أحداث سجلّ المشرف

عرض نشاط المشرف في "وحدة تحكّم المشرف"

استنادًا إلى إصدار Google Workspace، قد تتمكن من الوصول إلى "أداة التحقيق الأمني" والتي تتضمّن ميزات متقدّمة أكثر. على سبيل المثال، يمكن للمشرفين المتميّزين تحديد مشاكل الأمان والخصوصية وتصنيفها واتخاذ إجراءات بشأنها. مزيد من المعلومات

ملاحظة مهمة: تعمل Google Workspace على تعديل نموذج المخطط والأحداث لعدة أحداث في السجلّ. تهدف التحسينات إلى جعل السجلات أكثر وضوحًا وتفصيلاً ودقة.

إذا كنت تستخدم أي أحداث قديمة، قد تتطلّب بعض التحديثات إجراء تغييرات على طلبات البحث والتنبيهات والتقارير الحالية. سيظلّ الحدثان الجديد والقديم متاحَين لك لإجراء التغييرات اللازمة. لمعرفة التفاصيل، يُرجى الانتقال إلى تغييرات على أحداث سجلّ المشرف.

بصفتك مشرفًا في مؤسستك، يمكنك إجراء عمليات بحث واتّخاذ إجراءات بشأن مشاكل الأمان ذات الصلة بأحداث سجلّ المشرف. على سبيل المثال، يمكنك الاطّلاع على سجلّ الإجراءات التي تم تنفيذها ضمن "وحدة تحكّم المشرف في Google"، مثلاً إذا أضاف المشرف مستخدمًا أو فعّل خدمة Google Workspace.

إعادة توجيه بيانات أحداث السجلّ إلى Google Cloud

يمكنك الموافقة على مشاركة بيانات أحداث السجلّ مع Google Cloud. في حال تفعيل المشاركة، سيتم توجيه البيانات إلى Cloud Logging، حيث يمكنك طلب السجلات والاطّلاع عليها بالإضافة إلى التحكم في كيفية توجيهها وتخزينها.

يعتمد نوع بيانات أحداث السجل التي يمكنك مشاركتها مع Google Cloud على حسابك على Google Workspace أو Cloud Identity أو Essentials.

تعتمد إمكانية إجراء عملية بحث على إصدار Google والامتيازات الإدارية ومصادر البيانات التي تمتلكها. يمكنك إجراء بحث على جميع المستخدمين، بغض النظر عن إصدار Google Workspace الذي يستخدمونه.

أداة التدقيق والتحقيق

للبحث عن أحداث السجلّ، اختَر أولاً مصدر بيانات. بعد ذلك، يمكنك اختيار فلتر أو أكثر لبحثك.

  1. في "وحدة تحكّم المشرف" في Google، انقر على "القائمة" ثم إعداد التقارير ثمالتدقيق والتحقيق ثمأحداث سجلّ المشرف.

    يتطلب امتلاك امتياز المشرف التدقيق والتحقيق.

  2. لفلترة الأحداث التي حدثت قبل تاريخ معيّن أو بعده، يمكنك اختيار قبل أو بعد في حقل التاريخ. تظهر تلقائيًا أحداث آخر 7 أيام. يمكنك اختيار نطاق زمني مختلف أو النقر على لإزالة فلتر التاريخ.

  3. انقر على إضافة فلتر ثماختَر سمة. على سبيل المثال، للفلترة حسب نوع حدث معيّن، اختَر حدث.
  4. اختَر عامل تشغيل ثماختَر قيمة ثمانقر على تطبيق.
    • (اختياري) كرِّر هذه الخطوة لإنشاء فلاتر متعددة لبحثك.
    • (اختياري) لإضافة عامل تشغيل بحث، اختَر AND أو OR فوق إضافة فلتر.
  5. انقر على بحث. ملاحظة: باستخدام علامة التبويب فلترة، يمكنك تضمين أزواج قيم ومَعلمات بسيطة لفلترة نتائج البحث. يمكنك أيضًا استخدام علامة التبويب أداة إنشاء الشروط، حيث يتم تمثيل الفلاتر كشروط مع عوامل التشغيل AND/OR.

