אירועים ביומן של Drive

צפייה בפעילות משתמשים בקבצים ב-Google Drive

יש מהדורות Google Workspace שבהן אדמינים מקבלים גישה לכלי לחקירת אבטחה, שכולל תכונות מתקדמות יותר. לדוגמה, סופר-אדמינים כולים לזהות בעיות אבטחה ופרטיות, לקבוע מה הדחיפות שלהן ולטפל בהן. מידע נוסף

אדמינים בארגונים יכולים להריץ חיפושים על אירועים ביומן של Drive ולבצע פעולות בהתאם. לדוגמה, הם יכולים לראות תיעוד של פעולות שהמשתמשים בארגון ביצעו ב-Drive. האירועים ביומן כוללים תוכן שהמשתמשים שלכם יוצרים ב-Google Docs, ב-Sheets, ב-Slides ובאפליקציות אחרות של Google Workspace, ותוכן שהמשתמשים מעלים ל-Drive כמו מסמכי PDF וקבצים של Microsoft Word.

אתם יכולים להשתמש ב-Activity API כדי לגשת לנתוני דוחות בסיסיים. אם במהדורת Google Workspace שלכם יש תמיכה ב-Reports API, אתם יכולים להשתמש בו כדי לגשת לנתוני דוחות מתקדמים של Google Workspace.

חשוב לדעת:

  • לא כל הפעילויות ב-Drive נרשמות ביומן. מידע בנושא אפשר לראות ברשימת האירועים שנרשמים ביומן של Classroom.
  • מידע לגבי מתי נתונים נעשים זמינים וכמה זמן הם נשמרים מופיע במאמר בנושא שמירת נתונים וזמני השהיה.
  • רוב האירועים ב-Drive שמצריכים בדיקה נרשמים ביומן רק במקרים של קבצים שבבעלות משתמשים עם מהדורות נתמכות. אבל, אירועים שניגשים אליהם באמצעות כתובת URL נרשמים ביומן כשמשתמש מהארגון שלכם עם מהדורה נתמכת, מריץ סקריפט של Google Apps Script שניגש לכתובת URL.

בדף הזה

היכולת שלכם להריץ חיפוש תלויה במהדורת Google שלכם, בהרשאות האדמין שיש לכם ובמקור הנתונים. אתם יכולים להריץ חיפוש על כל המשתמשים, ללא קשר למהדורת Google Workspace שלהם.

כלי הביקורת והחקירה

כדי להריץ חיפוש של אירועים ביומן, צריך קודם לבחור מקור נתונים. לאחר מכן צריך לבחור מסנן אחד או יותר לחיפוש.

  1. במסוף Google Admin, נכנסים לתפריט ואז דיווח ואז ביקורת וחקירה ואז אירועים ביומן של Drive.

    כדי לעשות את זה צריך הרשאות אדמין לביקורת וחקירה.

  2. כדי לסנן אירועים שהתרחשו לפני או אחרי תאריך מסוים, בוחרים באפשרות לפני או אחרי בקטע תאריך. כברירת מחדל, מוצגים אירועים מ-7 הימים האחרונים. אפשר לבחור טווח תאריכים אחר או ללחוץ על כדי להסיר את מסנן התאריכים.

  3. לוחצים על הוספת מסנן ואז בוחרים מאפיין. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
  4. בוחרים אופרטור ואז בוחרים ערך ואז לוחצים על החלת השינויים.
    • (אופציונלי) כדי ליצור כמה מסננים לחיפוש, חוזרים על השלב הזה.
    • (אופציונלי) כדי להוסיף אופרטור חיפוש, מעל הוספת מסנן, בוחרים באפשרות AND או OR.
  5. לוחצים על חיפוש. הערה: אפשר להשתמש בכרטיסייה מסנן כדי לכלול זוגות פשוטים של פרמטר וערך, ולסנן לפיהם את תוצאות החיפוש. אפשר גם להשתמש בכרטיסייה הכלי להגדרת תנאים, שבה המסננים מיוצגים כתנאים עם אופרטורים של AND/OR.

הכלי לחקירת אבטחה

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

כדי להריץ חיפוש בכלי לחקירת אבטחה, צריך קודם לבחור מקור נתונים. לאחר מכן צריך לבחור תנאי אחד או יותר לחיפוש. לכל תנאי, בוחרים מאפיין, אופרטור וערך.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז מרכז האבטחה ואז כלי חקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. לוחצים על מקור נתונים ובוחרים באפשרות אירועים ביומן של Drive.

