Événements de journaux Drive

Afficher l'activité des fichiers Google Drive des utilisateurs

En fonction de votre édition Google Workspace, vous pouvez avoir accès à l'outil d'investigation de sécurité, qui offre des fonctionnalités plus avancées. Par exemple, les super-administrateurs peuvent identifier, trier et prendre les mesures adéquates concernant les problèmes de confidentialité et de sécurité. En savoir plus

En tant qu'administrateur de votre organisation, vous pouvez effectuer des recherches sur les événements de journaux Drive et agir en conséquence. Par exemple, vous pouvez consulter un récapitulatif des actions effectuées par les utilisateurs de votre organisation dans Drive. Les événements de journaux Drive incluent les contenus que vos utilisateurs ont créés dans Google Docs, Sheets, Slides et d'autres applications Google Workspace, ainsi que ceux qu'ils ont importés dans Drive, comme les fichiers PDF et Microsoft Word.

L'API Activity vous permet d'accéder aux données de base des rapports. Si votre édition Google Workspace le permet, vous pouvez utiliser l'API Reports pour accéder aux données avancées des rapports Google Workspace.

Important :

  • Toutes les activités dans Drive ne sont pas consignées. Pour obtenir la liste des éléments inclus, consultez Événements enregistrés ou non.
  • Pour savoir à quel moment les données deviennent disponibles et connaître leur durée de conservation, consultez Conservation des données et temps de latence.
  • La plupart des événements d'audit Drive ne sont consignés que pour les fichiers qui appartiennent aux utilisateurs disposant d'éditions compatibles. Toutefois, les événements "URL consultée" sont consignés lorsque l'utilisateur qui lance un script Google Apps Script accédant à une URL fait partie de votre organisation et possède une édition compatible.

 Sur cette page

Votre capacité à effectuer une recherche dépend de votre édition Google, de vos droits d'administrateur et de la source de données. Vous pouvez lancer une recherche sur tous les utilisateurs, quelle que soit leur édition de Google Workspace.

Outil d'audit et d'investigation

Pour exécuter une recherche portant sur les événements de journaux, choisissez d'abord une source de données. Sélectionnez ensuite un ou plusieurs filtres pour votre recherche.

  1. Dans la console d'administration Google, accédez à Menu  puis Création de rapports puisAudit et enquête puisÉvénements de journaux Drive.

    Vous devez disposer du droit d'administrateur Audit et enquête.

  2. Pour filtrer les événements qui se sont produits avant ou après une date spécifique, sélectionnez Avant ou Après dans Date. Par défaut, les événements des sept derniers jours sont affichés. Vous pouvez sélectionner une autre plage de dates ou cliquer sur  pour supprimer le filtre de date.

  3. Cliquez sur Ajouter un filtre puis sélectionnez un attribut. Par exemple, pour filtrer par type d'événement spécifique, sélectionnez Événement.
  4. Sélectionnez un opérateur puissélectionnez une valeur puiscliquez sur Appliquer.
    • (Facultatif) Pour créer plusieurs filtres pour votre recherche, répétez cette étape.
    • (Facultatif) Pour ajouter un opérateur de recherche, sélectionnez ET ou OU au-dessus de Ajouter un filtre.
  5. Cliquez sur Rechercher. Remarque : L'onglet Filtre vous permet d'inclure des paires paramètres/valeurs simples pour filtrer les résultats de la recherche. Vous pouvez également utiliser l'onglet Générateur de conditions, dans lequel les filtres sont représentés par des conditions associées à des opérateurs AND/OR.

Outil d'investigation sur la sécurité

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

Pour lancer une recherche dans l'outil d'investigation de sécurité, choisissez d'abord une source de données. Sélectionnez ensuite une ou plusieurs conditions pour votre recherche. Pour chaque condition, sélectionnez un attribut, un opérateur et une valeur.

  1. Dans la console d'administration Google, accédez à Menu  puis Sécurité puisCentre de sécurité puisOutil d'investigation.

    Vous devez disposer du droit d'administrateur Centre de sécurité.

