調査ツールと BigQuery Export で見るGoogle Workspace ログ ～ログ確認編①～

下記はクエリを実行して取得した Gmail ログの一部です。

メッセージ ID や送受信者の情報など調査ツールと同じログもあれば、より詳細なログも出力されています。

詳細なログの一例として、gmail.message_info.message_set.type を見てみましょう。

BigQuery 上では何に関するスキーマなのかがわかりません。

また、1行に複数の値が入っておりその番号が何を示しているのかも不明です。

Gmail ログの詳細な内容については BigQuery での Gmail ログのスキーマ に記載があるので照らし合わせてみます。

画像： BigQuery での Gmail ログのスキーマ より一部引用

ドキュメントには gmail.message_info.message_set.type は「メッセージ（メール）を説明する属性です。たとえば、メッセージが受信、送信、内部のいずれであるかを示します。」とあり、値の番号が何を示しているかの説明がされています。

この内容に基づいて10行目と11行目のログの内容を確認します。

■ 10行目

9  ：メールを受信しています（受信メール）。

22：メールは TLS 経由で送信されました。

15：照合対象のポリシーは Gmail ユーザーに関連付けられています。

36：迷惑メールフィルタによる積極的なフィルタリングがメールに対して有効になっています。

■ 11行目

8  ：メールを送信しています（送信メール）。

27：送信者は SPF、DKIM、DMARC 認証に合格しました。

15：照合対象のポリシーは Gmail ユーザーに関連付けられています。

10：ドメイン内部のメールです。

調査ツールでも 8,9 のような送信 / 受信に関する項目はありますが送受信に関する詳細な情報は他の項目を見たり、項目自体がなかったりします。

このように BigQuery にエクスポートした Gmail ログは調査ツールよりも詳細な情報を見ることができます。

Meet の監査ログ

組織内での会議に関連するアクティビティを確認できます。ユーザーがいつ会議を開始したか、どこから会議に参加したか、誰が会議に参加したかを確認することが可能です。

調査ツールの Meet のログイベント画面は以下です。

確認できる項目については Meet のログイベント をご参照ください。

次に BigQuery にエクスポートされた Meet のログをみてみます。

Meet に関する項目は70個あります。

クエリを実行して取得したログの一部です。

Gmail のように複雑な構成ではなく、調査ツールとほぼ同じ項目のログが確認できます。

Meet ログの詳細については Google Meet Audit Activity Events をご参照ください。

＜参考＞

調査ツールでは「ネットワークの統計情報」や「音声の統計情報」は１つの項目に複数の値が含まれていますが、BigQuery テーブルではそれぞれの情報につき１スキーマが用意されています。

Chat の監査ログ

組織内での会話に関連するアクティビティを確認できます。ユーザーがダイレクトメッセージやグループチャットで会話をした日時や、スペースを作成した日時を確認することが可能です。

調査ツールの Chat のログイベント画面は以下です。

確認できる項目については Chat のログイベント をご参照ください。

次にBigQuery にエクスポートされた Chat のログをみてみます。

Chat に関する項目は19個あります。

クエリを実行して取得したログの一部です。

Chat のテーブルも複雑な構成ではなく調査ツールと同じログが確認できます。

詳細については Chat Audit Activity Events をご参照ください。

Calendar の監査ログ

組織内での予定に関連するアクティビティを確認できます。ユーザーの予定が作成・変更・削除された日時や通知に関する情報を確認することが可能です。

調査ツールの Calendar のログイベント画面は以下です。

確認できる項目については カレンダーのログイベント をご参照ください。

次に BigQuery にエクスポートされた Calendar のログをみてみます。

Calendar に関する項目は33個あります。

クエリを実行して取得したログの一部です。

Calendar も複雑な構成ではなく調査ツールと同じログが確認できます。

詳細については Calendar Audit Activity Events をご参照ください。

Drive の監査ログ

組織内でのドライブに関連するアクティビティを確認できます。ユーザーがコンテンツを編集・ダウンロード・アップロードした日時や、外部共有した日時など共有に関する情報を確認することが可能です。

調査ツールの Drive のログイベント画面は以下です。

確認できる項目については ドライブのログイベント をご参照ください。

次にBigQuery にエクスポートされた Drive のログをみてみます。

Drive に関する項目は86個あります。

クエリを実行して取得したログの一部です。

構成は複雑ではなく調査ツールと同じログが確認できます。また、調査ツールよりも詳細なログも確認できます。

詳細については Drive Audit Activity Events をご参照ください。

詳細なログについて見ていきましょう。

たとえば共有ドライブ内のアクティビティログを確認したいとき、調査ツールでは共有ドライブかどうか判定するための明確な項目がなく、オーナーがユーザーアドレスではなく対象の共有ドライブ名になっているかどうかで判断します。

それに対し BigQuery テーブルには「drive.owner_is_shared_drive」というスキーマがあり、値は「TRUE / FALSE」の論理値が入ります。

調査ツールのようにオーナーの項目にてユーザーアドレスを除外するような条件を用いる必要はなく「drive.owner_is_shared_drive」が「TRUE」となるような条件のクエリを実行するだけで簡単にログの確認や集計が可能となります。

このように確認したい内容によっては BigQuery を利用したほうが便利な場合もあるでしょう。

まとめ

各アプリのログについて、調査ツールと BigQuery Export ではほとんど同じ内容のログを確認できることがわかりました。

機能紹介編のまとめでも言及しましたが保持期間内のログであれば、日本語表示となっておりクエリを書く必要もない調査ツールの利用が有用だと思います。

BigQuery にエクスポートされたログを確認したい場合、Gmail は少し複雑な構成となっているので注意が必要です。

第３弾ではログイン、コンテキストアウェアアクセス、ルールなどセキュリティによりフォーカスしたログについて取り上げる予定です。

関連サービス