Activity API を使用すると、プログラムによって、基本的なレポートデータにアクセスできます。新しい Reports API(ご利用の Google Workspace エディションでサポートされている場合)を使用すると、Google Workspace の詳細なレポートデータにアクセスできます。
重要:
- ドライブ内のアクティビティがすべてログに記録されるわけではありません。ログに表示されるデータの一覧については、このページのログに記録されたイベントと記録されていないイベントをご覧ください。
- データを確認できるようになるまでの時間とデータの保持期間については、データの保持期間とタイムラグをご覧ください。
- ドライブの監査イベントの多くは、サポート対象エディションのユーザーがオーナーになっているファイルについてのみ記録されます。例外は [URL へのアクセスあり] イベントです。このイベントは、URL にアクセスする Apps Script スクリプトを開始したユーザーが組織に属しており、かつサポート対象のエディションを使用している場合にログに記録されます。
Your access to log events
- Your ability to run a search depends on your Google edition, your administrative privileges, and the data source. You can run a search on all users, regardless of their Google Workspace edition.
- Your Workspace subscription provides access to the log events using either the Audit & investigation tool or the Security center.
- Premium Google Workspace editions (Enterprise Plus, Enterprise Standard, or Education Plus) provide access to the Security Center and the more advanced features of the security investigation tool. The investigation tool enables super admins to identify, triage, and take action on security and privacy issues. For details, see About the security investigation tool.
- All other Google Workspace editions can access the logs using the Audit and Investigation tool. For details, see About the audit and investigation page.
ログイベントのデータを Google Cloud に転送する
ログイベントのデータが Google Cloud と共有されるように設定できます。この共有を有効にした場合、データが Cloud Logging に転送され、そこからログに対してクエリを実行したり、ログを閲覧したり、ログのルーティングと保存を制御したりできます。
ログイベントの検索を実行する
Audit and investigation tool
To run a search for log events, first choose a data source. Then choose one or more filters for your search.
-
-
管理コンソールで、メニュー アイコン
[レポート]
[監査と調査]
- [フィルタを追加] をクリックし、属性を選択します。
- ポップアップ ウィンドウで演算子を選択 (省略可)検索に対して複数のフィルタを作成するには:
- [フィルタを追加] をクリックして、手順 3 を繰り返します。
- (省略可)検索演算子を追加するには、[フィルタを追加] の上にある [AND] または [OR] を選択します。
- (Optional) To create multiple filters for your search, repeat this step.
- (Optional) To add a search operator, above Add a filter, select AND or OR
- [検索] をクリックします。
-
注: [Filter] タブでは、シンプルなパラメータと値のペアを含めて、検索結果をフィルタリングできます。[条件作成ツール] タブを使用することもできます。このタブでは、フィルタは AND/OR 演算子を使って条件として表されます。
Security investigation tool
調査ツールで検索を実行するには、まずデータソースを選択します。次に、検索のための条件を 1 つ以上選択します。条件ごとに属性、演算子、値を選択します。
-
-
管理コンソールで、メニュー アイコン
[セキュリティ]
- Click Data source and select Admin log events.
- [条件を追加] をクリックします。
ヒント: 検索で 1 つ以上の条件を指定するか、ネストされたクエリで検索をカスタマイズできます。詳しくは、ネストされたクエリを使って検索をカスタマイズするをご覧ください。 - [属性] をクリック
属性の一覧については、以下の属性の説明をご覧ください。 - [次の語句を含む] をクリック