  2. Cliquez sur Source de données, puis sélectionnez Événements de journaux Drive.

  3. Pour filtrer les événements qui se sont produits avant ou après une date spécifique, sélectionnez Avant ou Après dans Date. Par défaut, les événements des sept derniers jours sont affichés. Vous pouvez sélectionner une autre plage de dates ou cliquer sur  pour supprimer le filtre de date.

  4. Cliquez sur Ajouter une condition.
    Conseil : Vous pouvez inclure une ou plusieurs conditions dans votre recherche ou la personnaliser avec des requêtes imbriquées. Pour en savoir plus, consultez Personnaliser votre recherche avec des requêtes imbriquées.
  5. Cliquez sur Attribut puis sélectionnez une option. Par exemple, pour filtrer par type d'événement spécifique, sélectionnez Événement.
    Pour obtenir la liste complète des attributs, consultez la section Descriptions des attributs.
  6. Sélectionnez un opérateur.
  7. Saisissez une valeur ou sélectionnez-en une dans la liste.
  8. (Facultatif) Pour ajouter d'autres critères de recherche, répétez la procédure.
  9. Cliquez sur Rechercher.
    Vous pouvez consulter les résultats de recherche de l'outil d'investigation dans un tableau en bas de la page.
  10. (Facultatif) Pour enregistrer votre investigation, cliquez sur Enregistrer  puissaisissez un titre et une description puiscliquez sur Enregistrer.

Remarques

  • Dans l'onglet Générateur de conditions, les filtres sont représentés par des conditions avec des opérateurs AND/OR. L'onglet Filtre vous permet d'inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de la recherche.
  • Si vous avez donné un nouveau nom à un utilisateur, vous n'obtiendrez aucun résultat si vous lancez des requêtes avec son ancien nom. Par exemple, si vous remplacez AncienNom@exemple.com par NouveauNom@exemple.com, vous n'obtiendrez aucun résultat pour les événements liés à AncienNom@exemple.com.
  • Vous ne pouvez rechercher des données que dans les messages qui n'ont pas encore été supprimés de la corbeille.

Descriptions des attributs

Pour cette source de données, vous pouvez utiliser les attributs suivants lorsque vous recherchez des données d'événements de journaux.

Attributs permettant de rechercher des données de journaux

Remarque :

  • Tous les attributs de la liste suivante ne sont pas indiqués pour tous les événements.
  • La liste suivante n'est pas exhaustive et peut être modifiée. Pour en savoir plus sur les événements de journaux Drive, consultez Événements d'activités d'audit Drive sur le site Web du SDK Admin Google Workspace.
Attribut Description
Acteur

Adresse e-mail de l'utilisateur ayant réalisé l'action. Les utilisateurs externes au domaine sont présentés comme anonymes, sauf quand ils affichent ou modifient un document explicitement partagé avec eux, à titre individuel ou dans le cadre d'un groupe spécifique.

Remarque : Lorsqu'un utilisateur dispose à la fois d'une adresse e-mail principale et d'une adresse d'alias, les données des événements de journaux enregistrent l'adresse e-mail principale, même si un événement, tel que le partage d'un élément, implique l'alias.
Nom du groupe de l'acteur

Nom du groupe auquel appartient l'acteur. Pour en savoir plus, consultez Filtrer les résultats par groupe Google.

Pour ajouter un groupe à la liste d'autorisation des groupes de filtrage :

  1. Sélectionnez Nom du groupe de l'acteur.
  2. Cliquez sur Groupes de filtrage.
    La page "Groupes de filtrage" s'affiche.
  3. Cliquez sur Ajouter des groupes.
  4. Recherchez un groupe en saisissant les premiers caractères de son nom ou de son adresse e-mail. Lorsque vous avez trouvé le groupe, sélectionnez-le.
  5. (Facultatif) Pour ajouter un autre groupe, recherchez-le et sélectionnez-le.
  6. Une fois les groupes sélectionnés, cliquez sur Ajouter.
  7. (Facultatif) Pour supprimer un groupe, cliquez sur Supprimer le groupe .
  8. Cliquez sur Enregistrer.
Unité organisationnelle de l'acteur Unité organisationnelle de l'acteur
Méthode API Méthode API utilisée par l'action des événements Télécharger et Accès au contenu d'un élément qui se produisent via une application tierce, par exemple drive.files.export.
ID de l'application ID client OAuth de l'application tierce ayant effectué l'action
Nom de l'application Application ayant effectué l'action.
Audience Domaine cible si le journal d'audit concerne un changement de visibilité
Facturable (Édition Essentialsuniquement) Indique si l'action de l'utilisateur est une activité facturable
Date

