Eventos de registro de Drive

Para buscar los eventos de registro, primero debes elegir una fuente de datos. Luego, elige uno o más filtros para la búsqueda.

1. En la Consola del administrador de Google, ve a Menú Informes Investigación y auditoría Eventos de registro de Drive.

   Ir a Eventos de registro de Drive

   Es necesario tener el privilegio de administrador de Auditoría e investigación.

2. Para filtrar los eventos que ocurrieron antes o después de una fecha específica, en Fecha, selecciona Antes de o Después de. De forma predeterminada, se muestran los eventos de los últimos 7 días. Puedes seleccionar otro período o hacer clic en para quitar el filtro de fecha.

3. Haz clic en Agregar un filtro selecciona un atributo. Por ejemplo, para filtrar por un tipo de evento específico, selecciona Evento.
4. Selecciona un operador selecciona un valor haz clic en Aplicar.
   • Si quieres crear varios filtros para la búsqueda, repite este paso (opcional).
   • Para agregar un operador de búsqueda, arriba de Agregar un filtro, selecciona Y o O (opcional).
5. Haz clic en Buscar. Nota: En la pestaña Filtro, puedes incluir pares de parámetros y valores simples para filtrar los resultados de la búsqueda. También puedes usar la pestaña Creador de condiciones, en la que los filtros se representan como condiciones con operadores Y/O.

Para realizar una búsqueda en la herramienta de investigación de seguridad, primero elige una fuente de datos. Luego, elige una o más condiciones para tu búsqueda. Para cada condición, elige un atributo, un operador y un valor.

1. En la Consola del administrador de Google, ve a Menú Seguridad Centro de seguridad Herramienta de investigación.

   Ir a la Herramienta de investigación

   Es necesario tener el privilegio de administrador del Centro de seguridad.

2. Haz clic en Fuente de datos y selecciona Eventos de registro de Drive.

3. Para filtrar los eventos que ocurrieron antes o después de una fecha específica, en Fecha, selecciona Antes de o Después de. De forma predeterminada, se muestran los eventos de los últimos 7 días. Puedes seleccionar otro período o hacer clic en para quitar el filtro de fecha.

4. Haga clic en Agregar condición.
   Sugerencia: Puedes incluir una o más condiciones en tu búsqueda, o bien personalizarla con consultas anidadas. Para obtener más información, consulta Cómo personalizar tu búsqueda con consultas anidadas.
5. Haz clic en Atributo selecciona una opción. Por ejemplo, para filtrar por un tipo de evento específico, selecciona Evento.
   Para obtener una lista completa de los atributos, consulta la sección Descripciones de los atributos.
6. Selecciona un operador.
7. Ingresa un valor o selecciona uno de la lista.
8. (Opcional) Para agregar más condiciones de búsqueda, repite los pasos.
9. Haz clic en Buscar.
   Puedes revisar los resultados de la búsqueda de la herramienta de investigación en una tabla que se encuentra en la parte inferior de la página.
10. Para guardar tu investigación, haz clic en Guardar ingresa un título y una descripción haz clic en Guardar.

Notas

• En la pestaña Creador de condiciones, los filtros se representan como condiciones con operadores Y/O. También puedes usar la pestaña Filtro para incluir pares sencillos de parámetros y valores para filtrar los resultados de la búsqueda.
• Si le asignas un nombre nuevo a un usuario, no verás los resultados de consultas con el nombre anterior del usuario. Por ejemplo, si cambias el nombre de NombreAnterior@example.com a NombreNuevo@example.com, no verás los resultados de eventos relacionados con NombreAnterior@example.com.
• Solo puedes buscar datos en los mensajes que aún no se hayan borrado de la papelera.

Nota:

• No todos los atributos de la siguiente lista se registran para todos los eventos.
• La siguiente lista no es exhaustiva y está sujeta a cambios. Para obtener más detalles sobre los eventos de registro de Drive, consulta Eventos de actividad de auditoría de Drive en el sitio web del SDK de Admin de Google Workspace.

Nota: Si le asignaste un nombre nuevo a un usuario, no verás los resultados de consultas con el nombre anterior del usuario. Por ejemplo, si cambias el nombre de NombreAnterior@example.com a NombreNuevo@example.com, no verás los resultados de eventos relacionados con NombreAnterior@example.com.

Se registran los archivos que Drive borra automáticamente o que se vacían de la papelera.

Cuando se copia un archivo, se registran los eventos Create y Copy para el archivo nuevo, y se registra un evento Source Copy para el archivo original.

Cuando un usuario ajeno a tu organización copia un archivo a una ubicación externa, tu organización no registra los eventos Crear y Copiar porque el archivo nuevo es externo. Sin embargo, tus registros tienen el evento Source Copy en el archivo original con un Copy Type de External. Para supervisar cuándo se copian datos fuera de tu organización, puedes revisar los eventos de Copia de fuente que tengan un tipo de copia Externa.

