Google Workspace のエディションによっては、より高度な機能を備えたセキュリティ調査ツールを利用できる場合があります。たとえば、特権管理者がセキュリティとプライバシーに関する問題を特定し、優先順位を付けて対処することなどが可能になります。詳細
ログイベントのデータを Google Cloud に転送する
ログイベントのデータが Google Cloud と共有されるように設定できます。この共有を有効にした場合、データが Cloud Logging に転送され、そこからログに対してクエリを実行したり、ログを閲覧したり、ログのルーティングと保存を制御したりできます。
ログイベントの検索を実行する
検索を行えるかどうかは、ご利用の Google Workspace エディション、ご自身の管理者権限、データソースによって異なります。ユーザーに対する検索は、ユーザーが使用している Google Workspace のエディションに関係なく、全ユーザーを対象に行えます。
属性の説明
このデータソースでは、ログイベント データの検索時に次の属性を使用できます。
| 属性 | 説明 |
|---|---|
| 操作* | 管理者がセキュリティ調査ツールまたはアクティビティ ルールを使用して行う操作。管理者が実行できる操作について詳しくは、検索結果に基づいて対応するをご確認ください。 |
| アクター |
操作を行ったユーザーのメールアドレスメールアドレスの代わりに、次の情報が表示される場合があります。
|
| アクター グループ名 |
アクター グループの名前。詳しくは、Google グループで結果をフィルタするをご覧ください。 フィルタ グループの許可リストにグループを追加するには:
|
| アクターの組織部門 | 操作を行った組織部門の名前 |
| その他の情報 | イベントに関する追加のコンテキスト情報 |
| 開始日* | [開始日] と [終了日] を使用して、特定の開始日と終了日を含むイベント(グラフのドリルダウンのイベントなど)をフィルタします。注: 特定の期間内のイベントを検索するには、[日付] 属性を使用します。 |
| データソース* | 調査ツールのデータソース、またはアラート センターのアラート ソース |
| 日付 | イベントの発生日時(使用しているブラウザのデフォルトのタイムゾーンで表示されます) |
| デバイス ID* | この監査イベントの影響を受けたデバイスの ID。たとえば、管理者が会社所有デバイスをワイプすると、このフィールドにはそのデバイス ID が記録されます。 |
| デバイスの種類 | この監査イベントの影響を受けたデバイスの種類。たとえば、管理者が会社所有デバイスをワイプすると、このフィールドにはそのデバイスの種類が記録されます。 |
| ドメイン名 | 操作が行われたドメイン |
| 終了日* | [開始日] と [終了日] を使用して、特定の開始日と終了日を含むイベント(グラフのドリルダウンのイベントなど)をフィルタします。注: 特定の期間内のイベントを検索するには、[日付] 属性を使用します。 |
| イベント |
記録されたイベント アクション([調査クエリ]、[アクティビティ ルールの作成] など)。 [イベントの値] で、イベントが [ユーザー設定] や [ドメインの設定] などの種類別にグループ分けされます。イベントの値はほとんどの場合、見てすぐにわかるように記述されています。たとえば、[ドメインの設定] に属する [アプリケーションを追加] は、ドメインに追加されたアプリケーションの検索値です。イベントは、検索ボックスで検索することができます。 ヒント: よく使用するイベント値がある場合は、そのイベントをプルダウン メニューの上部に固定できます。 |
| Google Workspace のエディション* | 操作を行った管理者(アクター)の Google Workspace エディション |
|
グループのメール |
このアクティビティの影響を受けた Google グループのメール |
| IP アドレス | ログに記録された操作に関連付けられたインターネット プロトコル(IP)アドレス。通常はユーザーの物理的な位置を表しますが、プロキシ サーバーまたはバーチャル プライベート ネットワーク(VPN)のアドレスである場合もあります。 |
| 理由* | 操作に理由の入力が必要だった場合は、管理者による説明 |
| メッセージ ID* | この監査イベントの影響を受けたメールのメッセージ ID |
| 新しい値* | 新しい設定値(更新された場合) |
| 古い値* | 古い設定値(更新された場合) |
| リソース ID* | 監査イベントの影響を受けた 1 つ以上のリソースの ID |
| リソース名* | 監査イベントの影響を受けたリソースの名前 |
| リソースの種類* | 監査イベントの影響を受けたリソースの種類 |
| 検索キーワード | データの取得または処理用のクエリ(例: アクティビティ ルールやメールダンプの作成時に調査ツールの検索で使用するクエリ)。 |
| カテゴリの設定 | 更新された設定のカテゴリ |
| 設定名 | 更新された設定の名前 |
| 組織部門名の設定 | 管理コンソールの設定は、組織部門単位で適用することもできます。設定を更新して対象を特定の組織部門にすると、組織部門名がこの項目に表示されます。 |
| ターゲット* | イベントのターゲット メールアドレス(例: メール モニタリング作成時の送信先メールアドレスや、調査ツールで一括操作を行う際の確認者のメールアドレス)。 |
| 影響を受けた総数* | 監査イベントの影響を受けたエンティティの合計数(例: ユーザーをグループに一括アップロードしたときにアップロードされたユーザー数や、アクティビティ ルール トリガーの一環としてトリガーされたアクション数)。これは、イベントによって異なるコンテキスト フィールドです。 |
| 失敗した総数* | 失敗したオペレーションの総数。(例: ユーザーをグループに一括アップロードしたときにアップロードできなかったユーザー数や、アクティビティ ルール トリガーの一環としてトリガーに失敗したアクション数)。これは、イベントによって異なるコンテキスト フィールドです。 |
| ユーザーのメール | 操作を行ったユーザーのメールアドレス |
注: ユーザーの名前を変更すると、以前の名前のクエリ結果が表示されなくなります。たとえば、名前を OldName@example.com から NewName@example.com に変更した場合、OldName@example.com に関連するイベントの結果は表示されません。