События журнала администратора

Отслеживание действий администратора доступно в консоли администратора.

В зависимости от версии Google Workspace у вас может быть доступ к инструменту расследования инцидентов безопасности, который обладает более расширенными функциями. Например, суперадминистраторы могут выявлять, анализировать и принимать меры по проблемам безопасности и конфиденциальности. Подробнее

Важно: Google Workspace обновляет схему и моделирование событий для ряда событий в журналах. Улучшения направлены на то, чтобы сделать журналы более понятными, подробными и точными.

Если вы используете устаревшие события, некоторые обновления могут потребовать внесения изменений в существующие запросы, оповещения и отчеты. Новые и старые события по-прежнему будут доступны для внесения необходимых изменений. Для получения подробной информации перейдите в раздел «Изменения событий в журнале администрирования» .

Как администратор вашей организации, вы можете выполнять поиск и принимать меры по вопросам безопасности, связанным с событиями журнала администратора. Например, вы можете просмотреть запись действий, выполненных в вашей консоли администратора Google, например, когда администратор добавил пользователя или включил службу Google Workspace.

Пересылайте данные о событиях журнала в облако Google.

Вы можете включить функцию обмена данными о событиях журналов с Google Cloud. Если вы включите эту функцию, данные будут пересылаться в Cloud Logging, где вы сможете запрашивать и просматривать свои журналы, а также управлять маршрутизацией и хранением журналов.

Тип данных о событиях журнала, которыми вы можете делиться с Google Cloud, зависит от вашей учетной записи Google Workspace, Cloud Identity или Essentials.

Возможность выполнения поиска зависит от вашей версии Google, ваших административных прав и источника данных. Вы можете выполнить поиск для всех пользователей, независимо от их версии Google Workspace.

Инструмент аудита и расследования

Для выполнения поиска событий в журналах сначала выберите источник данных. Затем выберите один или несколько фильтров для поиска.

  1. В консоли администратора Google перейдите в меню. а потом Отчетность а потом Аудит и расследование а потом Журнал событий администратора .

    Для этого необходимы права администратора по аудиту и расследованиям .

  2. Чтобы отфильтровать события, произошедшие до или после определенной даты, в поле «Дата» выберите «До» или «После» . По умолчанию отображаются события за последние 7 дней. Вы можете выбрать другой диапазон дат или щелкнуть по соответствующему пункту. чтобы удалить фильтр по дате.

  3. Нажмите « Добавить фильтр». а потом Выберите атрибут. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
  4. Выберите оператора а потом выберите значение а потом Нажмите «Применить» .
    • (Необязательно) Чтобы создать несколько фильтров для поиска, повторите этот шаг.
    • (Необязательно) Чтобы добавить оператор поиска, выше в разделе «Добавить фильтр» выберите «И» или «ИЛИ» .
  5. Нажмите «Поиск» . Примечание : На вкладке «Фильтр» можно использовать простые пары параметр-значение для фильтрации результатов поиска. Также можно использовать вкладку «Конструктор условий» , где фильтры представлены в виде условий с операторами И/ИЛИ.

Инструмент для проведения расследований в сфере безопасности

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

Для выполнения поиска в инструменте анализа безопасности сначала выберите источник данных. Затем выберите одно или несколько условий для поиска. Для каждого условия выберите атрибут , оператор и значение .

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Инструмент расследования .

    Для этого требуются права администратора центра безопасности .

  2. Щелкните «Источник данных» и выберите «События журнала администратора» .

  3. Чтобы отфильтровать события, произошедшие до или после определенной даты, в поле «Дата» выберите «До» или «После» . По умолчанию отображаются события за последние 7 дней. Вы можете выбрать другой диапазон дат или щелкнуть по соответствующему пункту. чтобы удалить фильтр по дате.

  4. Нажмите «Добавить условие» .
    Совет : Вы можете включить в поиск одно или несколько условий или настроить поиск с помощью вложенных запросов . Подробнее см. раздел «Настройка поиска с помощью вложенных запросов» .
  5. Атрибут клика а потом Выберите нужный вариант. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
    Полный список атрибутов см. в разделе «Описание атрибутов» .
  6. Выберите оператора.
  7. Введите значение или выберите значение из списка.
  8. (Необязательно) Чтобы добавить дополнительные условия поиска, повторите шаги.
  9. Нажмите «Поиск» .
    Результаты поиска, полученные с помощью инструмента расследования, можно просмотреть в таблице внизу страницы.
  10. (Необязательно) Чтобы сохранить результаты расследования, нажмите «Сохранить». а потом Введите заголовок и описание. а потом Нажмите « Сохранить ».

Примечания

  • На вкладке «Конструктор условий» фильтры представлены в виде условий с операторами И/ИЛИ. Вы также можете использовать вкладку «Фильтр» для добавления простых пар параметр-значение для фильтрации результатов поиска.
  • Если вы присвоите пользователю новое имя, вы не увидите результаты запросов со старым именем пользователя. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не увидите результаты для событий, связанных с OldName@example.com .
  • Поиск данных возможен только в сообщениях, которые еще не были удалены из Корзины.

Описание атрибутов

Для этого источника данных при поиске данных о событиях журнала можно использовать следующие атрибуты.

Атрибут Описание
Действие(я)* Действия, предпринятые администратором с помощью инструмента расследования инцидентов безопасности или правила действий. Подробную информацию о действиях, которые может предпринять администратор, см. в разделе «Принятие мер на основе результатов поиска» .
Актер

Адрес электронной почты пользователя, выполнившего действие. Вместо адреса электронной почты вы можете увидеть:

  • Менеджер лицензий — Если действие администратора приводит к изменению лицензии пользователя
  • Учетная запись службы — если действие было выполнено администратором учетной записи службы.
  • Анонимно — если действие было выполнено администратором служебной учетной записи.

Название приложения актёра

Необходимо добавить этот столбец в результаты поиска. Инструкции см. в разделе «Управление данными столбцов результатов поиска» .

Подробная информация о приложении, использованном для выполнения действия. Чтобы просмотреть следующую информацию, щелкните по названию в результатах поиска:

  • Название приложения-объекта — Название приложения, используемого для выполнения действия (заполняется для сторонних приложений и для некоторых собственных приложений, таких как Gmail).
  • Идентификатор клиента Actor OAuth — идентификатор стороннего приложения, используемого для выполнения действия.
  • Выдача себя за другого пользователя — выдавало ли приложение себя за другого пользователя.

Если вы экспортируете информацию в файл с разделителями-запятыми (CSV) или в Google Таблицы, информация сохраняется как единый блок текста в ячейке.

Название актёрской группы

Название группы, к которой принадлежит актёр. Для получения дополнительной информации перейдите в раздел «Фильтрация результатов по группам Google» .

Чтобы добавить группу в список разрешенных групп фильтрации:

  1. Выберите название группы акторов .
  2. Нажмите «Группы фильтрации» .
    Открывается страница «Группы фильтрации».
  3. Нажмите «Добавить группы» .
  4. Найдите группу, введя первые несколько символов ее названия или адреса электронной почты. Когда вы увидите нужную группу, выберите ее.
  5. (Необязательно) Чтобы добавить еще одну группу, найдите и выберите нужную группу.
  6. После выбора групп нажмите кнопку «Добавить» .
  7. (Необязательно) Чтобы удалить группу, нажмите «Удалить группу». .
  8. Нажмите « Сохранить ».
Организационное подразделение актёра Организационная единица актёра
Дополнительная информация Дополнительная контекстная информация о мероприятии
Дата начала* Используйте поля «Дата начала» и «Дата окончания» для фильтрации событий, включающих определенный диапазон дат начала и окончания, например, событий детализации диаграммы. Примечание: для поиска событий в заданном диапазоне дат используйте атрибут «Дата» .
Источник данных* Источник данных в инструменте расследования или источник оповещений в центре оповещений.
Дата Дата и время мероприятия (отображаются в часовом поясе по умолчанию вашего браузера)
Идентификатор устройства* Идентификатор устройства, затронутого данным событием аудита. Например, если администратор удаляет данные с принадлежащего компании устройства, то в это поле записывается идентификатор устройства.
Тип устройства Тип устройства, затронутого данным событием аудита. Например, если администратор удаляет данные с устройства, принадлежащего компании, то в этом поле указывается тип устройства.
Доменное имя Область, где произошло действие
Дата окончания* Используйте поля «Дата начала» и «Дата окончания» для фильтрации событий, включающих определенный диапазон дат начала и окончания, например, событий детализации диаграммы. Примечание: для поиска событий в заданном диапазоне дат используйте атрибут «Дата» .
Событие

Зарегистрированное действие события, например, запрос на расследование или создание правила действия .

В разделе «Значение события» события сгруппированы по типу, например, «Настройки пользователя» или «Настройки домена» . Большинство значений событий понятны сами собой. Например, «Добавить приложение» в разделе «Настройки домена» — это значение для поиска приложения, добавленного в ваш домен. Вы можете искать события в поле поиска.

Совет : Если у вас есть часто используемые значения событий, закрепите эти события в верхней части выпадающего меню.

Google Workspace edition* Версия Google Workspace для администратора (субъекта), выполнившего действие.

Групповая электронная почта

 Адрес электронной почты группы Google, затронутой этой деятельностью.
IP-адрес IP-адрес, связанный с зарегистрированным действием. Обычно отражает физическое местоположение пользователя, но может также являться адресом прокси-сервера или виртуальной частной сети (VPN).

IP ASN

Необходимо добавить этот столбец в результаты поиска. Инструкции см. в разделе «Управление данными столбцов результатов поиска» .

Номер автономной системы (ASN), подразделение и регион IP-адреса, связанные с записью в журнале.

Чтобы просмотреть IP-адрес автономных систем (ASN), а также код подразделения и региона, где произошла активность, щелкните по названию в результатах поиска.

Обоснование* Если для действия требовалось пояснение, то объяснение должно быть предоставлено администратором.
Идентификатор сообщения* Идентификатор сообщения электронной почты, затронутого этим событием аудита.
Новое значение* Новое значение параметра в случае его обновления.
Старая стоимость* Старое значение параметра на случай его обновления.
Идентификатор(ы) ресурса* Идентификаторы одного или нескольких ресурсов, затронутых событием аудита.
Название ресурса* Название ресурса, затронутого событием аудита.
Тип ресурса* Тип ресурса, затронутого событием аудита.
Ресурсы

Список ресурсов, связанных с действием. Щелкните по ресурсу, чтобы просмотреть следующие сведения:

  • Идентификатор ресурса — идентификатор ресурса
  • Название ресурса — Заголовок ресурса
  • Тип ресурса — элемент Google Drive, электронное письмо, оповещение, правило и т. д.
  • Ресурсная связь — отношение ресурса к событию.

  • Метка ресурса — Список классификационных меток для ресурса, включая идентификатор метки ресурса , заголовок метки ресурса и поле метки ресурса .

    Поле «Метка ресурса» содержит:

    • Идентификатор поля метки
    • Название поля метки
    • Тип поля метки — Тип данных поля метки, например:
      • Текст
      • Число
      • Выбор — Включено: ID, Отображаемое имя, Наличие бейджа
      • Список выбора
      • Пользователь — Включено: Электронная почта
      • Список пользователей
      • Дата

Если вы экспортируете информацию в файл с разделителями-запятыми (CSV) или в Google Таблицы, информация сохраняется как единый блок текста в ячейке.

Поисковый запрос Запрос, используемый для получения или обработки данных. Например, запрос, используемый в поиске в инструменте расследования, при создании правил активности или при создании дампа электронной почты.
Категория настроек Категория обновленных настроек
Название параметра Название обновленной настройки
Настройка названия организационной единицы Настройки в консоли администратора могут быть привязаны к организационной единице. При обновлении настройки, привязанной к организационной единице, в этом поле отображается название этой организационной единицы.
Цель* Целевой адрес электронной почты для события. Например, адрес электронной почты получателя при создании объекта мониторинга электронной почты или адрес электронной почты проверяющего при выполнении массовых действий в инструменте расследования.
Общее число пострадавших* Общее количество объектов, затронутых событием аудита. Например, количество пользователей, загруженных при массовой загрузке пользователей в группу, или количество действий, запущенных в рамках правила обработки действий. Это контекстное поле, зависящее от события.
Полный провал* Общее количество неудачных операций. Например, количество пользователей, данные которых не удалось загрузить при массовой загрузке пользователей в группу, или количество действий, которые не удалось выполнить в рамках триггера правила активности. Это контекстное поле, зависящее от события.
Электронная почта пользователя Адрес электронной почты пользователя, выполнившего действие.
* С помощью этих фильтров нельзя создавать правила формирования отчетов. Подробнее о различиях между правилами формирования отчетов и правилами действий можно узнать здесь.

Примечание : Если вы присвоили пользователю новое имя, вы не увидите результаты запроса со старым именем пользователя. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не увидите результаты для событий, связанных с OldName@example.com .

Управление данными событий журнала

Управление данными столбца результатов поиска

Вы можете управлять тем, какие столбцы данных будут отображаться в результатах поиска.

  1. В правом верхнем углу таблицы результатов поиска нажмите «Управление столбцами». .
  2. (Необязательно) Чтобы удалить текущие столбцы, нажмите «Удалить». .
  3. (Необязательно) Чтобы добавить столбцы, рядом с кнопкой «Добавить новый столбец » нажмите стрелку вниз. и выберите столбец с данными.
    Повторять по мере необходимости.
  4. (Необязательно) Чтобы изменить порядок столбцов, перетащите названия столбцов данных.
  5. Нажмите « Сохранить ».

Экспорт данных результатов поиска

Результаты поиска можно экспортировать в Google Sheets или в CSV-файл.

  1. В верхней части таблицы результатов поиска нажмите кнопку «Экспорт всех» .
  2. Введите имя а потом Нажмите «Экспорт» .
    Результаты экспорта отображаются под таблицей результатов поиска в разделе «Результаты действия экспорта» .
  3. Для просмотра данных щелкните по названию экспортируемого файла.
    Экспорт открывается в Google Sheets.

Ограничения на экспорт различаются:

  • Общий объем результатов экспорта ограничен 100 000 строками.
  • Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

    Если у вас установлен инструмент для проведения анализа безопасности, общий объем результатов экспорта ограничен 30 миллионами строк.

Для получения более подробной информации перейдите в раздел «Экспорт результатов поиска» .

Когда и как долго доступны данные?

Принимайте меры на основе результатов поиска.

Создавайте правила действий и настраивайте оповещения.

  • Вы можете настроить оповещения на основе данных событий журнала с помощью правил формирования отчетов. Инструкции см. в разделе «Создание и управление правилами формирования отчетов» .
  • Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

    Для эффективного предотвращения, обнаружения и устранения проблем безопасности вы можете автоматизировать действия в инструменте расследования инцидентов безопасности и настроить оповещения, создав правила действий . Чтобы настроить правило, задайте для него условия, а затем укажите действия, которые должны быть выполнены при выполнении этих условий. Для получения более подробной информации перейдите в раздел «Создание и управление правилами действий» .

Принимайте меры на основе результатов поиска.

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

После выполнения поиска в инструменте расследования инцидентов безопасности вы можете предпринять действия на основе результатов поиска. Например, вы можете выполнить поиск на основе событий журнала Gmail, а затем использовать инструмент для удаления определенных сообщений, отправки сообщений в карантин или отправки сообщений в почтовые ящики пользователей. Для получения более подробной информации перейдите в раздел «Действия на основе результатов поиска» .

Управляйте своими расследованиями

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

Просмотрите список ваших расследований

Чтобы просмотреть список расследований, которые принадлежат вам и которые были предоставлены вам, нажмите «Просмотреть расследования». Список расследований включает имена, описания и ответственных за расследования, а также дату последнего изменения.

Из этого списка вы можете выполнить действия с любыми принадлежащими вам расследованиями, например, удалить расследование. Установите флажок напротив нужного расследования, а затем нажмите «Действия» .

Примечание : Вы можете просмотреть сохраненные расследования в разделе «Быстрый доступ» , непосредственно над списком расследований.

Настройте параметры для ваших расследований.

От имени суперадминистратора нажмите «Настройки». к:

  • Измените часовой пояс для ваших исследований. Часовой пояс применяется к условиям поиска и результатам.
  • Включите или выключите параметр «Требовать рецензентов» . Для получения более подробной информации перейдите в раздел «Требовать рецензентов для массовых действий» .
  • Включить или выключить отображение содержимого . Этот параметр позволяет администраторам с соответствующими правами просматривать содержимое.
  • Включить или выключить обоснование действий .

Для получения более подробной информации перейдите в раздел «Настройка параметров расследования» .

Сохраняйте, делитесь, удаляйте и дублируйте расследования.

Чтобы сохранить критерии поиска или поделиться ими с другими, вы можете создать и сохранить расследование, а затем поделиться им, скопировать или удалить его.

Для получения более подробной информации перейдите в раздел «Сохранение, предоставление доступа, удаление и дублирование расследований» .