डेटा पर एडमिन की कार्रवाई के लॉग इवेंट

संगठन के एडमिन के तौर पर, Admin console में की गई कार्रवाइयों के लॉग इवेंट से जुड़ी सुरक्षा की समस्याओं को खोजा जा सकता है और उन पर कार्रवाई की जा सकती है. Google Admin console या Google Workspace Admin SDK Reports API में की गई कार्रवाइयों का रिकॉर्ड देखा जा सकता है. जैसे, किसी एडमिन ने किसी इवेंट से संवेदनशील डेटा कब ऐक्सेस किया, कब हटाया, और कब वापस लाया.

लॉग इवेंट का डेटा, Google Cloud को फ़ॉरवर्ड करना

लॉग इवेंट का डेटा, Google Cloud के साथ शेयर करने का विकल्प चुना जा सकता है. अगर शेयर करने की सुविधा चालू की जाती है, तो डेटा को Cloud Logging पर फ़ॉरवर्ड कर दिया जाता है. यहां अपने लॉग के बारे में क्वेरी की जा सकती है और उन्हें देखा जा सकता है. साथ ही, यह भी कंट्रोल किया जा सकता है कि लॉग को कैसे रूट और स्टोर किया जाए.

Google Cloud के साथ किस तरह का लॉग इवेंट डेटा शेयर किया जा सकता है, यह इस बात पर निर्भर करता है कि आपके पास Google Workspace, Cloud Identity या Essentials का कौनसा खाता है.

लॉग इवेंट खोजना

(एडवांस) अगर खोज करने पर क्वेरी अपने-आप जनरेट हों, तो इसके लिए Admin SDK Reports API का इस्तेमाल किया जा सकता है. ज़्यादा जानकारी के लिए, Reports API खास जानकारी पर जाएं.

खोज करने की सुविधा, Google के वर्शन, एडमिन के अधिकारों, और डेटा सोर्स पर निर्भर करती है. Google Workspace के किसी भी वर्शन का इस्तेमाल करने वाले सभी उपयोगकर्ताओं के लिए खोज की जा सकती है.

ऑडिट और जांच टूल

लॉग इवेंट खोजने के लिए, पहले कोई डेटा सोर्स चुनें. इसके बाद, खोज के लिए एक या उससे ज़्यादा फ़िल्टर चुनें.

  1. Google Admin console में, मेन्यू इसके बाद रिपोर्टिंग इसके बाद ऑडिट और जांच इसके बाद Admin console में की गई कार्रवाइयों के लॉग इवेंट पर जाएं.

    इसके लिए, आपके पास ऑडिट और जांच से जुड़ा एडमिन का अधिकार होना चाहिए.

  2. किसी खास तारीख से पहले या बाद में हुए इवेंट को फ़िल्टर करने के लिए, तारीख में पहले या बाद में को चुनें. डिफ़ॉल्ट रूप से, पिछले सात दिनों के इवेंट दिखाए जाते हैं. तारीख की कोई दूसरी सीमा चुनी जा सकती है या तारीख का फ़िल्टर हटाने के लिए, पर क्लिक किया जा सकता है.

  3. कोई फ़िल्टर जोड़ें इसके बाद कोई एट्रिब्यूट चुनें पर क्लिक करें. उदाहरण के लिए, किसी खास तरह के इवेंट के हिसाब से फ़िल्टर करने के लिए, इवेंट को चुनें.
  4. कोई ऑपरेटर चुनें इसके बाद कोई वैल्यू चुनें इसके बाद लागू करें पर क्लिक करें.
    • (ज़रूरी नहीं) खोज के लिए एक से ज़्यादा फ़िल्टर बनाने के लिए, यह चरण दोहराएं.
    • (ज़रूरी नहीं) कोई सर्च ऑपरेटर जोड़ने के लिए, कोई फ़िल्टर जोड़ें के ऊपर, AND या OR को चुनें.
  5. खोजें पर क्लिक करें. ध्यान दें: फ़िल्टर टैब का इस्तेमाल करके, खोज के नतीजों को फ़िल्टर करने के लिए, पैरामीटर और वैल्यू के आसान जोड़े शामिल किए जा सकते हैं. शर्त बनाने वाला टूल टैब का भी इस्तेमाल किया जा सकता है. इसमें फ़िल्टर को AND/OR ऑपरेटर के साथ शर्तों के तौर पर दिखाया जाता है.