أداة التحقيق الأمني

الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وFrontline Plus وEnterprise Standard وEnterprise Plus وEducation Standard وEducation Plus وEnterprise Essentials Plus والنسخة المدفوعة من Cloud Identity. مقارنة إصدارك

لإجراء عملية بحث في "أداة التحقيق الأمني"، اختَر أولاً مصدر بيانات. بعد ذلك، اختَر شرطًا واحدًا أو أكثر لبحثك. بالنسبة إلى كل شرط، اختَر سمة وعامل تشغيل وقيمة.

  1. في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأمان ثممركز الأمان ثمأداة التحقيق.

    يتطلب ذلك الحصول على امتياز مشرف مركز الأمان.

  2. انقر على مصدر البيانات واختَر أحداث سجلّ المشرف.

  3. لفلترة الأحداث التي حدثت قبل تاريخ معيّن أو بعده، يمكنك اختيار قبل أو بعد في حقل التاريخ. تظهر تلقائيًا أحداث آخر 7 أيام. يمكنك اختيار نطاق زمني مختلف أو النقر على لإزالة فلتر التاريخ.

  4. انقر على إضافة شرط.
    ملاحظة: يمكنك تضمين شرط واحد أو أكثر في بحثك أو تخصيص بحثك باستخدام طلبات البحث المتداخلة. لمعرفة التفاصيل، انتقِل إلى تخصيص البحث باستخدام طلبات البحث المتداخلة.
  5. انقر على السمة ثمحدِّد خيارًا. على سبيل المثال، للفلترة حسب نوع حدث معيّن، اختَر حدث.
    للحصول على قائمة كاملة بالسمات، انتقِل إلى قسم أوصاف السمات.
  6. اختَر عامل تشغيل.
  7. أدخِل قيمة أو اختَر قيمة من القائمة.
  8. (اختياري) لإضافة المزيد من شروط البحث، كرِّر الخطوات.
  9. انقر على بحث.
    يمكنك مراجعة نتائج البحث من أداة التحقيق في جدول أسفل الصفحة.
  10. (اختياري) لحفظ التحقيق، انقر على "حفظ" ثمأدخِل عنوانًا ووصفًا ثمانقر على حفظ.

ملاحظات

  • في علامة التبويب أداة إنشاء الشروط، يتم تمثيل الفلاتر كشروط مع عوامل التشغيل AND/OR. يمكنك أيضًا استخدام علامة التبويب فلترة لتضمين أزواج قيم ومَعلمات بسيطة لفلترة نتائج البحث.
  • إذا منحت مستخدم اسمًا جديدًا، لن تظهر لك نتائج طلبات البحث باسم المستخدم القديم. على سبيل المثال، في حال إعادة تسمية OldName@example.com إلى NewName@example.com، لن تظهر لك نتائج أحداث OldName@example.com.
  • يمكنك البحث عن البيانات في الرسائل التي لم يتم حذفها بعد من "المهملات".

أوصاف السمات

بالنسبة إلى مصدر البيانات هذا، يمكنك استخدام السمات التالية عند البحث عن بيانات أحداث السجلات.

السمة الوصف
الإجراءات* الإجراءات التي اتخذها المشرف باستخدام أداة التحقيق الأمني أو باستخدام قاعدة نشاط. لمعرفة تفاصيل عن الإجراءات التي يمكن للمشرف اتخاذها، انتقِل إلى اتخاذ إجراء بناءً على نتائج البحث.
الممثّل

عنوان البريد الإلكتروني للمستخدم الذي نفّذ الإجراء. بدلاً من عنوان بريد إلكتروني، قد يظهر لك ما يلي:

  • مدير التراخيص: في حال أدى إجراء المشرف إلى حدوث تغيير في ترخيص مستخدم
  • حساب الخدمة: في حال نفَّذ الإجراء مشرف حساب الخدمة
  • مجهول: في حال نفَّذ الإجراء مشرف حساب الخدمة

اسم التطبيق الذي نفّذ الإجراء

يجب إضافة هذا العمود إلى نتائج البحث. لمعرفة الخطوات، يُرجى الانتقال إلى إدارة بيانات أعمدة نتائج البحث.

