞춤설정하기를 참고하세요.
속성을 클릭하고 옵션을 선택합니다.
전체 속성 목록을 보려면 아래 속성 설명 섹션으로 이동합니다.
연산자를 선택합니다.
값을 입력하거나 드롭다운 목록에서 값을 선택합니다.
(선택사항) 검색 조건을 더 추가하려면 4~7단계를 반복합니다.
검색을 클릭합니다.
페이지 하단의 표에 조사 도구의 검색결과가 표시됩니다.
(선택사항) 조사를 저장하려면 저장을 클릭하고 제목과 설명을 입력한 다음 저장을 클릭합니다.

참고:

조건 작성 도구 탭에서 필터는 AND/OR 연산자로 조건으로 표시됩니다. 필터 탭에서 간단한 매개변수 및 값 쌍을 포함하여 검색결과를 필터링할 수도 있습니다.
참고: 사용자에게 새 이름을 부여한 경우, 사용자의 기존 이름을 사용하면 쿼리 결과가 표시되지 않습니다. 예를 들어 OldName@example.com을 NewName@example.com으로 바꾸는 경우, OldName@example.com과 관련된 이벤트 결과는 표시되지 않습니다.

속성 설명

이 데이터 소스의 경우 로그 이벤트 데이터를 검색할 때 다음 속성을 사용할 수 있습니다.

속성	설명
작업 수행자	작업을 수행한 사용자의 이메일 주소입니다.
작업 수행자 그룹 이름	작업 수행자의 그룹 이름입니다. 자세한 내용은 Google 그룹별로 검색결과 필터링하기를 참고하세요. 필터링 그룹 허용 목록에 그룹을 추가하려면 다음 안내를 따르세요. 작업 수행자 그룹 이름을 선택합니다. 그룹 필터링을 클릭합니다. 필터링 그룹 페이지가 표시됩니다. 그룹 추가를 클릭합니다. 이름이나 이메일 주소의 처음 몇 글자를 입력하여 그룹을 검색합니다. 원하는 그룹이 표시되면 선택합니다. (선택사항) 다른 그룹을 추가하려면 그룹을 검색하여 선택합니다. 그룹을 모두 선택한 후에는 추가를 클릭합니다. (선택사항) 그룹을 삭제하려면 그룹 삭제 를 클릭합니다. 저장을 클릭합니다.
작업 수행자 조직 단위	작업 수행자의 조직 단위입니다.
애플리케이션 이름	이벤트를 시작한 SAML 애플리케이션입니다.
날짜	이벤트가 발생한 날짜 및 시간입니다. 브라우저의 기본 시간대로 표시됩니다.
이벤트	두 가지 유형(로그인 완료 및 실패한 로그인 시도)의 이벤트가 기록됩니다.
실패 유형	로그인 시도에 실패한 경우 실패 유형이 표시됩니다. 자세한 내용은 아래의 실패 유형 및 해결책을 참고하세요.
시작한 주체	이벤트를 시작한 제공업체입니다. ID 공급업체 또는 서비스 제공업체일 수 있습니다.
IP 주소	SAML 애플리케이션에 로그인한 사용자가 사용한 인터넷 프로토콜(IP) 주소입니다. IP 주소는 일반적으로 사용자의 물리적 위치를 반영하지만 그렇지 않은 경우도 있습니다. 예를 들어 프록시 서버나 가상 사설망(VPN) 주소가 될 수도 있습니다.
응답 2단계 상태	SAML 요청의 성공 또는 실패에 관한 상태 정보입니다. 상태 코드에 대한 자세한 내용은 SAML v2.0 Core의 섹션 3.2.2.2를 참고하세요.
응답 상태	SAML 요청의 성공 또는 실패에 관한 상태 정보입니다. 상태 코드에 대한 자세한 내용은 SAML v2.0 Core의 섹션 3.2.2.2를 참고하세요.

실패 유형별로 데이터 필터링하기

위에서 설명한 대로 로그 이벤트를 엽니다.
위의 로그 이벤트 검색하기에 설명된 대로 필터 추가실패 유형을 클릭합니다.
드롭다운 목록에서 다음 옵션 중 하나를 선택합니다.
적용을 클릭합니다.

실패 유형 및 해결책

다음 실패 유형이 로그 이벤트에 기록됩니다.