  3. כדי לסנן אירועים שהתרחשו לפני או אחרי תאריך מסוים, בוחרים באפשרות לפני או אחרי בקטע תאריך. כברירת מחדל, מוצגים אירועים מ-7 הימים האחרונים. אפשר לבחור טווח תאריכים אחר או ללחוץ על כדי להסיר את מסנן התאריכים.

  4. לוחצים על הוספת תנאי.
    הערה: אפשר לכלול תנאי אחד או יותר בחיפוש, או להתאים אישית את החיפוש באמצעות שאילתות עם היררכיית כללים. מידע נוסף מופיע במאמר בנושא התאמה אישית של חיפושים באמצעות שאילתות עם היררכיית כללים.
  5. לוחצים על מאפיין ואז בוחרים אפשרות. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
    רשימה מלאה של מאפיינים מופיעה בקטע תיאורים של המאפיינים.
  6. בוחרים אופרטור.
  7. מציינים ערך או בוחרים ערך מהרשימה.
  8. (אופציונלי) כדי להוסיף עוד תנאי חיפוש, חוזרים על השלבים.
  9. לוחצים על חיפוש.
    בטבלה שבתחתית הדף אפשר לעיין בתוצאות החיפוש מכלי החקירה.
  10. (אופציונלי) כדי לשמור את החקירה, לוחצים על סמל השמירה ואז מזינים שם ותיאור ואז לוחצים על שמירה.

הערות

  • בכרטיסייה של הכלי להגדרת תנאים, המסננים מיוצגים כתנאים עם האופרטורים AND ו-OR. אפשר גם להשתמש בכרטיסייה של המסננים כדי לכלול זוגות פשוטים של פרמטר וערך ולסנן לפיהם את תוצאות החיפוש.
  • אם תתנו למשתמש שם חדש, לא תראו תוצאות לשאילתות עם השם הישן שלו. לדוגמה, אם תשנו את השם של OldName@example.com ל-NewName@example.com, לא תראו תוצאות לאירועים שקשורים ל-OldName@example.com.
  • אתם יכולים לחפש נתונים רק בהודעות שעדיין לא נמחקו מהאשפה.

תיאורים של המאפיינים

במקור הנתונים הזה, אתם יכולים להשתמש במאפיינים הבאים כשאתם מחפשים נתונים של אירועים ביומן:

מאפיינים לחיפוש נתונים ביומן

הערה:

  • לא כל המאפיינים ברשימה הבאה מדווחים לכל האירועים.
  • הרשימה הבאה חלקית בלבד והיא עשויה להתעדכן מדי פעם. פרטים נוספים על אירועים ביומן של Drive מופיעים במאמר בנושא אירועים ביומן הביקורת של Drive באתר Google Workspace Admin SDK.
מאפיין תיאור
המשתמש

כתובת האימייל של המשתמש שביצע את הפעולה. משתמשים מחוץ לדומיין מוצגים כאנונימיים, אלא אם יש להם הרשאת צפייה או עריכה מפורשת במסמך ששותף איתם (כיחידים או כחלק מקבוצה מסוימת).

הערה: אם למשתמש יש גם כתובת אימייל ראשית וגם כתובת אימייל חלופית, בנתוני האירועים ביומן מתועדת כתובת האימייל הראשית, גם אם האירוע (כמו שיתוף של פריט) התבצע עם הכתובת החלופית.
שם קבוצת המשתמשים

שם הקבוצה של המשתמש. מידע נוסף מופיע במאמר בנושא סינון תוצאות לפי קבוצה ב-Google.

