Beroende på vilken Google Workspace-utgåva du har kan du ha tillgång till säkerhetsutredningsverktyget, som har mer avancerade funktioner. Till exempel kan avancerade administratörer identifiera, prioritera och vidta åtgärder mot säkerhets- och integritetsproblem. Läs mer
Som administratör för din organisation kan du köra sökningar och vidta åtgärder gällande säkerhetsproblem relaterade till händelser i enhetsloggen. Du kan visa en lista över åtgärder på datorer, mobila enheter och smarta hemenheter som används för att komma åt organisationens data. Du kan till exempel se när en användare har lagt till sitt konto på en enhet eller om en enhets lösenord inte följer din lösenordspolicy. Du kan också ställa in en avisering som aviseras när en aktivitet inträffar.
Innan du börjar
- För att se alla granskningshändelser för mobila enheter måste enheterna hanteras med avancerad enhetshantering .
- För att se ändringar i appar på Android-enheter måste du aktivera appgranskning .
- Om du nedgraderar till en version som inte stöder granskningsloggen slutar granskningsloggen att samla in data för nya händelser. Gammal data är dock fortfarande tillgänglig för administratörer.
Kör en sökning efter logghändelser
Din möjlighet att köra en sökning beror på din Google-utgåva, dina administratörsbehörigheter och datakällan. Du kan köra en sökning på alla användare, oavsett deras Google Workspace-utgåva.
Revisions- och utredningsverktyg
För att söka efter logghändelser, välj först en datakälla. Välj sedan ett eller flera filter för din sökning.
I Googles administratörskonsol, gå till Meny
Rapportering Revision och utredning Händelser i enhetsloggen .Kräver administratörsbehörighet som granskning och utredning .
För att filtrera händelser som inträffade före eller efter ett specifikt datum, välj Före eller Efter för Datum . Som standard visas händelser från de senaste 7 dagarna. Du kan välja ett annat datumintervall eller klicka på
för att ta bort datumfiltret.- Klicka på Lägg till ett filter välj ett attribut. Om du till exempel vill filtrera efter en specifik händelsetyp väljer du Händelse .
- Välj en operator välj ett värde klicka på Verkställ .
- (Valfritt) Upprepa det här steget om du vill skapa flera filter för din sökning.
- (Valfritt) För att lägga till en sökoperator, välj OCH eller ELLER ovanför Lägg till ett filter .
- Klicka på Sök . Obs ! Med hjälp av fliken Filter kan du inkludera enkla parameter- och värdepar för att filtrera sökresultaten. Du kan också använda fliken Villkorsbyggare , där filtren representeras som villkor med OCH/ELLER-operatorer.
Verktyg för säkerhetsutredning
För att köra en sökning i säkerhetsutredningsverktyget, välj först en datakälla. Välj sedan ett eller flera villkor för din sökning. För varje villkor väljer du ett attribut , en operator och ett värde .
I Googles administratörskonsol, gå till Meny
Säkerhet Säkerhetscenter Utredningsverktyg .Kräver administratörsbehörighet i säkerhetscenter .
- Klicka på Datakälla och välj Enhetslogghändelser .
För att filtrera händelser som inträffade före eller efter ett specifikt datum, välj Före eller Efter för Datum . Som standard visas händelser från de senaste 7 dagarna. Du kan välja ett annat datumintervall eller klicka på
för att ta bort datumfiltret.- Klicka på Lägg till villkor .
Tips : Du kan inkludera ett eller flera villkor i din sökning eller anpassa din sökning med kapslade frågor . För mer information, gå till Anpassa din sökning med kapslade frågor . - Klickattribut Välj ett alternativ. Om du till exempel vill filtrera efter en specifik händelsetyp väljer du Händelse .
För en komplett lista över attribut, gå till avsnittet Attributbeskrivningar . - Välj en operator.
- Ange ett värde eller välj ett värde från listan.
- (Valfritt) Upprepa stegen om du vill lägga till fler sökvillkor.
- Klicka på Sök .
Du kan granska sökresultaten från undersökningsverktyget i en tabell längst ner på sidan. - (Valfritt) För att spara din undersökning, klicka på Spara
ange en titel och beskrivning klicka på Spara .
Anteckningar
- På fliken Villkorsbyggare representeras filter som villkor med OCH/ELLER-operatorer. Du kan också använda fliken Filter för att inkludera enkla parameter- och värdepar för att filtrera sökresultaten.