Date et heure auxquelles l'événement s'est produit (affichées dans le fuseau horaire par défaut de votre navigateur)

Remarque : La plupart des événements sont consignés dès qu'ils sont terminés. La journalisation peut parfois prendre un certain temps lorsque des fichiers volumineux sont importés.
Document ID (ID du document)

Identifiant unique de l'élément Drive associé à l'activité, tel qu'il figure dans le lien du fichier

Remarque : Pour les événements URL consultée, l'ID de document et d'autres champs liés aux fichiers, tels que le type et le propriétaire du document, ne sont consignés que pour certaines actions. Pour en savoir plus, consultez URL consultée.
Type de document Format de fichier associé à l'activité, tel que Docs, Sheets, Slides, JPEG, PDF, PNG, MP4, Microsoft Word, Excel, PowerPoint, TXT, HTML, fichier audio MPEG, vidéo QuickTime, dossier ou Drive partagés.
Domaine* Le domaine où l'action s'est produite
Chiffré* Si le fichier est chiffré côté client
Nom de l'événement

Événements, comme Afficher, Renommer, Créer, Modifier, Imprimer, Supprimer, Importer et Télécharger.

La plupart des actions sont consignées immédiatement. Les événements Imprimer dans la visionneuse Drive peuvent toutefois apparaître avec un décalage de 12 heures ou plus. Les fichiers supprimés par Drive ou supprimés de la corbeille sont consignés. Les autres événements, tels que l'importation d'un fichier, sont consignés une fois qu'ils sont terminés.
Usurpation d'identité

Une application a utilisé la délégation au niveau du domaine pour envoyer une requête au nom d'un utilisateur. True indique que l'événement a été effectué au nom d'un utilisateur. Vous pouvez consulter Acteur pour trouver l'adresse e-mail de l'utilisateur, et Identifiant d'application et Nom de l'application pour identifier l'application.

En savoir plus sur la délégation au niveau du domaine
Adresse IP*

Adresse à partir de laquelle l'utilisateur a réalisé l'activité. Elle peut correspondre à la position géographique réelle de l'utilisateur, mais il peut aussi s'agir de l'adresse d'un serveur proxy ou de celle d'un réseau privé virtuel (VPN).

Aucune adresse IP n'est consignée pour les événements :

  • lancés par des utilisateurs externes au domaine ;
  • venant de services qui ne consignent jamais l'adresse IP dans leurs requêtes ;
  • concernant le changement de nom ou la suppression d'un Drive partagé.

ASN de l'adresse IP

Vous devez ajouter cette colonne aux résultats de recherche. Pour savoir comment procéder, consultez Gérer les données des colonnes de résultats de recherche.

Numéro ASN (Autonomous System Number), subdivision et région de l'adresse IP associés à l'entrée de journal.

Pour examiner l'ASN et le code de subdivision et de région de l'adresse IP où l'activité a eu lieu, cliquez sur le nom dans les résultats de recherche.
Nouvelle valeur de visibilité des publications Nouvelle visibilité du document
Nouvelle valeur* Nouvelle valeur du paramètre modifié
Nouvelle valeur des ID* Nouvelle valeur du champ de libellé
Ancienne valeur de visibilité des publications Ancienne visibilité du document si l'activité est une modification de la visibilité
Ancienne valeur Ancienne valeur du paramètre modifié
Ancienne valeur des ID* Ancienne valeur du champ de libellé
Propriétaire

Utilisateur propriétaire du fichier
Visibilité antérieure L'option de visibilité précédente du document si celle-ci a été modifiée.
Destinataires* Adresses e-mail des destinataires
Ressources

Liste des ressources associées à l'action. Cliquez sur une ressource pour afficher les informations suivantes :

  • ID de ressource : identifiant de la ressource
  • Titre de la ressource : titre de la ressource
  • Type de ressource : élément Google Drive, e-mail, alerte, règle, etc.
  • Relation de la ressource : relation entre la ressource et l'événement

  • Libellé de ressource : liste des libellés de classification pour une ressource, y compris ID du libellé de ressource, Titre du libellé de ressource et Champ de libellé de ressource.

