皆さんこんにちは！スタディスト開発ブログ Advent Calendar 2021の2日目を務めさせて頂きます、管理部ビジネス・テクノロジーユニットの @okash1n です。

私の部門では社内のシステム全般の管理を担っています。スタディストは社内のグループウェアとして主にGoogle Workspace（以下GWS）を利用しており、ファイルもGoogle Driveの共有ドライブで管理しています。

今回はGWSのログをBigQueryを用いて調査する方法を紹介していきます。

Google Workspaceをメインのグループウェアとして使っていると様々な理由でユーザーの操作履歴を調べる必要が出てくる場合があります。例えば、以下のようなケースがあります。

• Google Drive上のとあるファイルがいつからか消えてしまっているようだ。行方を探してほしい
• とあるファイルの権限設定変更がいつ行われたのかを調べたい
• 急に共有ドライブのファイル数制限40万個に近づいてしまった。定期的なアップロードが無いか調べて欲しい

こういった依頼はそれなりの頻度で発生します

基本的な調査方法

①監査ログの機能を使う

GWSはすべての有料プランにおいて監査ログを調査する機能を持っており、管理コンソールから「レポート」=>「監査」と進むことで、監査ログを調べることが出来ます。またこのログは特定の条件でフィルタし、かつそのフィルタリング結果をスプレッドシートにエクスポートすることが可能です。

Google Vaultでドライブの監査を行う

②Google Vaultを利用する

Business Plus以上のプランであれば、Google Vault（以下Vault）というデータガバナンスの為の機能が付随しています。

Vaultはアプリ一覧画面からアクセス出来ます。

ほとんどの場合はこれら2つで事足りるのですが、いずれも簡易的な（とはいえ他のSaaSよりははるかに優れた）フィルタしか備えていないので、より詳細に特定の条件で調査を行いたい時は、スプレッドシートをいくつも作ってルックアップするなどといった回り道が発生します。

しかしBigQueryを利用することで、最初からSQLを用いて目的の結果にたどり着くことが出来る（かもしれません）ので、今回はそちらの方法を紹介していきます。