ユーザーのログイベント

ユーザーのログイン アクティビティを確認する

Google Workspace のエディションによっては、より高度な機能を備えたセキュリティ調査ツールを利用できる場合があります。たとえば、特権管理者がセキュリティとプライバシーに関する問題を特定し、優先順位を付けて対処することなどが可能になります。詳細

組織の管理者は、ユーザーのログイベントを検索して対応できます。たとえば、ユーザーが各自のアカウントで行った重要な操作を確認できます。このような操作に該当するのは、パスワードの変更、アカウント再設定用情報(電話番号、メールアドレス)の変更、2 段階認証プロセスの登録などです。メール クライアントからのログイン、またはブラウザ以外のアプリケーションからのログインについては、不審なセッションからのプログラマティックなログインでない限り、このレポートには記録されません。
ログイベント データはセッションごとに収集されます。そのため、短時間に同じ操作を複数回実行しようとすると、それらが統合され、1 つのログエントリになる可能性があります。たとえば、ユーザーが間違ったパスワードを 5 回入力してから正しいパスワードを入力した場合、ログには 2 つのエントリ(失敗した入力すべてについてのエントリと成功した入力のエントリ)のみが表示されることがあります。

注: 過去 6 か月間にユーザーのログイベントのデータがない場合、左側のナビゲーション メニューに [ユーザーのログイベント] が表示されないことがあります。

ログイベントのデータを Google Cloud に転送する

ログイベントのデータが Google Cloud と共有されるように設定できます。この共有を有効にした場合、データが Cloud Logging に転送され、そこからログに対してクエリを実行したり、ログを閲覧したり、ログのルーティングと保存を制御したりできます。

ログイベントを検索する

検索を行えるかどうかは、ご利用の Google Workspace エディション、ご自身の管理者権限、データソースによって異なります。ユーザーに対する検索は、ユーザーが使用している Google Workspace のエディションに関係なく、全ユーザーを対象に行えます。

監査と調査のツール

ログイベントを検索するには、まずデータソースを選択します。次に、検索に使うフィルタを 1 つ以上選択します。

  1. 管理者アカウントで Google 管理コンソール にログインします。

    管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。

  2. メニュー アイコン 次に [レポート] > [監査と調査] > [ユーザーのログイベント] にアクセスします。

    アクセスするには、監査と調査の管理者権限が必要です。

  3. 特定の日付より前または後のイベントをフィルタするには、[日付] で [] または [] を選択します。デフォルトでは、過去 7 日間のイベントが表示されます。別の期間を選択することも、[] をクリックして日付フィルタを削除することもできます。

  4. [フィルタを追加] をクリックし、属性を選択します。
  5. ポップアップ ウィンドウで演算子を選択 次に 値を選択 次に [適用] をクリックします。
    • (省略可)検索に複数のフィルタを作成するには、この手順を繰り返します。
    • (省略可)検索演算子を追加するには、[フィルタを追加] の上で [AND] または [OR] を選択します。
  6. [検索] をクリックします。

    注: [Filter] タブでは、シンプルなパラメータと値のペアを含めて、検索結果をフィルタリングできます。[条件作成ツール] タブを使用することもできます。このタブでは、フィルタは AND/OR 演算子を使って条件として表されます。

セキュリティ調査ツール
この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus、Cloud Identity Premium。エディションの比較

セキュリティ調査ツールで検索を実行するには、まずデータソースを選択します。次に、検索のための条件を 1 つ以上選択します。その後、検索条件ごとにそれぞれ属性、演算子、値を選択します。

  1. 管理者アカウントで Google 管理コンソール にログインします。

    管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。

  2. メニュー アイコン  次に  [セキュリティ] > [セキュリティ センター] > [調査ツール] にアクセスします。

    調査ツールを開くには、セキュリティ センターの管理者権限が必要です。

  3. [データソース] をクリックし、[ユーザーのログイベント] を選択します。

  4. 特定の日付より前または後のイベントをフィルタするには、[日付] で [] または [] を選択します。デフォルトでは、過去 7 日間のイベントが表示されます。別の期間を選択することも、[] をクリックして日付フィルタを削除することもできます。

  5. [条件を追加] をクリックします。
    ヒント: 検索で 1 つ以上の条件を指定するか、ネストされたクエリで検索をカスタマイズできます。詳しくは、ネストされたクエリを使って検索をカスタマイズするをご覧ください。
  6. [属性] をクリック 次に オプションを選択します。
    属性の一覧については、以下の属性の説明をご覧ください。
  7. 演算子を選択します。
  8. 値を入力するか、プルダウン リストから値を選択します。
  9. (省略可)検索条件を追加するには、手順 4〜7 を繰り返します。
  10. [検索] をクリックします。
    調査ツールの検索結果は、ページ下部の表に示されます。
  11. (省略可)調査を保存するには、保存アイコン をクリック 次に タイトルと説明を入力 次に [保存] をクリックします。