- 値を入力するか、プルダウン リストから値を選択します。
- (省略可)検索条件を追加するには、手順 4〜7 を繰り返します。
- [検索] をクリックします。
調査ツールの検索結果は、ページ下部の表に示されます。 - (省略可)調査を保存するには、保存アイコン
をクリック
注:
- [条件作成ツール] タブでは、フィルタ条件を AND/OR 演算子で表します。[フィルタ] タブを使用して、シンプルなパラメータと値のペアを含め、検索結果をフィルタリングすることもできます。
- ユーザーの名前を変更すると、以前の名前のクエリ結果が表示されなくなります。たとえば、名前を OldName@example.com から NewName@example.com に変更した場合、OldName@example.com に関連するイベントの結果は表示されません。
属性の説明
このデータソースでは、ログイベント データの検索時に次の属性を使用できます。
注:
- 次のリストのすべての属性が、すべてのイベントについて報告されるわけではありません。
- 以下のリストはすべてを網羅しているわけではなく、変更される場合があります。ドライブのログイベントについて詳しくは、Google Workspace Admin SDK のウェブサイトでドライブの監査アクティビティ イベントをご覧ください。
| 属性 | 説明 |
|---|---|
| アクター | 操作を行ったユーザーのメールアドレスユーザーがドメイン外部の人である場合は、匿名で表示されます。ただし、そのユーザーが、明示的に共有されているドキュメントを個人ユーザーまたは特定のグループのメンバーとして表示、編集した場合は除きます。 |
| アクター グループ名 |
アクター グループの名前。詳しくは、Google グループで結果をフィルタするをご覧ください。 フィルタ グループの許可リストにグループを追加するには:
|
| アクターの組織部門 | 操作を行った組織部門の名前 |
| API メソッド | サードパーティ製アプリを通じて行われる [ダウンロード] アクションと [アクセスされたアイテムのコンテンツ] アクションで使用される API メソッド(例: drive.files.export)。 |
| アプリ ID | 操作を行ったサードパーティ アプリの OAuth クライアント ID |
| アプリ名 | 操作を行ったアプリ |
| 対象 | 監査ログが公開設定の変更に関するものの場合、そのターゲット ドメイン |
| 請求可能 | (Essentials エディションのみ)ユーザーの操作が請求対象のアクティビティかどうか。 |
| 日付 |
イベントが発生した日時(ブラウザのデフォルトのタイムゾーンで表示されます) 注: ほとんどのイベントは、完了したときに記録されますが、アップロードのサイズが大きいと、ログの記録に時間がかかることがあります。 |
| ドキュメント ID |
ユーザーの操作に関連するドライブ アイテムの一意の ID(ファイルの URL リンクに含まれる ID)。 注: [URL へのアクセスあり] イベントの場合、ドキュメント ID とその他のファイル関連フィールド(ドキュメントの種類やオーナーなど)については、特定の操作のみ報告されます。詳しくは、このページの URL へのアクセスありをご覧ください。 |
| ドキュメントの種類 | ユーザーの操作に関連するアイテムの形式(Google ドキュメント、スプレッドシート、スライド、JPEG、PDF、PNG、MP4、Microsoft Word、Excel、PowerPoint、txt、HTML、MPEG オーディオ、QuickTime 動画、フォルダ、共有ドライブなど)。 |
| ドメイン* | 操作が行われたドメイン |
| 暗号化あり* | ファイルにクライアントサイド暗号化が適用されているかどうか |
| イベント名 |
表示、名前の変更、作成、編集、印刷、削除、アップロード、ダウンロードなどの、ユーザーが開始するイベント。 ほとんどの操作はすぐにログに記録されますが、ドライブ ビューアでの印刷イベントは、イベントの発生時刻から 12 時間以上遅れることがあります。Google ドライブにより自動削除されたファイルまたはゴミ箱から削除されたファイルは、ログに記録されます。他のイベント(ファイルのアップロードなど)は、完了したときにログに記録されます。 |
| IP アドレス* |
ユーザーが操作する際に使用したアドレス。ユーザーの物理的な位置を表していることもありますが、プロキシ サーバーやバーチャル プライベート ネットワーク(VPN)のアドレスを指す場合もあります。 次のイベントに関連する IP アドレスは記録されません。
|
| 変更後の公開設定の値 | ドキュメントの新しい公開設定 |
| 新しい値* | 変更した設定の新しい値 |
| 新しい値の ID* | ラベル フィールドの新しい値 |
| 変更前の公開設定の値 | ドキュメントの以前の公開設定(アクティビティが公開設定の変更に関するものである場合) |
| 今までの値* | 変更した設定の古い値 |
| 古い値の ID* | ラベル フィールドの古い値 |
| 担当 |
ファイルのオーナー。 |
| 以前の公開設定 | ドキュメントの以前の公開設定(公開設定が変更された場合) |
| 受信者* | 受信者のメールアドレス |
| 共有ドライブ ID | ファイルを含む共有ドライブのドライブ ID。ファイルが共有ドライブにない場合、このフィールドには入力されません。 |
| ターゲット | アクセス権が変更されたユーザー |
| タイトル | ドキュメントのタイトル |
| 公開設定 | ユーザーの操作に関連するドライブ アイテムの公開設定。 |
