Zdarzenia z dziennika administratora

Wyświetlanie aktywności administratora w konsoli administracyjnej

W zależności od wersji Google Workspace możesz mieć dostęp do narzędzia do analizy zagrożeń, które ma bardziej zaawansowane funkcje. Superadministratorzy mogą na przykład identyfikować i grupować problemy związane z bezpieczeństwem oraz prywatnością, a także przeciwdziałać takim problemom. Więcej informacji

Ważne: Google Workspace aktualizuje schemat i modelowanie zdarzeń w przypadku kilku zdarzeń z dziennika. Zmiany mają na celu zwiększenie zrozumiałości, szczegółowości i dokładności dzienników.

Jeśli używasz starszych zdarzeń, niektóre aktualizacje mogą wymagać wprowadzenia zmian w dotychczasowych zapytaniach, alertach i raportach. Zarówno nowe, jak i stare zdarzenia będą nadal dostępne, aby umożliwić Ci wprowadzenie niezbędnych zmian. Więcej informacji znajdziesz w artykule Zmiany w zdarzeniach z dziennika administratora.

Jako administrator organizacji możesz wyszukiwać problemy z zabezpieczeniami związane ze zdarzeniami z dziennika administratora i podejmować odpowiednie działania. Możesz na przykład wyświetlić rejestr działań wykonanych w konsoli administracyjnej Google, takich jak dodanie konta użytkownika czy włączenie usługi Google Workspace przez administratora.

Przekazywanie danych zdarzenia z dziennika do Google Cloud

Możesz wyrazić zgodę na udostępnianie danych zdarzeń z dziennika usłudze Google Cloud. Jeśli włączysz udostępnianie, dane będą przekazywane usłudze Cloud Logging, w której możesz przeglądać logi i tworzyć dotyczące ich zapytania oraz decydować, jak chcesz kierować ruchem logów i jak je przechowywać.

Rodzaj danych zdarzenia z dziennika, które możesz udostępniać Google Cloud, zależy od Twojego konta Google Workspace, Cloud Identity lub Essentials.

Możliwość wyszukiwania zależy od wersji usługi Google, uprawnień administratora i źródła danych. Możesz przeprowadzić wyszukiwanie dla wszystkich użytkowników, niezależnie od używanej przez nich wersji Google Workspace.

Narzędzie do kontroli i analizy zagrożeń

Aby przeszukać zdarzenia z dziennika, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 filtr wyszukiwania.

  1. W konsoli administracyjnej Google otwórz Menu  a potem Raportowanie a potem Kontrola i analiza zagrożeń a potem Zdarzenia z dziennika administratora.

    Wymaga uprawnień administratora Kontrola i analiza zagrożeń.

  2. Aby filtrować zdarzenia, które wystąpiły przed lub po określonej dacie, w polu Data wybierz Przed lub Po. Domyślnie wyświetlane są zdarzenia z ostatnich 7 dni. Możesz wybrać inny zakres dat lub kliknąć , aby usunąć filtr daty.

  3. Kliknij Dodaj filtr a potem wybierz atrybut. Aby na przykład filtrować według określonego typu zdarzenia, wybierz Zdarzenie.
  4. Wybierz operatora a potem wybierz wartość a potem kliknij Zastosuj.
    • (Opcjonalnie) Aby utworzyć kilka filtrów wyszukiwania, powtórz ten krok.
    • (Opcjonalnie) Aby dodać operator wyszukiwania, nad opcją Dodaj filtr wybierz ORAZ bądź LUB.
  5. Kliknij Szukaj. Uwaga: na karcie Filtr możesz uwzględnić proste pary parametrów i wartości, aby przefiltrować wyniki wyszukiwania. Możesz też użyć karty narzędzia do definiowania warunków, gdzie filtry są mają postać warunków z operatorem ORAZ i LUB.

Narzędzie do analizy zagrożeń

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus, Enterprise Standard i Enterprise Plus, Education Standard i Education Plus, Enterprise Essentials Plus oraz Cloud Identity Premium. Porównanie wersji

Aby przeprowadzić wyszukiwanie w narzędziu do analizy zagrożeń, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 warunek wyszukiwania. Dla każdego warunku wybierz atrybut, operatorwartość.

  1. W konsoli administracyjnej Google otwórz Menu  a potem  Zabezpieczenia a potem Centrum bezpieczeństwa a potem Narzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. Kliknij Źródło danych i wybierz Zdarzenia z dziennika administratora.

