監査ログストリーミングの送信先
開始する前に、ワークスペースで監査ログストリーミングを有効にする手順について、監査ログストリーミングの設定ガイドを参照してください。
Workatoは、次の監査ログストリーミング送信先をサポートしています:
Amazon S3 Bucket
監査ログをAmazon S3にストリーミングするには、既存のAmazon S3コネクションを選択するか、リージョンとバケットが設定されたコネクションを作成します。 このコネクションには、次のポリシー権限を持つIAMロールを割り当てる必要があります:
ListAllMyBuckets: この一覧表示権限により、WorkatoはS3アカウントに属するすべてのバケットを一覧表示できます。 この権限は、コネクションがS3内の1つのバケットに制限されている場合でも必要です。PutObject: この書き込み権限により、Workatoは設定時に指定したバケットに活動監査ログをストリーミングできます。
S3への監査ログストリーミングの最小権限
監査ログが正常にストリーミングされるようにするには、Amazon S3コネクションが次の要件を満たしていることを確認します:
- 指定されたS3バケットが存在している必要があります。
- S3コネクションで指定されたリージョンは、選択したバケットのリージョンと一致している必要があります。
- S3コネクションに関連付けられているIAMロールARN(Amazon Resource Name)は有効である必要があります。
- IAMロールには、
ListAllMyBuckets権限とPutObject権限が必要です。
IAMロールと権限ポリシーの設定について詳しくは、IAMロールベース認証ドキュメントを参照してください。
IAMロールの権限
IAMロールのバケット権限を更新した場合、S3をストリーミング送信先として引き続き使用するには、先にWorkatoでS3コネクションを切断して再確立する必要があります。 これは、リソースへの安全なアクセス管理に役立つように設計されたセキュリティ機能です。
さらに、S3内の特定のバケットへのアクセスを制限する予定がある場合は、S3コネクションの設定時にこの設定を構成する必要があります。
IAMロールはバケットレベルで設定する必要があり、bucket/objectレベルでは設定し_ないで_ください。
Azure Monitor
監査ログをAzure Monitorにストリーミングするには、次の手順を実行します:
共有キーの非推奨化
共有キー認証方式では、非推奨となったレガシーのHTTP Data Collector APIを使用しており、2026年9月に動作を停止します。 代わりにクライアント資格情報認証へ移行してください。
Audit log destinationドロップダウンメニューを使用して、Azure Monitorを選択します。
Set up connectionをクリックします。
任意です。 ログを特定のAzureリソースに関連付けるには、Resource IDを入力します。
ストリーミングするイベントを選択します:
- ジョブステータスのみ: ジョブが成功したか失敗したかをログに記録します。
- ジョブの詳細全体: ステータスや各行アクションのデータを含むジョブの詳細をログに記録します。
- ユーザーアクティビティ: ワークスペース内のすべてのユーザーアクティビティをログに記録します。
- API platformログ: API platformによって処理されたすべてのAPIリクエストをログに記録します。
- Workatoログイベント: Workatoロギングサービスに送信されたすべてのメッセージをログに記録します。
- Genieの会話: 各応答のデータを含む、Genieの会話の完全な詳細をログに記録します。
さらに、Workatoロギングサービスからイベントをストリーミングする予定がある場合は、含めるログタイプとログレベルを選択します。
任意です。 使用する予定のロギングメッセージをCustomize log messageフィールドに入力します。 詳細については、カスタムログメッセージガイドを参照してください。
監査ログストリーミング設定を適用するには、Saveをクリックします。
指定したログタイプをクエリして、Azure Monitorワークスペースが監査ログを受信していることを確認します。
監査ログを検証
Azure Blob Storage
コンテナーが設定されたAzure Blobコネクションを選択します。 コネクションには、コンテナーへの読み取り/書き込みアクセス権が必要です。 Microsoft Entra IDでIntegration System User(ISU)のロールアクセスを変更する方法については、Azure Blobドキュメントを参照してください。 Azure Blobにストリーミングされるログ10,000件ごとに、Azureから追加料金が請求されます。
クラウドベースのログサービス
任意のログサービスプロバイダー(Sumo Logic、Datadog、Splunkなど)をストリーミング送信先として使用できます。 Sumo LogicまたはDatadogを使用したHTTPベースのログ収集の設定について、詳しくはこちらをご覧ください。
クラウドベースのログサービス送信先の使用方法
Destination URLフィールドに移動し、クラウドベースのログサービスプロバイダーのHTTP URLを入力します。 Workato監査ログストリーミングは、監査ログイベントをリアルタイムでこのURLに投稿します。
ログサービスプロバイダーがHTTPリクエストの送信に認証を必要とする場合は、Requires authenticationスライダーを有効にしてから、Link your accountボタンを選択して、認証情報を含むHTTPコネクションを指定します。 新しいHTTPコネクションを作成するか、既存のコネクションにリンクできます。
HTTPコネクションへのリンク
HTTPコネクションでサポートされる認証方式
ログストリーミング用にHTTPコネクターを設定する場合は、次のいずれかの認証方式を使用してください:
- Basic
- クエリ
oauth2_auth_code_grantoauth2_client_credentials_grant- カスタム