सुरक्षा जांच टूल

यह सुविधा इन वर्शन में इस्तेमाल की जा सकती है: Frontline Standard और Frontline Plus; Enterprise Standard और Enterprise Plus; Education Standard और Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. अपने वर्शन की तुलना करें

सुरक्षा जांच टूल में खोज करने के लिए, सबसे पहले कोई डेटा सोर्स चुनें. इसके बाद, खोज के लिए एक या उससे ज़्यादा शर्तें चुनें. हर शर्त के लिए, कोई एट्रिब्यूट, कोई ऑपरेटर, और कोई वैल्यू चुनें.

  1. Google Admin console में, मेन्यू इसके बाद सुरक्षा इसके बाद सुरक्षा केंद्र इसके बाद जांच टूल पर जाएं.

    इसके लिए, आपके पास सुरक्षा केंद्र से जुड़ा एडमिन का अधिकार होना चाहिए.

  2. डेटा सोर्स पर क्लिक करें और Admin console में की गई कार्रवाइयों के लॉग इवेंट को चुनें.

  3. किसी खास तारीख से पहले या बाद में हुए इवेंट को फ़िल्टर करने के लिए, तारीख में पहले या बाद में को चुनें. डिफ़ॉल्ट रूप से, पिछले सात दिनों के इवेंट दिखाए जाते हैं. तारीख की कोई दूसरी सीमा चुनी जा सकती है या तारीख का फ़िल्टर हटाने के लिए, पर क्लिक किया जा सकता है.

  4. शर्त जोड़ें पर क्लिक करें.
    अहम जानकारी: खोज में एक या उससे ज़्यादा शर्तें शामिल की जा सकती हैं. इसके अलावा, नेस्ट की गई क्वेरी की मदद से, खोज को पसंद के मुताबिक बनाया जा सकता है. ज़्यादा जानकारी के लिए, नेस्ट की गई क्वेरी की मदद से खोज को पसंद के मुताबिक बनाना लेख पढ़ें.
  5. एट्रिब्यूट इसके बाद कोई विकल्प चुनें पर क्लिक करें. उदाहरण के लिए, किसी खास तरह के इवेंट के हिसाब से फ़िल्टर करने के लिए, इवेंट को चुनें.
    एट्रिब्यूट की पूरी सूची देखने के लिए, एट्रिब्यूट की जानकारी वाला सेक्शन देखें.
  6. कोई ऑपरेटर चुनें.
  7. कोई वैल्यू डालें या सूची में से कोई वैल्यू चुनें.
  8. (ज़रूरी नहीं) खोज की ज़्यादा शर्तें जोड़ने के लिए, यह तरीका दोहराएं.
  9. खोजें पर क्लिक करें.
    जांच टूल से मिले खोज के नतीजों को, पेज के सबसे नीचे मौजूद टेबल में देखा जा सकता है.
  10. (ज़रूरी नहीं) अपनी जांच को सेव करने के लिए, सेव करें इसके बाद कोई शीर्षक और जानकारी डालें इसके बाद सेव करें पर क्लिक करें.

नोट

  • शर्त बनाने वाला टूल टैब में, फ़िल्टर को AND/OR ऑपरेटर के साथ शर्तों के तौर पर दिखाया जाता है. खोज के नतीजों को फ़िल्टर करने के लिए, पैरामीटर और वैल्यू के आसान जोड़े शामिल करने के लिए, फ़िल्टर टैब का भी इस्तेमाल किया जा सकता है.
  • अगर किसी उपयोगकर्ता को नया नाम दिया जाता है, तो आपको पुराने नाम से जुड़े क्वेरी के नतीजे नहीं दिखेंगे. उदाहरण के लिए, अगर OldName@example.com का नाम बदलकर NewName@example.com कर दिया जाता है, तो आपको OldName@example.com से जुड़े इवेंट के नतीजे नहीं दिखेंगे.
  • सिर्फ़ उन मैसेज का डेटा खोजा जा सकता है जिन्हें ट्रैश से मिटाया नहीं गया है.