  3. Aby filtrować zdarzenia, które wystąpiły przed lub po określonej dacie, w polu Data wybierz Przed lub Po. Domyślnie wyświetlane są zdarzenia z ostatnich 7 dni. Możesz wybrać inny zakres dat lub kliknąć , aby usunąć filtr daty.

  4. Kliknij Dodaj warunek.
    Wskazówka: w wyszukiwaniu możesz uwzględnić 1 lub kilka warunków. Możesz też dostosować wyszukiwanie za pomocą zapytań zagnieżdżonych. Więcej informacji znajdziesz w artykule Dostosowywanie wyszukiwania za pomocą zapytań zagnieżdżonych.
  5. Kliknij Atrybut a potem wybierz opcję. Aby na przykład filtrować według określonego typu zdarzenia, wybierz Zdarzenie.
    Pełną listę atrybutów znajdziesz w sekcji Opisy atrybutów poniżej.
  6. Wybierz operator.
  7. Wpisz wartość lub wybierz ją z listy.
  8. (Opcjonalnie) Aby dodać więcej warunków wyszukiwania, powtórz te czynności.
  9. Kliknij Szukaj.
    Wyniki wyszukiwania z narzędzia do analizy zagrożeń możesz sprawdzić w tabeli u dołu strony.
  10. (Opcjonalnie) Aby zapisać analizę zagrożeń, kliknij Zapisz  a potem wpisz tytuł i opis a potem kliknij Zapisz.

Uwagi

  • Na karcie Narzędzie do definiowania warunków filtry mają postać warunków z operatorami AND/OR. Proste pary parametrów i wartości do filtrowania wyników wyszukiwania możesz też dodawać na karcie Filtr.
  • Jeśli zmienisz nazwę konta użytkownika, nie zobaczysz wyników zapytań ze starą nazwą konta użytkownika. Jeśli na przykład zmienisz nazwę konta stara_nazwa@example.com na nowa_nazwa@example.com, nie zobaczysz wyników dla zdarzeń powiązanych z nazwą stara_nazwa@example.com.
  • Możesz wyszukiwać dane tylko w wiadomościach, które nie zostały jeszcze usunięte z Kosza.

Opisy atrybutów

W przypadku tego źródła danych podczas wyszukiwania danych zdarzenia z dziennika możesz użyć tych atrybutów:

Atrybut Opis
Działania* Czynności wykonane przez administratora przy użyciu narzędzia do analizy zagrożeń lub reguły związanej z aktywnością. Szczegółowe informacje o czynnościach, które może wykonywać administrator, znajdziesz w artykule Podejmowanie działań na podstawie wyników wyszukiwania.
Użytkownik, który wykonał czynność

Adres e-mail użytkownika, który wykonał czynność. Zamiast adresu e-mail możesz zobaczyć te opcje:

  • Menedżer licencji – jeśli administrator wykonał czynność powodującą zmianę licencji użytkownika
  • Konto usługi – jeśli czynność została wykonana przez administratora konta usługi.
  • Anonimowy – jeśli czynność została wykonana przez administratora konta usługi.

Nazwa aplikacji, która wykonała czynność

Musisz dodać tę kolumnę do wyników wyszukiwania. Instrukcje znajdziesz w sekcji Zarządzanie danymi w kolumnie wyników wyszukiwania artykułu Zdarzenia z dziennika administratora.

Szczegóły dotyczące aplikacji użytej do wykonania czynności. Aby sprawdzić te informacje, kliknij nazwę w wynikach wyszukiwania:

  • Nazwa aplikacji, która wykonała czynność – nazwa aplikacji użytej do wykonania czynności (wypełniana w przypadku aplikacji innych firm i niektórych aplikacji własnych, np. Gmaila).
  • Identyfikator klienta OAuth, który wykonał czynność – identyfikator aplikacji innej firmy użytej do wykonania czynności.
  • Podszywanie się pod inne osoby – informacja, czy aplikacja podszywała się pod użytkownika.

Jeśli wyeksportujesz informacje do pliku CSV lub Arkuszy Google, zostaną one zapisane jako pojedynczy blok tekstu w komórce.
Nazwa grupy

Nazwa grupy użytkownika, który wykonał czynność. Więcej informacji znajdziesz w artykule Filtrowanie wyników za pomocą grup dyskusyjnych Google.

