通知

Duet AI は Gemini for Google Workspace になりました。詳細

Gmail のログイベント

セキュリティ調査ツール

調査ツールで Gmail のログイベントのデータソースをサポートするエディション:
Enterprise Plus、Education Plus

組織の管理者は、セキュリティ調査ツールを使用して、Gmail のログイベントに関連する検索を実行し、検索結果に基づいて対応することができます。調査ツールでは、組織のユーザーと管理者が Gmail で行った操作を確認するためのアクション レコードを確認できます。たとえば、メールが迷惑メールに分類された、検疫から解放された、管理者検疫に送られた、といったことを確認できます。調査ツールで適切な権限を持っていれば、調査の一環として Gmail のメール コンテンツを閲覧することもできます。

また、調査ツールを使用して Gmail のログイベントに基づいて検索した後、特定のメールを削除する、迷惑メールやフィッシング メールに分類する、メールを検疫に送る、ユーザーの受信トレイにメールを送信するといった操作を行うこともできます。

セキュリティ調査ツールへのアクセス

  • セキュリティ調査ツールでサポートされているエディションには、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus が含まれています。
  • Cloud Identity Premium、Frontline Standard、Enterprise Standard、Education Standard の管理者も、データソースのサブセットに対して調査ツールを使用できます。
  • 調査ツールで検索を実行できるかどうかは、ご利用の Google エディション管理者権限データソースによって決まります。調査ツールで特定のデータソースを検索できない場合は、代わりに監査と調査のページをご利用ください。 詳しくは、監査と調査をより行いやすくするための変更をご覧ください。
  • ユーザーが使用している Google エディションに関係なく、すべてのユーザーに対して調査ツールで検索を実行できます。

Gmail のログイベントを検索する

調査ツールで検索を実行するには、まずデータソースを選択します。次に、検索条件を 1 つ以上選択する必要があります。条件ごとに属性、演算子、値を選択します。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールで、メニュー アイコン  次に  [セキュリティ] 次に [セキュリティ センター] 次に [調査ツール] にアクセスします。
  3. [データソース] をクリックし、[Gmail のログのイベント] を選択します。
  4. [条件を追加] をクリックします。
    ヒント: 検索で 1 つ以上の条件を指定するか、ネストされたクエリで検索をカスタマイズできます。詳しくは、ネストされたクエリを使って検索をカスタマイズするをご覧ください。
  5. [属性] をクリック 次に オプションを選択します。
    属性の一覧については、以下の属性の説明をご覧ください。
  6. [次の語句を含む] をクリック 次に 演算子を選択します。
  7. 値を入力するか、プルダウン リストから値を選択します。
  8. (省略可)検索条件を追加するには、手順 4〜7 を繰り返します。
  9. [検索] をクリックします。
    調査ツールの検索結果は、ページ下部の表に示されます。
  10. (省略可)調査を保存するには、保存アイコン をクリック 次に タイトルと説明を入力 次に [保存] をクリックします。

注:

  • [条件作成ツール] タブでは、フィルタ条件を AND/OR 演算子で表します。[フィルタ] タブを使用して、シンプルなパラメータと値のペアを含め、検索結果をフィルタリングすることもできます。
  • ユーザーの名前を変更すると、以前の名前のクエリ結果が表示されなくなります。たとえば、名前を OldName@example.com から NewName@example.com に変更した場合、OldName@example.com に関連するイベントの結果は表示されません。

属性の説明

このデータソースでは、ログイベント データの検索時に次の属性を使用できます。

 
Attribute Description
Attachment extension ID of the Chrome browser
Attachment hash SHA256 hash of the attachment
Attachment malware family Malware category, if detected when the message is handled—for example, Content may be harmful, Known malicious program, or Virus/worm
Attachment name Name of the attachment
Date Date and time of the event (displayed in your browser's default time zone)
Delegate Email address of the delegate user who performed the action on the owner's behalf
DKIM domain The domain authenticated with the DKIM (Domain Keys Identified Mail) mechanism
Domain The domain where the action occurred
Event The logged event action, such as Attachment download, Link click, or Send.
From (Envelope) Sender's envelope address
From (Header address) Sender's header address as it appears in the message headers, for example, user@example.com
From (Header name) Sender's header display name as it appears in the message header
Geo location ISO country code based on the relay IP
Has attachment Email includes an attachment
Has delegate Whether or not there was a delegate user who performed the action on the owner's behalf
IP address IP address of the mail client that started or interacted with the message
Link domain Domain(s) extracted from link URLs in the message body
Message ID The unique message ID located in the message header
OAuth project ID Cloud console project ID of the developer who authenticated with OAuth
Owner Owner of the email message. For an inbound message it's the recipient. For an outbound message it's the sender.
Sender domain Domain of the sender
Spam classification Spam classification of the email message—for example, Spam, Malware, Phishing, Suspicious, or Clean (not spam)
Spam classification reason Reason for the message being classified as spam—for example, Blatant spam, Custom rule, Sender reputation, or Suspicious attachment 
SPF domain Domain name used for Sender Policy Framework (SPF) authentication
Subject The email subject line 
Target attachment hash Information about the SHA256 attachment hash if a user interacts with a message's attachment
Target attachment malware family Information about the attachment malware family if users interact with a message's attachment—for example, Content may be harmful, Known malicious program, or Virus/worm
Target attachment name Information about the attachment name if users interact with a message's attachment
Target drive ID Information about the Drive ID if users interact with a message's Drive item
Target link URL Information about the link URL if users interact with a message's link
To (Envelope) Recipient's envelope address
Traffic source Indicates if an email is sent/received internally (within your domain) or externally

