Журнал событий Класса

Как отслеживать действия пользователей в Классе

В некоторых версиях Google Workspace вы можете получить доступ к инструменту "Анализ безопасности" с расширенными функциями. Например, суперадминистраторы могут идентифицировать, сортировать и устранять проблемы, связанные с конфиденциальностью и безопасностью. Подробнее…

Эта функция доступна в версиях Education Fundamentals, Education Standard и Education Plus, а также в Google Workspace for Nonprofits. Сравнение версий

Как администратор организации, вы можете искать и устранять проблемы с безопасностью, связанные с событиями журнала Класса. Записи о действиях пользователей в Классе позволят вам, например:

  • узнать, кто удалил учащегося с курса, перенес курс в архив и т. д.;
  • устранить распространенные неполадки.

Возможность поиска в инструменте "Анализ безопасности" зависит от версии сервиса Google, назначенных прав администратора и источника данных. Вы можете искать действия всех пользователей, независимо от того, какая у них версия Google Workspace.

Инструмент "Аудит и анализ"

Чтобы искать события в журнале, сначала выберите источник данных. Затем добавьте один или несколько фильтров.

Примечание. С помощью вкладки Фильтр можно включить простые пары параметров и значений, чтобы отфильтровать результаты поиска. Кроме того, вы можете использовать вкладку Конструктор условий, на которой фильтры представлены в виде условий с операторами И/ИЛИ.

  1. В консоли администратора Google нажмите на значок меню > Отчеты >Аудит и анализ >Журнал событий Класса.

    Требуется право администратора Аудит и анализ.

  2. Чтобы отфильтровать события, произошедшие до или после определенной даты, для параметра Дата выберите значение До или После. По умолчанию отображаются события за последние семь дней. Можно выбрать другую дату или нажать , чтобы удалить фильтр дат.

  3. Нажмите Добавить фильтр >выберите атрибут. Например, чтобы отфильтровать события по определенному типу, выберите Событие.
  4. Выберите оператор >выберите значение >нажмите Применить.
    • Если нужно создать несколько фильтров результатов поиска, повторите этот шаг.
    • Если нужно добавить оператор поиска, над элементом Добавить фильтр выберите И или ИЛИ.
  5. Нажмите Поиск.

Инструмент "Анализ безопасности"

Эта функция доступна в версиях Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

Чтобы выполнить поиск в инструменте "Анализ безопасности", сначала выберите источник данных. Затем добавьте одно или несколько условий поиска. Для каждого условия выберите атрибут, оператор и значение.

  1. В консоли администратора Google нажмите на значок меню > Безопасность >Центр безопасности >Анализ безопасности.

    У вас должны быть права администратора с доступом к центру безопасности.

  2. Нажмите Источник данных и выберите Журнал событий Класса.

  3. Чтобы отфильтровать события, произошедшие до или после определенной даты, для параметра Дата выберите значение До или После. По умолчанию отображаются события за последние семь дней. Можно выбрать другую дату или нажать , чтобы удалить фильтр дат.

  4. Нажмите Добавить условие.
    Совет. Вы можете указать одно или несколько условий или использовать вложенные запросы. Подробнее о том, как использовать вложенные запросы при поиске
  5. Нажмите Атрибут >выберите нужный вариант. Например, чтобы отфильтровать события по определенному типу, выберите Событие.
    Полный список атрибутов приведен в разделе Описания атрибутов.
  6. Выберите оператор.
  7. Введите значение или выберите его в списке.
  8. Если вы хотите добавить другие условия поиска, повторите описанные выше действия.
  9. Нажмите Поиск.
    Результаты поиска в инструменте "Анализ безопасности" показываются в таблице в нижней части страницы.
  10. Если вам нужно сохранить анализ, нажмите "Сохранить" >введите название и описание >нажмите Сохранить.

Заметки

  • На вкладке Конструктор условий фильтры представлены в виде условий с операторами И/ИЛИ. На вкладке Фильтр можно выбрать простые пары параметров и значений, чтобы отфильтровать результаты поиска.
  • Если пользователь был переименован, поиск не даст результатов для его прежнего имени. Например, если OldName@example.com заменили на NewName@example.com, в результатах поиска не будет событий, связанных с пользователем OldName@example.com.
  • Поиск выполняется только по письмам, которые ещё не были удалены из корзины.

Описания атрибутов

При поиске данных о событиях в этом источнике вы можете использовать указанные ниже атрибуты.

Атрибут Описание
Исполнитель Адрес электронной почты пользователя, который совершил действие, например создал курс или опубликовал объявление.
Название группы

Название группы пользователя. Подробнее о том, как фильтровать результаты по группе Google

Чтобы добавить группу в белый список групп фильтрации, выполните следующие действия:

  1. Выберите Название группы.
  2. Выберите Группы фильтрации.
    Откроется соответствующая страница.
  3. Нажмите Добавить группы.
  4. Найдите группу: начните вводить ее название или адрес электронной почты, а затем выберите нужный вариант из списка предложений.
  5. Если вы хотите добавить ещё одну группу, найдите и выберите ее.
  6. Когда группы будут выбраны, нажмите Добавить.
  7. Если вы хотите удалить группу, нажмите на значок "Удалить группу" .
  8. Нажмите Сохранить.
Организационное подразделение пользователя Организационное подразделение, к которому относится пользователь.
Идентификатор дополнения Уникальный идентификатор дополнения.
Название дополнения Название дополнения.
Идентификатор прикрепленного файла дополнения Уникальный идентификатор прикрепленного файла дополнения.
Название прикрепленного файла дополнения Название прикрепленного файла дополнения.
Идентификатор курса Уникальный идентификатор курса.
Название курса Название курса.
Роль на курсе Информация о роли пользователя на курсе: учащийся или преподаватель.
Название курсовой работы Название курсовой работы.
Тип курсовой работы Тип работы, например Задание или Вопрос.
Дата Дата и время, когда произошло событие (указывается в часовом поясе, установленном в вашем браузере по умолчанию).
Идентификатор документа Уникальный идентификатор отправленного документа.
Срок выполнения Срок сдачи работы учащимся.
Событие Сведения о действии в зарегистрированном событии, например Курс создан или Пользователь присоединился к курсу.
Источник события Является ли API источником события.
Опекуны* Адреса электронной почты законных представителей учащихся.
Поставлена оценка Информация о том, были ли выставлена оценка за задание.
Затронутые пользователи* Адреса электронной почты пользователей, которых коснулось событие.
IP-адрес IP-адрес, с которого был выполнен вход. По нему можно определить физическое местоположение, однако IP-адресом может быть и адрес прокси-сервера или виртуальной частной сети (VPN).

IP ASN

Добавьте этот столбец в результаты поиска. Подробнее о том, как управлять столбцами данных в результатах поиска

Номер автономной системы (ASN) IP, подразделение и регион, связанные с записью журнала.

Чтобы посмотреть ASN IP, а также подразделение и код региона, где было выполнено действие, нажмите на название в результатах поиска.
С опозданием Информация о том, была ли работа сдана с опозданием.
Способ присоединения Информация о том, как пользователь присоединился к курсу, например По приглашению или По коду курса.
Идентификатор записи Уникальный идентификатор работы.
Предыдущий владелец курса Адрес электронной почты предыдущего владельца курса.
Состояние сданной работы Статус сданной работы, например Создано, Сдано, Возвращено, Востребовано учащимся или Учащийся изменил работу после сдачи.
* С помощью этих фильтров нельзя добавлять правила создания отчетов. Подробнее о различиях между правилами создания отчетов и правилами активности

Примечание. Если пользователь был переименован, поиск по его прежнему имени не даст результатов. Например, если OldName@example.com заменить на NewName@example.com, в результатах поиска не будет событий, связанных с пользователем OldName@example.com.

Как отфильтровать данные по событиям курса

Чтобы посмотреть данные, связанные с участием в курсе, событиями курса или с работой на курсе, отфильтруйте информацию по событию, а затем выберите одно из них.

  1. Откройте журнал событий, как описано выше в разделе Как найти события из журнала администратора.
  2. Нажмите Добавить фильтр >Событие.
  3. Выберите оператор.
  4. Выберите значение из раскрывающегося списка.
  5. Нажмите Применить.

Как экспортировать данные в BigQuery

Важно!

  • У вас должен быть аккаунт Education Standard или Education Plus.
  • Ваш администратор должен разрешить экспорт данных.

