ログイン監査ログ

ユーザーのログイン アクティビティを確認する

Google 管理者は、ユーザーによるドメインへのログインをログイン監査ログで確認することができます。ログにはウェブブラウザからのすべてのログイン(成功、失敗、不審なログイン試行など)が記録され、不審なログイン イベントは赤い警告アイコン付きで表示されます。メール クライアントやブラウザ以外のアプリケーションからのユーザーのログインについては、不審なログイン試行のみが記録されます。

ステップ 1: ログイン監査ログを開く

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[レポート] にアクセスします。

    [レポート] が表示されていない場合は、画面下部の [その他の設定] をクリックします。

  3. 左側にある [監査] で、[ログイン] をクリックします。
  4. 必要に応じて、右上にある列を選択アイコン 列を選択 をクリックし、表示または非表示にする列を選択します。
    • IP アドレス – ユーザーがログインに使用したインターネット プロトコル(IP)アドレス。
    • 日付 – ログインが行われた日時(デフォルトのタイムゾーンで表示されます)。
    • ログインの種類(SSO のみ) – ユーザーがログインに使用した方法。

ステップ 2: ログイン監査ログデータを確認する

表示できるデータ
データの種類 説明
イベント名 ログイン時の本人確認やログインの失敗など、ログに記録される操作。詳しくは、イベント名の説明をご覧ください。
イベントの説明 [イベント名] 欄に記載されているイベントの詳細。
IP アドレス ユーザーが管理コンソールへのログインに使用したインターネット プロトコル(IP)アドレス。物理的な位置を表していることもありますが、プロキシ サーバーやバーチャル プライベート ネットワーク(VPN)のアドレスである場合もあります。
ログインの種類

ユーザーがログインに使用した方法の詳細。

  • Exchange - トークンの交換によるユーザー認証(例: OAuth ログイン)。ユーザーがすでにセッションにログインしている状態で別のセッションにログインし、2 つのセッションが統合されたことを示す場合もあります。
  • Google のパスワード - Google のパスワードを使用。安全性の低いアプリへのログインを含む(許可されている場合)
  • 再認証 - パスワードの再認証リクエストを使用
  • SAML - シングル サインオン SAML(Security Assertion Markup Language)を使用
  • 不明 - 使用された方法を特定できない
期間 イベントが発生した日時(ブラウザのデフォルトのタイムゾーンで表示されます)。
イベント名の説明

上記の [イベント名] 列に示されるイベントの種類は次のとおりです。

イベント名 説明
ログイン失敗

ユーザーがログインに失敗するたびに作成されるログエントリ。Reports API を使用すると、失敗の原因を確認できます(例: ユーザーが間違ったパスワードを入力した、サービスへのアクセス権がない、アカウントが停止されている)。

政府が支援する攻撃 政府の支援を受けた攻撃者がユーザーのアカウントやパソコンの不正使用を試みるたびに作成されるログエントリ。詳しくは、政府が支援する攻撃についてのページをご覧ください。
ログイン時の本人確認

不審なログイン試行が検出されて、追加のセキュリティ保護用の質問をされるたびに作成されるログエントリ。

詳しくは、セキュリティを強化して正当なユーザーであることを確認するをご覧ください。

ログイン認証 不審なログイン試行が検出されず、追加のセキュリティ保護用の質問をされるたびに作成されるログエントリ。
ログアウト ユーザーがログアウトするたびに作成されるログエントリ。
ログイン成功 ユーザーがログインするたびに作成されるログエントリ。
不審なログイン ユーザーが通常とは特徴の異なるログインを行うたびに作成されるログエントリ(例: ユーザーが見慣れない IP アドレスからログインした場合)。
不審なログインをブロックしました 不審なログインであると判断されてログインがブロックされるたびに作成されるログエントリ。
安全性の低いアプリからの
不審なログインをブロックしました
ログインが安全性の低いアプリ(Google のセキュリティ基準を満たしていないアプリ)からのものであるためブロックされるたびに作成されるログエントリ。
ユーザーを停止しました ユーザーが停止されるたびに作成されるログエントリ(例: 不審なアクティビティが検出され、アカウントの不正使用が疑われる場合)。
ユーザーを停止しました(迷惑メール) アカウントの不正使用(ユーザーが迷惑メールを送信していることを示す証拠など)が検出されて、ユーザーが停止されるたびに作成されるログエントリ。
ユーザーを停止しました(リレーを利用した迷惑メール) アカウントの不正使用(ユーザーが SMTP リレーサービスを介して迷惑メールを送信していることを示す証拠など)が検出されて、ユーザーが停止されるたびに作成されるログエントリ。
ユーザーを停止しました(不審なアクティビティ) 不審なアクティビティにより、ユーザーがログインされるたびに作成されるログエントリ。
パスワード漏洩 認証情報の不正使用が検出されて、パスワードの再設定が必要になるたびに作成されるログエントリ。

ステップ 3: 監査ログデータのカスタマイズや書き出しを行う

ユーザーやアクティビティで監査ログデータをフィルタする

監査ログデータを絞り込んで特定のイベントやユーザーを表示することができます。たとえば、ユーザーが本人確認を求められたときのすべてのログイベントを検索したり、特定のユーザーのすべてのログイン アクティビティを検索したりできます。

  1. 上記の手順でログイン監査ログを開きます
  2. [フィルタ] 欄が表示されない場合は、フィルタ アイコン フィルタ をクリックします。
  3. フィルタの条件を入力または選択します。ログに表示できるデータを自由に組み合わせてフィルタすることができます。
  4. [検索] をクリックします。

監査ログデータを書き出す

監査ログデータは、Google スプレッドシートに書き出したり CSV ファイル形式でダウンロードしたりできます。

  1. 上記の手順で監査ログを開きます
  2. (省略可)書き出すデータの項目を変更するには、次の操作を行います。
    1. ツールバーにある、列を選択アイコン 列を選択 をクリックします。
    2. 書き出すデータの横にあるチェックボックスをオンにして、[適用] をクリックします。
  3. ツールバーにある、ダウンロード アイコン ダウンロード をクリックします。

書き出しの最大セル数は 210,000 個です。最大の行数は、選択している列の数によって変わります。監査ログからスプレッドシートに書き出せる行は 10,000 行までですが、CSV には 500,000 行まで書き出すことができます。

表示されているデータはいつのものですか?

データを確認できるようになるまでの時間とデータの保持期間については、データの保持期間とタイムラグをご覧ください。

ステップ 4: メールアラートを設定する

フィルタ設定に基づいたログイン アクティビティのメールアラートを受け取ることができます。

  1. 上記の手順でログイン監査ログを開きます
  2. [フィルタ] 欄が表示されない場合は、フィルタ アイコン フィルタ をクリックします。
  3. [フィルタ] 欄でフィルタの条件を選択します。[IP アドレス] と [期間] 以外を自由に組み合わせて使用できます。
  4. [アラートを設定] をクリックします。
  5. [アラート名] に入力します。
  6. メールアラートの受信者を選択します。
    1. 特権管理者のチェックボックスをオンにして、メールアラートの送信先にします。
    2. 他のユーザーにもメールアラートを送信する場合は、その受信者のメールアドレスを入力します。
  7. [保存] をクリックします。

カスタム アラートを編集する方法については、管理者のメールアラートをご覧ください。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。