כדי להוסיף קבוצה לרשימת ההיתרים של קבוצות הסינון:

  1. בוחרים את שם הקבוצה של המשתמש.
  2. לוחצים על קבוצות סינון.
    מופיע הדף של קבוצות הסינון.
  3. לוחצים על הוספת קבוצות.
  4. כדי לחפש קבוצה, מזינים את התווים הראשונים של השם או כתובת האימייל של הקבוצה. אם רואים את הקבוצה שרוצים, בוחרים אותה.
  5. כדי להוסיף עוד קבוצה, מחפשים את הקבוצה ובוחרים אותה.
  6. כשמסיימים לבחור קבוצות, לוחצים על הוספה.
  7. (אופציונלי) אם רוצים להסיר קבוצה, לוחצים על סמל הסרת הקבוצה .
  8. לוחצים על שמירה.
היחידה הארגונית של המשתמש היחידה הארגונית שהמשתמש משויך אליה
השיטה של ה-API שיטת ה-API שהפעולה שנבחרה – כמו הורדה או בוצעה גישה לתוכן של פריט דרך אפליקציות צד שלישי – השתמשה בה, למשל, drive.files.export.
מזהה האפליקציה מזהה לקוח OAuth של אפליקציית הצד השלישי שביצעה את הפעולה
שם האפליקציה האפליקציה שביצעה את הפעולה
קהל דומיין היעד במקרים שבהם יומן הביקורת מיועד לשינויים בהרשאות הגישה
ניתן לחיוב (במהדורת Essentials בלבד) אם פעולת המשתמש היא פעילות לחיוב
תאריך

התאריך והשעה שהאירוע התרחש בהם (מוצגים לפי אזור הזמן שמוגדר כברירת מחדל בדפדפן)

הערה: רוב האירועים מתועדים ביומן לאחר שהם הושלמו. יכול לחלוף זמן מה עד שהעלאות גדולות מתועדות ביומן.
מזהה המסמך

מזהה ייחודי לפריט ב-Drive שמשויך לפעילות מסוימת, ששמור בקישור ה-URL של הקובץ

הערה: המאפיין הזה מדווח רק לגבי פעולות מסוימות באירועים מסוג בוצעה גישה לכתובת URL, מזהי מסמכים ושדות נוספים שקשורים לקבצים, כמו סוג המסמך והבעלים שלו. פרטים נוספים זמינים במאמר בנושא בוצעה גישה לכתובת URL.
סוג המסמך הפורמט של הקובץ שקשור לפעילות, לדוגמה: Docs, ‏ Sheets, או Slides, ‏ JPEG, ‏ PDF, ‏ PNG, ‏ MP4, ‏ Microsoft Word, ‏ Excel, ‏ PowerPoint, ‏ txt, ‏ HTML, ‏ MPEG audio, ‏ סרטון QuickTime, תיקייה, או תיקיות אחסון שיתופי
דומיין* הדומיין שבו התרחשה הפעולה
מוצפן* ציון אם הקובץ מוצפן מצד הלקוח
שם האירוע

אירועים כמו צפייה, שינוי שם, יצירה, עריכה, הדפסה, מחיקה, העלאה והורדה

רוב הפעולות מתועדות ביומן מיד. עם זאת, התיעוד של אירועים מסוג הדפסה בכלי לצפייה בקבצים ב-Drive יכול להתעכב ב-12 שעות או יותר מזמן האירוע. קבצים שנמחקים ב-Drive או מרוקנים מהאשפה מתועדים ביומן. אירועים אחרים, כמו העלאת קובץ, מתועדים ביומן לאחר שהפעולה הושלמה.
התחזות

אפליקציה השתמשה בהענקת גישה ברמת הדומיין כדי לבצע בקשה בשם משתמש. הערך TRUE מציין שהאירוע בוצע על ידי המשתמש. אתם יכולים לבדוק את המאפיין משתמש כדי למצוא את כתובת האימייל של המשתמש ואת המאפיינים מזהה האפליקציה ושם האפליקציה כדי לזהות את האפליקציה.

מידע נוסף על הענקת גישה ברמת הדומיין
כתובת IP*

הכתובת שבה המשתמש ביצע את הפעולה. היא יכולה להיות המיקום הפיזי של המשתמש, אבל היא גם יכולה להיות כתובת של שרת proxy או של רשת וירטואלית פרטית (VPN).

לא מתבצע תיעוד ביומן של כתובות IP לאירועים הבאים:

  • אירועים שמשתמשים מחוץ לארגון התחילו
  • אירועים משירותים שאינם מתעדים את כתובת ה-IP בבקשות שלהם
  • אירועים שקשורים לשינוי שם או למחיקה של קבצים מאחסון שיתופי

כתובת IP של ASN

צריך להוסיף את העמודה הזאת לתוצאות החיפוש. השלבים מפורטים במאמר בנושא ניהול עמודות הנתונים של תוצאות החיפוש.