  • [条件作成ツール] タブでは、フィルタ条件を AND/OR 演算子で表します。[フィルタ] タブを使用して、シンプルなパラメータと値のペアを含め、検索結果をフィルタリングすることもできます。
  • ユーザーの名前を変更すると、以前の名前のクエリ結果が表示されなくなります。たとえば、名前を OldName@example.com から NewName@example.com に変更した場合、OldName@example.com に関連するイベントの結果は表示されません。
  • 検索できるのは、ゴミ箱からまだ削除されていないメールのデータのみです。

属性の説明

このデータソースでは、ログイベント データの検索時に次の属性を使用できます。

属性 説明
アクター グループ名

アクターのグループ名。詳しくは、Google グループで結果をフィルタするをご覧ください。

フィルタ グループの許可リストにグループを追加するには:

  1. [アクター グループ名] を選択します。
  2. [フィルタ グループ] をクリックします。
    [フィルタ グループ] ページが表示されます。
  3. [グループの追加] をクリックします。
  4. グループ名またはメールアドレスの最初の数文字を入力してグループを検索します。目的のグループが表示されたら、そのグループを選択します。
  5. (省略可)別のグループを追加するには、グループを検索して選択します。
  6. グループの選択が完了したら、[追加] をクリックします。
  7. (省略可)グループを削除するには、グループ削除アイコン をクリックします。
  8. [保存] をクリックします。
アクターの組織部門 アクターの組織部門
問題の影響を受けているユーザー 影響を受けているユーザーのメールアドレス
本人確認の種類*

ユーザーの本人確認に使用される方法(パスワード、セキュリティ キーなど)

: パスキーなど、新しい種類の本人確認が追加されたことにより、2024 年 9 月 30 日以前に作成された監査ログの既存の本人確認の種類「other」との間で不整合が生じる場合があります。
日付 イベントの発生日時(使用しているブラウザのデフォルトのタイムゾーンで表示されます)
ドメイン* 操作が行われたドメイン
メールの転送先アドレス Gmail メッセージの転送先となるメールアドレス

イベント

ログに記録されたアクション(2 段階認証プロセスの登録不審なログインなど)

: [ログアウト] イベントの場合、ユーザーが Google のパスワード以外の方法(Exchange再認証SAML不明など)を使用してログインしていても、[ログアウト] イベントの [ログインの種類] には [Google のパスワード] と表示されます。

イベントのステータス(ベータ版)

イベントのステータス。たとえば、[成功] や [失敗] などです。ステータスをクリックすると、エラーコードなどの詳細情報が表示されます。
IP アドレス ユーザーがログインに使用した IP アドレス。通常はユーザーの物理的な位置ですが、プロキシ サーバーやバーチャル プライベート ネットワーク(VPN)のアドレスである場合もあります。
二要素* ユーザーが 2 要素認証でログインした場合は True
ユーザーが 2 要素認証でログインしていない場合は False
不審* 不審なログイン試行が成功した場合は true、そうでない場合は false。login_success イベント、機密情報に関する操作を許可したイベント、機密情報に関する操作をブロックしたイベントにのみ適用されます。
ログイン日時 不審なログイン イベントがブロックされた場合、このフィールドにはユーザーがログインを試みた日時が表示されます。
ログインの種類

ユーザーが使用した認証方法。

  • Exchange - トークンの交換によるユーザー認証(例: OAuth ログイン)。ユーザーがすでにセッションにログインしている状態で別のセッションにログインし、2 つのセッションが統合されたことを示す場合もあります。
  • Google のパスワード - Google のパスワードを使用。安全性の低いアプリへのログインを含みます(許可されている場合)。
  • OIDC - シングル サインオン OpenID Connect(OIDC)による認証。
  • 再認証 - パスワードの再認証リクエストによる認証。
  • SAML - シングル サインオン SAML(Security Assertion Markup Language)による認証**
  • 不明 - ログインに使用された方法を特定できない。
ユーザー 操作を行ったユーザーのメールアドレス
ユーザー エージェント(ベータ版) ユーザーのデバイスに関する情報(ウェブブラウザ、OS、その他のデバイスの詳細など。例: Mozilla/5.0(Windows NT 6.3、Win64、x64)。この属性は、デバイス バウンド セッション認証情報(DBSC)のログイベントに固有のものです。

* これらのフィルタを使用してレポートルールを作成することはできません。詳しくは、レポートルールとアクティビティ ルールに関する記事をご覧ください。

** 組織の SSO プロファイルを使用する SAML ユーザー(従来の SAML)に関する注意: SAML ログイン試行が不明なデバイスまたは IP アドレスから行われた場合や、リスク評価が高い場合は、 ログイン失敗  (種類: Google のパスワード )がログイベントに記録されます。これは、SAML ログインが成功した場合でも発生します。システムが最初の試行を不審なものとしてフラグを付けるためです。このログイン失敗エントリの後に SAML ログイン成功イベントが続きます。従来の SAML では、1 回の SAML ログインに対して 2 つのログイン セッションが生成されます。最初のセッション(多くの場合無関係なセッション)は、疑わしくないと判断された場合にのみ除外されます。

