この記事は Splunk Advent Calendar 2025 7日目の記事です。
普段、Google Workspace を利用する立場でも、管理する立場でもまったくないのですが、
個人のドメインを「Google Cloud Identity Free」を運用しています。
ある日、管理コンソールの設定をみていると、一瞬 Splunk という文字が見えた気がしたのですが、そのときは別の作業を行い、後日検索しても見つかりませんでした。
今回、設定する場所をようやく見つけられましたので
- 設定方法
- どのようなログが飛ばせるか
を確認しようと思います。
Google Cloud Identity Free
Google Cloud Identity Free 自体はこちらではあまり触れませんが、下記のページをご確認ください。
Gmail や Google カレンダーなどの Google Workspace サービスを必要としないユーザー向けの ID 管理とエンドポイント管理の中心となるツール。
と紹介されていますが、自分の場合、Google Pixel のプライベートスペースや、一時的に Gmail などの機能を利用しない Google アカウントが必要な場合などに使用しています。
Chrome Enterprise Core
これが今回のポイントになってくるのですが、「Chrome Enterprise Core」にも申し込んでいたようです。
※そのほかにも、Android Enterprise の無償版も申し込んでいました。
こちらも、無料で利用できます。
Splunk 側の設定
HEC の設定を行います。
まずはグローバル設定の「SSL を有効にする」は無効にしておきます。
Google 側は証明書の整合性を確認するようですので、暗号化が必要なら Splunk デフォルトの証明書ではなく、正規の証明書が必要のようです。
次に、トークンの設定を行います。
「インデクサー確認を有効にする」のチェックは外しておきます。
これを有効にしてしまうと、下記のような「Data channel is missing」エラーが発生します。
12-07-2025 10:59:23.901 +0000 ERROR HttpInputDataHandler [4560 HttpDedicatedIoThread-0] - Failed processing http input, token name=google, channel=n/a, source_IP=xxx, reply=10, status_message="Data channel is missing", status=400, events_processed=0, http_input_body_size=290, parsing_err=""
管理コンソールからの Splunk 転送設定
こちらの手順となりますが、日本語での説明がないので説明していきます。
まずは管理コンソール( https://admin.google.com/ )にログインします。
デバイス → Chrome → コネクタ を選択し、新しいプロバイダの設定を行います。
次に設定を行います。
今回は、SSL を無効化しているので、プロトコルは HTTP にします。
HTTPS の場合、デフォルトのポートが 443 になってしまいますが、
Splunk の場合は SSL の有無にかかわらず HEC は 8088 ポートで稼働しますので、ポート番号は確認が必要です。
また、ホストという記載ですので / 以下のパスは不要のようです。
接続をテストで問題ないことを確認します。
転送可能なログは下記の通りです。
一部のログは「Chrome Enterprise Premium」が必要です。
ログの転送確認
下記のように転送されていることを確認できました。
通常のウェブサイトの閲覧ログなどは転送されず、拡張機能のインストール時のログのみ確認できました。
パスワード漏洩のログも気になるところですが、危険を冒してまでは試せず・・・
まとめ
Google Cloud Identity Free でも利用可能な Chrome Enterprise Core のログを転送してみました。
転送元によって
- SSL の有無
- インデクサー確認の有無
- ホスト名なのか URL なのか
など異なるため、正常に転送できる設定を確認できました。
肝心の転送されるログについて、無料版のため高度な管理機能が無いことが理由と思われ、十分なログは転送されていませんが、有償版であればより高度なログが転送されるのではないかと思います。