Los eventos de impresión no se registran cuando un usuario imprime un archivo abierto en un formato de archivo de Google (Documentos, Hojas de cálculo, Presentaciones, Dibujos y Formularios).

Cuando se imprimen archivos con la app de Drive desde un iPhone o iPad de Apple, o un dispositivo Android, es posible que los eventos de Imprimir se registren como eventos de Descarga.

Se registran la mayoría de las descargas, incluso cuando se copian archivos entre Drive y un dispositivo local con Google Drive para computadoras.

Las siguientes acciones de View se registran como eventos de Download:

• Obtener una vista previa de un archivo en la app de Drive en un dispositivo móvil
• Obtener una vista previa de un archivo, como un PDF, que no se puede abrir directamente en Documentos ni en otras apps de Google
• Enviar un archivo como adjunto en un correo electrónico desde una app de Google, como Documentos

No se registran las descargas de las siguientes fuentes:

• Descargas de Google Takeout (en su lugar, busca Eventos de registro de Takeout)
• Descargas en cachés del navegador sin conexión
• Fotos que se sincronizan con Google Fotos, se descargan de él o se ven con él
• Elementos de Drive que se envían por correo electrónico desde Gmail como archivos adjuntos

Los eventos de contenido de elementos sincronizados se registran en los siguientes casos y están disponibles para la actividad posterior al 1 de julio de 2024:

• Un archivo se sincroniza desde Drive a un dispositivo local con Drive para computadoras. Estos también se registran como eventos de Descarga.
• Se sincroniza un archivo con un dispositivo para el acceso sin conexión, incluidas las sincronizaciones en curso con la versión en línea. Los eventos de contenido de elementos sincronizados con la app de Drive para dispositivos móviles (iOS y Android) se pueden registrar como eventos de Descarga.

Los eventos de recuperación previa del contenido de elementos indican que una app de Google recuperó datos de Drive, pero no se los mostró al usuario de inmediato. Por ejemplo, obtener una vista previa de un archivo en Drive puede generar la recuperación anticipada de archivos cercanos. El contenido está disponible para el usuario si lo necesita más adelante.

Puedes acceder a los archivos en nombre de los usuarios a través de una app que use una API de Google Workspace, como la API de Google Drive o la API de Hojas de cálculo de Google. Estas acciones no se registran como eventos de Descarga o Vista, sino solo como Se accedió al contenido del elemento. Los eventos Se accedió al contenido del elemento de Gemini solo se registran cuando se accede al contenido de un archivo fuera del archivo abierto de un usuario en Drive para la Web.

No se registran los eventos de acceso al contenido de elementos cuando un usuario ve o abre un archivo en Drive para la Web, Drive para dispositivos móviles o la app de Drive para computadoras.

La visualización de archivos con las URLs especiales /htmlview, /embed, /revisions y otras se registra como eventos de View.

Los eventos de URL Accessed se registran cuando una secuencia de comandos de Apps Script accede a una URL, incluso cuando la secuencia de comandos se ejecuta desde el Panel de Apps Script, como un complemento o como una función personalizada en Hojas de cálculo. Los eventos URL Accessed no se registran cuando un usuario hace clic en un vínculo de un archivo.

Los atributos que se registran dependen de cómo se ejecutó la secuencia de comandos y de quién es el propietario:

• Cuando se ejecuta una secuencia de comandos como una función personalizada, el ID del documento y otros atributos relacionados con el documento reflejan la hoja en la que se llamó a la función.
• Cuando una secuencia de comandos no se ejecuta como una función personalizada, no se informan los atributos relacionados con el documento.
• Se informa el ID de secuencia de comandos si el script de Apps Script pertenece a tu organización.

Cuando se llama a una función de importación de Hojas de cálculo que accede a una URL, se registra como un evento de URL de importación de Hojas de cálculo. Se registra un evento cuando el contenido de la hoja se cambia por una actualización automática o cuando un usuario abre la hoja.

Algunos eventos involucran a usuarios, carpetas compartidas o unidades compartidas fuera de tu organización, por ejemplo, cuando un usuario de tu organización comparte un archivo con un usuario externo. Ambas organizaciones registran un evento cuando se cambia la propiedad del elemento de una organización a otra.

Ejemplos de eventos que registran ambos:

• Un elemento de Drive propiedad de un usuario de tu organización se mueve a una unidad compartida externa.
• Se mueve un elemento de Drive que pertenece a un usuario ajeno a tu organización a una unidad compartida que pertenece a tu organización.
• Un usuario copia un archivo dentro o fuera de tu organización. La organización receptora registra el nombre del archivo copiado, no el nombre del archivo original.

Ejemplos de eventos registrados por tu organización, pero no por el dominio externo:

• Un elemento de Drive propiedad de un usuario de tu organización se comparte con un usuario externo.
• Se comparte un elemento de Drive propiedad de un usuario de tu organización con un grupo que permite usuarios externos, incluso si no hay usuarios externos en el grupo.
• Un usuario externo ve, edita, descarga, imprime o borra un elemento de Drive que pertenece a tu organización.
• Un usuario externo sube un archivo a una unidad compartida que pertenece a tu organización.