| 公開設定の変更 | 操作を行う前のドライブ アイテムの公開設定 |
| ビジター | Google 以外のユーザーによる操作の場合は「Yes」。Google ユーザーによる操作の場合は「No」。詳しくは、ビジターとのドキュメント共有についての記事をご確認ください。 |
注: ユーザーの名前を変更すると、以前の名前のクエリ結果が表示されなくなります。たとえば、名前を OldName@example.com から NewName@example.com に変更した場合、OldName@example.com に関連するイベントの結果は表示されません。
ドメイン外で共有されているファイルを表示する
ドメイン外のユーザーと共有されているファイルを表示する手順は次のとおりです。
監査と調査のページ
- 上述のドライブのログイベント データにアクセスするの説明に沿って、ログイベントを開きます。
- [フィルタを追加]
- [検索] をクリックします。
外部共有を無効にしている場合に、ユーザーが外部ユーザーを許可しているグループとリソースを共有すると、そのグループに外部ユーザーがいなくても、そのデータは「外部と共有中」と記録されます。ただし、そのグループの外部ユーザーは、共有されているリソースにアクセスすることはできません。
セキュリティ調査ツール
-
-
管理コンソールで、メニュー アイコン
- [データソース] をクリック
- [条件を追加] をクリックします。
- [属性] をクリック
- [次を含む] をクリック
- [公開設定] をクリック
- [検索] をクリックします。
調査ツールの検索結果は、ページ下部の表に示されます。
外部共有を無効にしている場合に、ユーザーが外部ユーザーの参加を許可しているグループとリソースを共有すると、そのデータは「外部と共有中」と記録されます。ただし、そのグループの外部ユーザーは、共有されているリソースにアクセスすることはできません。このイベントは、そのグループに外部ユーザーが存在しない場合でも表示されます。
ログに記録されるイベントと記録されないイベント
削除
Google ドライブにより自動削除されたファイルまたはゴミ箱から削除されたファイルは、ログに記録されます。
コピー
ファイルをコピーすると、新しいファイルに対して [作成] イベントと [コピー] イベントが、元のファイルに対して [ソースのコピー] イベントがログに記録されます。
組織外のユーザーがファイルを外部の場所にコピーする場合、新しいファイルは外部にあるため、[作成] イベントと [コピー] イベントは記録されません。ただし、ログの元のファイルには [ソースのコピー] イベントがあり、[コピーのタイプ] は [外部] です。データが組織外にコピーされるタイミングをモニタリングするには、[外部] コピータイプが含まれる [ソースのコピー] イベントを確認します。
印刷
Google のファイル形式(ドキュメント、スプレッドシート、スライド、図形描画、フォーム)で開いたファイルをユーザーが印刷しても、印刷イベントは記録されません。
Apple iPhone または iPad デバイス、Android デバイスのドライブ アプリからファイルを印刷したときは、印刷イベントがダウンロード イベントとして記録される場合があります。
ダウンロード
パソコン版 Google ドライブを使用してドライブとローカル デバイス間でファイルがコピーされた場合を含め、ほとんどのダウンロードがログに記録されます。
一部の表示操作はダウンロードとして記録されます。
- モバイル デバイスのドライブ アプリでファイルをプレビューすると、ダウンロード イベントとして記録されます。
- Google ドキュメントなどの Google アプリでは直接開けないファイル(PDF など)のプレビューは、ダウンロード イベントとして記録されます。
次のダウンロード操作は、ログに記録されません。
- Google データ エクスポートによるダウンロード(代わりにデータ エクスポートのログイベントを検索してください)
- オフラインのブラウザ キャッシュへのダウンロード
- Google フォトに同期された写真、Google フォトからダウンロードした写真、Google フォトを介して表示した写真
- 添付ファイルとしてメールで送信され、受信者のメール クライアントでダウンロードされたドライブのアイテム
アクセスされたアイテムのコンテンツ
Google Drive API や Google Sheets API などの Google Workspace API を使用するアプリを通じて、ユーザーの代わりにファイルにアクセスできます。これらの操作は、[ダウンロード] イベントや [表示] イベントとしてではなく、[アクセスされたアイテムのコンテンツ] としてのみログに記録されます。
ユーザーがウェブ版ドライブ、モバイル版ドライブ、パソコン版ドライブアプリでファイルを表示するか、開いた場合、アイテムのコンテンツ アクセス イベントはログに記録されません。
表示
- /htmlview、/embed、/revisions やその他の特別な URL を使用したファイルの表示は、表示イベントとしてログに記録されます。
URL へのアクセスあり
[URL へのアクセスあり] イベントは、Apps Script のスクリプトが URL にアクセスした場合に記録されます。これには、スクリプトが Apps Script ダッシュボードから実行される場合、アドオンとして実行される場合、スプレッドシートのカスタム関数として実行される場合が含まれます。ユーザーがファイル内のリンクをクリックしても、[URL へのアクセスあり] イベントはログに記録されません。
レポートされる属性は、スクリプトの実行方法と所有者によって異なります。
