События журнала чата

Отслеживайте разговоры пользователей и активность в пространстве.

В зависимости от версии Google Workspace у вас может быть доступ к инструменту расследования инцидентов безопасности, который обладает более расширенными функциями. Например, суперадминистраторы могут выявлять, анализировать и принимать меры по проблемам безопасности и конфиденциальности. Подробнее

Как администратор вашей организации, вы можете выполнять поиск и принимать меры по вопросам безопасности, связанным с событиями в журнале чата. Например, вы можете просмотреть запись действий по мониторингу активности в разговорах и обсуждениях в вашей организации. Вы также можете увидеть, когда пользователь начинает личное сообщение или создает пространство.

Возможность выполнения поиска зависит от вашей версии Google, ваших административных прав и источника данных. Вы можете выполнить поиск для всех пользователей, независимо от их версии Google Workspace.

Инструмент аудита и расследования

Для выполнения поиска событий в журнале сначала выберите источник данных. Затем выберите один или несколько фильтров для поиска.

  1. В консоли администратора Google перейдите в меню. а потом Отчетность а потом Аудит и расследование а потом События журнала чата .

    Для этого необходимы права администратора по аудиту и расследованиям .

  2. Чтобы отфильтровать события, произошедшие до или после определенной даты, в поле «Дата» выберите «До» или «После» . По умолчанию отображаются события за последние 7 дней. Вы можете выбрать другой диапазон дат или щелкнуть по соответствующему пункту. чтобы удалить фильтр по дате.

  3. Нажмите « Добавить фильтр». а потом Выберите атрибут. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
  4. Выберите оператора а потом выберите значение а потом Нажмите «Применить» .
    • (Необязательно) Чтобы создать несколько фильтров для поиска, повторите этот шаг.
    • (Необязательно) Чтобы добавить оператор поиска, выше в разделе «Добавить фильтр» выберите «И» или «ИЛИ» .
  5. Нажмите «Поиск» . Примечание : На вкладке «Фильтр» можно использовать простые пары параметр-значение для фильтрации результатов поиска. Также можно использовать вкладку «Конструктор условий» , где фильтры представлены в виде условий с операторами И/ИЛИ.

Инструмент для проведения расследований в сфере безопасности

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

Для выполнения поиска в инструменте анализа безопасности сначала выберите источник данных. Затем выберите одно или несколько условий для поиска. Для каждого условия выберите атрибут , оператор и значение .

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Инструмент расследования .

    Для этого требуются права администратора центра безопасности .

  2. Нажмите «Источник данных» и выберите «События журнала чата» .

  3. Чтобы отфильтровать события, произошедшие до или после определенной даты, в поле «Дата» выберите «До» или «После» . По умолчанию отображаются события за последние 7 дней. Вы можете выбрать другой диапазон дат или щелкнуть по соответствующему пункту. чтобы удалить фильтр по дате.

  4. Нажмите «Добавить условие» .
    Совет : Вы можете включить в поиск одно или несколько условий или настроить поиск с помощью вложенных запросов . Подробнее см. раздел «Настройка поиска с помощью вложенных запросов» .
  5. Атрибут клика а потом Выберите нужный вариант. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
    Полный список атрибутов см. в разделе «Описание атрибутов» .
  6. Выберите оператора.
  7. Введите значение или выберите значение из списка.
  8. (Необязательно) Чтобы добавить дополнительные условия поиска, повторите шаги.
  9. Нажмите «Поиск» .
    Результаты поиска, полученные с помощью инструмента расследования, можно просмотреть в таблице внизу страницы.
  10. (Необязательно) Чтобы сохранить результаты расследования, нажмите «Сохранить». а потом Введите заголовок и описание. а потом Нажмите « Сохранить ».

Примечания

  • На вкладке «Конструктор условий» фильтры представлены в виде условий с операторами И/ИЛИ. Вы также можете использовать вкладку «Фильтр» для добавления простых пар параметр-значение для фильтрации результатов поиска.
  • Если вы присвоите пользователю новое имя, вы не увидите результаты запросов со старым именем пользователя. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не увидите результаты для событий, связанных с OldName@example.com .
  • Поиск данных возможен только в сообщениях, которые еще не были удалены из Корзины.

Описание атрибутов

Для этого источника данных при поиске данных о событиях журнала можно использовать следующие атрибуты.

Атрибут Описание
Актер Адрес электронной почты пользователя, выполнившего действие

Название приложения актёра

Необходимо добавить этот столбец в результаты поиска. Инструкции см. в разделе «Управление данными столбцов результатов поиска» .

Подробная информация о приложении, использованном для выполнения действия. Чтобы просмотреть следующую информацию, щелкните по названию в результатах поиска:

  • Название приложения-объекта — Название приложения, используемого для выполнения действия (заполняется для сторонних приложений и для некоторых собственных приложений, таких как Gmail).
  • Идентификатор клиента Actor OAuth — идентификатор стороннего приложения, используемого для выполнения действия.
  • Выдача себя за другого пользователя — выдавало ли приложение себя за другого пользователя.

