Événements du journal d'administration

Afficher l'activité des administrateurs dans la console d'administration

Selon votre édition Google Workspace, vous pouvez avoir accès à l'outil d'investigation sur la sécurité, qui dispose de fonctionnalités plus avancées. Par exemple, les super-administrateurs peuvent identifier, prioriser et corriger les problèmes de sécurité et de confidentialité. En savoir plus

Important : Google Workspace met à jour le schéma et la modélisation des événements pour plusieurs événements de journaux. Ces améliorations visent à rendre les journaux plus compréhensibles, détaillés et précis.

Si vous utilisez des événements anciens, certaines mises à jour peuvent nécessiter des modifications de vos requêtes, alertes et rapports existants. Les anciens et nouveaux événements resteront disponibles pour que vous puissiez apporter les modifications nécessaires. Pour en savoir plus, consultez Modifications des événements du journal d'administration.

En tant qu'administrateur de votre organisation, vous pouvez effectuer des recherches et intervenir pour régler les problèmes de sécurité liés aux événements du journal d'administration. Vous pouvez par exemple consulter un récapitulatif des actions effectuées dans la console d'administration Google, telles que l'ajout d'un utilisateur ou l'activation d'un service Google Workspace par un administrateur.

Transférer les données des événements de journaux vers Google Cloud

Vous pouvez accepter de partager les données des événements de journaux avec Google Cloud. Si vous activez le partage, les données sont transférées vers Cloud Logging, où vous pouvez interroger et consulter vos journaux, et contrôler comment ils sont acheminés et stockés.

Le type de données d'événements de journaux que vous pouvez partager avec Google Cloud dépend de votre compte Google Workspace, Cloud Identity ou Essentials.

Votre capacité à effectuer une recherche dépend de votre édition Google, de vos droits d'administrateur et de la source des données. Vous pouvez effectuer une recherche sur tous les utilisateurs, quelle que soit leur édition Google Workspace.

Outil d'audit et d'investigation

Pour exécuter une recherche portant sur les événements de journaux, choisissez d'abord une source de données. Sélectionnez ensuite un ou plusieurs filtres pour votre recherche.

  1. Dans la console d'administration Google, accédez à Menu  puis Reporting puis Audit et investigation puis Événements du journal d'administration.

    Vous devez disposer du droit d'administrateur Audit et enquête.

  2. Pour filtrer les événements qui se sont produits avant ou après une date spécifique, sélectionnez Avant ou Après pour l'option Date. Par défaut, les événements des sept derniers jours sont affichés. Vous pouvez sélectionner une autre période ou cliquer sur  pour supprimer le filtre de date.

  3. Cliquez sur Ajouter un filtre puis sélectionnez un attribut. Par exemple, pour filtrer les données par type d'événement spécifique, sélectionnez Événement.
  4. Sélectionnez un opérateur puis sélectionnez une valeur puis cliquez sur Appliquer.
    • (Facultatif) Pour créer plusieurs filtres pour votre recherche, répétez cette étape.
    • (Facultatif) Pour ajouter un opérateur de recherche, sélectionnez AND ou OR au-dessus de l'option Ajouter un filtre.
  5. Cliquez sur Rechercher. Remarque : L'onglet Filtre vous permet d'inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de recherche. Vous pouvez également utiliser l'onglet Générateur de conditions, dans lequel les filtres sont représentés par des conditions avec des opérateurs AND/OR.

Outil d'investigation de sécurité

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

Pour lancer une recherche dans l'outil d'investigation sur la sécurité, sélectionnez d'abord une source de données. Choisissez ensuite une ou plusieurs conditions pour votre recherche. Pour chaque condition, sélectionnez un attribut, un opérateur et une valeur.

  1. Dans la console d'administration Google, accédez à Menu  puis Sécurité puis Centre de sécurité puis Outil d'investigation.

    Le droit d'administrateur Centre de sécurité est requis.