Aby dodać grupę do listy dozwolonych grup filtrowania:

  1. Kliknij Nazwa grupy.
  2. Kliknij Grupy filtrowania.
    Pojawi się strona Grupy filtrowania.
  3. Kliknij Dodawanie grup.
  4. Wyszukaj grupę, wpisując kilka pierwszych znaków jej nazwy lub adresu e-mail. Gdy zobaczysz odpowiednią grupę, wybierz ją.
  5. (Opcjonalnie) Aby dodać kolejną grupę, wyszukaj ją i wybierz.
  6. Gdy wybierzesz odpowiednie grupy, kliknij Dodaj.
  7. (Opcjonalnie) Aby usunąć grupę, kliknij Usuń grupę .
  8. Kliknij Zapisz.
Jednostka organizacyjna użytkownika, który wykonał czynność Jednostka organizacyjna użytkownika, który wykonał czynność
Informacje dodatkowe Dodatkowe informacje kontekstowe dotyczące zdarzenia
Data rozpoczęcia* Użyj opcji Data rozpoczęcia i Data zakończenia, aby filtrować zdarzenia z wybranego okresu, takie jak zdarzenia dotyczące szczegółowych danych wykresu. Uwaga: aby wyszukać zdarzenia w określonym zakresie dat, użyj atrybutu Data.
Źródło danych* Źródło danych w narzędziu do analizy zagrożeń lub źródło alertu w Centrum alertów
Data Data i godzina wystąpienia zdarzenia (według domyślnej strefy czasowej ustawionej w przeglądarce).
Identyfikator urządzenia Identyfikator urządzenia, którego dotyczy zdarzenie kontroli. Jeśli np. administrator wyczyści urządzenie należące do firmy, w tym polu będzie widoczny identyfikator tego urządzenia
Typ urządzenia Typ urządzenia, którego dotyczy zdarzenie kontroli. Jeśli np. administrator wyczyści urządzenie należące do firmy, w tym polu będzie widoczny typ tego urządzenia
Nazwa domeny Domena, w której wykonano czynność
Data zakończenia Użyj opcji Data rozpoczęcia i Data zakończenia, aby filtrować zdarzenia z wybranego okresu, takie jak zdarzenia dotyczące szczegółowych danych wykresu. Uwaga: aby wyszukać zdarzenia w określonym zakresie dat, użyj atrybutu Data.
Zdarzenie

Zarejestrowane zdarzenie, np. Zapytanie dotyczące analizy zagrożeń lub Utworzenie reguły związanej z aktywnością.

Zdarzenia w sekcji Wartość zdarzenia są pogrupowane według typu, np. Ustawienia użytkownika lub Ustawienia domeny. Większość wartości zdarzeń nie wymaga wyjaśnienia. W sekcji Ustawienia domeny znajduje się na przykład wartość Dodanie aplikacji, która jest wartością wyszukiwania aplikacji dodanej do Twojej domeny. W polu wyszukiwania możesz wyszukiwać zdarzenia.

Wskazówka: jeśli często używasz wybranych wartości zdarzeń, przypnij je u góry menu.
Wersja Google Workspace* Wersja Google Workspace administratora, który wykonał czynność

Grupowanie poczty e-mail

 Adres e-mail grupy dyskusyjnej Google, której dotyczy ta aktywność
Adres IP Adres IP powiązany z zarejestrowaną czynnością. Adres IP może odzwierciedlać fizyczną lokalizację użytkownika lub wskazywać inne miejsce, na przykład serwer proxy lub adres sieci VPN.

Identyfikator ASN adresu IP

Musisz dodać tę kolumnę do wyników wyszukiwania. Instrukcje znajdziesz w sekcji Zarządzanie danymi w kolumnie wyników wyszukiwania artykułu Zdarzenia z dziennika administratora.

Numer systemu autonomicznego adresu IP (identyfikator ASN), pododdział i region powiązane z wpisem logu.

Aby sprawdzić identyfikator ASN adresu IP oraz kod pododdziału i regionu, w którym wystąpiła aktywność, kliknij nazwę w wynikach wyszukiwania.
Uzasadnienie Uzasadnienie podane przez administratora, jeśli do wykonania czynności wymagany był tekst uzasadnienia
Identyfikator wiadomości Identyfikator wiadomości, której dotyczy zdarzenie kontroli
Nowa wartość Nowa wartość ustawienia w przypadku aktualizacji
Stara wartość Stara wartość ustawienia w przypadku aktualizacji
Identyfikatory zasobów* Identyfikatory co najmniej jednego zasobu, którego dotyczy zdarzenie kontroli
Nazwa zasobu* Nazwa zasobu, którego dotyczy zdarzenie kontroli
Typ zasobu Typ zasobu, którego dotyczy zdarzenie kontroli
Materiały

Lista zasobów powiązanych z czynnością. Kliknij zasób, aby wyświetlić te informacje:

  • Identyfikator zasobu;
  • Tytuł zasobu;
  • Typ zasobu – element na Dysku Google, e-mail, alert, reguła itp.;
  • Powiązanie zasobu – powiązanie zasobu ze zdarzeniem;

  • Etykieta zasobu – lista etykiet klasyfikacji zasobu, w tym Identyfikator etykiety zasobu, Tytuł etykiety zasobu i Pole etykiety zasobu.