Выполните следующие действия:

  1. Войдите в консоль администратора.
    Используйте для входа аккаунт администратора, а не личный аккаунт Gmail.
  2. В левой части страницы нажмите Отчеты >Экспорт BigQuery.

Как настроить показ данных о событиях

Как управлять столбцами данных в результатах поиска

Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.

  1. В правой верхней части таблицы с результатами поиска нажмите на значок "Управление столбцами" .
  2. Если нужно удалить отображаемые столбцы, нажмите "Удалить" .
  3. Если нужно добавить столбцы, рядом с надписью Добавить столбец нажмите на стрелку вниз и выберите вариант в списке.
    При необходимости повторите действия.
  4. Чтобы изменить порядок столбцов, перетащите их названия.
  5. Нажмите Сохранить.

Как экспортировать результаты поиска

Результаты поиска можно экспортировать в таблицу Google или CSV-файл.

  1. В верхней части таблицы результатов поиска нажмите Экспортировать все.
  2. Введите название > нажмите Экспорт.
    Экспортированные данные будут показаны под таблицей с результатами поиска в разделе Результаты выполнения действия "Экспорт".
  3. Чтобы посмотреть экспортированные данные, нажмите на название файла.
    Эти данные откроются в Таблицах.

На экспорт накладываются различные ограничения:

  • Ограничение на объем экспорта результатов: 100 000 строк.
  • Эта функция доступна в версиях Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

    Если у вас есть инструмент "Анализ безопасности", всего можно экспортировать не более 30 млн строк.

Подробнее о том, как экспортировать результаты поиска

Когда данные становятся доступны и как долго они хранятся

Подробная информация приведена в статье Задержки при обновлении отчетов и сроки хранения данных.

Действия с результатами поиска

Как создавать правила активности и настраивать оповещения

  • Вы можете настроить оповещения на основе данных о событиях журнала, используя правила создания отчетов. Подробнее о том, как создавать и настраивать правила оповещения.
  • Эта функция доступна в версиях Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

    Чтобы эффективнее предотвращать, выявлять и исправлять проблемы с безопасностью, вы можете автоматизировать действия в инструменте "Анализ безопасности" и настроить оповещения с помощью правил активности. Для каждого правила нужно задать условия и указать действия, которые следует выполнять при соблюдении этих условий. Подробнее о том, как создавать правила активности

Действия с результатами поиска

Эта функция доступна в версиях Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

Результаты поиска, полученные с помощью инструмента "Анализ безопасности", можно использовать для разных целей. Например, сообщения, найденные при поиске по событиям журнала Gmail, можно удалять, отправлять в карантин или помещать в папки "Входящие" пользователей. Подробнее о том, какие действия можно выполнять с результатами поиска

Как управлять процессом анализа

Эта функция доступна в версиях Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

Как посмотреть список операций анализа

Чтобы посмотреть список операций анализа, которые вам принадлежат или к которым вам предоставили доступ, нажмите на значок "Посмотреть список операций анализа" . В списке указаны названия, описания и владельцы операций, а также дата их последнего изменения.

На странице со списком можно выполнять действия с любыми вашими операциями анализа, например удалять их. Для этого установите флажок рядом с нужной операцией и нажмите Действия.

Примечание. Вы можете просматривать сохраненные конфигурации анализа в разделе Быстрый доступ над списком операций.

Как задавать настройки анализа

Войдите в систему как суперадминистратор и нажмите на значок "Настройки" . В этом меню можно выполнить следующие действия:

  • Изменить часовой пояс для анализа. Он применяется ко всем условиям и результатам поиска.
  • Включить или отключить параметр Запросить проверку. Подробные сведения о нем можно найти в статье Как включить обязательную проверку массовых действий.
  • Включить или отключить параметр Просмотр контента. С его помощью вы можете предоставить администраторам право просматривать содержимое.
  • Включить или отключить параметр Включить обоснование действия.

Подробнее о том, как задавать настройки анализа

Как сохранять, копировать и удалять результаты анализа, а также предоставлять к ним доступ

Чтобы сохранить параметры поиска или поделиться ими с другими пользователями, вы можете создать и сохранить анализ, а затем предоставить к нему доступ, копировать или удалить его.

Подробнее о том, как сохранять результаты анализа и предоставлять к ним доступ