- Om du ger en användare ett nytt namn kommer du inte att se frågeresultat med användarens gamla namn. Om du till exempel byter namn på GammaltNamn@example.com till NyttNamn@example.com kommer du inte att se resultat för händelser relaterade till GammaltNamn@example.com .
- Du kan bara söka efter data i meddelanden som ännu inte har raderats från papperskorgen.
Attributbeskrivningar
För den här datakällan kan du använda följande attribut när du söker efter logghändelsedata.
| Attribut | Beskrivning |
|---|---|
| Kontostatus | Om kontot är registrerat eller oregistrerat |
| Skådespelarens gruppnamn | Aktörens gruppnamn. För mer information, gå till Filtrera resultat efter Google-grupp . Så här lägger du till en grupp i din tillåtelselista för filtreringsgrupper:
|
| Aktörens organisatoriska enhet | Aktörens organisatoriska enhet |
| Applikations-ID | Identifierare för applikationen |
| Applikations SHA-256-hash | För apprelaterade händelser, SHA-256-hashen för applikationspaketet (endast Android) |
| Applikationens tillstånd | Om applikationen är installerad, avinstallerad eller uppdaterad |
| Datum | Datum och tid för händelsen (visas i din webbläsares standardtidszon) |
| Enhetens efterlevnadsstatus | Om enheten följer din organisations policyer En enhet markeras som inte kompatibel om den:
Exempel : Användarens Nexus 6P följer inte angivna policyer eftersom enheten inte följer lösenordspolicyn. |
| Enhetens komprometterade tillstånd | Om enheten är komprometterad. Enheter kan bli komprometterade om de är rootade eller jailbreakade – processer som tar bort begränsningar på en enhet. Komprometterade enheter kan vara ett potentiellt säkerhetshot. Systemet registrerar en post varje gång en användares enhet komprometteras eller inte längre komprometteras. Exempel : Användarens Nexus 5 har blivit komprometterad. |
| Enhets-ID | Identifierare för den enhet som händelsen inträffade på |
| Enhetsmodell | Enhetens modell |
| Enhetsägare | Ägaren av enheten |
| Ägarskap av enhet | Om ägarskapet till enheten har ändrats Till exempel ändrades en personlig enhet till företagsägd efter att dess uppgifter importerades till administratörskonsolen. Denna granskning sker omedelbart efter att en företagsägd enhet har lagts till i administratörskonsolen. Om en företagsägd enhet tas bort från administratörskonsolen sker granskningen vid nästa synkronisering (efter att den har registrerats om för hantering). Exempel : Ägarskapet för användarens Nexus 5 har ändrats till företagsägt, med nytt enhets-ID abcd1234. |
| Enhetsegenskap | Information om enheten, såsom enhetsmodell , serienummer , eller WiFi MAC-adress |
| Enhetsinställning | Enhetsanvändaren har ändrat inställningarna för utvecklaralternativ, okända källor, USB-felsökning eller verifiering av appar på sin enhet. Den här händelsen spelas in nästa gång enheten synkroniseras. Exempel : Verifiera att appar har ändrats från av till på av användaren på Nexus 6P. |
| Enhetstyp | Typ av enhet som händelsen inträffade på, till exempel Android eller Apple iOS |
| Domän* | Domänen där åtgärden inträffade |
| Händelse | Den loggade händelseåtgärden, till exempel uppdatering av enhetsoperativsystemet eller enhetssynkroniseringshändelse |
| Misslyckade lösenordsförsök* | Antalet misslyckade försök av en användare att låsa upp en enhet En händelse genereras endast om det finns fler än 5 misslyckade försök att låsa upp en användares enhet. Exempel : Fem misslyckade försök att låsa upp användarens Nexus 7 |
| iOS-leverantörs-ID | Identifierare för iOS-leverantören |
IP-ASN Du måste lägga till den här kolumnen i sökresultaten. För stegen, gå till Hantera kolumndata för sökresultat . | IP-nummer för autonomt system (ASN), underavdelning och region som är associerad med loggposten. För att granska IP-ASN och underavdelnings- och regionkod där aktiviteten inträffade klickar du på namnet i sökresultaten. |
| Nytt enhets-ID | Identifierare för den nya enheten |
| OS-egenskap | Information om operativsystemet, såsom versionsnummer , operativsystemversion , eller säkerhetsuppdatering |
| Registreringsbehörighet | Användarens roll för en enhet, till exempel Enhetsägare eller Enhetsadministratör |
| Resurs-ID | Unik identifierare för enheten |
| Serienummer | Enhetens serienummer Så här visar du serienumret för datorer:
|
| Användarens e-postadress | Enhetsanvändarens e-postadress |
* Du kan inte skapa rapporteringsregler med dessa filter. Läs mer om rapporteringsregler kontra aktivitetsregler .