RESTベースの送信先への監査ログストリーミングは、前述の認証方式とのみ互換性があることに注意してください。 別の認証方式を使用すると、ストリーミングを正常に設定できません。
検証失敗
Google Cloud Storage Buckets
監査ログをWorkatoからGoogle Cloud Storage Bucketにストリーミングできます。 ログストリーミングコネクションを設定するには、次のセクションの手順を実行します。
前提条件
次の機能とアクセス権が必要です:
- Audit Log Streaming機能が有効なWorkatoアカウント
- 次のGoogle Cloud製品およびサービスへのアクセス権:
- Cloud Logging
- Google Cloud Storage Buckets
- ロールとIAM
- APIとサービス
- Google OAuth2 Playground(トラブルシューティング用)
Google Cloud Logging APIの有効化
Google Cloud Platform(GCP)インスタンスにログを送信するには、次のAPIを有効にする必要があります。 詳細については、GoogleドキュメントのAPIを有効にする方法を参照してください。
Cloud Logging APIを有効にするには、次の手順を実行します:
Google Cloud Consoleにサインインします。
有効なAPIとサービスに移動します。
Cloud Logging APIを検索し、有効になっていることを確認します。
ユーザーアカウントの作成
共有ユーザーアカウントを使用してGCPインスタンスへのコネクションを作成するか、Google Cloud Storage Bucketにログを書き込む権限を持つ個人を割り当てる必要があります。 このユーザーは、有効なメールアドレスを持つ組織のディレクトリ内のユーザーである必要があります。 このアカウントを使用して、OAuth 2.0ワークフローでWorkatoとGCP間の連携を認証します。 詳細については、Googleドキュメントのユーザーを追加する方法を参照してください。
ユーザーアカウントのロール権限の割り当て
認証に使用する予定のユーザーアカウントには、必要なロールと権限を付与する必要があります。 詳細については、Googleドキュメントのロールを付与する方法を参照してください。
ユーザーアカウントに必要な権限を割り当てるには、次の手順を実行します:
Google Cloud Consoleにサインインします。
Google Cloud Logging > Permissions > Assign Principalに移動します。
前のセクションで作成したアカウントを選択し、Logging Adminロールを割り当てます。
Google Cloud Bucketsに移動し、Workatoログを保存する予定のバケットを選択します。必要に応じて新しいバケットを作成します。
Permissions > Assign Principalに移動し、ユーザーアカウントを選択してから、Storage Object Adminロールを割り当てます。
OAuth同意画面の設定
OAuthアプリケーションを作成する前に、OAuth同意画面を設定する必要があります。
OAuth同意画面を設定するには、次の手順を実行します:
Google Cloud Consoleにサインインします。
活動ログをストリーミングする予定のプロジェクトIDを選択します。
APIとサービスに移動します。
OAuth Consent Screen設定ページに移動し、Credentialsを選択します。
Authorized domains > click Add Domainに移動し、workato.comを入力します。
Workatoドメインの追加
Scopes for Google APIsを選択します。
Add scopeをクリックします。
次のCloud Logging APIスコープがあることを確認します:
.../auth/logging.admin.../auth/logging.read.../auth/logging.write
必須APIスコープ
Add > Submit for verificationをクリックします。
外部OAuthアプリの作成
clientIDとclientSecretを生成するには、GCPインスタンスでOAuthアプリケーションを作成する必要があります。 これにより、Workatoは前のセクションで有効にしたGoogle Cloud Logging APIを使用できるようになります。
外部OAuthアプリを作成するには、次の手順を実行します:
Google Cloud Consoleにサインインします。
APIs & Services > Credentials > Create Credentials > OAuth Client IDに移動します。
Application Typeを選択し、アプリの名前を入力します。 アプリにWorkato - GCP Integration - USという名前を付けることをお勧めします。
承認済みリダイレクトURIとして次を入力します: https://www.workato.com/oauth/callback。
Createをクリックします。 アプリが作成されると、clientIDとclientSecretが自動的に生成されます。 保管のためにJSONファイルをダウンロードすることをお勧めします。
APIs & Services > OAuth Consent Screenに移動します。
フォームを使用してアプリを登録し、承認済みドメインのリストにworkato.comを含めます。 開発者の連絡先情報には、任意のユーザーアカウントを使用できることに注意してください。
保存して次へをクリックします。
OAuth2認可コードグラントを使用したHTTPコネクションの作成
OAuth2認可コードグラントを使用してHTTPコネクションを作成するには、次の手順を実行します:
Workatoアカウントにサインインします。
プロジェクト > コネクションに移動します。
作成 > コネクションをクリックするか、Cを2回押してから、コネクターとしてHTTPを検索して選択します。
コネクション名フィールドにコネクションの名前を入力します。
ロケーションドロップダウンメニューを使用して、コネクションを保存するプロジェクトを選択します。