Los eventos registrados por el dominio externo, pero no por tu organización, son lo contrario de lo que se describe en la sección anterior.

En el caso de los usuarios anónimos (usuarios que no accedieron a una Cuenta de Google), se registran las ediciones y las descargas, pero no las vistas.

Las acciones que realizan los usuarios externos al dominio se muestran como anónimas, excepto cuando el elemento se comparte explícitamente con ellos (como individuos o como parte de un grupo específico).

Los administradores pueden restringir el acceso anónimo y externo configurando políticas de uso compartido de la organización o políticas de reglas de confianza.

Cuando se copian archivos entre Drive y un dispositivo local con Drive para computadoras, se registran los eventos Descargar y Contenido del elemento sincronizado.

Cuando un usuario realiza una búsqueda en Drive o en las APIs públicas de Drive, la búsqueda se registra como un evento de búsqueda de elemento realizada. El evento incluye información sobre los resultados de la búsqueda y la búsqueda del usuario.

Puedes controlar qué columnas de datos aparecen en los resultados de la búsqueda.

1. En la esquina superior derecha de la tabla de resultados de la búsqueda, haz clic en Administrar columnas .
2. Para quitar las columnas actuales, haz clic en Quitar (opcional).
3. Para agregar columnas, junto a Agregar nueva columna, haz clic en la flecha hacia abajo y selecciona la columna de datos (opcional).
   Repite la acción según sea necesario.
4. Para cambiar el orden de las columnas, arrastra los nombres de las columnas de datos (opcional).
5. Haz clic en Guardar.

Puedes exportar los resultados de la búsqueda a Hojas de cálculo o a un archivo CSV.

1. En la parte superior de la tabla de resultados de la búsqueda, haz clic en Exportar todos.
2. Ingresa un nombre haz clic en Exportar.
   La exportación se muestra debajo de la tabla de resultados de la búsqueda en Resultados de la acción de Exportar.
3. Para ver los datos, haz clic en el nombre de tu exportación.
   La exportación se abrirá en Hojas de cálculo.

Los límites de exportación varían:

• La cantidad total de resultados de la exportación se limita a 100,000 filas.
• Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

  Si tienes la herramienta de investigación de seguridad, los resultados totales de la exportación se limitan a 30 millones de filas.

Para obtener más información, consulta Cómo exportar los resultados de la búsqueda.

Consulta los tiempos de demora y de retención de datos.

• Puedes configurar alertas basadas en datos de eventos de registro con reglas de informes. Para obtener instrucciones, consulta Cómo crear y administrar reglas de informes.
• Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

  Para ayudar a prevenir, detectar y corregir problemas de seguridad de manera eficiente, puedes automatizar acciones en la herramienta de investigación de seguridad y configurar alertas creando reglas de actividad. Para configurar una regla, establece las condiciones de la regla y, luego, especifica las acciones que se realizarán cuando se cumplan las condiciones. Para obtener más detalles, consulta Crea y administra reglas de actividad.

Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

Después de realizar una búsqueda en la herramienta de investigación de seguridad, puedes tomar medidas en función de los resultados. Por ejemplo, puedes realizar una búsqueda basada en eventos de registro de Gmail y, luego, usar la herramienta para borrar mensajes específicos, colocarlos en cuarentena o enviarlos a las carpetas Recibidos de los usuarios. Para obtener más detalles, consulta Cómo tomar medidas en función de los resultados de la búsqueda.

Para ver una lista de las investigaciones que te pertenecen y las que se compartieron contigo, haz clic en Ver investigaciones . La lista de investigaciones incluye los nombres, las descripciones y los propietarios de las investigaciones, así como la fecha de la última modificación.

En esta lista, puedes tomar medidas en relación con las investigaciones que te pertenecen, por ejemplo, borrar una investigación. Marca la casilla de una investigación y, luego, haz clic en Acciones.

Nota: Puedes ver las investigaciones guardadas en Acceso rápido, justo arriba de la lista de investigaciones.

Como administrador avanzado, haz clic en Configuración para realizar las siguientes acciones:

• Cambiar la zona horaria de tus investigaciones La zona horaria se aplica a las condiciones y los resultados de la búsqueda.
• Activa o desactiva la opción Require reviewer. Para obtener más detalles, consulta Cómo solicitar revisores para acciones masivas.
• Activa o desactiva la opción Ver contenido. Este parámetro de configuración permite que los administradores con los privilegios adecuados vean el contenido.
• Activa o desactiva la opción Habilitar la justificación de la acción.

Para obtener más detalles, consulta Cómo configurar los parámetros de configuración de tus investigaciones.

Para guardar tus criterios de búsqueda o compartirlos con otras personas, puedes crear y guardar una investigación, y, luego, compartirla, duplicarla o borrarla.

Para obtener más información, consulta Cómo guardar, compartir, borrar y duplicar investigaciones.