Если вы экспортируете информацию в файл с разделителями-запятыми (CSV) или в Google Таблицы, информация сохраняется как единый блок текста в ячейке.

Название актёрской группы

Название группы, к которой принадлежит актёр. Для получения дополнительной информации перейдите в раздел «Фильтрация результатов по группам Google» .

Чтобы добавить группу в список разрешенных групп фильтрации:

  1. Выберите название группы акторов .
  2. Нажмите «Группы фильтрации» .
    Открывается страница «Группы фильтрации».
  3. Нажмите «Добавить группы» .
  4. Найдите группу, введя первые несколько символов ее названия или адреса электронной почты. Когда вы увидите нужную группу, выберите ее.
  5. (Необязательно) Чтобы добавить еще одну группу, найдите и выберите нужную группу.
  6. После выбора групп нажмите кнопку «Добавить» .
  7. (Необязательно) Чтобы удалить группу, нажмите «Удалить группу». .
  8. Нажмите « Сохранить ».
    Организационное подразделение актёра Организационная единица актёра
    Тип актёра Роль пользователя, выполнившего действие, например, администратор или обычный пользователь.
    Хэш вложения Хэш SHA-256 вложения чата
    Название вложения Название вложения, отправленного в сообщении чата.
    статус вложения Содержит ли сообщение вложение
    URL вложения Ссылка для скачивания вложения, отправленного в сообщении чата.
    Право собственности на разговор

    Независимо от того, принадлежит ли разговор клиенту (внутренний пользователь) или другим клиентам (внешний пользователь).

    Тип разговора

    Тип разговора, например:

    • Прямое сообщение от пользователя к пользователю
    • Пользователь отправляет прямое сообщение в приложение.
    • Групповое личное сообщение
    • Космос
    статус сканирования для предотвращения потери данных* С помощью DLP для чата вы можете создавать правила защиты данных, чтобы предотвратить утечку данных из сообщений чата и вложений (загруженных файлов). Статус сканирования DLP включает такие значения, как «Неудачно» , «Частично просканировано» и «Просканировано» .
    Дата Дата и время мероприятия (отображаются в часовом поясе по умолчанию вашего браузера)
    Событие Зарегистрированное действие события, например, «Сообщение отправлено» , «Вложение загружено» или «Начато личное сообщение» .
    Внешняя комната* Можно ли добавлять в чат участников, не являющихся членами организации?

    IP ASN

    Необходимо добавить этот столбец в результаты поиска. Инструкции см. в разделе «Управление данными столбцов результатов поиска» .

    Номер автономной системы (ASN), подразделение и регион IP-адреса, связанные с записью в журнале.

    Чтобы просмотреть IP-адрес автономных систем (ASN), а также код подразделения и региона, где произошла активность, щелкните по названию в результатах поиска.

    Идентификатор сообщения

    Идентификатор сообщения чата

    Тип сообщения

    Тип сообщения, например:

    • Голосовое сообщение
    • Видеообращение
    • Соберитесь
    • Обычное сообщение
    Новая роль Для получателей услуг появилась новая роль, например, менеджер по организации пространства или участник программы.
    Получатели* Получатели сообщений в чате. Этот атрибут регистрируется при возникновении следующих событий:
    • Приглашение отправлено.
    • Пользователь заблокирован или разблокирован.
    • Пользователь добавляется или удаляется из помещения или комнаты.
    • Сообщение отправлено.
    • Личное сообщение отправлено, отредактировано, удалено или на него отреагировано.
    Идентификатор отчета Идентификатор сообщения в чате (отчет)
    Категория отчетности* Категория сообщения в чате, например, спам, конфиденциальная информация или секретная информация.
    Ресурсы

    Список ресурсов, связанных с действием. Щелкните по ресурсу, чтобы просмотреть следующие сведения:

    • Идентификатор ресурса — идентификатор ресурса
    • Название ресурса — Заголовок ресурса
    • Тип ресурса — элемент Google Drive, электронное письмо, оповещение, правило и т. д.
    • Ресурсная связь — отношение ресурса к событию.

    • Метка ресурса — Список классификационных меток для ресурса, включая идентификатор метки ресурса , заголовок метки ресурса и поле метки ресурса .

      Поле «Метка ресурса» содержит:

      • Идентификатор поля метки
      • Название поля метки
      • Тип поля метки — Тип данных поля метки, например:
        • Текст
        • Число
        • Выбор — Включено: ID, Отображаемое имя, Наличие бейджа
        • Список выбора
        • Пользователь — Включено: Электронная почта
        • Список пользователей
        • Дата

    Если вы экспортируете информацию в файл с разделителями-запятыми (CSV) или в Google Таблицы, информация сохраняется как единый блок текста в ячейке.