検索結果に基づいて対応する

調査ツールでの検索後、その結果に基づいて対応方法を選ぶことができます。たとえば、Gmail のログイベントに基づいて検索した後、調査ツールを使用して特定のメールを削除したり、メールを検疫に送ったり、ユーザーの受信ボックスにメールを送信したりできます。調査ツールでの操作について詳しくは、検索結果に基づいて対応するをご確認ください。

アクティビティ ルールを作成し、アラートを設定する

アクティビティ ルールを作成すると、調査ツールのアクションを自動化してセキュリティの問題を効率的に防止、検出、修正することができます。ルールを設定するには、ルールの条件と、その条件が満たされたときに実行する操作を指定します。詳細と設定手順については、アクティビティ ルールを作成、管理するをご確認ください。

調査を管理する

調査のリストを表示する

自分がオーナーとなっている調査と、自分が共有メンバーとなっている調査のリストを表示するには、調査を表示アイコン をクリックします。調査のリストには、調査の名前、説明、オーナー、最終更新日が含まれます。

このリストでは、調査を削除するなど、自分がオーナーとなっているすべての調査に対して操作を行うことができます。調査のチェックボックスをオンにして、[操作] をクリックします。

注: 調査のリストのすぐ上にある [クイック アクセス] では、最近保存した調査を確認できます。

調査の設定を行う

特権管理者は、設定アイコン をクリックして、次の操作を行うことができます。

  • 調査のタイムゾーンを変更する。このタイムゾーンは検索条件と結果に適用されます。
  • [要審査] をオンまたはオフにする。詳しくは、一括操作には審査担当者の設定を必須とするをご確認ください。
  • [コンテンツを表示] をオンまたはオフにする。この設定により、適切な権限を持つ管理者がコンテンツを閲覧できるようになります。
  • [操作を実行する理由] をオンまたはオフにする。

手順と詳細については、調査の設定を行うをご確認ください。

検索結果の列を管理する

検索結果に表示するデータ列を管理できます。

  1. 検索結果の表の右上にある列を管理アイコン をクリックします。
  2. (省略可)現在の列を削除するには、アイテムを削除アイコン をクリックします。
  3. (省略可)列を追加するには、[新しい列を追加] の横にある下矢印アイコン をクリックしてデータ列を選択します。
    以上の手順を必要なだけ繰り返してください。
  4. (省略可)列の順序を変更するには、列名をドラッグします。
  5. [保存] をクリックします。
検索結果からデータを書き出す
  1. 検索結果の表の上部にあるすべてエクスポート アイコンをクリックします。
  2. 名前を入力し 次に [エクスポート] をクリックします。
    書き出しの結果は、検索結果の表の下にある [「エクスポート」操作の結果] に表示されます。
  3. データを表示するには、エクスポートの名前をクリックします。
    書き出したデータが Google スプレッドシートで開きます。

書き出された検索結果を表示する際は、以下を参考にしてください。

  • 表の上部にあるすべてエクスポート アイコンをクリックすると、検索結果を含む Google スプレッドシートが [マイドライブ] フォルダに作成されます。結果のサイズによっては、書き出し処理に時間がかかることがあり、Google スプレッドシートが複数作成されることもあります。書き出せる結果は合計 3,000 万行までに制限されています(ただし、Gmail のメール検索の上限は 125 万行です)。
  • 書き出しの進行中は、仮名の Google スプレッドシートが作成されます(TMP-1-<タイトル> など)。Google スプレッドシートが複数作成される場合、2 番目以降のファイルの仮名は TMP-2-<タイトル>TMP-3-<タイトル> のようになります。書き出し処理が完了すると、ファイル名は自動的に <タイトル> [1 of N]<タイトル> [2 of N] のように変更されます。書き出されたデータを含む Google スプレッドシートが 1 つのみの場合、ファイル名は <タイトル> に変更されます。
  • 書き出された検索結果を含むファイルの共有アクセス権限は、ドメイン設定に準拠します。たとえば、作成されたファイルがデフォルトで社内の全員と共有される場合、書き出されたデータにもこの公開設定が適用されます。
調査を共有、削除、複製する

検索条件を保存したり他のユーザーと共有したりする場合は、調査を作成して保存した後に、共有、複製、削除を行います。

詳しくは、調査を保存、共有、削除したり、調査のコピーを作成したりするをご確認ください。

データを利用できる期間

データソースについて詳しくは、データの保持期間とタイムラグをご確認ください。

関連トピック

 

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

次の手順をお試しください。

ヘルプ コミュニティに投稿する コミュニティ メンバーから回答を得る
お問い合わせ 詳しい情報をお知らせください。解決に向けてサポートいたします
true
14 日間の無料試用を今すぐ開始してください

ビジネス向けのメール、オンライン ストレージ、共有カレンダー、ビデオ会議、その他多数の機能を搭載。G Suite の無料試用を今すぐ開始してください。

検索
検索をクリア
検索を終了
メインメニュー
3851898435302486053
true
ヘルプセンターを検索
true
true
true
true
true
73010
false
false