מספר המערכת האוטונומית (ASN) של כתובת ה-IP, חלוקת המשנה והאזור שמשויכים לרשומה ביומן.

כדי לבדוק את ה-ASN של כתובת ה-IP, את חלוקת המשנה ואת קוד האזור שבו התרחשה הפעילות, לוחצים על השם בתוצאות החיפוש.
ערך חדש להרשאות צפייה בפרסום הרשאת גישה חדשה במסמך
ערך חדש* הערך החדש של ההגדרה ששונתה
מזהים של ערכים חדשים* הערך החדש לשדה של התווית
ערך ישן להרשאות צפייה בפרסום הערך הישן של הרשאות הגישה למסמך אם הפעילות היא שינוי בהרשאות הגישה
הערך הקודם* הערך הישן של ההגדרה ששונתה
מזהים של ערכים ישנים* הערך הישן של השדה של התווית
בעלים

המשתמש שהוא הבעלים של הקובץ
חשיפה קודמת הרשאות הגישה הקודמות למסמך במקרה שהרשאות הגישה שונו
נמענים* כתובות האימייל של הנמענים
Resources פרטים על הקבצים, התיקיות או הכללים שמשויכים לפעולה.

כדי לחפש לפי הפרטים האלה, בוחרים באפשרות Resources בתפריט, ואז בוחרים בעמודה מקוננת: Resource ID,‏ Resource title או Resource type.

התוצאות מוצגות בעמודה משאבים. לוחצים על רשומה כדי לפתוח את החלונית פרטי היומן ולראות:
  • מזהה המשאב – המזהה של המשאב
  • שם המשאב – השם של המשאב
  • סוג המשאב – קטגוריית המשאב (למשל Google Drive, אימייל או כלל)
  • יחס המשאב – הקשר שבין המשאב לאירוע
  • תווית המשאבתוויות הסיווג שהוחלו על המשאב
  • שדה התווית של המשאב – השדות הספציפיים וסוגי הנתונים בתוך תווית

אם מייצאים את המידע לקובץ CSV (ערכים מופרדים בפסיקים) או ל-Google Sheets, המידע נשמר כיחידת טקסט אחת בתוך תא.
תווית משאב פרטים על תוויות הסיווג שהוקצו למשאב.

כדי לחפש לפי המידע הזה, בוחרים באפשרות תווית משאב בתפריט, ואז בוחרים בעמודה מקוננת: מזהה תווית משאב או שם תווית משאב.

התוצאות מוצגות בעמודה משאבים. לוחצים על רשומה כדי לפתוח את החלונית פרטי היומן.
שדה התווית של המשאב פרטים על השדות הספציפיים בתווית סיווג.

כדי לחפש לפי השדות האלה, בוחרים באפשרות שדה התווית של המשאב בתפריט, ואז בוחרים עמודה מקוננת: מזהה שדה התווית, שם שדה התווית או סוג שדה התווית.

התוצאות מוצגות בעמודה משאבים. לוחצים על רשומה כדי לפתוח את החלונית פרטי היומן.
הערך של שדה התווית של המשאב פרטים על הנתונים שהוזנו בשדה תווית ספציפי.

כדי לחפש לפי הערכים האלה, בוחרים באפשרות ערך של שדה תווית משאב בתפריט, ואז בוחרים עמודה מקוננת: תאריך, מספר, בחירה, רשימת בחירה, טקסט, משתמש או רשימת משתמשים.

התוצאות מוצגות בעמודה משאבים. לוחצים על רשומה כדי לפתוח את החלונית פרטי היומן.
מזהה האחסון השיתופי מזהה Drive של האחסון השיתופי שמכיל את הקובץ. אם הקובץ לא נכלל באחסון שיתופי, השדה הזה לא מאוכלס.
Target המשתמש שהגישה שלו שונתה
Title שם המסמך
חשיפה הרשאות הגישה לפריט ב-Drive שקשור לפעילות
שינוי הרשאות הגישה הרשאות הגישה לפריט ב-Drive לפני הפעילות
מבקר הערך כן מציין שהפעילות בוצעה על ידי משתמש בלי חשבון Google. הערך לא מציין שהפעילות בוצעה על ידי משתמש Google. מידע נוסף על שיתוף מסמכים עם מבקרים
* אי אפשר ליצור כללי דיווח עם המסננים האלה. למידע נוסף על כללי דיווח לעומת כללי פעילות

הערה: אם נתתם למשתמש שם חדש, לא יוצגו תוצאות של שאילתות עם השם הישן שלו. לדוגמה, אם אתם משנים את השם של OldName@example.com ל-NewName@example.com, לא תראו תוצאות לאירועים שקשורים ל-OldName@example.com.

