Administratörslogghändelser

Visa administratörsaktivitet i administratörskonsolen

Beroende på vilken Google Workspace-utgåva du har kan du ha tillgång till säkerhetsutredningsverktyget, som har mer avancerade funktioner. Till exempel kan avancerade administratörer identifiera, prioritera och vidta åtgärder mot säkerhets- och integritetsproblem. Läs mer

Viktigt: Google Workspace uppdaterar schemat och händelsemodelleringen för flera logghändelser. Förbättringarna syftar till att göra loggarna mer begripliga, detaljerade och precisa.

Om du använder äldre händelser kan vissa av uppdateringarna kräva ändringar i dina befintliga frågor, varningar och rapporter. Både de nya och gamla händelserna kommer att fortsätta vara tillgängliga för dig att göra nödvändiga ändringar. För mer information, gå till Händelser i administratörsloggen .

Som organisationsadministratör kan du köra sökningar och vidta åtgärder gällande säkerhetsproblem relaterade till händelser i administratörsloggen. Du kan till exempel visa en lista över åtgärder som utförts i Googles administratörskonsol, till exempel när en administratör lade till en användare eller aktiverade en Google Workspace-tjänst.

Vidarebefordra logghändelsedata till Google Cloud

Du kan välja att dela logghändelsedata med Google Cloud. Om du aktiverar delning vidarebefordras data till Cloud Logging där du kan söka efter och visa dina loggar och styra hur du dirigerar och lagrar dina loggar.

Vilken typ av logghändelsedata du kan dela med Google Cloud beror på ditt Google Workspace-, Cloud Identity- eller Essentials-konto.

Din möjlighet att köra en sökning beror på din Google-utgåva, dina administratörsbehörigheter och datakällan. Du kan köra en sökning på alla användare, oavsett deras Google Workspace-utgåva.

Revisions- och utredningsverktyg

För att söka efter logghändelser, välj först en datakälla. Välj sedan ett eller flera filter för din sökning.

  1. I Googles administratörskonsol, gå till Meny och sedan Rapportering och sedan Revision och utredning och sedan Administratörslogghändelser .

    Kräver administratörsbehörighet som granskning och utredning .

  2. För att filtrera händelser som inträffade före eller efter ett specifikt datum, välj Före eller Efter för Datum . Som standard visas händelser från de senaste 7 dagarna. Du kan välja ett annat datumintervall eller klicka på för att ta bort datumfiltret.

  3. Klicka på Lägg till ett filter och sedan välj ett attribut. Om du till exempel vill filtrera efter en specifik händelsetyp väljer du Händelse .
  4. Välj en operator och sedan välj ett värde och sedan klicka på Verkställ .
    • (Valfritt) Upprepa det här steget om du vill skapa flera filter för din sökning.
    • (Valfritt) För att lägga till en sökoperator, välj OCH eller ELLER ovanför Lägg till ett filter .
  5. Klicka på Sök . Obs ! Med hjälp av fliken Filter kan du inkludera enkla parameter- och värdepar för att filtrera sökresultaten. Du kan också använda fliken Villkorsbyggare , där filtren representeras som villkor med OCH/ELLER-operatorer.

Verktyg för säkerhetsutredning

Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

För att köra en sökning i säkerhetsutredningsverktyget, välj först en datakälla. Välj sedan ett eller flera villkor för din sökning. För varje villkor väljer du ett attribut , en operator och ett värde .

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Säkerhetscenter och sedan Utredningsverktyg .

    Kräver administratörsbehörighet i säkerhetscenter .

  2. Klicka på Datakälla och välj Administratörslogghändelser .

  3. För att filtrera händelser som inträffade före eller efter ett specifikt datum, välj Före eller Efter för Datum . Som standard visas händelser från de senaste 7 dagarna. Du kan välja ett annat datumintervall eller klicka på för att ta bort datumfiltret.

  4. Klicka på Lägg till villkor .
    Tips : Du kan inkludera ett eller flera villkor i din sökning eller anpassa din sökning med kapslade frågor . För mer information, gå till Anpassa din sökning med kapslade frågor .
  5. Klickattribut och sedan Välj ett alternativ. Om du till exempel vill filtrera efter en specifik händelsetyp väljer du Händelse .
    För en komplett lista över attribut, gå till avsnittet Attributbeskrivningar .
  6. Välj en operator.
  7. Ange ett värde eller välj ett värde från listan.
  8. (Valfritt) Upprepa stegen om du vill lägga till fler sökvillkor.
  9. Klicka på Sök .
    Du kan granska sökresultaten från undersökningsverktyget i en tabell längst ner på sidan.
  10. (Valfritt) För att spara din undersökning, klicka på Spara och sedan ange en titel och beskrivning och sedan klicka på Spara .