تفاصيل حول التطبيق المستخدَم لتنفيذ الإجراء: لمراجعة المعلومات التالية، يمكنك النقر على الاسم في نتائج البحث:

  • اسم التطبيق الذي نفّذ الإجراء: اسم التطبيق المستخدَم لتنفيذ الإجراء (يتم ملء هذا الحقل للتطبيقات الخارجية وبعض التطبيقات غير الخارجية، مثل Gmail)
  • معرّف عميل OAuth الذي نفّذ الإجراء: معرّف التطبيق الخارجي المستخدَم لتنفيذ الإجراء
  • انتحال الهوية: ما إذا كان التطبيق ينتحل هوية مستخدم

في حال تصدير المعلومات إلى ملف قيم مفصولة بفواصل (CSV) أو "جداول بيانات Google"، يتم حفظ المعلومات ككتلة نصية واحدة داخل الخلية.
اسم مجموعة المُنفِّذ

اسم مجموعة المُنفِّذ لمزيد من المعلومات، يُرجى الانتقال إلى مقالة فلترة النتائج حسب "مجموعة Google".

لإضافة مجموعة إلى القائمة المسموح بها لمجموعات الفلترة:

  1. اختَر اسم مجموعة المُنفِّذ.
  2. انقر على مجموعات الفلترة.
    ستظهر صفحة "مجموعات الفلترة".
  3. انقر على إضافة مجموعات.
  4. ابحث عن مجموعة من خلال إدخال الأحرف الأولى من اسم المجموعة أو عنوان بريدها الإلكتروني. وعند ظهور المجموعة التي تريدها، اختَرها.
  5. (اختياري) لإضافة مجموعة أخرى، ابحث عن المجموعة واخترها.
  6. عند الانتهاء من اختيار المجموعات، انقر على إضافة.
  7. (اختياري) لإزالة مجموعة، انقر على "إزالة المجموعة" .
  8. انقر على حفظ.
الوحدة التنظيمية للمنفِّذ الوحدة التنظيمية التابعة للمُنفِّذ
معلومات إضافية معلومات إضافية تتعلّق بسياق الحدث
تاريخ البدء* استخدِم تاريخ البدء وتاريخ الانتهاء لفلترة الأحداث التي تتضمّن نطاقًا زمنيًا محدّدًا للبدء والانتهاء، مثل أحداث التنقل في الرسم البياني. ملاحظة: للبحث عن الأحداث ضمن نطاق زمني معين، استخدِم السمة التاريخ.
مصدر البيانات* مصدر البيانات في أداة التحقيق أو مصدر التنبيه في مركز التنبيه
التاريخ تاريخ الحدث ووقته (يُعرضَان بتوقيت المنطقة الزمنية التلقائية للمُتصفِّح)
رقم تعريف الجهاز* رقم تعريف الجهاز المتأثِّر بهذا الحدث في سجلّ التدقيق مثلاً، في حال حجب المشرف بيانات جهاز مملوك للشركة، سيسجّل هذا الحقل رقم تعريف الجهاز.
نوع الجهاز نوع الجهاز المتأثِّر بالحدث في سجلّ التدقيق هذا مثلاً، في حال حجب المشرف بيانات جهاز مملوك للشركة، سيسجّل هذا الحقل نوع الجهاز.
اسم النطاق النطاق الذي حدث فيه الإجراء
تاريخ الانتهاء* استخدِم تاريخ البدء وتاريخ الانتهاء لفلترة الأحداث التي تتضمّن نطاقًا زمنيًا محدّدًا للبدء والانتهاء، مثل أحداث التنقل في الرسم البياني. ملاحظة: للبحث عن الأحداث ضمن نطاق زمني معين، استخدِم السمة التاريخ.
الحدث

إجراء الحدث الذي تم تسجيله، مثل طلب التحقيق أو إنشاء قاعدة نشاط

ضمن قيمة الحدث، يتم تجميع الأحداث حسب النوع، مثل إعدادات المستخدم أو إعدادات النطاق. لا تحتاج معظم قيم الأحداث إلى تفسير. مثلاً، إضافة تطبيق، ضمن إعدادات النطاق، هي قيمة بحث لأحد التطبيقات التي تمت إضافتها إلى نطاقك. يمكنك البحث عن الأحداث في مربّع البحث.

ملاحظة: إذا كانت لديك قيم أحداث تستخدمها كثيرًا، يمكنك تثبيت هذه الأحداث في أعلى القائمة المنسدلة.
إصدار Google Workspace* إصدار Google Workspace للمشرف (المُنفِّذ) الذي نفّذ الإجراء

البريد الإلكتروني للمجموعة

 البريد الإلكتروني لمجموعة Google المتأثرة بهذا النشاط
عنوان IP عنوان بروتوكول الإنترنت (IP) المرتبط بالإجراء المُسجَّل. ويُظهِر عادةً الموقع الجغرافي الفعلي للمستخدم، ولكنه قد يكون عنوان شبكة افتراضية خاصة أو خادم وكيل.

رقم النظام المستقل (ASN) لعنوان IP

يجب إضافة هذا العمود إلى نتائج البحث. لمعرفة الخطوات، يُرجى الانتقال إلى إدارة بيانات أعمدة نتائج البحث.

رقم النظام المستقل (ASN) لعنوان IP والتقسيم الفرعي والمنطقة المرتبطة بإدخال السجلّ

لمراجعة رقم نظام ASN وعنوان IP والتقسيم الفرعي ورمز المنطقة التي حدث فيها النشاط، يمكنك النقر على الاسم في نتائج البحث.
سبب الطلب* إذا كان نص السبب مطلوبًا لاتخاذ الإجراء، على المشرف تقديم التفسير
معرّف الرسالة* معرّف الرسالة الإلكترونية المتأثرة بحدث التدقيق هذا
القيمة الجديدة* القيمة الجديدة للإعداد في حال تعديله
القيمة القديمة* القيمة القديمة للإعداد في حال تعديله
معرّفات الموارد* أرقام تعريف مورد واحد أو أكثر من الموارد المتأثرة بحدث التدقيق
اسم المورد* اسم المورد المتأثر بالحدث في سجلّ التدقيق
نوع المرجع* نوع المورد المتأثر بحدث التدقيق
المراجع

قائمة بالموارد المرتبطة بالإجراء انقر على أحد المراجع للاطّلاع على التفاصيل التالية:

  • معرّف المورد: معرّف المورد
  • عنوان المرجع: عنوان المرجع
  • نوع المورد: ملف في Google Drive أو رسالة إلكترونية أو تنبيه أو قاعدة وما إلى ذلك
  • علاقة المورد: علاقة المورد بالحدث

  • تصنيف المرجع: قائمة بتسمية تصنيفات المرجع، بما في ذلك رقم تعريف تصنيف المرجع وعنوان تصنيف المرجع وحقل تصنيف المرجع

    يحتوي حقل تصنيف المرجع على ما يلي:

    • معرّف حقل التصنيف
    • اسم حقل التصنيف
    • نوع حقل التصنيف: نوع بيانات حقل التصنيف، مثل:
      • Text
      • Number
      • الاختيار: يتضمّن المعرّف والاسم المعروض وما إذا كان يحمل شارة أم لا.
      • قائمة الخيارات
      • المستخدم: يتضمّن البريد الإلكتروني
      • قائمة المستخدمين
      • التاريخ