    Pole etykiety zasobu zawiera te elementy:

    • Identyfikator pola etykiety
    • Nazwa pola etykiety
    • Typ pola etykiety – typ danych pola etykiety, Może to być:
      • Tekst
      • Liczba
      • Wybór – obejmuje właściwości: „Identyfikator”, „Wyświetlana nazwa” i „Ma plakietkę”
      • Lista wyboru
      • Użytkownik – obejmuje właściwość „E-mail”.
      • Lista użytkowników
      • Data

Jeśli wyeksportujesz informacje do pliku CSV lub Arkuszy Google, zostaną one zapisane jako pojedynczy blok tekstu w komórce.
Wyszukiwane hasło Zapytanie służące do pobierania lub przetwarzania danych. Może to być na przykład zapytanie użyte podczas wyszukiwania w narzędziu do analizy zagrożeń, tworzenia reguł związanych z aktywnością lub tworzenia zrzutów e-maili
Kategoria ustawienia Kategoria zaktualizowanego ustawienia
Nazwa ustawienia Nazwa zaktualizowanego ustawienia
Nazwa jednostki organizacyjnej, której dotyczy to ustawienie Ustawienia w konsoli administracyjnej można ograniczyć do jednostki organizacyjnej. Gdy ustawienie jest zaktualizowane i ograniczone do jednostki organizacyjnej, w tym polu wyświetlana jest nazwa danej jednostki.
Cel Docelowy adres e-mail w przypadku zdarzenia, np. docelowy adres e-mail podczas tworzenia monitora poczty e-mail lub adres e-mail weryfikatora podczas wykonywania działania zbiorczego w narzędziu do analizy zagrożeń
Wszystkie objęte* Łączna liczba jednostek, których dotyczy zdarzenie kontroli. Może to być na przykład liczba użytkowników przesłanych podczas zbiorczego przesyłania użytkowników do grupy, lub liczba czynności wywołanych w ramach reguły związanej z aktywnością. To pole jest kontekstowe i zależy od zdarzenia
Łączna liczba nieudanych prób* Łączna liczba nieudanych operacji. Może to być na przykład liczba użytkowników, których nie udało się przesłać podczas zbiorczego przesyłania użytkowników do grupy, lub liczba czynności, które nie powiodły się w ramach reguły związanej z aktywnością. To pole jest kontekstowe i zależy od zdarzenia
Adres e-mail użytkownika Adres e-mail użytkownika, który wykonał czynność
* Nie możesz utworzyć reguł raportowania z tymi filtrami. Dowiedz się więcej o regułach raportowania i regułach związanych z aktywnością.

Uwaga: jeśli zmienisz nazwę użytkownika, nie zobaczysz wyników zapytań ze starą nazwą użytkownika. Jeśli na przykład zmienisz nazwę konta stara_nazwa@example.com na nowa_nazwa@example.com, nie zobaczysz wyników dotyczących zdarzeń powiązanych z nazwą stara_nazwa@example.com.

Zarządzanie danymi zdarzenia z dziennika

Zarządzanie danymi w kolumnie wyników wyszukiwania

Możesz określić, które kolumny danych mają pojawiać się w wynikach wyszukiwania.

  1. W prawym górnym rogu tabeli wyników wyszukiwania kliknij Zarządzaj kolumnami .
  2. (Opcjonalnie) Aby usunąć bieżące kolumny, kliknij Usuń .
  3. (Opcjonalnie) Aby dodać kolumny, obok opcji Dodaj nową kolumnę kliknij strzałkę w dół  i wybierz kolumnę danych.
    Powtórz w razie potrzeby.
  4. (Opcjonalnie) Aby zmienić kolejność kolumn, przeciągnij nazwy kolumn danych.
  5. Kliknij Zapisz.

Eksportowanie danych wyników wyszukiwania

Wyniki wyszukiwania możesz wyeksportować do Arkuszy lub do pliku CSV.

  1. U góry tabeli wyników wyszukiwania kliknij Eksportuj wszystko.
  2. Wpisz nazwę a potem kliknij Eksportuj.
    Wyeksportowane dane wyświetlają się pod tabelą wyników wyszukiwania w sekcji wyników eksportowania.
  3. Aby wyświetlić dane, kliknij nazwę eksportu.
    Eksport otworzy się w Arkuszach.