  2. Cliquez sur Source de données et sélectionnez Événements du journal d'administration.

  3. Pour filtrer les événements qui se sont produits avant ou après une date spécifique, sélectionnez Avant ou Après pour l'option Date. Par défaut, les événements des sept derniers jours sont affichés. Vous pouvez sélectionner une autre période ou cliquer sur  pour supprimer le filtre de date.

  4. Cliquez sur Ajouter une condition.
    Conseil : Vous pouvez inclure une ou plusieurs conditions dans votre recherche ou la personnaliser avec des requêtes imbriquées. Pour en savoir plus, consultez Personnaliser votre recherche avec des requêtes imbriquées.
  5. Cliquez sur Attribut puis sélectionnez une option. Par exemple, pour filtrer les données par type d'événement spécifique, sélectionnez Événement.
    Pour obtenir la liste complète des attributs, consultez la section Descriptions des attributs.
  6. Sélectionnez un opérateur.
  7. Saisissez une valeur ou sélectionnez-en une dans la liste.
  8. (Facultatif) Pour ajouter des conditions de recherche, répétez la procédure.
  9. Cliquez sur Rechercher.
    Vous pouvez consulter les résultats de recherche de l'outil d'investigation dans un tableau en bas de la page.
  10. (Facultatif) Pour enregistrer votre investigation, cliquez sur Enregistrer  puis saisissez un titre et une description puis cliquez sur Enregistrer.

Notes

  • Dans l'onglet Générateur de conditions, les filtres sont représentés par des conditions avec des opérateurs AND/OR. L'onglet Filtre vous permet d'inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de recherche.
  • Si vous avez donné un nouveau nom à un utilisateur, vous n'obtiendrez aucun résultat si vous lancez des requêtes avec son ancien nom. Par exemple, si vous remplacez AncienNom@example.com par NouveauNom@example.com, vous n'obtiendrez aucun résultat pour des événements liés à AncienNom@example.com.
  • Vous ne pouvez rechercher des données que dans les messages qui n'ont pas encore été supprimés de la corbeille.

Descriptions des attributs

Pour cette source de données, vous pouvez utiliser les attributs suivants lorsque vous recherchez des données d'événements de journaux.

Attribut Description
Action(s)* Action(s) effectuée(s) par l'administrateur à l'aide de l'outil d'investigation de sécurité ou d'une règle d'activité. Pour en savoir plus sur les actions qu'un administrateur peut réaliser, consultez Effectuer des actions en fonction des résultats de recherche.
Acteur

Adresse e-mail de l'utilisateur ayant réalisé l'activité. À la place d'une adresse e-mail, vous pouvez voir :

  • Gestionnaire de licences : si l'action d'un administrateur entraîne la modification de la licence d'un utilisateur
  • Compte de service : si l'action a été effectuée par un administrateur de compte de service
  • Anonyme : si l'action a été effectuée par un administrateur de compte de service

Nom de l'application de l'acteur

Vous devez ajouter cette colonne aux résultats de recherche. Pour savoir comment procéder, consultez Gérer les données des colonnes de résultats de recherche.

Informations sur l'application utilisée pour effectuer l'action. Pour examiner les informations suivantes, cliquez sur le nom dans les résultats de recherche :

  • Nom de l'application de l'acteur : nom de l'application utilisée pour effectuer l'action (renseigné pour les applications tierces et pour certaines applications propriétaires, comme Gmail).
  • ID client OAuth de l'acteur : identifiant de l'application tierce utilisée pour effectuer l'action.
  • Usurpation d'identité : indique si l'application a emprunté l'identité d'un utilisateur.

Si vous exportez les informations dans un fichier CSV (valeurs séparées par une virgule) ou dans Google Sheets, elles sont enregistrées sous la forme d'un seul bloc de texte dans une cellule.
Nom de groupe de l'acteur

Nom du groupe auquel appartient l'utilisateur. Pour en savoir plus, consultez Filtrer les résultats par groupe Google.