    Le champ de libellé de ressource contient les éléments suivants :

    • ID du champ de libellé
    • Nom du champ de libellé
    • Type de champ de libellé : type de données du champ de libellé, par exemple :
      • Texte
      • Number
      • Sélection : inclut l'ID, le nom à afficher et l'état "Avec badge".
      • Liste de sélection
      • Utilisateur : inclut l'adresse e-mail
      • Liste des utilisateurs
      • Date

Si vous exportez les informations dans un fichier CSV (valeurs séparées par une virgule) ou Google Sheets, elles sont enregistrées sous forme de bloc de texte unique dans une cellule.
ID du Drive partagé ID Drive du Drive partagé contenant le fichier. Si le fichier ne se trouve pas dans un Drive partagé, ce champ n'est pas renseigné.
Cible Utilisateur dont l'accès est modifié
Title Title of the document
Visibilité Visibilité de l'élément Drive associé à l'activité
Modification de la visibilité Visibilité de l'élément Drive avant l'activité
Visiteur Oui signifie que l'activité a été effectuée par un utilisateur sans compte Google. Non signifie que l'activité a été effectuée par un utilisateur Google. Découvrez comment partager des documents avec des visiteurs.
* Vous ne pouvez pas créer de règles de création de rapports avec ces filtres. En savoir plus sur les différences entre les règles de reporting et les règles d'activité

Remarque : Si vous avez donné un nouveau nom à un utilisateur, vous n'obtiendrez aucun résultat si vous lancez des requêtes avec son ancien nom. Par exemple, si vous remplacez AncienNom@exemple.com par NouveauNom@exemple.com, vous n'obtiendrez aucun résultat pour les événements liés à AncienNom@exemple.com.

Afficher les fichiers partagés en dehors d'un domaine

Page "Audit et enquête"

  1. Ouvrez les événements de journaux comme indiqué ci-dessus dans Rechercher des événements de journaux.
  2. Cliquez sur Ajouter un filtre puisVisibilité puis sélectionnez Partagés en externe.
  3. Cliquez sur Rechercher.

Si vous désactivez le partage externe et qu'un utilisateur partage une ressource avec un groupe qui autorise les utilisateurs externes, les données concernées sont marquées comme partagées en externe dans le journal. Toutefois, les membres externes du groupe n'ont pas accès à la ressource partagée. Cette entrée est affichée dans le journal même si le groupe ne comporte aucun utilisateur externe.

Outil d'investigation sur la sécurité

  1. Dans la console d'administration Google, accédez à Menu  puis Sécurité puisCentre de sécurité puisOutil d'investigation.

    Vous devez disposer du droit d'administrateur Centre de sécurité.

  2. Cliquez sur Source de données. puis Sélectionnez Événements de journaux Drive.
  3. Cliquez sur Ajouter une condition.
  4. Cliquez sur Attribut puis sélectionnez Visibilité.
  5. Cliquez sur Contient puis sélectionnez Est.
  6. Cliquez sur Visibilité puis sélectionnez Partagé en externe.
  7. Cliquez sur Rechercher.
    Vous pouvez consulter les résultats de recherche de l'outil d'investigation dans un tableau en bas de la page.

Si vous désactivez le partage externe et qu'un utilisateur partage une ressource avec un groupe qui autorise les utilisateurs externes, les données concernées sont marquées comme partagées en externe dans le journal. Toutefois, les membres externes du groupe n'ont pas accès à la ressource partagée. Cette entrée est affichée dans le journal même si le groupe ne comporte aucun utilisateur externe.

Événements enregistrés ou non

Supprimer

Les fichiers supprimés automatiquement par Drive ou supprimés de la corbeille sont consignés.

Copier

Lorsqu'un fichier est copié, des événements Créer et Copier sont enregistrés pour le nouveau fichier, et un événement Texte source est enregistré pour le fichier d'origine.