एट्रिब्यूट की जानकारी

लॉग इवेंट का डेटा खोजते समय, इस डेटा सोर्स के लिए इन एट्रिब्यूट का इस्तेमाल किया जा सकता है.

<! -- Table for the Admin data action log events attributes-->

एट्रिब्यूट ब्यौरा
Actor गतिविधि करने वाले उपयोगकर्ता का ईमेल पता
कार्रवाई करने वाले ऐप्लिकेशन का नाम

आपको इस कॉलम को खोज के नतीजों में जोड़ना होगा. इसके लिए, खोज के नतीजों वाले कॉलम का डेटा मैनेज करना लेख पढ़ें .

कार्रवाई करने वाले ऐप्लिकेशन के बारे में जानकारी. खोज के नतीजों में, कार्रवाई करने वाले ऐप्लिकेशन का नाम पर क्लिक करके, ये जानकारी देखी जा सकती है:

  • कार्रवाई करने वाले ऐप्लिकेशन का नाम—कार्रवाई करने वाले ऐप्लिकेशन का नाम. यह तीसरे पक्ष के ऐप्लिकेशन और पहले पक्ष के कुछ ऐप्लिकेशन (जैसे, Gmail) के लिए उपलब्ध होता है
  • कार्रवाई करने वाले ऐप्लिकेशन का OAuth क्लाइंट आईडी—कार्रवाई करने के लिए इस्तेमाल किए गए तीसरे पक्ष के ऐप्लिकेशन का आइडेंटिफ़ायर
  • झूठी पहचान बताना—क्या ऐप्लिकेशन ने उपयोगकर्ता की ओर से कार्रवाई की

अगर इस जानकारी को कॉमा लगाकर अलग की गई वैल्यू (CSV) वाली फ़ाइल या Google Sheets में एक्सपोर्ट किया जाता है, तो जानकारी को किसी सेल में टेक्स्ट के एक ब्लॉक के तौर पर सेव किया जाता है.

टारगेट इवेंट का डेटा सोर्स

वह ऐप्लिकेशन जिससे डेटा ऐक्सेस किया गया, हटाया गया या वापस लाया गया

किसी इवेंट को इन तीन फ़ील्ड से यूनीक तरीके से पहचाना जा सकता है:

  • इवेंट आईडी
  • डेटा सोर्स का नाम
  • इवेंट होने का समय
तारीख इवेंट की तारीख और समय. यह जानकारी आपके ब्राउज़र के डिफ़ॉल्ट टाइम ज़ोन में दिखती है

आईपी एएसएन

आपको इस कॉलम को खोज के नतीजों में जोड़ना होगा. इसके लिए, खोज के नतीजों वाले कॉलम का डेटा मैनेज करना लेख पढ़ें .

लॉग एंट्री से जुड़ा आईपी ऑटोनॉमस सिस्टम नंबर (एएसएन), सब-डिवीज़न, और क्षेत्र.

गतिविधि वाली जगह के आईपी एएसएन, सबडिवीज़न, और क्षेत्र के कोड की समीक्षा करने के लिए, खोज के नतीजों में मौजूद नाम पर क्लिक करें.
टारगेट इवेंट के आईडी

उस डेटा के इवेंट आईडी जिसे ऐक्सेस किया गया, हटाया गया या वापस लाया गया

किसी इवेंट को इन तीन फ़ील्ड से यूनीक तरीके से पहचाना जा सकता है:

  • इवेंट आईडी
  • डेटा सोर्स का नाम
  • इवेंट होने का समय
खोज क्वेरी डेटा फ़ेच या प्रोसेस करने के लिए इस्तेमाल की गई क्वेरी में लागू किए गए फ़िल्टर
वजह अगर कार्रवाई के लिए, वजह बताने वाला टेक्स्ट ज़रूरी था, तो एडमिन की ओर से दी गई जानकारी
टारगेट इवेंट की तारीख

टारगेट इवेंट होने की तारीख

किसी इवेंट को इन तीन फ़ील्ड से यूनीक तरीके से पहचाना जा सकता है:

  • इवेंट आईडी
  • डेटा सोर्स का नाम
  • इवेंट होने का समय

लॉग इवेंट का डेटा मैनेज करना

खोज के नतीजों वाले कॉलम का डेटा मैनेज करना

यह कंट्रोल किया जा सकता है कि खोज के नतीजों में कौनसा डेटा कॉलम दिखे.

  1. खोज के नतीजों की टेबल में सबसे ऊपर दाईं ओर, कॉलम मैनेज करें पर क्लिक करें.
  2. (ज़रूरी नहीं) मौजूदा कॉलम हटाने के लिए, हटाएं पर क्लिक करें.
  3. (ज़रूरी नहीं) कॉलम जोड़ने के लिए, नया कॉलम जोड़ें के बगल में मौजूद, डाउन ऐरो पर क्लिक करें और डेटा कॉलम चुनें.
    ज़रूरत के हिसाब से, यह तरीका दोहराएं.
  4. (ज़रूरी नहीं) कॉलम का क्रम बदलने के लिए, डेटा कॉलम के नामों को खींचें और छोड़ें.
  5. सेव करें पर क्लिक करें.

खोज के नतीजों का डेटा एक्सपोर्ट करना

खोज के नतीजों को Sheets या CSV फ़ाइल में एक्सपोर्ट किया जा सकता है.

  1. खोज के नतीजों की टेबल में सबसे ऊपर, सभी एक्सपोर्ट करें पर क्लिक करें.
  2. कोई नाम डालें इसके बाद क्लिक करें एक्सपोर्ट.
    एक्सपोर्ट, खोज के नतीजों की टेबल के नीचे, एक्सपोर्ट की गई कार्रवाइयों के नतीजे में दिखता है.
  3. डेटा देखने के लिए, एक्सपोर्ट के नाम पर क्लिक करें.
    एक्सपोर्ट, Sheets में खुलता है.

एक्सपोर्ट की सीमाएं अलग-अलग होती हैं:

  • एक्सपोर्ट के कुल नतीजे, 1,00,000 लाइनों तक सीमित हैं.
  • यह सुविधा इन वर्शन में इस्तेमाल की जा सकती है: Frontline Standard और Frontline Plus; Enterprise Standard और Enterprise Plus; Education Standard और Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. अपने वर्शन की तुलना करें

    अगर आपके पास सुरक्षा जांच टूल है, तो एक्सपोर्ट के कुल नतीजे, तीन करोड़ लाइनों तक सीमित हैं.

ज़्यादा जानकारी के लिए, खोज के नतीजे एक्सपोर्ट करना लेख पढ़ें.

खोज के नतीजों के आधार पर कार्रवाई करना

गतिविधि के नियम बनाना और चेतावनियां सेट अप करना

  • रिपोर्टिंग के नियमों का इस्तेमाल करके, लॉग इवेंट के डेटा के आधार पर चेतावनियां सेट अप की जा सकती हैं. निर्देशों के लिए, रिपोर्टिंग के नियम बनाना और उन्हें मैनेज करना लेख पढ़ें.
  • यह सुविधा इन वर्शन में इस्तेमाल की जा सकती है: Frontline Standard और Frontline Plus; Enterprise Standard और Enterprise Plus; Education Standard और Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. अपने वर्शन की तुलना करें

    सुरक्षा से जुड़ी समस्याओं को आसानी से रोकने, उनका पता लगाने, और उन्हें हल करने के लिए, सुरक्षा जांच टूल में कार्रवाइयों को अपने-आप होने की सेटिंग पर सेट किया जा सकता है. साथ ही, गतिविधि के नियम बनाकर चेतावनियां सेट अप की जा सकती हैं. कोई नियम सेट अप करने के लिए, नियम के लिए शर्तें सेट अप करें. इसके बाद, शर्तें पूरी होने पर की जाने वाली कार्रवाइयां तय करें. ज़्यादा जानकारी के लिए, गतिविधि के नियम बनाना और उन्हें मैनेज करना लेख पढ़ें.