צפייה בקבצים ששותפו עם גורמים מחוץ לדומיין

דף הביקורת והחקירה

  1. פותחים את האירועים ביומן כמו שמתואר בקטע הרצת חיפוש לאירועים ביומן.
  2. לוחצים על הוספת מסנן ואז הרשאות גישה ואז בוחרים באפשרות קבצים ששותפו עם גורמים מחוץ לארגון.
  3. לוחצים על חיפוש.

אם משביתים את השיתוף מחוץ לדומיין ומשתמש משתף מקור מידע עם קבוצה שמקבלת משתמשים חיצוניים, הנתונים מסומנים כשותף מחוץ לדומיין ביומן. משתמשים חיצוניים בקבוצה לא יוכלו לגשת למקורות המידע ששותפו. בנוסף, אתם תראו את השיתוף גם אם אין בקבוצה משתמשים חיצוניים.

הכלי לחקירת אבטחה

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז מרכז האבטחה ואז כלי חקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. לוחצים על מקור נתונים ואז בוחרים באפשרות אירועים ביומן של Drive.
  3. לוחצים על הוספת תנאי.
  4. לוחצים על מאפיין ואז בוחרים באפשרות הרשאות גישה.
  5. לוחצים על Contains (מכיל) ואז בוחרים באפשרות Is (הוא).
  6. לוחצים על הרשאות גישה ואז בוחרים באפשרות שותף מחוץ לדומיין.
  7. לוחצים על חיפוש.
    בטבלה שבתחתית הדף אפשר לעיין בתוצאות החיפוש מכלי החקירה.

אם משביתים את השיתוף מחוץ לדומיין ומשתמש משתף מקור מידע עם קבוצה שמקבלת משתמשים חיצוניים, הנתונים מסומנים כשותף מחוץ לדומיין ביומן. משתמשים חיצוניים בקבוצה לא יוכלו לגשת למקורות המידע ששותפו. בנוסף, אתם תראו את השיתוף גם אם אין בקבוצה משתמשים חיצוניים.

אירועים שמתועדים ושלא מתועדים ביומן

מחיקה

קבצים שהמערכת מוחקת באופן אוטומטי ב-Drive או מרוקנת אותם מהאשפה מתועדים ביומן.

העתקה

כשמעתיקים קובץ, האירועים יצירה והעתקה יתועדו ביומן לגבי הקובץ החדש, והאירוע העתקת המקור יתועד לגבי הקובץ המקורי.

כשמשתמש מחוץ לארגון מעתיק קובץ למיקום חיצוני, האירועים יצירה והעתקה לא מתועדים בארגון כי הקובץ החדש מחוץ לארגון. יחד עם זאת, האירוע העתקת המקור יתועד ביומן לגבי הקובץ המקורי, והמאפיין סוג ההעתקה יצוין בתור מחוץ לארגון. כדי לעקוב אחרי נתונים שמועתקים מחוץ לארגון, אפשר לבדוק אירועים מסוג העתקת המקור שסוג ההעתקה שלהם הוא מחוץ לארגון.

הדפסה

אירועים מסוג הדפסה לא מתועדים אם המשתמש מדפיס קובץ שנפתח בפורמט קובץ של Google‏ (קבצים ב-Docs,‏ Sheets,‏ Slides,‏ Drawings‏ או Forms).

אם מדפיסים קבצים דרך אפליקציית Drive מאייפון או אייפד של אפל או ממכשיר Android, אירועים מסוג הדפסה עשויים להיות מתועדים ביומן כאירועי הורדה.

הורדה

רוב ההורדות מתועדות ביומן, כולל מקרים שבהם הקבצים מועתקים בין Drive למכשיר מקומי באמצעות "Google Drive לשולחן העבודה".