Pour ajouter un groupe à la liste d'autorisation des groupes de filtrage :

  1. Sélectionnez Nom de groupe de l'acteur.
  2. Cliquez sur Groupes de filtrage.
    La page "Groupes de filtrage" s'affiche.
  3. Cliquez sur Ajouter des groupes.
  4. Recherchez un groupe en saisissant les premiers caractères de son nom ou de son adresse e-mail. Lorsque vous avez trouvé le groupe, sélectionnez-le.
  5. (Facultatif) Pour ajouter un autre groupe, recherchez-le et sélectionnez le groupe.
  6. Une fois les groupes sélectionnés, cliquez sur Ajouter.
  7. (Facultatif) Pour supprimer un groupe, cliquez sur Supprimer le groupe .
  8. Cliquez sur Enregistrer.
Unité organisationnelle de l'acteur Unité organisationnelle de l'utilisateur
Informations supplémentaires Autres informations contextuelles sur l'événement
Date de début* Utilisez les options Date de début et Date de fin pour filtrer les événements qui incluent une plage de dates de début et de fin spécifique, comme les événements "Vue détaillée du graphique". Remarque : Pour rechercher des événements se déroulant dans une plage de dates, utilisez l'attribut Date.
Source de données* La source de données dans l'outil d'investigation ou la source de l'alerte dans le centre d'alerte
Date La date et l'heure auxquelles l'événement s'est produit (selon le fuseau horaire par défaut de votre navigateur)
ID de l'appareil* L'ID de l'appareil concerné par cet événement d'audit. Par exemple, si un administrateur efface les données d'un appareil détenu par l'entreprise, ce champ indique l'ID de l'appareil.
Type d'appareil Type d'appareil concerné par cet événement d'audit. Par exemple, si un administrateur efface les données d'un appareil détenu par l'entreprise, ce champ indique le type d'appareil.
Nom de domaine Le domaine où l'action s'est produite
Date de fin* Utilisez les options Date de début et Date de fin pour filtrer les événements qui incluent une plage de dates de début et de fin spécifique, comme les événements "Vue détaillée du graphique". Remarque : Pour rechercher des événements se déroulant dans une plage de dates, utilisez l'attribut Date.
Événement

Action d'événement consignée, telle que Requête d'enquête ou Création de règle d'activité.

Sous Valeur de l'événement, les événements sont regroupés par type (par exemple, Paramètres utilisateur ou Paramètres du domaine). La plupart des valeurs liées aux événements sont explicites. Par exemple, sous Paramètres du domaine, Ajouter une application est la valeur de recherche d'une application qui a été ajoutée à votre domaine. Vous pouvez rechercher des événements dans le champ de recherche.

Conseil : Si vous utilisez souvent certaines valeurs d'événement, épinglez-les en haut du menu déroulant.
Édition Google Workspace* Édition Google Workspace de l'administrateur (acteur) qui a effectué l'action.

Adresse e-mail de groupe

 Adresse e-mail du groupe Google concerné par cette activité
Adresse IP Adresse du protocole Internet (IP) associée à l'action consignée. Celle-ci désigne généralement la position géographique de l'utilisateur, mais elle peut également correspondre à l'adresse d'un serveur proxy ou d'un réseau privé virtuel (VPN).

Numéro de système autonome de l'adresse IP

Vous devez ajouter cette colonne aux résultats de recherche. Pour savoir comment procéder, consultez Gérer les données des colonnes de résultats de recherche.

Numéro de système autonome (ASN) de l'adresse IP, subdivision et région associés à l'entrée de journal.

Pour examiner le numéro de système autonome de l'adresse IP, le code correspondant à la subdivision et le code régional où l'activité a eu lieu, cliquez sur le nom dans les résultats de recherche.
Justification* Si une justification était requise pour l'action, explication fournie par l'administrateur
ID du message* ID de l'e-mail concerné par cet événement d'audit
Nouvelle valeur* Nouvelle valeur du paramètre s'il est mis à jour
Ancienne valeur Ancienne valeur du paramètre s'il est mis à jour
ID de ressource(s)* ID d'une ou de plusieurs ressources concernées par l'événement d'audit
Nom de la ressource* Nom de la ressource concernée par l'événement d'audit
Type de ressource* Type de la ressource concernée par l'événement d'audit
Ressources