- スクリプトがカスタム関数として実行されると、ドキュメント ID とその他のドキュメント関連属性では、関数が呼び出されたシートが反映されます。
- スクリプトがカスタム関数として実行されない場合、ドキュメント関連の属性はレポートされません。
- 組織で Apps Script スクリプトを所有している場合は、スクリプト ID が報告されます。
スプレッドシートのインポート URL
URL にアクセスする Google スプレッドシートのインポート関数の呼び出しは、[スプレッドシートのインポート URL] イベントとしてログに記録されます。自動更新によってシートの内容が変更されるか、ユーザーがシートを開くと、イベントがログに記録されます。
外部ドメインが関係するイベント
イベントには、組織外のユーザー、共有フォルダ、共有ドライブなどに関係するものがあります。たとえば、組織内のユーザーが外部ユーザーとファイルを共有している場合などです。そのようなファイルのオーナー権限をある組織から別の組織に変更すると、両方の組織でイベントがログに記録されます。
両方の組織でログに記録されるイベントの例:
- 組織内のユーザーが所有するドライブ アイテムが外部の共有ドライブに移動された。
- 組織外のユーザーが所有するドライブ アイテムが組織で所有している共有ドライブに移動された。
- ユーザーが組織内あるいは組織外にファイルをコピーした。ファイルを受け取った側の組織では、元のファイル名ではなく、コピーされたファイルの名前がログに記録されます。
組織ではログに記録されるが外部ドメインではログに記録されないイベントの例
- 組織内のユーザーが所有するドライブ アイテムが外部ユーザーと共有された。
- 組織内のユーザーが所有するドライブ アイテムが外部ユーザーが参加できるグループと共有された(グループ内に外部ユーザーがいない場合も含む)。
- 組織で所有しているドライブ アイテムを外部ユーザーが表示、編集、ダウンロード、印刷、削除した。
- 組織で所有している共有ドライブに外部ユーザーがファイルをアップロードした。
外部ドメインではログに記録されて自組織ではログに記録されないイベントは、上記の内容を入れ替えたものです。
匿名ユーザーと外部ユーザー
匿名ユーザー(Google アカウントにログインしていないユーザー)については、編集は記録されますが、表示とダウンロードは記録されません。
ドメイン外のユーザーが行った操作は、匿名と表示されます。ただし、そのアイテムがユーザーに(個人ユーザーまたは特定のグループのメンバーとして)明示的に共有されている場合を除きます。
管理者は組織の共有ポリシーまたは信頼ルールのポリシーを設定することで、匿名アクセスと外部アクセスを制限できます。
パソコン版ドライブ
パソコン版 Google ドライブを使用してドライブとローカル デバイス間でファイルをコピーすると、ダウンロード イベントがログに記録されます。
ログイベント データを管理する
検索結果の列データを管理する
検索結果に表示するデータ列を設定できます。
- 検索結果の表の右上にある、列を管理アイコン
をクリックします。
- (省略可)現在の列を削除するには、削除アイコン
をクリックします。
- (省略可)列を追加するには、[新しい列を追加] の横にある下矢印アイコン
をクリックしてデータ列を選択します。
以上の手順を必要なだけ繰り返してください。 - (省略可)列の順序を変更するには、目的のデータ列名をドラッグします。
- [保存] をクリックします。
検索結果データをエクスポートする
- 検索結果の表の上部にあるすべてエクスポート アイコンをクリックします。
- 名前を入力し
書き出しの結果は、検索結果の表の下にある [「エクスポート」操作の結果] に表示されます。 - データを表示するには、エクスポートの名前をクリックします。
書き出したデータが Google スプレッドシートで開きます。
レポートルールを作成する
レポートルールの作成と管理をご覧ください。
データを利用できる期間
データの保持期間とタイムラグをご覧ください。
検索結果に基づいて対応する
検索結果に基づいて対応する
調査ツールでの検索後、その結果に基づいて対応方法を選ぶことができます。たとえば、Gmail のログイベントに基づいて検索した後、調査ツールを使用して特定のメールを削除したり、メールを検疫に送ったり、ユーザーの受信ボックスにメールを送信したりできます。調査ツールでの操作について詳しくは、検索結果に基づいて対応するをご確認ください。
アクティビティ ルールを作成し、アラートを設定する
アクティビティ ルールを作成すると、調査ツールのアクションを自動化してセキュリティの問題を効率的に防止、検出、修正することができます。ルールを設定するには、ルールの条件と、その条件が満たされたときに実行する操作を指定します。詳細と設定手順については、アクティビティ ルールを作成、管理するをご確認ください。
調査を管理する
調査のリストを表示する自分がオーナーとなっている調査と、自分が共有メンバーとなっている調査のリストを表示するには、調査を表示アイコン をクリックします。調査のリストには、調査の名前、説明、オーナー、最終更新日が含まれます。
このリストでは、調査を削除するなど、自分がオーナーとなっているすべての調査に対して操作を行うことができます。調査のチェックボックスをオンにして、[操作] をクリックします。
注: 調査のリストのすぐ上にある [クイック アクセス] では、最近保存した調査を確認できます。
特権管理者は、設定アイコン をクリックして、次の操作を行うことができます。
- 調査のタイムゾーンを変更する。このタイムゾーンは検索条件と結果に適用されます。
- [要審査] をオンまたはオフにする。詳しくは、一括操作には審査担当者の設定を必須とするをご確認ください。