Limity eksportu różnią się od siebie:

  • Limit liczby eksportowanych wyników wynosi 100 tys. wierszy.
  • Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus, Enterprise Standard i Enterprise Plus, Education Standard i Education Plus, Enterprise Essentials Plus oraz Cloud Identity Premium. Porównanie wersji

    Jeśli masz narzędzie do analizy zagrożeń, limit liczby eksportowanych wyników wynosi 30 milionów wierszy.

Więcej informacji znajdziesz w artykule Eksportowanie wyników wyszukiwania.

Kiedy i jak długo dane są dostępne?

Podejmowanie działań na podstawie wyników wyszukiwania

Tworzenie reguł związanych z aktywnością i konfigurowanie alertów

  • Alerty na podstawie danych zdarzeń z dziennika możesz konfigurować za pomocą reguł raportowania. Instrukcje znajdziesz w artykule Tworzenie reguł raportowania i zarządzanie nimi.
  • Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus, Enterprise Standard i Enterprise Plus, Education Standard i Education Plus, Enterprise Essentials Plus oraz Cloud Identity Premium. Porównanie wersji

    Aby skutecznie zapobiegać problemom z zabezpieczeniami, wykrywać je i rozwiązywać, możesz zautomatyzować działanie narzędzia do analizy zagrożeń i skonfigurować alerty, tworząc reguły związane z aktywnością. Aby skonfigurować regułę, określ warunki reguły, a następnie wskaż czynności, które mają być wykonywane po spełnieniu tych warunków. Więcej informacji znajdziesz w artykule Tworzenie reguł związanych z aktywnością i zarządzanie nimi.

Podejmowanie działań na podstawie wyników wyszukiwania

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus, Enterprise Standard i Enterprise Plus, Education Standard i Education Plus, Enterprise Essentials Plus oraz Cloud Identity Premium. Porównanie wersji

Po uruchomieniu wyszukiwania w narzędziu do analizy zagrożeń możesz wykonywać działania na wynikach wyszukiwania. Na przykład po przeprowadzeniu wyszukiwania zdarzeń z dziennika Gmaila za pomocą narzędzia można usunąć określone wiadomości, wysłać je do kwarantanny lub do skrzynek odbiorczych użytkowników. Więcej informacji znajdziesz w artykule Podejmowanie działań na podstawie wyników wyszukiwania.

Zarządzanie analizami zagrożeń

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus, Enterprise Standard i Enterprise Plus, Education Standard i Education Plus, Enterprise Essentials Plus oraz Cloud Identity Premium. Porównanie wersji

Wyświetlanie listy szablonów analizy zagrożeń

Aby wyświetlić listę analiz zagrożeń, które należą do Ciebie lub zostały Ci udostępnione, kliknij Wyświetl operacje analizy zagrożeń . Na tej liście znajdują się nazwy, opisy i właściciele analiz zagrożeń oraz daty ostatniej modyfikacji.

Na tej liście możesz też wykonywać czynności na swoich szablonach analizy zagrożeń – na przykład usuwać je. Zaznacz pole obok analizy zagrożeń i kliknij Czynności.

Uwaga: zapisane analizy zagrożeń możesz wyświetlić w sekcji Szybki dostęp, bezpośrednio nad listą analiz zagrożeń.

Konfigurowanie ustawień analizy zagrożeń

Jako superadministrator kliknij Ustawienia , aby:

  • zmienić strefę czasową analizy zagrożeń używaną w warunkach i wynikach wyszukiwania.
  • Włącz lub wyłącz opcję Wymagaj analizy. Więcej informacji znajdziesz w artykule Wymaganie przesyłania informacji o działaniach zbiorczych.
  • Włącz lub wyłącz opcję Wyświetl treść. To ustawienie pozwala administratorom z odpowiednimi uprawnieniami na wyświetlanie treści.
  • Włącz lub wyłącz opcję Włącz uzasadnianie działań.

Więcej informacji znajdziesz w artykule Konfigurowanie ustawień analizy zagrożeń.

Zapisywanie, udostępnianie, usuwanie i powielanie analiz zagrożeń

Aby zapisać kryteria wyszukiwania lub udostępnić je innym osobom, możesz utworzyć i zapisać szablon analizy zagrożeń, a następnie udostępnić go, zduplikować lub usunąć.

Więcej informacji znajdziesz w artykule Zapisywanie, udostępnianie, usuwanie i powielanie analiz zagrożeń.