    Историческая обстановка комнаты Включена или выключена история чата
    Идентификатор комнаты Идентификатор чата
    Название комнаты Название чата
    * С помощью этих фильтров нельзя создавать правила формирования отчетов. Подробнее о различиях между правилами формирования отчетов и правилами действий можно узнать здесь.

    Примечание : Если вы присвоили пользователю новое имя, вы не увидите результаты запроса со старым именем пользователя. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не увидите результаты для событий, связанных с OldName@example.com .

    Управление данными событий журнала

    Управление данными столбца результатов поиска

    Вы можете управлять тем, какие столбцы данных будут отображаться в результатах поиска.

    1. В правом верхнем углу таблицы результатов поиска нажмите «Управление столбцами». .
    2. (Необязательно) Чтобы удалить текущие столбцы, нажмите «Удалить». .
    3. (Необязательно) Чтобы добавить столбцы, рядом с кнопкой «Добавить новый столбец » нажмите стрелку вниз. и выберите столбец с данными.
      Повторять по мере необходимости.
    4. (Необязательно) Чтобы изменить порядок столбцов, перетащите названия столбцов данных.
    5. Нажмите « Сохранить ».

    Экспорт данных результатов поиска

    Результаты поиска можно экспортировать в Google Sheets или в CSV-файл.

    1. В верхней части таблицы результатов поиска нажмите кнопку «Экспорт всех» .
    2. Введите имя а потом Нажмите «Экспорт» .
      Результаты экспорта отображаются под таблицей результатов поиска в разделе «Результаты действия экспорта» .
    3. Для просмотра данных щелкните по названию экспортируемого файла.
      Экспорт открывается в Google Sheets.

    Ограничения на экспорт различаются:

    • Общий объем результатов экспорта ограничен 100 000 строками.
    • Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

      Если у вас установлен инструмент для проведения анализа безопасности, общий объем результатов экспорта ограничен 30 миллионами строк.

    Для получения более подробной информации перейдите в раздел «Экспорт результатов поиска» .

    Когда и как долго доступны данные?

    Принимайте меры на основе результатов поиска.

    Создавайте правила действий и настраивайте оповещения.

    • Вы можете настроить оповещения на основе данных событий журнала с помощью правил формирования отчетов. Инструкции см. в разделе «Создание и управление правилами формирования отчетов» .
    • Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

      Для эффективного предотвращения, обнаружения и устранения проблем безопасности вы можете автоматизировать действия в инструменте расследования инцидентов безопасности и настроить оповещения, создав правила действий . Чтобы настроить правило, задайте для него условия, а затем укажите действия, которые должны быть выполнены при выполнении этих условий. Для получения более подробной информации перейдите в раздел «Создание и управление правилами действий» .

    Принимайте меры на основе результатов поиска.

    Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

    После выполнения поиска в инструменте расследования инцидентов безопасности вы можете предпринять действия на основе результатов поиска. Например, вы можете выполнить поиск на основе событий журнала Gmail, а затем использовать инструмент для удаления определенных сообщений, отправки сообщений в карантин или отправки сообщений в почтовые ящики пользователей. Для получения более подробной информации перейдите в раздел «Действия на основе результатов поиска» .

    Управляйте своими расследованиями

    Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

    Просмотрите список ваших расследований

    Чтобы просмотреть список расследований, которые принадлежат вам и которые были предоставлены вам, нажмите «Просмотреть расследования». Список расследований включает имена, описания и ответственных за расследования, а также дату последнего изменения.

    Из этого списка вы можете выполнить действия с любыми принадлежащими вам расследованиями, например, удалить расследование. Установите флажок напротив нужного расследования, а затем нажмите «Действия» .

    Примечание : Вы можете просмотреть сохраненные расследования в разделе «Быстрый доступ» , непосредственно над списком расследований.

    Настройте параметры для ваших расследований.

    От имени суперадминистратора нажмите «Настройки». к:

    • Измените часовой пояс для ваших исследований. Часовой пояс применяется к условиям поиска и результатам.
    • Включите или выключите параметр «Требовать рецензентов» . Для получения более подробной информации перейдите в раздел «Требовать рецензентов для массовых действий» .
    • Включить или выключить отображение содержимого . Этот параметр позволяет администраторам с соответствующими правами просматривать содержимое.
    • Включить или выключить обоснование действий .

    Для получения более подробной информации перейдите в раздел «Настройка параметров расследования» .

    Сохраняйте, делитесь, удаляйте и дублируйте расследования.

    Чтобы сохранить критерии поиска или поделиться ими с другими, вы можете создать и сохранить расследование, а затем поделиться им, скопировать или удалить его.

    Для получения более подробной информации перейдите в раздел «Сохранение, предоставление доступа, удаление и дублирование расследований» .