コネクションタイプドロップダウンメニューを使用して、クラウドを選択します。
Authentication typeドロップダウンメニューを使用して、OAuth2 authorization code grantを選択します。
OAuth2 authorization URL fieldに次のURLを入力します: https://accounts.google.com/o/oauth2/token。さらに、認可URLを入力します: https://accounts.google.com/o/oauth2/auth?response_type=code&scope=https://www.googleapis.com/auth/cloud-platform&access_type=offline&prompt=consent
前のセクションで生成したOAuth2 Client IDを入力します。
前のセクションで生成したOAuth2 Client Secretを入力します。
How does the API require credentials to be sent to request a token?ドロップダウンメニューを使用して、Headerを選択します。
接続をクリックします。 OAuth同意ダイアログボックスが開き、リクエストの認証を求められます。
続行をクリックします。
ユーザーアカウントのメールアドレスとパスワードを入力します。
Allowを選択して、WorkatoがGoogle Cloud Loggingインスタンスに接続できるようにします。
監査ログストリーミングの設定
監査ログをGoogle Cloudにストリーミングするには、次の手順を実行します:
Workatoアカウントにサインインします。
ワークスペース管理者 > Settings > Debug and logs > Log streamingに移動します。
ログストリーミングに移動
Set up audit log streamingをクリックします。
Audit log destinationドロップダウンメニューを使用して、Cloud based logging serviceを選択します。
外部ログプロバイダーにストリーミングするようにログを設定
Audit log destinationとして次のURLを入力します: https://logging.googleapis.com/v2/entries:write。
Requires authenticationトグルを選択します。
Set up connectionをクリックし、Existing connectionsドロップダウンメニューを使用して、前のセクションで設定したコネクションを選択します。
既存のコネクションからコネクションを選択
Choose events to streamセクションに移動し、ストリーミングする予定のイベントのチェックボックスを選択します。
使用する予定のロギングメッセージをCustomize log messageフィールドに入力します。
必須形式
Google Cloud Loggingは、特定の形式のJSONペイロードを想定しています。 ログメッセージに次のメッセージ形式を含めることをお勧めします。 プロジェクト名とログ名を独自の値に置き換えます。
{
"logName" : "projects/your-project-name/logs/workato-logs",
"resource": { "type": "gce_instance"},
"entries": [
{
"jsonPayload": {
"data": {{{ log_message }}}
}
}
]
}保存をクリックします。 これで、ログがデフォルトバケットに流れるように設定されました。
ログを特定のGCP Bucketにルーティングするログシンクの作成
ログを特定のGCPバケットにルーティングするには、ログシンクを作成する必要があります。
ログの時間単位のバッチ処理
ログは、デフォルトのクラウドロギングから送信先へ時間単位のバッチでルーティングされます。
ログシンクを作成するには、次の手順を実行します:
Google Cloud Consoleにサインインします。
Cloud Logging Explorer > Log Router > Create Sinkに移動します。
Workato to GCPなどのSink nameを指定し、Nextをクリックします。
シンクの作成
Select sink serviceドロップダウンメニューを使用して、Google Cloud Bucketを選択します。
Browseをクリックして、使用する予定のGoogle Cloud Bucketを探して選択し、Nextをクリックします。
Inclusion filterフィールドにログ名を入力して、ルーターに含める予定のログを選択し、Nextをクリックします。
Create Sinkをクリックします。
Google Cloud Bucketの詳細
トラブルシューティング
ログストリーミングのトラブルシューティングを行うには、次の手順を実行します:
Cloud Logging API v2を見つけて承認します。
Google Cloud Bucketのユーザーアカウント資格情報を使用してサインインします。 これにより、アクセストークンが自動的に生成されます。
次のメッセージ形式でPOSTリクエストを設定し、名前をGCPインスタンスの値に置き換えます:
{
"logName" : "projects/your-project-name/logs/your-log-name",
"resource": { "type": "gce_instance"},
"entries": [
{
"jsonPayload": {
"data": "hello world"
}
}
]
}Google Logs Explorerに移動し、クエリを実行してlogName = {your-log-name}を確認します。その際、値を設定済みのGCP情報に置き換えます。
ログが見つかりません
ログが表示されない場合、POSTリクエストが失敗した可能性があります。 正確なエラーを確認するには、POSTリクエストのエラーレスポンスコードを確認します。 権限エラーが発生した場合は、ユーザーアカウントに必要な権限があることを確認します。
Last updated: