Gmail ログを BigQuery の Google Workspace ログに移行する

この記事は、BigQuery の Gmail ログのみを使用している、または BigQuery の Gmail ログと Google Workspace ログの両方を使用している Google Workspace 管理者を対象としています。ここでは、BigQuery の Gmail ビュー、クエリ、スクリプトを BigQuery の Google Workspace ログとレポートに移行する手順について詳しく説明します。

BigQuery のタスクを効率化して BigQuery のすべてのデータを 1 か所でご利用いただけるように、BigQuery の Gmail ログが BigQuery の Google Workspace ログと統合されます。

この変更により、次のことが可能になります。

すべての Google Workspace サービスの監査イベントに対して、BigQuery のエクスポートを 1 か所で保存、管理します。
Gmail のイベントに関するより完全なデータが BigQuery で得られるようになります。これには、デバイスの種類や受信トレイの操作（開く、削除、リンクのクリック、添付ファイルのダウンロードなど）が含まれます。このデータには、セキュリティ調査ツールのすべてのイベントと列が含まれます。
データをパーティション分割することで、エクスポートするデータセットを小さくして BigQuery のデータストレージコストを削減します。
データを復元することで、構成ミスを修正したり権限を変更したりできます。

ご対応のお願い

BigQuery の Gmail ログが BigQuery の Google Workspace ログに統合された後は、Google 管理コンソールで BigQuery の Gmail ログを使用できなくなります。

BigQuery の Gmail データを引き続き利用できるように、ビュー、クエリ、スクリプトを BigQuery の Google Workspace ログとレポートに移行してください。

ステップ	説明	詳細情報
1	サービスログから BigQuery の Google Workspace ログへのエクスポートを設定する	すでに Google Workspace のログとレポートを BigQuery に設定している場合は、この手順をスキップしてステップ 2 に進んでください。この手順をスキップする場合は、次のことを行ってください。 Gmail データのエクスポートに使用する現在のプロジェクト ID とデータセット名を確認する。二重エクスポート期間が BigQuery のストレージ要件に与える影響を理解する。
2	BigQuery の Gmail ログビュー、クエリ、スクリプトを移行する	この手順は、BigQuery の Gmail ログのカスタムビューまたは保存クエリを BigQuery の Google Workspace ログに移行する場合にのみ行ってください。移行するカスタムビューまたは保存クエリがない場合は、この手順をスキップしてステップ 3 に進んでください。
3	Gmail 専用 BigQuery プロジェクトへの Gmail ログのエクスポートを無効にする	この手順の前に、保存クエリが想定どおりに実行されることを確認するようおすすめします。

ステップ

説明

詳細情報

サービスログから BigQuery の Google Workspace ログへのエクスポートを設定する

すでに Google Workspace のログとレポートを BigQuery に設定している場合は、この手順をスキップしてステップ 2 に進んでください。

この手順をスキップする場合は、次のことを行ってください。

Gmail データのエクスポートに使用する現在のプロジェクト ID とデータセット名を確認する。
二重エクスポート期間が BigQuery のストレージ要件に与える影響を理解する。

BigQuery の Gmail ログビュー、クエリ、スクリプトを移行する

この手順は、BigQuery の Gmail ログのカスタムビューまたは保存クエリを BigQuery の Google Workspace ログに移行する場合にのみ行ってください。移行するカスタムビューまたは保存クエリがない場合は、この手順をスキップしてステップ 3 に進んでください。

Gmail 専用 BigQuery プロジェクトへの Gmail ログのエクスポートを無効にする

この手順の前に、保存クエリが想定どおりに実行されることを確認するようおすすめします。

ステップ 1: サービスログから BigQuery の Google Workspace ログへのエクスポートを設定する

この手順は Google 管理コンソールで行います。

すでに BigQuery で Google Workspace のログとレポートを設定している場合は、この手順をスキップして、ステップ 2: BigQuery の Gmail ログビュー、クエリ、スクリプトを移行するに進んでください。この手順をスキップする場合は、次のことを行ってください。

Gmail データのエクスポートに使用する現在のプロジェクト ID とデータセット名を確認する。
二重エクスポート期間が BigQuery のストレージ要件に与える影響を理解する。

BigQuery と Reports API のデータについて詳しくは、サービスログの BigQuery への書き出しを設定するをご覧ください。

Google 管理コンソールにログインします。
管理者アカウント（末尾が @gmail.com でないもの）でログインします。
左側の [レポート] をクリックします。
下にスクロールして [BigQuery へのエクスポート] をクリックします。
[BigQuery へのエクスポート] にカーソルを合わせ、編集アイコンをクリックします。
BigQuery ログを有効にするには、[Google BigQuery への Google Workspace データのエクスポートを有効にします] チェックボックスをオンにします。
[BigQuery のプロジェクト ID] で、Gmail ログを保存するプロジェクトを選択します。書き込みアクセスが可能なプロジェクトを選択します。プロジェクトが表示されない場合は、BigQuery でプロジェクトを設定する必要があります。詳しくは、Google Cloud コンソールを使用したクイックスタートをご覧ください。
[プロジェクト内の新しいデータセット] に、プロジェクトにログを保存するために使用する新しいデータセットの名前を入力します。既存のデータセットは使用できません。また、データセット名はプロジェクトごとに一意である必要があります。
[保存] をクリックします。
注: プロジェクトを保存できない場合は、Google Cloud コンソールに移動して新しいデータセットを削除してから、管理コンソールでもう一度保存してください。