הפעולות הבאות מסוג צפייה מתועדות ביומן כאירועים מסוג הורדה:

  • הצגת תצוגה מקדימה של קובץ באפליקציית Drive במכשיר נייד
  • הצגת תצוגה מקדימה של קובץ (כמו PDF), שאי אפשר לפתוח ישירות ב-Docs או באפליקציות אחרות של Google
  • שליחת קובץ כקובץ מצורף לכתובת אימייל מאפליקציה של Google, כמו Docs

ביומן לא מתועדות הורדות מהמקורות הבאים:

  • הורדות של Google Takeout (מידע בנושא זמין במאמר אירועים ביומן של Takeout)
  • הורדות למטמונים אופליין של דפדפנים
  • תמונות שסונכרנו עם Google Photos, הורדו ממנה או נפתחו באמצעותה
  • פריטים ב-Drive שנשלחים באימייל מ-Gmail כקבצים מצורפים

המסמך סונכרן

אירועים מסוג "המסמך סונכרן" מתועדים ביומן במקרים הבאים, והם זמינים במקרים שהפעילות בוצעה לאחר 1 ביולי 2024:

  • קובץ שמסונכרן מ-Drive למכשיר מקומי באמצעות "Drive לשולחן העבודה". פעולות כאלו מתועדות ביומן גם כאירועים מסוג הורדה.
  • קובץ שמסונכרן למכשיר לצורך קבלת גישה אופליין, כולל במקרים של סנכרון מתמשך עם גרסת האונליין. אירועים שבהם המסמך סונכרן לאפליקציית Drive לנייד (Android או iOS) עשויים להיות מתועדים ביומן כאירועים מסוג הורדה.

התוכן של הפריט נשלף מראש (prefetched)

אירועים שבהם התוכן של הפריט נשלף מראש מציינים שאפליקציית Google אחזרה נתונים מ-Drive אבל לא הציגה אותם מיד למשתמש. למשל, תצוגה מקדימה של קובץ ב-Drive יכולה להוביל לשליפה מראש של קבצים שקרובים אליו. התוכן זמין למשתמש אם הוא יצטרך אותו אחר כך.

בוצעה גישה לתוכן של פריט

אתם יכולים לגשת לקובץ בשם המשתמשים דרך אפליקציה שמשתמשת בממשק API של Google Workspace, כמו Google Drive API או Google Sheets API. הפעולות האלה לא מתועדות ביומן כאירועים מסוג הורדה או צפייה, אלא רק כאירועים מסוג בוצעה גישה לתוכן של פריט. אירועים מסוג בוצעה גישה לתוכן של פריט ב-Gemini מתועדים ביומן רק אם הגישה לתוכן של הקובץ בוצעה מחוץ לקובץ הפתוח של המשתמש ב-Drive באינטרנט.

אירועים מסוג "בוצעה גישה לתוכן של פריט" לא מתועדים ביומן אם הקובץ נצפה או נפתח על ידי משתמש ב-Drive באינטרנט, ב-Drive בנייד או באפליקציית "Drive לשולחן העבודה".

הצגה

צפייה בקבצים באמצעות ‎/htmlview,‏ ‎/embed,‏ ‎/revisions וכתובת URL מיוחדות נוספות מתועדות ביומן כאירועים מסוג צפייה.

בוצעה גישה לכתובת URL

אירועים מסוג בוצעה גישה לכתובת URL מתועדים ביומן כשסקריפט ב-Apps Script מבצע גישה לכתובת URL, כולל אם הרצת הסקריפט מתבצעת ממרכז הבקרה של Apps Script, אם הוא מופעל כתוסף או כפונקציה מותאמת אישית ב-Sheets. אירועים מסוג בוצעה גישה לכתובת URL לא מתועדים ביומן אם המשתמש לוחץ על קישור בקובץ.

המאפיינים שמדווחים תלויים באופן הרצת הסקריפט ובבעלים שלו:

  • אם מריצים את הסקריפט כפונקציה מותאמת אישית, מזהה המסמך ומאפיינים אחרים שקשורים למסמך משקפים את הגיליון שבו הפונקציה הופעלה.
  • אם לא מריצים את הסקריפט כפונקציה מותאמת אישית, לא יהיה דיווח על מאפיינים שקשורים למסמך.
  • יהיה דיווח על מזהה הסקריפט אם הסקריפט ב-Apps Script הוא בבעלות הארגון.

כתובת URL של Sheets לייבוא

הפעלת פונקציית ייבוא ב-Sheets, שכוללת גישה לכתובת URL, מתועדת ביומן כאירוע מסוג כתובת URL של Sheets לייבוא. האירוע מתועד כשהתוכן בגיליון משתנה באמצעות רענון אוטומטי או כשהמשתמש פותח את הגיליון.

