Naar inhoud
lightbulb Welkom op de nieuwe kennisbank | We hebben de docs volledig vernieuwd met meer dan 160 features. Bekijk wat nieuw isarrow_forward

Workspace-events exporteren naar BigQuery

Exporteer audit-logs en gebruiksdata naar BigQuery voor SQL-analyse, dashboards en security-monitoring, met de ingebouwde koppeling in de admin-console.

schedule5 min lezen event1 Jun 2026 updateBijgewerkt 17 wkn open_in_new data_object

De audit-logs in de admin-console zijn handig, maar beperkt: je kunt er niet vrij in query'en, de bewaartermijn is begrensd, en je kunt ze moeilijk combineren met andere bronnen. Door Workspace-events naar BigQuery te exporteren ontsluit je de volle kracht van SQL-analyse, langere opslag en dashboards. Dit is de standaardarchitectuur voor serieuze security- en compliance-teams.

In dit artikel zet je de exportpijplijn op.

Waarom BigQuery

BigQuery is het analytische datawarehouse van Google Cloud. Het is gemaakt voor het doorzoeken van enorme hoeveelheden data met SQL.

  • Langere opslag dan de console, met data die je naar wens verder bewaart in je eigen tabellen.
  • Vrije analyse met SQL in plaats van vaste filters.
  • Combineren met andere bronnen zoals HR- of CRM-data.
  • Dashboards bouwen in Looker Studio bovenop je query's.
info

Een ingebouwde koppeling, geen code nodig

Workspace heeft een ingebouwde BigQuery-exportkoppeling voor audit- en gebruiksdata. Je activeert die in de admin-console, en vanaf dat moment streamen je logs automatisch naar een BigQuery-dataset. Voor de standaardexport hoef je geen code te schrijven.

Vereisten controleren

Voor je begint, check je drie dingen.

  • Editie: de export zit in Enterprise Standard en Plus, Education Standard en Plus, Frontline Standard en Plus, en Enterprise Essentials Plus. Controleer in juni 2026 je eigen abonnement, want Google past de matrix soms aan.
  • Rechten: in Google Cloud heb je de rol BigQuery Admin nodig (of gelijkwaardig) plus Project IAM Admin. Het service-account gapps-reports@system.gserviceaccount.com moet schrijfrechten op het project krijgen.
  • Billing: activity-logs worden geschreven via de insertAll-API en vereisen dat facturering op het Cloud-project aanstaat. Zonder billing draait het project in sandbox-modus en stromen de activity-logs niet door.

De ingebouwde export instellen

De makkelijkste route is de native koppeling.

Zo zet je de export aan

  1. Maak of kies een Google Cloud-project met BigQuery actief en facturering ingeschakeld.
  2. Geef in dat project het service-account gapps-reports@system.gserviceaccount.com schrijfrechten en wijs jezelf de benodigde IAM-rollen toe.
  3. Ga in de admin-console naar Rapportage, dan Data-integraties (bij Education heet dit BigQuery Export).
  4. Klik op Bewerken op de BigQuery-export-kaart en wijs het doelproject en de dataset aan.
  5. Activeer de export en wacht tot de eerste data binnenstroomt.
  6. Verifieer met een eenvoudige query dat de tabellen gevuld worden.
lightbulb

Onthoud de retentie in de bron

De export levert ongeveer 180 dagen historische activity-data en 450 dagen usage-data aan. Wil je langer bewaren voor compliance, kopieer dan periodiek naar je eigen, langlevende tabellen. Reken niet op de bronexport als eeuwig archief.

Analyseren met SQL

Eenmaal in BigQuery beantwoord je vragen die in de console onmogelijk waren.

SELECT email, COUNT(*) AS mislukte_logins
FROM `project.dataset.activity`
WHERE event_name = 'login_failure'
  AND DATE(time_usec) >= DATE_SUB(CURRENT_DATE(), INTERVAL 7 DAY)
GROUP BY email
ORDER BY mislukte_logins DESC
lightbulb

Filter altijd op datum

BigQuery rekent af per gescande hoeveelheid data. Een datumfilter op een gepartitioneerde tabel scheelt enorm in kosten en snelheid. Scan nooit onnodig de hele historie.

