Eventos de registro del administrador

Cómo ver la actividad del administrador en la Consola del administrador

Según tu edición de Google Workspace, es posible que tengas acceso a la herramienta de investigación de seguridad, que tiene funciones más avanzadas. Por ejemplo, los administradores avanzados pueden identificar y clasificar problemas de seguridad y privacidad, y tomar medidas para resolverlos. Más información

Importante: Google Workspace está actualizando el esquema y el modelado de eventos para varios eventos de registro. El objetivo de las mejoras es que los registros sean más comprensibles, detallados y precisos.

Si utilizas eventos heredados, es posible que algunas de las actualizaciones requieran cambios en tus consultas, alertas y informes existentes. Tanto los eventos nuevos como los anteriores seguirán estando disponibles para que realices los cambios necesarios. Para obtener más información, consulta Cambios en los eventos del registro de administrador.

Como administrador de tu organización, puedes ejecutar búsquedas y tomar medidas para resolver problemas de seguridad relacionados con eventos de registro de administrador. Por ejemplo, puedes ver un registro de las acciones realizadas en la Consola del administrador de Google, como cuando un administrador agregó un usuario o activó un servicio de Google Workspace.

Cómo reenviar datos de eventos de registro a Google Cloud

Puedes habilitar el uso compartido de los datos de eventos de registro con Google Cloud. Si activas el uso compartido, los datos se reenvían a Cloud Logging, donde puedes consultar y ver tus registros, y controlar cómo los enrutas y almacenas.

El tipo de datos de eventos de registro que puedes compartir con Google Cloud depende de tu cuenta de Google Workspace, Cloud Identity o Essentials.

Tu capacidad para realizar búsquedas depende de la edición de Google Workspace que tengas, tus privilegios de administrador y la fuente de datos. Puedes buscar datos de todos los usuarios, independientemente de la edición de Google Workspace que tengan.

Herramienta de investigación y auditoría

Para buscar los eventos de registro, primero debes elegir una fuente de datos. Luego, elige uno o más filtros para la búsqueda.

  1. En la Consola del administrador de Google, ve a Menú y luego Informes y luegoInvestigación y auditoría y luegoEventos de registro del administrador.

    Es necesario tener el privilegio de administrador de Auditoría e investigación.

  2. Para filtrar los eventos que ocurrieron antes o después de una fecha específica, en Fecha, selecciona Antes de o Después de. De forma predeterminada, se muestran los eventos de los últimos 7 días. Puedes seleccionar otro período o hacer clic en para quitar el filtro de fecha.

  3. Haz clic en Agregar un filtro y luegoselecciona un atributo. Por ejemplo, para filtrar por un tipo de evento específico, selecciona Evento.
  4. Selecciona un operador y luegoselecciona un valor y luegohaz clic en Aplicar.
    • Si quieres crear varios filtros para la búsqueda, repite este paso (opcional).
    • Para agregar un operador de búsqueda, arriba de Agregar un filtro, selecciona Y o O (opcional).
  5. Haz clic en Buscar. Nota: En la pestaña Filtro, puedes incluir pares de parámetros y valores simples para filtrar los resultados de la búsqueda. También puedes usar la pestaña Creador de condiciones, en la que los filtros se representan como condiciones con operadores Y/O.

Herramienta de investigación de seguridad

Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

Para realizar una búsqueda en la herramienta de investigación de seguridad, primero elige una fuente de datos. Luego, elige una o más condiciones para tu búsqueda. Para cada condición, elige un atributo, un operador y un valor.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luegoCentro de seguridad y luegoHerramienta de investigación.

    Es necesario tener el privilegio de administrador del Centro de seguridad.

  2. Haz clic en Fuente de datos y selecciona Eventos de registro de administrador.

  3. Para filtrar los eventos que ocurrieron antes o después de una fecha específica, en Fecha, selecciona Antes de o Después de. De forma predeterminada, se muestran los eventos de los últimos 7 días. Puedes seleccionar otro período o hacer clic en para quitar el filtro de fecha.

  4. Haga clic en Agregar condición.
    Sugerencia: Puedes incluir una o más condiciones en tu búsqueda, o bien personalizarla con consultas anidadas. Para obtener más información, consulta Cómo personalizar tu búsqueda con consultas anidadas.
  5. Haz clic en Atributo y luegoselecciona una opción. Por ejemplo, para filtrar por un tipo de evento específico, selecciona Evento.
    Para obtener una lista completa de los atributos, consulta la sección Descripciones de los atributos.
  6. Selecciona un operador.
  7. Ingresa un valor o selecciona uno de la lista.
  8. (Opcional) Para agregar más condiciones de búsqueda, repite los pasos.
  9. Haz clic en Buscar.
    Puedes revisar los resultados de la búsqueda de la herramienta de investigación en una tabla que se encuentra en la parte inferior de la página.
  10. Para guardar tu investigación, haz clic en Guardar y luegoingresa un título y una descripción y luegohaz clic en Guardar.

Notas

  • En la pestaña Creador de condiciones, los filtros se representan como condiciones con operadores Y/O. También puedes usar la pestaña Filtro para incluir pares sencillos de parámetros y valores para filtrar los resultados de la búsqueda.
  • Si le asignas un nombre nuevo a un usuario, no verás los resultados de consultas con el nombre anterior del usuario. Por ejemplo, si cambias el nombre de NombreAnterior@example.com a NombreNuevo@example.com, no verás los resultados de eventos relacionados con NombreAnterior@example.com.
  • Solo puedes buscar datos en los mensajes que aún no se hayan borrado de la papelera.

Descripciones de atributos

Para esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro.

Atributo Descripción
Acciones* Acciones que realiza el administrador con la herramienta de investigación de seguridad o con una regla de actividad. Para obtener detalles sobre las acciones que puede realizar un administrador, consulta Cómo tomar medidas en función de los resultados de la búsqueda.
Actor

Dirección de correo electrónico del usuario que realizó la acción. En lugar de una dirección de correo electrónico, es posible que veas lo siguiente:

  • Administrador de licencias: Si una acción del administrador activa un cambio en la licencia de un usuario
  • Cuenta de servicio: Si la acción la realizó un administrador de cuentas de servicio
  • Anónimo: Si la acción la realizó un administrador de cuentas de servicio

Nombre de la aplicación del actor

Debes agregar esta columna a los resultados de la búsqueda. Para conocer los pasos, visita Administra los datos de la columna de resultados de la búsqueda.

Son los detalles sobre la aplicación que se usó para realizar la acción. Para revisar la siguiente información, haz clic en el nombre en los resultados de la búsqueda:

  • Nombre de la aplicación del actor: Es el nombre de la aplicación que se usó para realizar la acción (se completa para las apps de terceros y para algunas apps propias, como Gmail).
  • ID de cliente de OAuth del actor: Es el identificador de la app de terceros que se usa para realizar la acción.
  • Suplantación de identidad: Indica si la app suplantó la identidad de un usuario.

Si exportas la información a un archivo de valores separados por comas (CSV) o a Hojas de cálculo de Google, se guardará como un solo bloque de texto dentro de una celda.
Nombre del grupo de actores

Es el nombre del grupo del actor. Para obtener más información, consulta Cómo filtrar resultados por Grupo de Google.

Para agregar un grupo a tu lista de grupos de filtrado permitido, sigue estos pasos:

  1. Selecciona Nombre del grupo de actores.
  2. Haz clic en Grupos de filtrado.
    Aparecerá la página Grupos de filtrado.
  3. Haz clic en Agregar grupos.
  4. Para buscar un grupo, ingresa los primeros caracteres de su nombre o dirección de correo electrónico. Cuando veas el grupo que quieras, selecciónalo.
  5. Para agregar otro grupo, busca uno y selecciónalo (opcional).
  6. Cuando termines de seleccionar los grupos, haz clic en Agregar.
  7. Para quitar un grupo, haz clic en Quitar grupo (opcional).
  8. Haz clic en Guardar.
Unidad organizativa del actor Unidad organizativa del actor
Información adicional Es información contextual adicional sobre el evento.
Fecha de inicio* Usa Fecha de inicio y Fecha de finalización para filtrar los eventos que incluyen un período específico de fecha de inicio y finalización, como los eventos de Chart Drilldown. Nota: Para buscar eventos dentro de un período, usa el atributo Fecha.
Fuente de datos* La fuente de datos en la herramienta de investigación o la fuente de alertas en el Centro de alertas
Fecha Fecha y hora del evento (se muestra en la zona horaria predeterminada de tu navegador)
ID de dispositivo* Es el ID del dispositivo afectado por este evento de auditoría. Por ejemplo, si un administrador borra un dispositivo propiedad de la empresa, este campo captura el ID del dispositivo.
Tipo de dispositivo Es el tipo de dispositivo afectado por este evento de auditoría. Por ejemplo, si un administrador borra un dispositivo propiedad de la empresa, este campo captura el tipo de dispositivo.
Nombre de dominio El dominio en el que ocurrió la acción
Fecha de finalización* Usa Fecha de inicio y Fecha de finalización para filtrar los eventos que incluyen un período específico de fecha de inicio y finalización, como los eventos de Chart Drilldown. Nota: Para buscar eventos dentro de un período, usa el atributo Fecha.
Evento

Es la acción del evento registrada, como Consulta de investigación o Creación de regla de actividad.

En Valor del evento, los eventos se agrupan por tipo, como Configuración del usuario o Configuración del dominio. La mayoría de los valores de los eventos no requieren explicación. Por ejemplo, Agregar aplicación, en Configuración del dominio, es un valor de búsqueda para una aplicación que se agregó a tu dominio. Puedes buscar eventos en el cuadro de búsqueda.

Sugerencia: Si tienes valores de eventos que usas con frecuencia, fija esos eventos en la parte superior del menú desplegable.
Edición de Google Workspace* Edición de Google Workspace del administrador (actor) que realizó la acción

Agrupa el correo electrónico

 Correo electrónico del Grupo de Google afectado por esta actividad
Dirección IP Dirección de Protocolo de Internet (IP) asociada a la acción registrada. Por lo general, refleja la ubicación física del usuario, pero podría ser un servidor proxy o una dirección de red privada virtual (VPN).

ASN de IP

Debes agregar esta columna a los resultados de la búsqueda. Para conocer los pasos, visita Administra los datos de la columna de resultados de la búsqueda.

Número de sistema autónomo (ASN) de IP, subdivisión y región asociados con la entrada de registro.

Para revisar el ASN de IP y el código de subdivisión y región en los que se produjo la actividad, haz clic en el nombre en los resultados de la búsqueda.
Justificación* Si se requería texto de justificación para la acción, explicación proporcionada por el administrador
ID de mensaje* Es el ID del mensaje de correo electrónico afectado por este evento de auditoría.
Valor nuevo* Es el valor nuevo del parámetro de configuración en caso de que se actualice.
Valor anterior* Valor anterior del parámetro de configuración en caso de que se actualice
IDs de recursos* IDs de uno o más recursos afectados por el evento de auditoría
Nombre del recurso* Nombre del recurso afectado por el evento de auditoría
Tipo de recurso* Tipo de recurso afectado por el evento de auditoría
Recursos

Es la lista de recursos asociados con la acción. Haz clic en un recurso para ver los siguientes detalles:

  • ID del recurso: Es el identificador del recurso.
  • Título del recurso: Título del recurso
  • Tipo de recurso: Elemento de Google Drive, correo electrónico, alerta, regla, etcétera
  • Relación de recursos: Relación del recurso con el evento

  • Etiqueta del recurso: Es una lista de etiquetas de clasificación para un recurso, incluidos el ID de etiqueta del recurso, el título de la etiqueta del recurso y el campo de etiqueta del recurso.

    El campo de etiqueta del recurso contiene lo siguiente:

    • ID del campo de etiqueta
    • Nombre del campo de etiqueta
    • Tipo de campo de etiqueta: Es el tipo de datos del campo de etiqueta, como los siguientes:
      • Texto
      • Número
      • Selección: ID, nombre visible y si tiene distintivo
      • Lista de selección
      • Usuario: Incluido: Correo electrónico
      • Lista de usuarios
      • Fecha

Si exportas la información a un archivo de valores separados por comas (CSV) o a Hojas de cálculo de Google, se guardará como un solo bloque de texto dentro de una celda.
Búsqueda Es la consulta que se usa para recuperar o procesar datos. Por ejemplo, la búsqueda que se usa en la herramienta de investigación, cuando se crean reglas de actividad o cuando se crea un volcado de correo electrónico.
Categoría de configuración Categoría del parámetro de configuración actualizado
Nombre del parámetro de configuración Nombre del parámetro de configuración actualizado
Cómo configurar el nombre de la unidad organizativa Los parámetros de configuración de la Consola del administrador se pueden definir para una unidad organizativa. Cuando se actualiza un parámetro de configuración y se establece su alcance en una unidad organizativa, el nombre de la unidad organizativa se muestra en este campo.
Objetivo* Es la dirección de correo electrónico objetivo del evento. Por ejemplo, la dirección de correo electrónico de destino cuando se crea un monitor de correo electrónico o la dirección de correo electrónico del verificador cuando se realiza una acción masiva en la herramienta de investigación.
Total de entidades afectadas* Es la cantidad total de entidades afectadas por el evento de auditoría. Por ejemplo, la cantidad de usuarios que se subieron cuando se subieron usuarios de forma masiva a un grupo o la cantidad de acciones que se activaron como parte de un activador de regla de actividad. Este es un campo contextual que depende del evento.
Total de errores* Cantidad total de operaciones fallidas. Por ejemplo, la cantidad de usuarios que no pudieron subir contenido cuando se subieron usuarios de forma masiva a un grupo o la cantidad de acciones que fallaron como parte de un activador de regla de actividad. Este es un campo contextual que depende del evento.
Correo electrónico del usuario Correo electrónico del usuario que realizó la acción
* No puedes crear reglas de informes con estos filtros. Obtén más información sobre las reglas de informes en comparación con las reglas de actividad.

Nota: Si le asignaste un nombre nuevo a un usuario, no verás los resultados de consultas con el nombre anterior del usuario. Por ejemplo, si cambias el nombre de NombreAnterior@example.com a NombreNuevo@example.com, no verás los resultados de eventos relacionados con NombreAnterior@example.com.

Administra datos de eventos de registro

Cómo administrar los datos de la columna de resultados de la búsqueda

Puedes controlar qué columnas de datos aparecen en los resultados de la búsqueda.

  1. En la esquina superior derecha de la tabla de resultados de la búsqueda, haz clic en Administrar columnas .
  2. Para quitar las columnas actuales, haz clic en Quitar (opcional).
  3. Para agregar columnas, junto a Agregar nueva columna, haz clic en la flecha hacia abajo y selecciona la columna de datos (opcional).
    Repite la acción según sea necesario.
  4. Para cambiar el orden de las columnas, arrastra los nombres de las columnas de datos (opcional).
  5. Haz clic en Guardar.

Cómo exportar los datos de los resultados de la búsqueda

Puedes exportar los resultados de la búsqueda a Hojas de cálculo o a un archivo CSV.

  1. En la parte superior de la tabla de resultados de la búsqueda, haz clic en Exportar todos.
  2. Ingresa un nombre y luego haz clic en Exportar.
    La exportación se muestra debajo de la tabla de resultados de la búsqueda en Resultados de la acción de Exportar.
  3. Para ver los datos, haz clic en el nombre de tu exportación.
    La exportación se abrirá en Hojas de cálculo.

Los límites de exportación varían:

  • La cantidad total de resultados de la exportación se limita a 100,000 filas.
  • Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

    Si tienes la herramienta de investigación de seguridad, los resultados totales de la exportación se limitan a 30 millones de filas.

Para obtener más información, consulta Cómo exportar los resultados de la búsqueda.

¿Cuándo y durante cuánto tiempo están disponibles los datos?

Toma medidas en función de los resultados de la búsqueda

Crea reglas de actividad y configura alertas

  • Puedes configurar alertas basadas en datos de eventos de registro con reglas de informes. Para obtener instrucciones, consulta Cómo crear y administrar reglas de informes.
  • Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

    Para ayudar a prevenir, detectar y corregir problemas de seguridad de manera eficiente, puedes automatizar acciones en la herramienta de investigación de seguridad y configurar alertas creando reglas de actividad. Para configurar una regla, establece las condiciones de la regla y, luego, especifica las acciones que se realizarán cuando se cumplan las condiciones. Para obtener más detalles, consulta Crea y administra reglas de actividad.

Toma medidas en función de los resultados de la búsqueda

Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

Después de realizar una búsqueda en la herramienta de investigación de seguridad, puedes tomar medidas en función de los resultados. Por ejemplo, puedes realizar una búsqueda basada en eventos de registro de Gmail y, luego, usar la herramienta para borrar mensajes específicos, colocarlos en cuarentena o enviarlos a las carpetas Recibidos de los usuarios. Para obtener más detalles, consulta Cómo tomar medidas en función de los resultados de la búsqueda.

Administra tus investigaciones

Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

Cómo ver tu lista de investigaciones

Para ver una lista de las investigaciones que te pertenecen y las que se compartieron contigo, haz clic en Ver investigaciones . La lista de investigaciones incluye los nombres, las descripciones y los propietarios de las investigaciones, así como la fecha de la última modificación.

En esta lista, puedes tomar medidas en relación con las investigaciones que te pertenecen, por ejemplo, borrar una investigación. Marca la casilla de una investigación y, luego, haz clic en Acciones.

Nota: Puedes ver las investigaciones guardadas en Acceso rápido, justo arriba de la lista de investigaciones.

Cómo configurar los parámetros de configuración de tus investigaciones

Como administrador avanzado, haz clic en Configuración para realizar las siguientes acciones:

  • Cambiar la zona horaria de tus investigaciones La zona horaria se aplica a las condiciones y los resultados de la búsqueda.
  • Activa o desactiva la opción Require reviewer. Para obtener más detalles, consulta Cómo solicitar revisores para acciones masivas.
  • Activa o desactiva la opción Ver contenido. Este parámetro de configuración permite que los administradores con los privilegios adecuados vean el contenido.
  • Activa o desactiva la opción Habilitar la justificación de la acción.

Para obtener más detalles, consulta Cómo configurar los parámetros de configuración de tus investigaciones.

Cómo guardar, compartir, borrar y duplicar investigaciones

Para guardar tus criterios de búsqueda o compartirlos con otras personas, puedes crear y guardar una investigación, y, luego, compartirla, duplicarla o borrarla.

Para obtener más información, consulta Cómo guardar, compartir, borrar y duplicar investigaciones.