אירועים שמעורבים בהם דומיינים חיצוניים

בחלק מהאירועים מעורבים משתמשים, תיקיות משותפות או תיקיות אחסון שיתופי שהם חיצוניים לארגון. לדוגמה, כשמשתמש בארגון משתף קובץ עם משתמש חיצוני. בשני הארגונים מתועד ביומן אירוע כשיש שינוי בבעלות של הפריט מארגון אחד לשני.

דוגמאות לאירועים שמתועדים ביומן בשני הארגונים:

  • פריט ב-Drive שנמצא בבעלות של משתמש בארגון מועבר לאחסון שיתופי מחוץ לארגון.
  • פריט ב-Drive שנמצא בבעלות של משתמש מחוץ לארגון מועבר לאחסון שיתופי בבעלות של הארגון.
  • משתמש מעתיק קובץ אל הארגון או מהארגון. באורגן שהקובץ מועתק אליו מתועד ביומן השם של הקובץ המועתק, ולא השם של הקובץ המקורי.

דוגמאות לאירועים שמתועדים ביומן על ידי הארגון, אבל לא בדומיין החיצוני:

  • פריט ב-Drive שבבעלות של משתמש בארגון משותף עם משתמש חיצוני.
  • פריט ב-Drive שבבעלות של משתמש בארגון משותף עם קבוצה שמאפשרת הצטרפות של משתמשים חיצוניים, גם אם בפועל אין משתמשים חיצוניים בקבוצה.
  • משתמש חיצוני מבצע פעולות של צפייה, עריכה, הורדה, הדפסה או מחיקה בפריט ב-Drive שנמצא בבעלות של הארגון.
  • משתמש חיצוני מעלה קובץ לאחסון שיתופי שנמצא בבעלות של הארגון.

אירועים שמתועדים ביומן בדומיין החיצוני אבל לא בארגון הם מקרים הפוכים למקרים שתוארו בקטע הקודם.

משתמשים חיצוניים ואנונימיים

פעולות עריכה והורדה שבוצעו על ידי משתמשים אנונימיים (משתמשים שלא בוצעו כניסה לחשבון Google) מתועדות ביומן, אבל פעולות צפייה לא.

פעולות שבוצעו על ידי משתמשים מחוץ לדומיין מוצגות כפעולות של משתמשים אנונימיים, אלא אם הפריט שותף איתם באופן מפורש (כמשתמשים יחידים או כחלק מקבוצה מסוימת).

אדמינים יכולים להגביל את הגישה של משתמשים אנונימיים וחיצוניים על ידי הגדרת מדיניות שיתוף או כללים להרשאות שיתוף בארגון.

Drive לשולחן העבודה

אם הקבצים מועתקים מ-Drive למכשיר מקומי באמצעות "Drive לשולחן העבודה", יתועדו ביומן אירועים מסוג הורדה והמסמך סונכרן.

חיפוש פעילויות

כשהמשתמש מבצע חיפוש ב-Drive או בממשקי API ציבוריים של Drive, החיפוש מתועד ביומן כאירוע מסוג בוצע חיפוש פריט. האירוע כולל מידע על תוצאות החיפוש ועל שאילתת החיפוש של המשתמש.

ניהול נתוני האירועים ביומן

ניהול עמודות הנתונים של תוצאות החיפוש

אתם יכולים לקבוע אילו עמודות נתונים יופיעו בתוצאות החיפוש.

  1. בפינה השמאלית העליונה של טבלת תוצאות החיפוש, לוחצים על הסמל לניהול העמודות .
  2. (אופציונלי) כדי להסיר עמודות שמוצגות כרגע, לוחצים על סמל ההסרה .
  3. (אופציונלי) כדי להוסיף עמודות, לצד הוספת עמודה חדשה לוחצים על החץ למטה ובוחרים את עמודת הנתונים.
    חוזרים על הפעולה לפי הצורך.
  4. (אופציונלי) כדי לשנות את סדר העמודות, גוררים את השמות של עמודות הנתונים.
  5. לוחצים על שמירה.

ייצוא נתונים של תוצאות חיפוש

אתם יכולים לייצא את תוצאות החיפוש ל-Sheets או לקובץ CSV.

