管理ログイベント

監査と調査のページ: 管理者が管理コンソールで行った操作を確認する

監査ログページが新たに監査と調査のページに変更されました。この変更について詳しくは、監査と調査をより行いやすくするための変更: Google Workspace の新機能をご覧ください。

監査と調査のページを使用して、管理ログイベントに関連する検索を実行できます。このページでは、ユーザーの追加や Google Workspace サービスの有効化など、管理者が Google 管理コンソールで行った操作の記録を確認できます。

Google ドライブやユーザーアクティビティなど、調査可能なサービスやアクティビティの一覧については、監査と調査ツールについてをお読みください。

ログイベントのデータを Google Cloud に転送する

ログイベントのデータが Google Cloud と共有されるように設定できます。この共有を有効にした場合、データが Cloud Logging に転送され、そこからログに対してクエリを実行したり、ログを閲覧したり、ログのルーティングと保存を制御したりできます。

監査と調査のページを開く

管理ログイベントデータにアクセスする

Google 管理コンソールにログインします。
管理者アカウント（末尾が @gmail.com でないもの）でログインします。
管理コンソールで、メニューアイコン [レポート][監査と調査][管理ログイベント] にアクセスします。

データをフィルタリングする

上述の管理ログイベントデータにアクセスするの手順に沿って、管理ログイベントデータにアクセスします。
[フィルタを追加] をクリックし、属性を選択します。
ポップアップウィンドウで演算子を選択値を選択 [適用] をクリックします。
（省略可）検索に対して複数のフィルタを作成するには:
1. [フィルタを追加] をクリックして、手順 3 を繰り返します。
2. （省略可）検索演算子を追加するには、[フィルタを追加] の上にある [AND] または [OR] を選択します。
[検索] をクリックします。

注: [Filter] タブでは、シンプルなパラメータと値のペアを含めて、検索結果をフィルタリングできます。[条件作成ツール] タブを使用することもできます。このタブでは、フィルタは AND/OR 演算子を使って条件として表されます。