في حال تصدير المعلومات إلى ملف قيم مفصولة بفواصل (CSV) أو "جداول بيانات Google"، يتم حفظ المعلومات ككتلة نصية واحدة داخل الخلية.
طلب البحث طلب البحث المستخدَم لاسترجاع البيانات أو معالجتها مثلاً، طلب البحث المستخدَم في بحث أداة التحقيق، أو عند إنشاء قواعد النشاط، أو عند إنشاء ملف تفريغ رسالة إلكترونية.
فئة الإعدادات فئة الإعداد الذي تم تعديله
اسم الإعداد اسم الإعداد الذي تم تعديله
ضبط اسم الوحدة التنظيمية يمكن قصر نطاق الإعدادات في "وحدة تحكّم المشرف" على وحدة تنظيمية. عند تعديل إعداد ما وقصر نطاقه على وحدة تنظيمية، يظهر اسم الوحدة التنظيمية في هذا الحقل.
الهدف* عنوان البريد الإلكتروني المستهدف للحدث. مثلاً، عنوان البريد الإلكتروني الوجهة المستخدَم عند إنشاء أداة مراقبة البريد الإلكتروني أو عنوان البريد الإلكتروني للمحقق عند تنفيذ إجراء مُجمَّع في أداة التحقيق.
إجمالي الكيانات المتأثرة* إجمالي عدد الكيانات التي تأثّرت بالحدث في سجلّ التدقيق مثل، عدد المستخدمين الذين تم تحميلهم عند إجراء التحميل المجمَّع للمستخدمين إلى مجموعة، أو عدد الإجراءات التي تم تشغيلها كجزء من مشغِّل قاعدة النشاط. يعتمد هذا الحقل السياقي على الحدث.
إجمالي العمليات المتعذّرة* إجمالي عدد العمليات المتعذِّرة مثلاً، عدد المستخدمين الذين تعذّر تحميلهم عند التحميل المجمّع للمستخدمين إلى مجموعة، أو عدد الإجراءات التي تعذّر تنفيذها كجزء من مشغّل قاعدة النشاط. يعتمد هذا الحقل السياقي على الحدث.
البريد الإلكتروني للمستخدم البريد الإلكتروني للمستخدم الذي نفّذ الإجراء
* لا يمكنك إنشاء قواعد لإعداد التقارير باستخدام هذه الفلاتر. مزيد من المعلومات عن قواعد إعداد التقارير مقابل قواعد النشاط

ملاحظة: في حال منحت مستخدم اسمًا جديدًا، لن تظهر لك نتائج طلبات بحث باسم المستخدم القديم. على سبيل المثال، في حال إعادة تسمية OldName@example.com إلى NewName@example.com، لن تظهر لك نتائج أحداث OldName@example.com.

إدارة بيانات أحداث السجلّات

إدارة بيانات أعمدة نتائج البحث

يمكنك التحكّم في أعمدة البيانات التي تظهر في نتائج البحث.

  1. في أعلى يسار جدول نتائج البحث، انقر على "إدارة الأعمدة" .
  2. (اختياري) لإزالة الأعمدة الحالية، انقر على "إزالة" .
  3. (اختياري) لإضافة أعمدة، بجانب إضافة عمود جديد، انقر على السهم المتجه للأسفل واختَر عمود البيانات.
    يمكنك تكرار هذه الخطوات حسب الحاجة.
  4. (اختياري) لتغيير ترتيب الأعمدة، اسحب أسماء أعمدة البيانات.
  5. انقر على حفظ.

تصدير بيانات نتائج البحث

يمكنك تصدير نتائج البحث إلى "جداول بيانات Google" أو إلى ملف CSV.

  1. في أعلى جدول نتائج البحث، انقر على تصدير الكل.
  2. أدخِل اسمًا ثم انقر على تصدير.
    يتم عرض عملية التصدير أسفل جدول نتائج البحث ضمن تصدير نتائج الإجراء.
  3. لعرض البيانات، انقر على اسم عملية التصدير.
    تفتح عملية التصدير في "جداول بيانات Google".

تختلف حدود التصدير:

  • يقتصر إجمالي نتائج عملية التصدير على 100,000 صف.
  • الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وFrontline Plus وEnterprise Standard وEnterprise Plus وEducation Standard وEducation Plus وEnterprise Essentials Plus والنسخة المدفوعة من Cloud Identity. مقارنة إصدارك

    إذا كانت لديك "أداة التحقيق الأمني"، يقتصر إجمالي نتائج عملية التصدير على 30 مليون صف.

لمزيد من المعلومات، يُرجى الانتقال إلى مقالة تصدير نتائج البحث.

متى تُتاح البيانات وما هي مدة إتاحتها؟

يمكنك الانتقال إلى مقالة مُدد الاحتفاظ بالبيانات ومُدد التأخُّر.