  1. בחלק העליון של טבלת תוצאות החיפוש, לוחצים על ייצוא של הכול.
  2. מזינים שם ואז לוחצים על ייצוא.
    קובץ הייצוא מוצג מתחת לטבלת תוצאות החיפוש בקטע ייצוא התוצאות של פעולה.
  3. כדי לראות את הנתונים, לוחצים על שם הייצוא.
    הייצוא נפתח ב-Sheets.

מגבלות הנתונים שאפשר לייצא משתנות לפי:

  • מספר השורות הכולל של התוצאות שאתם יכולים לייצא מוגבל ל-100,000 שורות.
  • התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

    אם אתם משתמשים בכלי לחקירת אבטחה, אתם יכולים לייצא עד 30 מיליון שורות של תוצאות סה"כ.

מידע נוסף מופיע במאמר בנושא ייצוא תוצאות חיפוש.

מתי הנתונים נעשים זמינים ולמשך כמה זמן הם נשמרים?

טיפול באירועים על סמך תוצאות החיפוש

יצירת כללי פעילות והגדרת התראות

  • אפשר להגדיר התראות על סמך נתוני אירועים ביומן באמצעות כללי דיווח. הוראות מופיעות במאמר בנושא יצירה וניהול של כללי דיווח.
  • התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

    כדי לסייע במניעה, זיהוי ותיקון יעילים של בעיות אבטחה, אפשר להפוך פעולות לאוטומטיות בכלי חקירת האבטחה ולהגדיר התראות על ידי יצירת כללי פעילות. כדי להגדיר כלל, מגדירים תנאים לכלל ואז מציינים את הפעולות שצריך לבצע כשהתנאים מתקיימים. פרטים נוספים מופיעים במאמר בנושא יצירה וניהול של כללי פעילות.

טיפול באירועים על סמך תוצאות החיפוש

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

אחרי שמריצים חיפוש בכלי לחקירת אבטחה, אפשר לבצע פעולות על סמך תוצאות החיפוש. לדוגמה, אפשר להריץ חיפוש שמבוסס על אירועים ביומן ב-Gmail, ואז להשתמש בכלי כדי למחוק הודעות ספציפיות, לשלוח הודעות להסגר או לשלוח הודעות לתיבות הדואר הנכנס של המשתמשים. פרטים נוספים מופיעים במאמר בנושא טיפול באירועים על סמך תוצאות החיפוש.

ניהול החקירות

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

צפייה ברשימת החקירות

כדי לראות את רשימת החקירות שבבעלותכם וששותפו איתכם, אתם יכולים ללחוץ על "צפייה בפרטי החקירות" . רשימת החקירות כוללת את השמות, התיאורים והבעלים של החקירות, ואת התאריך שבו בוצע השינוי האחרון.

מהרשימה הזו אפשר לבצע פעולות בחקירות שבבעלותכם, למשל למחוק חקירה. מסמנים את התיבה של החקירה ולוחצים על פעולות.

הערה: אפשר לראות את החקירות השמורות בקטע גישה מהירה, ממש מעל רשימת החקירות.

קביעת ההגדרות של החקירות

אתם יכולים להתחבר בתפקיד סופר-אדמין, וללחוץ על סמל ההגדרות כדי:

  • לשנות את אזור הזמן של החקירות. אזור הזמן חל על תנאי החיפוש ועל התוצאות.
  • להפעיל או להשבית את האפשרות דרישה לבודק פעולות. פרטים נוספים מופיעים בקטע דרישה לבודקים בשביל פעולות בכמות גדולה.
  • להפעיל או להשבית את ההגדרה צפייה בתוכן. ההגדרה הזו מאפשרת לאדמינים עם ההרשאות המתאימות לצפות בתוכן.
  • להפעיל או להשבית את ההגדרה יש להזין נימוק לפעולות לפני ביצוע.

פרטים נוספים מופיעים בקטע קביעת הגדרות של החקירות.

שמירה, שיתוף, מחיקה ושכפול של חקירות

כדי לשמור את הקריטריונים של החיפוש או לשתף אותם עם אחרים, אתם יכולים ליצור ולשמור חקירה, ואז לשתף, לשכפל או למחוק אותה.

פרטים נוספים מופיעים במאמר בנושא שמירה, שיתוף, מחיקה ושכפול של חקירות.


Google‏, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.