データセットが自動的に作成されます。通常は、この設定を有効にしてから 10 分ほどでアクティビティログイベントが利用可能になります。データセットとアクティビティ テーブルが表示されることを後で確認してください。過去 6 か月間の Gmail のログイベントデータが新しいテーブルにバックフィルされます。

一時的な二重エクスポート期間とストレージ要件

BigQuery の Google Workspace ログへの Gmail ログのエクスポートを設定すると、Gmail ログデータは次の 2 つの場所にエクスポートされます。

以前の Gmail 専用 BigQuery プロジェクト
すべての Google Workspace アプリケーションのデータを格納する、新規または既存の BigQuery の Google Workspace ログプロジェクト

ステップ 3: Gmail 専用 BigQuery プロジェクトへの Gmail ログのエクスポートを無効にするを完了するまで、Gmail ログデータは両方のプロジェクトにエクスポートされます。一時的にデータを両方の場所にエクスポートすることで、想定どおりにデータが転送されることを確認して、データが失われるのを防ぐことができます。

二重エクスポート期間と BigQuery ストレージ

データが両方のプロジェクトにエクスポートされている間は、より多くの BigQuery ストレージが必要になります。ステップ 3: Gmail 専用 BigQuery プロジェクトへの Gmail ログのエクスポートを無効にするを完了すると、ストレージ要件は通常に戻ります。ステップ 3 を実施する前に、保存したクエリが意図したとおりに実行されることを確認することをおすすめします。

ステップ 2: BigQuery の Gmail ログビュー、クエリ、スクリプトを移行する

この手順は Google Cloud コンソールで行います。

この手順は、保存したクエリまたはカスタムデータセットビューを BigQuery の Google Workspace ログに移行する場合にのみ行ってください。

保存したクエリがあるかどうかを確認するには、こちらの手順を行ってください。
カスタムデータセットのビューを確認するには、こちらの手順を行ってください。

移行するカスタムビューまたは保存クエリがない場合は、この手順をスキップしてステップ 3: Gmail 専用 BigQuery プロジェクトへの Gmail ログのエクスポートを無効にするに進みます。

現在の Gmail の daily_ テーブルと同じ構造で Gmail データを保存するには、Gmail アクティビティテーブルのビューを作成します。既存のクエリを BigQuery の Google Workspace ログに移行する場合は、テーブル名を変更します。テーブル形式や列名は変更しないでください。BigQuery のビューについて詳しくは、ビューの概要をご覧ください。

Google Cloud コンソールで、アクティブな BigQuery プロジェクトを開きます。移行する保存クエリを含むプロジェクトを開いてください。
移行するプロジェクトデータセットを選択します。

アクティビティテーブルの単一のビューを作成するには、次の手順でスクリプトを実行します。

スクリプトテキストをコピーします。

CREATE VIEW
 `PROJECT_ID.DATASET_NAME.gmail_view`(event_info, message_info, date)
AS
 SELECT
  gmail.event_info,
  gmail.message_info,
  _PARTITIONTIME
 FROM
  `PROJECT_ID.DATASET_NAME.activity`
 WHERE
  gmail IS NOT NULL;

[エディタ] フィールドに移動します。[エディタ] フィールドが表示されていない場合は、クエリの新規作成アイコンをクリックします。
スクリプトテキストを [エディタ] フィールドに貼り付けます。
貼り付けたスクリプトで、PROJECT_ID.DATASET_NAME をステップ 1: サービスログから BigQuery の Google Workspace ログへのエクスポートを設定するで確認したプロジェクト ID とデータセット名に置き換えます。
左上の [実行] ボタンをクリックします。

daily_ テーブルから選択された保存クエリを確認します。既存のクエリの場合は、テーブル名を更新し、必要に応じて WHERE 条件を追加します。次のいずれかの変更を行います。
- FROM `daily_YYYYMMDD` の選択を FROM `gmail_view` WHERE date = “YYYY-MM-DD” に変更します。たとえば、FROM `daily_20220815` を FROM `gmail_view` WHERE date = “2022-08-15” に変更します。
- FROM `daily_*` の選択を FROM `gmail_view` に変更します

ステップ 3: Gmail 専用 BigQuery プロジェクトへの Gmail ログのエクスポートを無効にする

この手順は Google 管理コンソールで行います。

この手順を完了するまで、Gmail のログデータは 2 つのプロジェクトにエクスポートされます。両方のプロジェクトにデータをエクスポートすることで、プロジェクトとクエリが想定どおりに転送されることを確認して、データが失われるのを防ぐことができます。この手順を行う前に、保存クエリが想定どおりに実行されることを確認するようおすすめします。

Gmail 専用の BigQuery プロジェクトへの Gmail ログのエクスポートを直ちに停止するには:

Google 管理コンソールにログインします。
管理者アカウント（末尾が @gmail.com でないもの）でログインします。
管理コンソールのホームページから、[アプリ] [Google Workspace] [Gmail] [設定] [BigQuery のメールログ] にアクセスします。
設定にカーソルを合わせて編集アイコンをクリックします。
注: この設定をオフにすると、[編集] オプションは表示されません。この機能は非推奨となり、BigQuery の Google Workspace ログとレポートに組み込まれました。
[有効にする] チェックボックスをオフにします。
[保存] をクリックします。

この情報は役に立ちましたか？

改善できる点がありましたらお聞かせください。