監査と調査のページを使用して、管理ログイベントに関連する検索を実行できます。このページでは、ユーザーの追加や Google Workspace サービスの有効化など、管理者が Google 管理コンソールで行った操作の記録を確認できます。
Google ドライブやユーザー アクティビティなど、調査可能なサービスやアクティビティの一覧については、監査と調査ツールについてをお読みください。
ログイベントのデータを Google Cloud に転送する
ログイベントのデータが Google Cloud と共有されるように設定できます。この共有を有効にした場合、データが Cloud Logging に転送され、そこからログに対してクエリを実行したり、ログを閲覧したり、ログのルーティングと保存を制御したりできます。
監査と調査のページを開く
管理ログイベント データにアクセスする
-
-
管理コンソールで、メニュー アイコン
[レポート]
[監査と調査]
データをフィルタリングする
- 上述の管理ログイベント データにアクセスするの手順に沿って、管理ログイベント データにアクセスします。
- [フィルタを追加] をクリックし、属性を選択します。
- ポップアップ ウィンドウで演算子を選択
-
(省略可)検索に対して複数のフィルタを作成するには:
- [フィルタを追加] をクリックして、手順 3 を繰り返します。
- (省略可)検索演算子を追加するには、[フィルタを追加] の上にある [AND] または [OR] を選択します。
- [検索] をクリックします。
注: [Filter] タブでは、シンプルなパラメータと値のペアを含めて、検索結果をフィルタリングできます。[条件作成ツール] タブを使用することもできます。このタブでは、フィルタは AND/OR 演算子を使って条件として表されます。
属性の説明
このデータソースでは、ログイベント データの検索時に次の属性を使用できます。
| 属性 | 説明 |
|---|---|
| 操作* | 管理者がセキュリティ調査ツールまたはアクティビティ ルールを使用して行う操作。管理者が実行できる操作について詳しくは、検索結果に基づいて対応するをご確認ください。 |
| アクター |
操作を行ったユーザーのメールアドレスメールアドレスの代わりに、次の情報が表示される場合があります。
|
| アクター グループ名 |
アクター グループの名前。詳しくは、Google グループで結果をフィルタするをご覧ください。 フィルタ グループの許可リストにグループを追加するには:
|
| アクターの組織部門 | 操作を行った組織部門の名前 |
| 詳細情報 | イベントに関する追加のコンテキスト情報 |
| 開始日* | [開始日] と [終了日] を使用して、特定の開始日と終了日を含むイベント(グラフのドリルダウンのイベントなど)をフィルタします。注: 特定の期間内のイベントを検索するには、[日付] 属性を使用します。 |
| データソース* | 調査ツールのデータソース、またはアラート センターのアラート ソース |
| 日付 | イベントの発生日時(使用しているブラウザのデフォルトのタイムゾーンで表示されます) |
| デバイス ID* | この監査イベントの影響を受けたデバイスの ID。たとえば、管理者が会社所有デバイスをワイプすると、このフィールドにはそのデバイス ID が記録されます。 |
| デバイスの種類 | この監査イベントの影響を受けたデバイスの種類。たとえば、管理者が会社所有デバイスをワイプすると、このフィールドにはそのデバイスの種類が記録されます。 |
| ドメインの名前 | 操作が行われたドメイン |
| 終了日* | [開始日] と [終了日] を使用して、特定の開始日と終了日を含むイベント(グラフのドリルダウンのイベントなど)をフィルタします。注: 特定の期間内のイベントを検索するには、[日付] 属性を使用します。 |
| イベント |
記録されたイベント アクション([調査クエリ]、[アクティビティ ルールの作成] など)。 [イベントの値] で、イベントが [ユーザー設定] や [ドメインの設定] などの種類別にグループ分けされます。イベントの値はほとんどの場合、見てすぐにわかるように記述されています。たとえば、[ドメインの設定] に属する [アプリケーションを追加] は、ドメインに追加されたアプリケーションの検索値です。イベントは、検索ボックスで検索することができます。 ヒント: よく使用するイベント値がある場合は、そのイベントをプルダウン メニューの上部に固定できます。 |
| Google Workspace のエディション* | 操作を行った管理者(アクター)の Google Workspace エディション |
|
グループのメール |
このアクティビティの影響を受けた Google グループのメール |
| IP アドレス | ログに記録された操作に関連付けられたインターネット プロトコル(IP)アドレス。通常はユーザーの物理的な位置を表しますが、プロキシ サーバーまたはバーチャル プライベート ネットワーク(VPN)のアドレスである場合もあります。 |
| 理由* | 操作に理由の入力が必要だった場合は、管理者による説明 |
| メッセージ ID* | この監査イベントの影響を受けたメールのメッセージ ID |
| 新しい値* | 新しい設定値(更新された場合) |
| 古い値* | 古い設定値(更新された場合) |
| リソース ID* | 監査イベントの影響を受けた 1 つ以上のリソースの ID |
| リソース名* | 監査イベントの影響を受けたリソースの名前 |
| リソースの種類* | 監査イベントの影響を受けたリソースの種類 |
| 検索クエリ | データの取得または処理用のクエリ(例: アクティビティ ルールやメールダンプの作成時に調査ツールの検索で使用するクエリ)。 |
| 設定名 | 更新された設定の名前 |
| 組織部門名の設定 | 管理コンソールの設定は、組織部門単位で適用することもできます。設定を更新して対象を特定の組織部門にすると、組織部門名がこの項目に表示されます。 |
| ターゲット* | イベントのターゲット メールアドレス(例: メール モニタリング作成時の送信先メールアドレスや、調査ツールで一括操作を行う際の確認者のメールアドレス)。 |
| 影響を受けた総数* | 監査イベントの影響を受けたエンティティの合計数(例: ユーザーをグループに一括アップロードしたときにアップロードされたユーザー数や、アクティビティ ルール トリガーの一環としてトリガーされたアクション数)。これは、イベントによって異なるコンテキスト フィールドです。 |
| 失敗した総数* | 失敗したオペレーションの総数。(例: ユーザーをグループに一括アップロードしたときにアップロードできなかったユーザー数や、アクティビティ ルール トリガーの一環としてトリガーに失敗したアクション数)。これは、イベントによって異なるコンテキスト フィールドです。 |
| ユーザーのメール | 操作を行ったユーザーのメールアドレス |
注: ユーザーの名前を変更すると、以前の名前のクエリ結果が表示されなくなります。たとえば、名前を OldName@example.com から NewName@example.com に変更した場合、OldName@example.com に関連するイベントの結果は表示されません。
ログイベント データを管理する
検索結果の列データを管理する
検索結果に表示するデータ列を設定できます。
- 検索結果の表の右上にある、列を管理アイコン
をクリックします。
- (省略可)現在の列を削除するには、削除アイコン
をクリックします。
- (省略可)列を追加するには、[新しい列を追加] の横にある下矢印アイコン
をクリックしてデータ列を選択します。
以上の手順を必要なだけ繰り返してください。 - (省略可)列の順序を変更するには、目的のデータ列名をドラッグします。
- [保存] をクリックします。
検索結果データをエクスポートする
- 検索結果の表の上部にあるすべてエクスポート アイコンをクリックします。
- 名前を入力し
書き出しの結果は、検索結果の表の下にある [「エクスポート」操作の結果] に表示されます。 - データを表示するには、エクスポートの名前をクリックします。
書き出したデータが Google スプレッドシートで開きます。
レポートルールを作成する
レポートルールの作成と管理をご覧ください。
データを利用できる期間
データの保持期間とタイムラグをご覧ください。