属性の説明

このデータソースでは、ログイベントデータの検索時に次の属性を使用できます。

属性	説明
操作*	管理者がセキュリティ調査ツールまたはアクティビティルールを使用して行う操作。管理者が実行できる操作について詳しくは、検索結果に基づいて対応するをご確認ください。
アクター	操作を行ったユーザーのメールアドレスメールアドレスの代わりに、次の情報が表示される場合があります。ライセンスマネージャ - 管理者の操作によってユーザーのライセンスが変更された場合サービスアカウント - サービスアカウント管理者によって操作が行われた場合匿名 - サービスアカウント管理者によって操作が行われた場合
アクターグループ名	アクターグループの名前。詳しくは、Google グループで結果をフィルタするをご覧ください。フィルタグループの許可リストにグループを追加するには: [アクターグループ名] を選択します。 [フィルタグループ] をクリックします。 [フィルタグループ] ページが表示されます。 [グループの追加] をクリックします。グループ名またはメールアドレスの最初の数文字を入力してグループを検索します。目的のグループが表示されたら、そのグループを選択します。（省略可）別のグループを追加するには、グループを検索して選択します。グループの選択が完了したら、[追加] をクリックします。（省略可）グループを削除するには、をクリックします。 [保存] をクリックします。
アクターの組織部門	操作を行った組織部門の名前
詳細情報	イベントに関する追加のコンテキスト情報
開始日*	[開始日] と [終了日] を使用して、特定の開始日と終了日を含むイベント（グラフのドリルダウンのイベントなど）をフィルタします。注: 特定の期間内のイベントを検索するには、[日付] 属性を使用します。
データソース*	調査ツールのデータソース、またはアラートセンターのアラートソース
日付	イベントの発生日時（使用しているブラウザのデフォルトのタイムゾーンで表示されます）
デバイス ID*	この監査イベントの影響を受けたデバイスの ID。たとえば、管理者が会社所有デバイスをワイプすると、このフィールドにはそのデバイス ID が記録されます。
デバイスの種類	この監査イベントの影響を受けたデバイスの種類。たとえば、管理者が会社所有デバイスをワイプすると、このフィールドにはそのデバイスの種類が記録されます。
ドメインの名前	操作が行われたドメイン
終了日*	[開始日] と [終了日] を使用して、特定の開始日と終了日を含むイベント（グラフのドリルダウンのイベントなど）をフィルタします。注: 特定の期間内のイベントを検索するには、[日付] 属性を使用します。
イベント	記録されたイベントアクション（[調査クエリ]、[アクティビティルールの作成] など）。 [イベントの値] で、イベントが [ユーザー設定] や [ドメインの設定] などの種類別にグループ分けされます。イベントの値はほとんどの場合、見てすぐにわかるように記述されています。たとえば、[ドメインの設定] に属する [アプリケーションを追加] は、ドメインに追加されたアプリケーションの検索値です。イベントは、検索ボックスで検索することができます。ヒント: よく使用するイベント値がある場合は、そのイベントをプルダウンメニューの上部に固定できます。
Google Workspace のエディション*	操作を行った管理者（アクター）の Google Workspace エディション
グループのメール	このアクティビティの影響を受けた Google グループのメール
IP アドレス	ログに記録された操作に関連付けられたインターネットプロトコル（IP）アドレス。通常はユーザーの物理的な位置を表しますが、プロキシサーバーまたはバーチャルプライベートネットワーク（VPN）のアドレスである場合もあります。
理由*	操作に理由の入力が必要だった場合は、管理者による説明
メッセージ ID*	この監査イベントの影響を受けたメールのメッセージ ID
新しい値*	新しい設定値（更新された場合）
古い値*	古い設定値（更新された場合）
リソース ID*	監査イベントの影響を受けた 1 つ以上のリソースの ID
リソース名*	監査イベントの影響を受けたリソースの名前
リソースの種類*	監査イベントの影響を受けたリソースの種類
検索クエリ	データの取得または処理用のクエリ（例: アクティビティルールやメールダンプの作成時に調査ツールの検索で使用するクエリ）。
設定名	更新された設定の名前
組織部門名の設定	管理コンソールの設定は、組織部門単位で適用することもできます。設定を更新して対象を特定の組織部門にすると、組織部門名がこの項目に表示されます。
ターゲット*	イベントのターゲットメールアドレス（例: メールモニタリング作成時の送信先メールアドレスや、調査ツールで一括操作を行う際の確認者のメールアドレス）。
影響を受けた総数*	監査イベントの影響を受けたエンティティの合計数（例: ユーザーをグループに一括アップロードしたときにアップロードされたユーザー数や、アクティビティルールトリガーの一環としてトリガーされたアクション数）。これは、イベントによって異なるコンテキストフィールドです。
失敗した総数*	失敗したオペレーションの総数。（例: ユーザーをグループに一括アップロードしたときにアップロードできなかったユーザー数や、アクティビティルールトリガーの一環としてトリガーに失敗したアクション数）。これは、イベントによって異なるコンテキストフィールドです。
ユーザーのメール	操作を行ったユーザーのメールアドレス

* これらのフィルタを使用してレポートルールを作成することはできません。詳しくは、レポートルールとアクティビティルールに関する記事をご覧ください。

注: ユーザーの名前を変更すると、以前の名前のクエリ結果が表示されなくなります。たとえば、名前を OldName@example.com から NewName@example.com に変更した場合、OldName@example.com に関連するイベントの結果は表示されません。

ログイベントデータを管理する

検索結果の列データを管理する

検索結果に表示するデータ列を設定できます。

検索結果の表の右上にある、列を管理アイコンをクリックします。
（省略可）現在の列を削除するには、削除アイコンをクリックします。
（省略可）列を追加するには、[新しい列を追加] の横にある下矢印アイコンをクリックしてデータ列を選択します。
以上の手順を必要なだけ繰り返してください。
（省略可）列の順序を変更するには、目的のデータ列名をドラッグします。
[保存] をクリックします。