Liste des ressources associées à l'action. Cliquez sur une ressource pour afficher les informations suivantes :

  • ID de ressource : identifiant de la ressource
  • Titre de la ressource : titre de la ressource
  • Type de ressource : élément Google Drive, e-mail, alerte, règle, etc.
  • Relation de la ressource : relation entre la ressource et l'événement

  • Libellé de la ressource : liste des libellés de classification pour une ressource, y compris ID du libellé de ressource, Titre du libellé de ressource et Champ de libellé de ressource.

    Le champ de libellé de ressource contient les éléments suivants :

    • ID du champ de libellé
    • Nom du champ de libellé
    • Type de champ de libellé : type de données du champ de libellé, par exemple :
      • Texte
      • Nombre
      • Sélection : inclut l'ID, le nom à afficher et l'état "Avec badge".
      • Liste de sélections
      • Utilisateur : inclut l'adresse e-mail.
      • Liste des utilisateurs
      • Date

Si vous exportez les informations dans un fichier CSV (valeurs séparées par une virgule) ou dans Google Sheets, elles sont enregistrées sous la forme d'un seul bloc de texte dans une cellule.
Requête de recherche Requête utilisée pour récupérer ou traiter des données. Par exemple, la requête utilisée dans la recherche de l'outil d'investigation lors de la création de règles d'activité ou de celle d'un fichier de vidage d'e-mail.
Catégorie de paramètres Catégorie du paramètre mis à jour.
Nom du paramètre Nom du paramètre mis à jour.
Définir le nom de l'unité organisationnelle Les paramètres de la console d'administration peuvent être limités à une unité organisationnelle. Lorsqu'un paramètre est mis à jour et qu'il est limité à une unité organisationnelle, le nom de l'unité organisationnelle s'affiche dans ce champ.
Cible* Adresse e-mail cible de l'événement. Il peut s'agir, par exemple, de l'adresse e-mail de destination lors de la création d'une surveillance des e-mails ou de l'adresse e-mail de la personne chargée de la vérification lorsque vous effectuez une action groupée dans l'outil d'investigation.
Nombre total d'entités concernées* Nombre total d'entités concernées par l'événement d'audit. Il peut s'agir, par exemple, du nombre d'utilisateurs importés lors d'une importation groupée dans un groupe, ou du nombre d'actions déclenchées par un déclencheur de règle d'activité. Ce champ contextuel dépend de l'événement.
Échecs totaux* Nombre total d'opérations ayant échoué. Il peut s'agir, par exemple, du nombre d'utilisateurs pour lesquels l'importation a échoué lors de l'importation groupée d'utilisateurs dans un groupe, ou du nombre d'actions ayant échoué dans le cadre d'un déclencheur de règle d'activité. Ce champ contextuel dépend de l'événement.
Adresse e-mail de l'utilisateur Adresse e-mail de l'utilisateur ayant réalisé l'action
* Vous ne pouvez pas créer de règles de reporting avec ces filtres. En savoir plus sur les différences entre les règles de reporting et les règles d'activité

Remarque : Si vous avez donné un nouveau nom à un utilisateur, vous n'obtiendrez aucun résultat si vous lancez des requêtes avec son ancien nom. Par exemple, si vous changez AncienNom@exemple.com en NouveauNom@exemple.com, vous n'obtiendrez aucun résultat pour des événements liés à AncienNom@exemple.com.

Gérer les données d'événement des journaux

Gérer les données des colonnes de résultats de recherche

Vous pouvez contrôler l'affichage des colonnes de données dans les résultats de recherche.

  1. En haut à droite du tableau des résultats de recherche, cliquez sur Gérer les colonnes .
  2. (Facultatif) Pour supprimer les colonnes actuelles, cliquez sur Supprimer .
  3. (Facultatif) Pour ajouter des colonnes, à côté de Ajouter une colonne, cliquez sur la flèche vers le bas , puis sélectionnez la colonne de données.
    Répétez l'opération autant de fois que nécessaire.
  4. (Facultatif) Pour modifier l'ordre des colonnes, faites glisser leur nom.
  5. Cliquez sur Enregistrer.