: ユーザーの名前を変更すると、以前の名前がクエリ結果に表示されなくなります。たとえば、名前を OldName@example.com から NewName@example.com に変更した場合、OldName@example.com に関連するイベントの結果は表示されません。

ログイベント データを管理する

検索結果の列データを管理する

検索結果に表示するデータ列を設定できます。

  1. 検索結果の表の右上にある、列を管理アイコン をクリックします。
  2. (省略可)現在の列を削除するには、削除アイコン をクリックします。
  3. (省略可)列を追加するには、[新しい列を追加] の横にある下矢印アイコン をクリックしてデータ列を選択します。
    以上の手順を必要なだけ繰り返してください。
  4. (省略可)列の順序を変更するには、目的のデータ列名をドラッグします。
  5. [保存] をクリックします。
検索結果データをエクスポートする

検索結果は、Google スプレッドシートまたは CSV ファイルにエクスポートできます。

  1. 検索結果の表の上部にあるすべてエクスポート アイコンをクリックします。
  2. 名前を入力し 次に [エクスポート] をクリックします。
    書き出しの結果は、検索結果の表の下にある [「エクスポート」操作の結果] に表示されます。
  3. データを表示するには、エクスポートの名前をクリックします。
    エクスポートはスプレッドシートで開きます。

エクスポートには次の制限があります。

  • 書き出せる結果の合計は 100,000 行までに制限されています。
  • この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus、Cloud Identity Premium。エディションの比較

    セキュリティ調査ツールを使用している場合、書き出せる結果の合計は 3,000 万行までに制限されます。

詳細については、検索結果をエクスポートするをご覧ください。

データを利用できる期間

検索結果に基づいて対応する

アクティビティ ルールを作成し、アラートを設定する
  • レポートルールを使用して、ログイベント データに基づいてアラートを設定できます。手順については、レポートルールの作成と管理をご覧ください。
  • この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus、Cloud Identity Premium。エディションの比較

    アクティビティ ルールを作成すると、セキュリティ調査ツールのアクションを自動化してセキュリティの問題を効率的に防止、検出、修正することができます。ルールを設定するには、ルールの条件と、その条件が満たされたときに実行する操作を指定します。詳細と設定手順については、アクティビティ ルールを作成、管理するをご確認ください。

検索結果に基づいて対応する

この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus、Cloud Identity Premium。エディションの比較

セキュリティ調査ツールでの検索後、その結果に基づいて対応方法を選ぶことができます。たとえば、Gmail のログイベントに基づいて検索した後、セキュリティ調査ツールを使用して特定のメールを削除したり、メールを検疫に送ったり、ユーザーの受信ボックスにメールを送信したりできます。詳しくは、検索結果に基づいて対応するをご覧ください。

調査を管理する

この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus、Cloud Identity Premium。エディションの比較

調査のリストを表示する

自分がオーナーとなっている調査と、自分に共有されている調査のリストを表示するには、調査を表示アイコン をクリックします。調査のリストには、調査の名前、説明、オーナー、最終更新日が含まれます。

このリストでは、調査を削除するなど、自分がオーナーとなっているすべての調査に対して操作を行うことができます。調査のチェックボックスをオンにして、[操作] をクリックします。

注: 調査のリストのすぐ上にある [クイック アクセス] では、最近保存した調査を確認できます。

調査の設定を行う

特権管理者は、設定アイコン をクリックして、次の操作を行うことができます。

  • 調査のタイムゾーンを変更する。このタイムゾーンは検索条件と結果に適用されます。
  • [要審査] をオンまたはオフにする。詳しくは、一括操作には審査担当者の設定を必須とするをご確認ください。
  • [コンテンツを表示] をオンまたはオフにする。この設定により、適切な権限を持つ管理者がコンテンツを閲覧できるようになります。
  • [操作を実行する理由] をオンまたはオフにする。

手順と詳細については、調査の設定を行うをご確認ください。

調査を共有、削除、複製する

検索条件を保存したり他のユーザーと共有したりする場合は、調査を作成して保存した後に、共有、複製、削除を行います。

詳しくは、調査を保存、共有、削除したり、調査のコピーを作成したりするをご確認ください。

関連トピック


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

次の手順をお試しください。

ヘルプ コミュニティに投稿する コミュニティ メンバーから回答を得る
お問い合わせ 詳しい情報をお知らせください。解決に向けてサポートいたします
true
14 日間の無料試用を今すぐ開始してください

ビジネス向けのメール、オンライン ストレージ、共有カレンダー、ビデオ会議、その他多数の機能を搭載。G Suite の無料試用を今すぐ開始してください。

検索
検索をクリア
検索を終了
メインメニュー
13606592961661801533
true
ヘルプセンターを検索
false
true
true
true
true
true
73010
false
false
false
false