Obs ! Om du har gett en användare ett nytt namn kommer du inte att se frågeresultat med användarens gamla namn. Om du till exempel byter namn på GammaltNamn@example.com till NyttNamn@example.com kommer du inte att se resultat för händelser relaterade till GammaltNamn@example.com .
Hantera logghändelsedata
Hantera data i sökresultatskolumnen
Du kan styra vilka datakolumner som visas i dina sökresultat.
- Klicka på Hantera kolumner längst upp till höger i sökresultatstabellen.
. - (Valfritt) Om du vill ta bort aktuella kolumner klickar du på Ta bort .
- (Valfritt) För att lägga till kolumner, klicka på nedåtpilen bredvid Lägg till ny kolumn
och välj datakolumnen.
Upprepa vid behov. - (Valfritt) Om du vill ändra ordningen på kolumnerna drar du datakolumnnamnen.
- Klicka på Spara .
Exportera sökresultatdata
Du kan exportera sökresultat till Kalkylark eller till en CSV-fil.
- Klicka på Exportera alla högst upp i sökresultatstabellen.
- Ange ett namn klicka på Exportera .
Exporten visas under sökresultatstabellen under Exportera åtgärdsresultat . - För att visa informationen klickar du på exportens namn.
Exporten öppnas i Kalkylark.
Exportgränserna varierar:
- Det totala resultatet av exporten är begränsat till 100 000 rader.
- Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva
Om du har verktyget för säkerhetsundersökning är det totala resultatet av exporten begränsat till 30 miljoner rader.
För mer information, gå till Exportera sökresultat .
När och hur länge är data tillgängliga?
Gå till Datalagring och fördröjningstider .
Vidta åtgärder baserat på sökresultat
Skapa aktivitetsregler och konfigurera aviseringar
- Du kan konfigurera aviseringar baserade på logghändelsedata med hjälp av rapporteringsregler. För instruktioner, gå till Skapa och hantera rapporteringsregler .
- Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva
För att effektivt förebygga, upptäcka och åtgärda säkerhetsproblem kan du automatisera åtgärder i säkerhetsundersökningsverktyget och ställa in aviseringar genom att skapa aktivitetsregler . För att konfigurera en regel, ställ in villkor för regeln och ange sedan de åtgärder som ska utföras när villkoren är uppfyllda. För mer information, gå till Skapa och hantera aktivitetsregler .
Vidta åtgärder baserat på sökresultat
Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva
När du har kört en sökning i säkerhetsutredningsverktyget kan du agera utifrån dina sökresultat. Du kan till exempel köra en sökning baserat på Gmail-logghändelser och sedan använda verktyget för att ta bort specifika meddelanden, skicka meddelanden till karantän eller skicka meddelanden till användarnas inkorgar. För mer information, gå till Vidta åtgärder baserat på sökresultat .
Hantera dina utredningar
Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva
Visa din lista över utredningar
Om du vill se en lista över de utredningar som du äger och som delats med dig klickar du på Visa utredningar 
Utredningslistan innehåller namn, beskrivningar och ägare till utredningarna, samt datum för senaste ändring.
Från den här listan kan du vidta åtgärder för alla utredningar som du äger, till exempel att ta bort en utredning. Markera rutan för en utredning och klicka sedan på Åtgärder .
Obs ! Du kan se dina sparade undersökningar under Snabbåtkomst , direkt ovanför din lista över undersökningar.
Konfigurera inställningar för dina undersökningar
Som superadministratör klickar du på Inställningar 
till:
- Ändra tidszonen för dina undersökningar. Tidszonen gäller för sökvillkor och resultat.
- Aktivera eller inaktivera Kräv granskare . För mer information, gå till Kräv granskare för massåtgärder .
- Aktivera eller inaktivera Visa innehåll . Den här inställningen tillåter administratörer med lämpliga behörigheter att visa innehåll.
- Slå på eller av Aktivera åtgärdsjustering .
För mer information, gå till Konfigurera inställningar för dina undersökningar .
Spara, dela, radera och duplicera undersökningar
För att spara dina sökkriterier eller dela dem med andra kan du skapa och spara en undersökning och sedan dela, duplicera eller ta bort den.
För mer information, gå till Spara, dela, ta bort och duplicera undersökningar .