Exporter les données des résultats de recherche

Vous pouvez exporter les résultats de recherche dans Sheets ou un fichier CSV.

  1. En haut du tableau des résultats de recherche, cliquez sur Tout exporter.
  2. Saisissez un nom puis cliquez sur Exporter.
    L'exportation s'affiche en dessous du tableau des résultats de recherche sous Exporter les résultats de l'action.
  3. Pour afficher les données, cliquez sur le nom de votre exportation.
    L'exportation s'ouvre dans Sheets.

Les limites d'exportation varient :

  • Le total des résultats de l'exportation est limité à 100 000 lignes.
  • Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

    Si vous disposez de l'outil d'investigation sur la sécurité, le total des résultats de l'exportation est limité à 30 millions de lignes.

Pour en savoir plus, consultez Exporter les résultats d'une recherche.

Quand et pendant combien de temps les données sont-elles disponibles ?

Effectuer des actions en fonction des résultats de recherche

Créer des règles d'activité et configurer des alertes

  • Vous pouvez configurer des alertes en fonction des données des événements de journaux à l'aide de règles de reporting. Pour savoir comment procéder, consultez Créer et gérer des règles de reporting.
  • Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

    Afin de prévenir, de détecter et de résoudre les problèmes de sécurité de façon efficace, vous pouvez automatiser les actions de l'outil d'investigation sur la sécurité et configurer des alertes en créant des règles d'activité. Pour configurer une règle, vous devez définir ses conditions et spécifier les actions à effectuer lorsque les conditions sont remplies. Pour en savoir plus, consultez Créer et gérer des règles d'activité.

Effectuer des actions en fonction des résultats de recherche

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

Après avoir effectué une recherche dans l'outil d'investigation sur la sécurité, vous pouvez intervenir en fonction des résultats. Vous pouvez, par exemple, effectuer une recherche basée sur les événements de journaux Gmail, puis, à l'aide de l'outil, supprimer des messages spécifiques, les placer en zone de quarantaine ou les envoyer vers la boîte de réception de certains utilisateurs. Pour en savoir plus, consultez Effectuer des actions en fonction des résultats de recherche.

Gérer vos investigations

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

Afficher la liste des investigations

Pour afficher la liste des investigations dont vous êtes le propriétaire et qui ont été partagées avec vous, cliquez sur Afficher les investigations . La liste des investigations inclut leur nom, leur description et leur propriétaire, ainsi que la date de la dernière modification.

Cette liste vous permet d'intervenir sur les investigations dont vous êtes le propriétaire, par exemple pour en supprimer une. Cochez la case correspondant à une investigation, puis cliquez sur Actions.

Remarque : Vous pouvez afficher vos investigations enregistrées sous Accès rapide, juste au-dessus de votre liste d'investigations.

Configurer les paramètres de vos investigations

En tant que super-administrateur, cliquez sur Paramètres  pour effectuer les actions suivantes :

  • Modifier le fuseau horaire de votre événement. Le fuseau horaire s'applique aux conditions de recherche et aux résultats.
  • Activer ou désactiver l'option Exiger une validation. Pour en savoir plus, consultez Exiger une validation pour les actions groupées.
  • Activer ou désactiver l'option Afficher le contenu. Ce paramètre permet aux administrateurs disposant des droits d'accès appropriés d'afficher le contenu.
  • Activer ou désactiver l'option Activer la justification des actions.

Pour en savoir plus, consultez Configurer les paramètres de vos investigations.

Enregistrer, partager, supprimer et dupliquer des investigations

Pour enregistrer vos critères de recherche ou les partager avec d'autres utilisateurs, vous pouvez créer et enregistrer une investigation, puis la partager, la dupliquer ou la supprimer.

Pour en savoir plus, consultez Enregistrer, partager, supprimer et dupliquer des investigations.