Anteckningar

  • På fliken Villkorsbyggare representeras filter som villkor med OCH/ELLER-operatorer. Du kan också använda fliken Filter för att inkludera enkla parameter- och värdepar för att filtrera sökresultaten.
  • Om du ger en användare ett nytt namn kommer du inte att se frågeresultat med användarens gamla namn. Om du till exempel byter namn på GammaltNamn@example.com till NyttNamn@example.com kommer du inte att se resultat för händelser relaterade till GammaltNamn@example.com .
  • Du kan bara söka efter data i meddelanden som ännu inte har raderats från papperskorgen.

Attributbeskrivningar

För den här datakällan kan du använda följande attribut när du söker efter logghändelsedata.

Attribut Beskrivning
Åtgärd(er)* Åtgärder som administratören vidtagit med hjälp av säkerhetsutredningsverktyget eller med hjälp av en aktivitetsregel. För mer information om de åtgärder en administratör kan vidta, gå till Vidta åtgärder baserat på sökresultat .
Skådespelare

E-postadressen till användaren som utförde åtgärden. Istället för en e-postadress kan du se:

  • Licenshanterare — Om en administratörsåtgärd utlöser en ändring av en användares licens
  • Tjänstkonto — Om åtgärden utfördes av en tjänstkontoadministratör
  • Anonym — Om åtgärden utfördes av en servicekontoadministratör

Namn på aktörsapplikation

Du måste lägga till den här kolumnen i sökresultaten. För stegen, gå till Hantera kolumndata för sökresultat .

Detaljer om programmet som utförde åtgärden. Klicka på programmets namn för aktören i sökresultaten för att visa:

  • Aktörens programnamn — Namn på programmet som utförde åtgärden (ifyllt för tredjepartsappar och för vissa förstapartsappar, till exempel Gmail)
  • Aktör OAuth-klient-ID — Identifierare för tredjepartsappen som utförde åtgärden
  • Personifiering – Om appen imiterade en användare

Om du exporterar den här informationen till en kommaseparerad fil (CSV) eller Google Sheets sparas informationen som ett enda textblock i en cell.

Skådespelarens gruppnamn

Aktörens gruppnamn. För mer information, gå till Filtrera resultat efter Google-grupp .

Så här lägger du till en grupp i din tillåtelselista för filtreringsgrupper:

  1. Välj aktörsgruppens namn .
  2. Klicka på Filtrera grupper .
    Sidan Filtrering av grupper visas.
  3. Klicka på Lägg till grupper .
  4. Sök efter en grupp genom att ange de första tecknen i dess namn eller e-postadress. När du ser önskad grupp markerar du den.
  5. (Valfritt) För att lägga till en annan grupp, sök efter och välj gruppen.
  6. När du är klar med att välja grupper klickar du på Lägg till .
  7. (Valfritt) För att ta bort en grupp, klicka på Ta bort grupp .
  8. Klicka på Spara .
Aktörens organisatoriska enhet Aktörens organisatoriska enhet
Ytterligare information Ytterligare kontextuell information för händelsen
Startdatum* Använd Startdatum och Slutdatum för att filtrera händelser som inkluderar ett specifikt start- och slutdatumintervall, till exempel Chart Drilldown-händelser. Obs! För att söka efter händelser inom ett datumintervall, använd attributet Datum .
Datakälla* Datakällan i utredningsverktyget eller varningskällan i varningscentret
Datum Datum och tid för händelsen (visas i din webbläsares standardtidszon)
Enhets-ID* ID för den enhet som påverkas av denna granskningshändelse. Om en administratör till exempel rensar en företagsägd enhet, registrerar det här fältet enhets-ID:t.
Enhetstyp Typ av enhet som påverkas av denna granskningshändelse. Om till exempel en administratör rensar en företagsägd enhet, registrerar det här fältet enhetstypen.
Domännamn Domänen där åtgärden inträffade
Slutdatum* Använd Startdatum och Slutdatum för att filtrera händelser som inkluderar ett specifikt start- och slutdatumintervall, till exempel Chart Drilldown-händelser. Obs! För att söka efter händelser inom ett datumintervall, använd attributet Datum .
Händelse

Den loggade händelseåtgärden, till exempel utredningsfråga eller skapande av aktivitetsregel .