खोज के नतीजों के आधार पर कार्रवाई करना

यह सुविधा इन वर्शन में इस्तेमाल की जा सकती है: Frontline Standard और Frontline Plus; Enterprise Standard और Enterprise Plus; Education Standard और Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. अपने वर्शन की तुलना करें

सुरक्षा जांच टूल में खोज करने के बाद, खोज के नतीजों के आधार पर कार्रवाई की जा सकती है. उदाहरण के लिए, Gmail के लॉग इवेंट के आधार पर खोज की जा सकती है. इसके बाद, टूल का इस्तेमाल करके, कोई मैसेज मिटाया जा सकता है, मैसेज को क्वॉरंटीन में भेजा जा सकता है या मैसेज को उपयोगकर्ता के इनबॉक्स में भेजा जा सकता है. ज़्यादा जानकारी के लिए, खोज के नतीजों के आधार पर कार्रवाई करना लेख पढ़ें.

अपनी जांचों को मैनेज करना

यह सुविधा इन वर्शन में इस्तेमाल की जा सकती है: Frontline Standard और Frontline Plus; Enterprise Standard और Enterprise Plus; Education Standard और Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. अपने वर्शन की तुलना करें

अपनी जांचों की सूची देखना

अपनी और आपके साथ शेयर की गई जांचों की सूची देखने के लिए, जांचें देखें पर क्लिक करें. जांच की सूची में, जांचों के नाम, जानकारी, और मालिकों के साथ-साथ, उनमें आखिरी बार किए गए बदलाव की तारीख शामिल होती है.

इस सूची से, अपनी किसी भी जांच पर कार्रवाई की जा सकती है. जैसे, किसी जांच को मिटाना. किसी जांच के लिए बॉक्स चुनें. इसके बाद, कार्रवाइयां पर क्लिक करें.

ध्यान दें: सेव की गई जांचें, क्विक ऐक्सेस में देखी जा सकती हैं. यह विकल्प, जांचों की सूची के ठीक ऊपर मौजूद होता है.

अपनी जांचों के लिए सेटिंग कॉन्फ़िगर करना

सुपर एडमिन के तौर पर, सेटिंग पर क्लिक करके, ये काम किए जा सकते हैं:

  • अपनी जांचों के लिए टाइम ज़ोन बदलना. टाइम ज़ोन, खोज की शर्तों और नतीजों पर लागू होता है.
  • समीक्षक की ज़रूरत है को चालू या बंद करना. ज़्यादा जानकारी के लिए, बल्क में की जाने वाली कार्रवाइयों के लिए समीक्षकों की ज़रूरत होना लेख पढ़ें.
  • कॉन्टेंट देखें को चालू या बंद करना. इस सेटिंग से, ज़रूरी अधिकारों वाले एडमिन को कॉन्टेंट देखने की अनुमति मिलती है.
  • कार्रवाई की वजह चालू करें को चालू या बंद करना.

ज़्यादा जानकारी के लिए, अपनी जांचों के लिए सेटिंग कॉन्फ़िगर करना लेख पढ़ें.

जांचें सेव करना, शेयर करना, मिटाना, और उनका डुप्लीकेट बनाना

खोज के मानदंड सेव करने या उन्हें दूसरों के साथ शेयर करने के लिए, कोई जांच बनाई और सेव की जा सकती है. इसके बाद, उसे शेयर किया जा सकता है, उसका डुप्लीकेट बनाया जा सकता है या उसे मिटाया जा सकता है.

ज़्यादा जानकारी के लिए, जांचें सेव करना, शेयर करना, मिटाना, और उनका डुप्लीकेट बनाना लेख पढ़ें.