- [コンテンツを表示] をオンまたはオフにする。この設定により、適切な権限を持つ管理者がコンテンツを閲覧できるようになります。
- [操作を実行する理由] をオンまたはオフにする。
手順と詳細については、調査の設定を行うをご確認ください。
検索結果に表示するデータ列を管理できます。
- 検索結果の表の右上にある列を管理アイコン
- (省略可)現在の列を削除するには、アイテムを削除アイコン
- (省略可)列を追加するには、[新しい列を追加] の横にある下矢印アイコン
以上の手順を必要なだけ繰り返してください。 - (省略可)列の順序を変更するには、列名をドラッグします。
- [保存] をクリックします。
- 検索結果の表の上部にあるすべてエクスポート アイコンをクリックします。
- 名前を入力し
書き出しの結果は、検索結果の表の下にある [「エクスポート」操作の結果] に表示されます。 - データを表示するには、エクスポートの名前をクリックします。
書き出したデータが Google スプレッドシートで開きます。
書き出された検索結果を表示する際は、以下を参考にしてください。
- 表の上部にあるすべてエクスポート アイコンをクリックすると、検索結果を含む Google スプレッドシートが [マイドライブ] フォルダに作成されます。結果のサイズによっては、書き出し処理に時間がかかることがあり、Google スプレッドシートが複数作成されることもあります。書き出せる結果は合計 3,000 万行までに制限されています(ただし、Gmail のメール検索の上限は 125 万行です)。
- 書き出しの進行中は、仮名の Google スプレッドシートが作成されます(TMP-1-<タイトル> など)。Google スプレッドシートが複数作成される場合、2 番目以降のファイルの仮名は TMP-2-<タイトル>、TMP-3-<タイトル> のようになります。書き出し処理が完了すると、ファイル名は自動的に <タイトル> [1 of N]、<タイトル> [2 of N] のように変更されます。書き出されたデータを含む Google スプレッドシートが 1 つのみの場合、ファイル名は <タイトル> に変更されます。
- 書き出された検索結果を含むファイルの共有アクセス権限は、ドメイン設定に準拠します。たとえば、作成されたファイルがデフォルトで社内の全員と共有される場合、書き出されたデータにもこの公開設定が適用されます。
検索条件を保存したり他のユーザーと共有したりする場合は、調査を作成して保存した後に、共有、複製、削除を行います。
詳しくは、調査を保存、共有、削除したり、調査のコピーを作成したりするをご確認ください。
データソースについて詳しくは、データの保持期間とタイムラグをご確認ください。
調査を管理する
Requires a Google Workspace のプレミアム エディション(Enterprise Standard、Enterprise Plus、Education Plus)
View your list of investigationsTo view a list of the investigations that you own and that were shared with you, click View investigations. The investigation list includes the names, descriptions, and owners of the investigations, and the date last modified.
From this list, you can take action on any investigations that you own—for example, to delete an investigation. Check the box for an investigation, and then click Actions.
Note: Directly above your list of investigations, under Quick access, you can view recently saved investigations.
As a super administrator, click Settings to :
- Change the time zone for your investigations. The time zone applies to search conditions and results.
- Turn on or off Require reviewer. For more details, go to Require reviewers for bulk actions.
- Turn on or off View content. This setting allows admins with the appropriate privileges to view content.
- Turn on or off Enable action justification.
For instructions and details, go to Configure settings for your investigations.
To save your search criteria or share it with others, you can create and save an investigation, and then share, duplicate, or delete it.
For details, go to Save, share, delete, and duplicate investigations.