실패 유형	해결책
애플리케이션이 구성되지 않음	관리 콘솔에서 엔티티 ID를 비롯한 서비스 제공업체 설정이 올바르게 구성되었는지 확인합니다.
애플리케이션이 사용자에게 사용 설정되지 않음	관리 콘솔의 앱 설정 페이지에 있는 사용자 액세스 섹션에서 사용자가 속한 조직에 대해 애플리케이션이 사용 설정되어 있는지 확인합니다.
잘못된 요청	요청 형식이 잘못되었거나 요청에 있는 ACS URL이 관리 콘솔에서 구성된 ACS URL과 일치하지 않습니다. 해당 서비스 제공업체용으로 구성된 ACS URL이 정확한지 확인하세요.
잘못된 이름 ID 매핑	애플리케이션의 NAMEID 매개변수와 관리 콘솔의 앱 설정에 구성된 NAMEID 매개변수가 일치하지 않습니다. 스키마가 여전히 존재하는지 확인하고 애플리케이션의 NAMEID 매핑을 재구성해야 합니다.
잘못된 서비스 제공업체 ID	서비스 제공업체 측 구성이 관리 콘솔에서 구성된 app-id 입력란과 일치하는지 확인하세요. 요청 URL에 전달되는 SP ID가 app-id와 같아야 합니다.
이름 ID 매핑 불가	NAMEID 매핑의 매핑된 속성을 찾을 수 없습니다. 관리자는 스키마가 여전히 존재하는지 확인하고 애플리케이션의 NAMEID 매핑을 재구성해야 합니다.
수동적 인증 실패	사용자가 ID 공급업체(IdP)에 로그인할 수 없습니다. 브라우저에서 IdP에 다시 로그인합니다.
알 수 없음	알 수 없는 이유로 로그인하지 못했습니다.
승인되지 않은 사용자	사용자가 속한 조직 또는 그룹에 대해 애플리케이션이 사용 설정되어 있는지 확인합니다.

로그 이벤트 데이터 관리하기

검색결과 열 데이터 관리하기

검색결과에 표시할 데이터 열을 설정할 수 있습니다.

검색결과 표의 오른쪽 상단에서 열 관리 를 클릭합니다.
(선택사항) 현재 열을 삭제하려면 삭제 를 클릭합니다.
(선택사항) 열을 추가하려면 새 열 추가 옆에 있는 아래쪽 화살표 를 클릭하고 데이터 열을 선택합니다.
필요한 경우 반복합니다.
(선택사항) 열 순서를 변경하려면 데이터 열 이름을 드래그합니다.
저장을 클릭합니다.

검색결과 데이터 내보내기

검색 결과를 Google Sheets 또는 CSV 파일로 내보낼 수 있습니다.

검색결과 표 상단에서 모두 내보내기를 클릭합니다.
이름을 입력하고 내보내기를 클릭합니다.
내보내기가 검색 결과 표 아래의 작업 결과 내보내기에 표시됩니다.
데이터를 보려면 내보내기 이름을 클릭합니다.
Google Sheets에서 내보내기 파일이 열립니다.

내보내기 한도는 다음과 같이 다릅니다.

내보내기의 총 결과는 100,000행으로 제한됩니다.
이 기능은 Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud ID Premium 버전에서 지원됩니다 사용 중인 버전 비교하기
보안 조사 도구가 있는 경우 총 내보내기 결과는 3천만 행으로 제한됩니다(10,000행으로 제한되는 Gmail 메일 검색 제외).

자세한 내용은 검색 결과 내보내기를 참고하세요.

데이터는 언제 사용할 수 있으며 얼마 동안 제공되나요?

데이터 보관 및 지연 시간을 참고하세요.

검색 결과에 따라 조치 취하기

활동 규칙 만들기 및 알림 설정하기

보고 규칙을 사용하여 로그 이벤트 데이터를 기반으로 알림을 설정할 수 있습니다. 자세한 내용은 보고 규칙 만들기 및 관리하기를 참고하세요.
이 기능은 Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud ID Premium 버전에서 지원됩니다 사용 중인 버전 비교하기
활동 규칙을 만들어 보안 조사 도구에서 작업을 자동화하고 알림을 설정하면 보다 효율적으로 보안 문제를 방지하고 감지하며 해결할 수 있습니다. 규칙을 설정하려면 규칙에 대한 조건을 설정한 다음 조건이 충족될 때 수행할 작업을 지정합니다. 자세한 내용 및 안내는 활동 규칙 만들기 및 관리하기를 참고하세요.

검색결과에 따라 조치 취하기

보안 조사 도구에서 검색을 실행한 후 검색 결과를 바탕으로 작업을 수행할 수 있습니다. 예를 들어 Gmail 로그 이벤트를 기반으로 검색을 실행한 다음 도구를 사용해 특정 메일을 삭제하거나 스팸 격리 저장소로 보내거나 사용자의 받은편지함으로 보낼 수 있습니다. 자세한 내용은 검색 결과에 따라 조치 취하기를 참고하세요.