本文適用對象為只使用 BigQuery 中 Gmail 記錄的 Google Workspace 管理員,或是一併使用 BigQuery 中 Gmail 記錄和 Google Workspace 記錄的管理員。本文會詳細說明將 Gmail BigQuery 檢視表、查詢和指令碼遷移至 BigQuery 中的 Google Workspace 記錄與報告的步驟。
為簡化 BigQuery 工作,並讓您可以集中查看所有 BigQuery 資料,我們正在合併 BigQuery 的 Gmail 記錄與 Google Workspace 記錄。
這項異動完成後,您就能:
- 集中儲存及管理所有 Google Workspace 服務稽核事件的 BigQuery 匯出作業
- 在 BigQuery 中取得更完整的 Gmail 事件相關資料,包括裝置類型和收件匣動作 (例如開啟、刪除、點選連結和下載附件)。這項資料包含安全調查工具的所有事件和資料欄。
- 將資料分區,方便您匯出較小的資料集,並減少 BigQuery 資料儲存空間費用。
- 復原資料,讓您可以修正錯誤設定和權限變更。
敬請配合
將 BigQuery 中的 Gmail 記錄與 Google Workspace 記錄合併後,您就無法在 Google 管理控制台使用 BigQuery 的 Gmail 記錄。
如要保留 Gmail BigQuery 資料,請將檢視表、查詢和指令碼遷移至 BigQuery 中的 Google Workspace 記錄與報表。
| 步驟 | 說明 | 更多資訊 |
|---|---|---|
| 1 | 設定將服務記錄匯出到 Google Workspace BigQuery 的功能 |
如果您已在 BigQuery 中設定 Google Workspace 記錄和報告,請略過這個步驟並前往步驟 2。 如果略過這個步驟,請務必:
|
| 2 | 遷移 Gmail BigQuery 記錄的檢視表、查詢和指令碼 | 只有在 BigQuery 的 Gmail 記錄中,有要遷移至 Google Workspace 記錄的自訂檢視表或已儲存的查詢,才需要執行這個步驟。如果您沒有任何要遷移的自訂檢視表或已儲存的查詢,請略過這個步驟,直接進行步驟 3。 |
| 3 | 停止將 Gmail 記錄匯出至僅限 Gmail 的 BigQuery 專案 | 建議您先確認已儲存的查詢運作正常,再完成這個步驟。 |
步驟 1:設定將服務記錄匯出到 Google Workspace BigQuery 的功能
請在 Google 管理控制台中執行這個步驟。
如果您已在 BigQuery 中設定 Google Workspace 記錄和報告,請略過這個步驟,然後前往步驟 2:遷移 Gmail BigQuery 記錄的檢視表、查詢和指令碼。如果略過這個步驟,請務必:
- 取得目前的專案 ID 和資料集名稱,用來匯出 Gmail 資料。
- 瞭解雙重匯出作業進行期間對 BigQuery 儲存空間需求的影響。
如要進一步瞭解 BigQuery 和 Reports API 資料,請參閱「設定將服務記錄匯出到 BigQuery 的功能」。
-
- 按一下左側的「報告」。
- 向下捲動,然後按一下「BigQuery Export」。
- 將滑鼠游標移至「BigQuery Export」,然後按一下「編輯」。
- 如要啟用 BigQuery 記錄,請勾選「允許將 Google Workspace 資料匯出至 Google BigQuery」方塊。
- 在「BigQuery 專案 ID」之下,選取您要儲存 Gmail 記錄的專案。選擇您擁有寫入權限的專案。如果找不到該專案,您必須在 BigQuery 中設定專案。詳情請參閱「快速入門導覽課程:使用 Google Cloud 控制台」。
- 在「專案中的新資料集」下方,根據要用來儲存專案記錄的資料集,輸入資料集名稱。您無法使用現有資料集,且每項專案的資料集名稱均不得重複。
- 按一下「儲存」。
注意:如果無法儲存專案,請前往 Google Cloud 控制台刪除新資料集,再前往管理控制台重新儲存。
系統會自動建立資料集。開啟這項設定後,通常約在 10 分鐘後即可查看活動記錄事件。請稍後再返回確認資料集和活動表格顯示與否。 過去 6 個月的 Gmail 記錄事件資料會回填至新資料表。
臨時雙重匯出作業進行期間和儲存空間需求