Data die de koppeling niet dekt

Soms wil je data die de native export niet levert, of uit een andere bron. Dan schrijf je zelf rijen weg.

  1. Haal de gewenste data op via de Reports API of een andere bron.
  2. Transformeer het naar een rij-structuur die past bij je schema.
  3. Gebruik de BigQuery-client om rijen in te voegen met insert_rows.
  4. Plan dit periodiek via Cloud Functions of een geplande taak.
  5. Bouw dashboards bovenop de gecombineerde tabellen.
warning

Audit-data bevat persoonsgegevens

Logs bevatten persoonsgegevens zoals e-mailadressen en IP-adressen. Beperk de toegang tot de dataset strikt, stel een bewaartermijn in die past bij je beleid, en documenteer de verwerking voor je AVG-administratie.

Veelgestelde vragen

Heb ik een speciaal abonnement nodig voor de BigQuery-export?

Ja. De native audit-log-export vereist een hogere Workspace-editie, zoals Enterprise Standard of Plus, Education Standard of Plus, Frontline Standard of Plus, of Enterprise Essentials Plus. Controleer of jouw editie deze functie bevat.

Moet ik facturering inschakelen op mijn Cloud-project?

Voor activity-logs wel. Die worden via de insertAll-API geschreven en vereisen actieve billing. Usage-rapporten kunnen nog in sandbox-modus binnenkomen, maar activity-logs niet.

Hoe snel verschijnt data in BigQuery?

De export streamt nagenoeg continu, maar houd rekening met enige vertraging zoals bij alle Workspace-audit-data.

Hoe lang blijft de data bewaard?

De export levert ongeveer 180 dagen activity-data en 450 dagen usage-data. Wil je langer bewaren, kopieer dan periodiek naar je eigen tabellen met een eigen bewaartermijn.

Kost BigQuery veel?

Opslag is relatief goedkoop; de kosten zitten vooral in query's. Met gepartitioneerde tabellen en gerichte datumfilters houd je dit laag.

Kan ik realtime alerts bouwen?

BigQuery is analytisch, niet realtime. Voor directe alerts combineer je dit met Pub/Sub en Cloud Functions; gebruik BigQuery voor trends en rapportage.

Met Workspace-events in BigQuery til je je security- en compliance-inzicht naar een hoger niveau, met de volle flexibiliteit van SQL en dashboards.

Verwant in de kennisbank

Pagina's die je verder helpen bij dit onderwerp.

Reports API gebruiken voor Workspace-statistieken

Haal audit-logs en gebruiksrapporten op met de Admin SDK Reports API voor security-monitoring, compliance en capaciteitsplanning.

schedule5 min label3 gedeelde tags
Lees verder arrow_forward

Google Workspace-logs koppelen aan een SIEM

Koppel Google Workspace-logs aan je SIEM via de BigQuery-export of de Reports API: welke logbronnen ertoe doen, hoe je de export instelt en hoe je scherpe detectieregels bouwt zonder te verzuipen in ruis.

schedule5 min label3 gedeelde tags
Lees verder arrow_forward

Google Analytics koppelen aan Looker Studio

Koppel Google Analytics 4 aan Looker Studio en bouw rapporten over websiteverkeer, gebruikersgedrag en sleutelgebeurtenissen, met een GA4-veldgids en praktische segmentatietips.

schedule6 min label2 gedeelde tags
Lees verder arrow_forward

Verdachte aanmeldingen detecteren en onderzoeken

Verdachte aanmeldingen zijn logins die afwijken van normaal gedrag: een onbekend land, een nieuw apparaat of een onmogelijke reissnelheid. Je spoort ze op via de login-audit-logs, het Alert Center en de Security Investigation Tool en handelt snel om een account-overname te voorkomen.

schedule4 min label2 gedeelde tags
Lees verder arrow_forward

Insider threats detecteren in Google Workspace

Insider threats zijn beveiligingsrisico's van binnenuit: een ontevreden medewerker die data steelt of iemand die per ongeluk gevoelige bestanden lekt. Detecteer ze in Google Workspace met audit-logs, DLP, anomaliedetectie en gerichte monitoring van vertrekkende medewerkers.

schedule5 min label2 gedeelde tags
Lees verder arrow_forward