Under Händelsevärde grupperas händelserna efter typ, till exempel Användarinställningar eller Domäninställningar . De flesta händelsevärden är självförklarande. Till exempel är Lägg till program , under Domäninställningar , ett sökvärde för ett program som har lagts till i din domän. Du kan söka efter händelser i sökrutan.

Tips : Om du har händelsevärden som du använder ofta, fäst dessa händelser högst upp i rullgardinsmenyn.

Google Workspace-utgåva* Google Workspace-utgåvan för administratören (aktören) som utförde åtgärden

Gruppens e-postadress

 E-postadressen till den Google-grupp som påverkas av denna aktivitet
IP-adress IP-adress (Internet Protocol) som är kopplad till den loggade åtgärden. Vanligtvis återspeglar den användarens fysiska plats, men kan vara en proxyserver eller en VPN-adress (Virtual Private Network).

IP-ASN

Du måste lägga till den här kolumnen i sökresultaten. För stegen, gå till Hantera kolumndata för sökresultat .

IP-nummer för autonomt system (ASN), underavdelning och region som är associerad med loggposten.

För att granska IP-ASN och underavdelnings- och regionkod där aktiviteten inträffade klickar du på namnet i sökresultaten.

Berättigande* Om en motiveringstext krävdes för åtgärden, förklaring tillhandahållen av administratören
Meddelande-ID* Meddelande-ID för e-postmeddelandet som påverkas av denna granskningshändelse
Nytt värde* Nytt värde för inställningen om den uppdateras
Gammalt värde* Gammalt värde för inställningen ifall den uppdateras
Resurs-ID(n)* ID:n för en eller flera resurser som påverkas av granskningshändelsen
Resursnamn* Namn på resursen som påverkas av granskningshändelsen
Resurstyp* Typ av resurs som påverkas av granskningshändelsen
Resurser

Listan över resurser som är kopplade till åtgärden. Klicka på resursen för att granska följande information:

  • Resurs-ID — Resursidentifieraren
  • Resurstitel — Resursens titel
  • Resurstyp — Resursens kategori (t.ex. Google Drive, e-post eller regel)
  • Resursrelation — Relationen mellan resursen och händelsen
  • Ägaruppgifter — Information om resursägaren, inklusive ägartyp och ägaridentitet

  • Resursetikett — Lista över klassificeringsetiketter för en resurs, inklusive resursetikett-ID , resursetiketttitel och resursetikettfält .

    Fältet Resursetikett innehåller:

    • Etikettfält-ID
    • Etikettfältnamn
    • Etikettfältstyp — Etikettfältets datatyp, till exempel:
      • Text
      • Antal
      • Urval — Ingår: ID, Visningsnamn, Har ett märke
      • Urvalslista
      • Användare — Inkluderat: E-post
      • Användarlista
      • Datum

Om du exporterar den här informationen till en kommaseparerad fil (CSV) eller Google Sheets sparas informationen som ett enda textblock i en cell.

Sökfråga Fråga som används för att hämta eller bearbeta data. Till exempel frågan som används i sökning i undersökningsverktyg, när aktivitetsregler skapas eller när e-postdump skapas.
Inställningskategori Kategori för den uppdaterade inställningen
Inställningsnamn Namn på den uppdaterade inställningen
Ställa in organisationsenhetsnamn Inställningar i administratörskonsolen kan begränsas till en organisationsenhet. När en inställning uppdateras och begränsas till en organisationsenhet visas organisationsenhetens namn i det här fältet.
Mål* Mål-e-postadress för händelsen. Till exempel destinations-e-postadressen när en e-postövervakare skapas, eller verifierarens e-postadress när en massåtgärd utförs i undersökningsverktyget.
Totalt påverkat* Totalt antal enheter som påverkades av granskningshändelsen. Till exempel antalet användare som laddades upp vid massuppladdning av användare till en grupp, eller antalet åtgärder som utlöstes som en del av en aktivitetsregelutlösare. Detta är ett kontextuellt fält som beror på händelsen.
Totalt misslyckades* Totalt antal misslyckade åtgärder. Till exempel antalet användare som misslyckades med att ladda upp vid massuppladdning av användare till en grupp, eller antalet åtgärder som misslyckades som en del av en aktivitetsregelutlösare. Detta är ett kontextuellt fält som beror på händelsen.
Användarens e-postadress E-postadress till användaren som utförde åtgärden

* Du kan inte skapa rapporteringsregler med dessa filter. Läs mer om rapporteringsregler kontra aktivitetsregler .