اتخاذ إجراء بناءً على نتائج البحث

إنشاء قواعد النشاط وإعداد التنبيهات

  • يمكنك إعداد التنبيهات بناءً على بيانات أحداث السجلّات باستخدام قواعد إعداد التقارير. للحصول على التعليمات، انتقِل إلى إنشاء قواعد إعداد التقارير وإدارتها.
  • الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وFrontline Plus وEnterprise Standard وEnterprise Plus وEducation Standard وEducation Plus وEnterprise Essentials Plus والنسخة المدفوعة من Cloud Identity. مقارنة إصدارك

    للمساعدة على منع مشاكل الأمان ورصدها وحلها بكفاءة، يمكنك تنفيذ الإجراءات تلقائيًا في أداة التحقيق الأمني وإعداد التنبيهات من خلال إنشاء قواعد النشاط. لإعداد قاعدة، عليك إعداد شروط للقاعدة، ثم اختيار الإجراءات التي سيتم تنفيذها عند استيفاء الشروط. لمزيد من التفاصيل، يُرجى الانتقال إلى إنشاء قواعد النشاط وإدارتها.

اتخاذ إجراء بناءً على نتائج البحث

الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وFrontline Plus وEnterprise Standard وEnterprise Plus وEducation Standard وEducation Plus وEnterprise Essentials Plus والنسخة المدفوعة من Cloud Identity. مقارنة إصدارك

بعد إجراء عملية بحث في "أداة التحقيق الأمني"، يمكنك اتّخاذ إجراء بناءً على نتائج البحث. مثلاً، يمكنك إجراء عملية بحث بناءً على أحداث سجلّ Gmail، ثم استخدام الأداة بعد ذلك لحذف رسائل محدَّدة أو إرسال الرسائل إلى وحدة العزل أو إلى صناديق البريد الوارد للمستخدمين. لمزيد من التفاصيل، يُرجى الانتقال إلى مقالة اتخاذ إجراء بناءً على نتائج البحث.

إدارة التحقيقات

الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وFrontline Plus وEnterprise Standard وEnterprise Plus وEducation Standard وEducation Plus وEnterprise Essentials Plus والنسخة المدفوعة من Cloud Identity. مقارنة إصدارك

عرض قائمة التحقيقات

لعرض قائمة بالتحقيقات التي تمتلكها والتي تمت مشاركتها معك، انقر على "عرض التحقيقات" . تتضمن هذه القائمة أسماء التحقيقات وأوصافها ومالكيها وتاريخ آخر تعديل.

من هذه القائمة، يمكنك اتخاذ إجراء بشأن أي تحقيقات تمتلكها، مثل حذف تحقيق. ضَع علامة في المربع بجانب تحقيق، ثم انقر على الإجراءات.

ملاحظة: يمكنك عرض التحقيقات المحفوظة ضمن الوصول السريع، أعلى قائمة التحقيقات مباشرةً.

ضبط إعدادات تحقيقاتك

بصفتك مشرفًا متميزًا، انقر على رمز الإعدادات لتنفيذ ما يلي:

  • تغيير المنطقة الزمنية للتحقيقات تنطبق المنطقة الزمنية على شروط البحث ونتائجه.
  • فعِّل إعداد المطالبة بمراجعين أو أوقِفه. لمزيد من التفاصيل، انتقِل إلى المطالبة بمراجعين لتنفيذ الإجراءات المُجمَّعة.
  • فعِّل إعداد عرض المحتوى أو أوقِفه. يسمح هذا الإعداد للمشرفين الذين يمتلكون الامتيازات المناسبة بعرض المحتوى.
  • فعِّل خيار تفعيل تبرير الإجراء أو أوقِفه.

لمزيد من التفاصيل، يُرجى الانتقال إلى ضبط إعدادات التحقيقات.

حفظ التحقيقات ومشاركتها وحذفها وتكرارها

لحفظ معايير البحث أو مشاركتها مع الآخرين، يمكنك إنشاء تحقيق وحفظه، ثم مشاركته أو تكراره أو حذفه.

لمعرفة التفاصيل، يُرجى الانتقال إلى حفظ التحقيقات ومشاركتها وحذفها وتكرارها.