設定將 Gmail 記錄匯出至 Google Workspace BigQuery 後,Gmail 記錄資料會匯出到 2 個目標位置:
- 先前僅限 Gmail 的 BigQuery 專案
- 新的或已存在的 Google Workspace BigQuery 專案,其中儲存了所有 Google Workspace 應用程式的資料
在完成步驟 3:停用將 Gmail 記錄匯出至僅限 Gmail 的 BigQuery 專案的功能之前,系統會將 Gmail 記錄資料匯出至這兩項專案。暫時將資料匯出至這兩個位置,有助於確保資料如預期轉移,且不會遺失任何資料。
雙重匯出作業進行期間和 BigQuery 儲存空間
將資料匯出到兩個專案,會需要更多 BigQuery 儲存空間。完成步驟 3:停用將 Gmail 記錄匯出至僅限 Gmail 的 BigQuery 專案的功能後,您的儲存空間需求應該就會恢復正常。建議您先確認已儲存的查詢運作正常,再執行步驟 3。
步驟 2:遷移 Gmail BigQuery 記錄的檢視表、查詢和指令碼
在 Google Cloud 控制台中執行這個步驟。
除非您有要遷移至 BigQuery 中 Google Workspace 記錄的已儲存查詢或自訂資料集檢視表,才需執行這個步驟。
如果沒有任何要遷移的自訂檢視表或已儲存的查詢,請略過這個步驟,直接進行步驟 3:停用將 Gmail 記錄匯出至僅限 Gmail 的 BigQuery 專案的功能。
如要透過與目前 Gmail daily_ 表格相同的結構儲存 Gmail 資料,請建立 Gmail 活動表格的檢視表。將現有查詢遷移至 Google Workspace BigQuery 時,您必須修改表格名稱。表格格式或欄位名稱則不必修改。如要進一步瞭解 BigQuery 檢視表,請參閱「檢視表簡介」。
- 在 Google Cloud 控制台中開啟進行中的 BigQuery 專案。開啟專案,其中含有要遷移的已儲存查詢。
- 選取要遷移的專案資料集。
- 如要為活動表格建立單一檢視表,請按照下列步驟執行指令碼:
- 複製指令碼文字:
CREATE VIEW `PROJECT_ID.DATASET_NAME.gmail_view`(event_info, message_info, date) AS SELECT gmail.event_info, gmail.message_info, _PARTITIONTIME FROM `PROJECT_ID.DATASET_NAME.activity` WHERE gmail IS NOT NULL; - 前往「編輯器」欄位。如果找不到「編輯器」欄位,請按一下「撰寫新查詢」圖示
。
- 將指令碼文字貼到「編輯器」欄位中。
- 在貼上的指令碼中,使用從步驟 1:設定將服務記錄匯出到 Google Workspace BigQuery 的功能取得的專案 ID 和資料集名稱取代
PROJECT_ID.DATASET_NAME。 - 按一下左上方的「執行」按鈕。
- 複製指令碼文字:
- 檢查從
day_表格中選取的已儲存查詢。如果是現有的查詢,請視需要更新表格名稱,並新增WHERE條件。進行下列其中一項變更:- 將已選取的
FROM `daily_YYYYMMDD`變更為FROM `gmail_view` WHERE date = “YYYY-MM-DD”。例如,將FROM `daily_20220815`變更為FROM `gmail_view` WHERE date = “2022-08-15” - 將已選取的
FROM `Daily_*`變更為FROM `gmail_view`
- 將已選取的
步驟 3:停用將 Gmail 記錄匯出至僅限 Gmail 的 BigQuery 專案的功能
請在 Google 管理控制台中執行這個步驟。
完成這個步驟後,Gmail 記錄資料就會匯出至兩個專案。將資料匯出至這兩種專案,有助於確保專案和查詢可以按預期轉移,且資料不會遺失。建議您先確認已儲存的查詢運作正常,再進行這個步驟。
如要立即停止將 Gmail 記錄匯出至僅限 Gmail 的 BigQuery 專案,請按照下列步驟操作:
-
- 在管理控制台首頁中,依序前往「應用程式」
「Google Workspace」
- 將滑鼠游標移至該設定上,然後按一下「編輯」圖示
。
- 取消勾選「啟用」方塊。
- 按一下「儲存」。