Obs ! Om du har gett en användare ett nytt namn kommer du inte att se frågeresultat med användarens gamla namn. Om du till exempel byter namn på GammaltNamn@example.com till NyttNamn@example.com kommer du inte att se resultat för händelser relaterade till GammaltNamn@example.com .

Hantera logghändelsedata

Hantera data i sökresultatskolumnen

Du kan styra vilka datakolumner som visas i dina sökresultat.

  1. Klicka på Hantera kolumner längst upp till höger i sökresultatstabellen. .
  2. (Valfritt) Om du vill ta bort aktuella kolumner klickar du på Ta bort .
  3. (Valfritt) För att lägga till kolumner, klicka på nedåtpilen bredvid Lägg till ny kolumn och välj datakolumnen.
    Upprepa vid behov.
  4. (Valfritt) Om du vill ändra ordningen på kolumnerna drar du datakolumnnamnen.
  5. Klicka på Spara .

Exportera sökresultatdata

Du kan exportera sökresultat till Kalkylark eller till en CSV-fil.

  1. Klicka på Exportera alla högst upp i sökresultatstabellen.
  2. Ange ett namn och sedan klicka på Exportera .
    Exporten visas under sökresultatstabellen under Exportera åtgärdsresultat .
  3. För att visa informationen klickar du på exportens namn.
    Exporten öppnas i Kalkylark.

Exportgränserna varierar:

  • Det totala resultatet av exporten är begränsat till 100 000 rader.
  • Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

    Om du har verktyget för säkerhetsundersökning är det totala resultatet av exporten begränsat till 30 miljoner rader.

För mer information, gå till Exportera sökresultat .

När och hur länge är data tillgängliga?

Vidta åtgärder baserat på sökresultat

Skapa aktivitetsregler och konfigurera aviseringar

  • Du kan konfigurera aviseringar baserade på logghändelsedata med hjälp av rapporteringsregler. För instruktioner, gå till Skapa och hantera rapporteringsregler .
  • Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

    För att effektivt förebygga, upptäcka och åtgärda säkerhetsproblem kan du automatisera åtgärder i säkerhetsundersökningsverktyget och ställa in aviseringar genom att skapa aktivitetsregler . För att konfigurera en regel, ställ in villkor för regeln och ange sedan de åtgärder som ska utföras när villkoren är uppfyllda. För mer information, gå till Skapa och hantera aktivitetsregler .

Vidta åtgärder baserat på sökresultat

Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

När du har kört en sökning i säkerhetsutredningsverktyget kan du agera utifrån dina sökresultat. Du kan till exempel köra en sökning baserat på Gmail-logghändelser och sedan använda verktyget för att ta bort specifika meddelanden, skicka meddelanden till karantän eller skicka meddelanden till användarnas inkorgar. För mer information, gå till Vidta åtgärder baserat på sökresultat .

Hantera dina utredningar

Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

Visa din lista över utredningar

Om du vill se en lista över de utredningar som du äger och som delats med dig klickar du på Visa utredningar Utredningslistan innehåller namn, beskrivningar och ägare till utredningarna, samt datum för senaste ändring.

Från den här listan kan du vidta åtgärder för alla utredningar som du äger, till exempel att ta bort en utredning. Markera rutan för en utredning och klicka sedan på Åtgärder .

Obs ! Du kan se dina sparade undersökningar under Snabbåtkomst , direkt ovanför din lista över undersökningar.

Konfigurera inställningar för dina undersökningar

Som superadministratör klickar du på Inställningar till:

  • Ändra tidszonen för dina undersökningar. Tidszonen gäller för sökvillkor och resultat.
  • Aktivera eller inaktivera Kräv granskare . För mer information, gå till Kräv granskare för massåtgärder .
  • Aktivera eller inaktivera Visa innehåll . Den här inställningen tillåter administratörer med lämpliga behörigheter att visa innehåll.
  • Slå på eller av Aktivera åtgärdsjustering .

För mer information, gå till Konfigurera inställningar för dina undersökningar .

Spara, dela, radera och duplicera undersökningar

För att spara dina sökkriterier eller dela dem med andra kan du skapa och spara en undersökning och sedan dela, duplicera eller ta bort den.

För mer information, gå till Spara, dela, ta bort och duplicera undersökningar .