Lorsqu'un utilisateur en dehors de votre organisation copie un fichier dans un emplacement externe, votre organisation n'enregistre pas d'événements Créer et Copier, car le nouveau fichier est externe. Toutefois, vos journaux comportent l'événement Texte source pour le fichier d'origine avec le champ Type de copie défini sur Externe. Pour savoir quand des données sont copiées en dehors de votre organisation, vous pouvez examiner les événements Texte source associés au type de copie Externe.

Imprimer

Les événements Imprimer ne sont pas enregistrés lorsqu'un utilisateur imprime un fichier ouvert dans un format de fichier Google (Docs, Sheets, Slides, Drawings et Forms).

Lorsque vous imprimez des fichiers avec l'application Drive à partir d'un iPhone, d'un iPad ou d'un appareil Android, les événements Imprimer peuvent être consignés en tant qu'événements Télécharger.

Télécharger

La plupart des téléchargements sont consignés, y compris lorsque les fichiers sont copiés entre Drive et un appareil local à l'aide de Google Drive pour ordinateur.

Les actions Afficher suivantes sont consignées en tant qu'événements de téléchargement :

  • Prévisualiser un fichier dans l'application Drive sur un appareil mobile
  • Prévisualiser un fichier (PDF, par exemple) qui ne peut pas être ouvert directement dans Docs ni dans aucune autre application Google
  • Envoyer un fichier en pièce jointe dans un e-mail depuis une application Google, comme Docs

Les téléchargements provenant des sources suivantes ne sont pas consignés :

  • Téléchargements Google Takeout (recherchez plutôt Événements de journaux Takeout)
  • Téléchargements dans la mémoire cache des navigateurs pour un accès hors connexion
  • Photos synchronisées avec Google Photos, ou téléchargées ou affichées via cette application
  • Éléments Drive joints à des e-mails depuis Gmail

Contenu de l'élément synchronisé

Les événements de synchronisation du contenu d'un élément sont consignés dans les cas suivants et disponibles pour les activités après le 1er juillet 2024 :

  • Un fichier est synchronisé depuis Drive vers un appareil local à l'aide de Drive pour ordinateur. Ces événements sont également consignés en tant qu'événements de téléchargement.
  • Un fichier est synchronisé avec un appareil pour un accès hors connexion. Cela vaut pour les synchronisations en cours avec la version en ligne. Les événements de synchronisation du contenu d'un élément avec l'application mobile Drive (Android et iOS) peuvent aussi être consignés en tant qu'événements de téléchargement.

Contenu de l'élément préchargé

Les événements de préchargement du contenu d'un élément indiquent qu'une application Google a récupéré des données Drive, mais ne les a pas immédiatement affichées à l'utilisateur. Par exemple, la prévisualisation d'un fichier dans Drive peut entraîner le préchargement des fichiers à proximité. Le contenu est disponible pour l'utilisateur s'il en a besoin plus tard.

Accès au contenu d'un élément

Vous pouvez accéder aux fichiers au nom des utilisateurs via une application qui utilise une API Google Workspace, comme l'API Google Drive ou l'API Google Sheets. Ces actions ne sont pas consignées en tant qu'événements de téléchargement ou d'affichage, mais uniquement en tant qu'accès au contenu d'un élément. Les événements Accès au contenu d'un élément de Gemini ne sont consignés que lorsque le contenu d'un fichier est consulté en dehors du fichier ouvert d'un utilisateur dans Drive pour le Web.

Les événements d'accès au contenu d'un élément ne sont pas consignés lorsqu'un utilisateur consulte ou ouvre un fichier dans Drive pour le Web, dans Drive sur mobile ou dans l'application Drive pour ordinateur.

Afficher

Un événement Afficher est désormais consigné lorsque vous consultez des fichiers à l'aide de /htmlview, /embed, /revisions et d'autres URL spéciales.

URL consultée

Les événements URL consultée sont consignés lorsqu'un script Apps Script accède à une URL, y compris lorsque le script est exécuté depuis le tableau de bord Apps Script, exécuté en tant que module complémentaire ou exécuté en tant que fonction personnalisée dans Sheets. Les événements URL consultée ne sont pas consignés lorsqu'un utilisateur clique sur un lien dans un fichier.

Les attributs indiqués dépendent de la manière dont le script a été exécuté et du propriétaire du script :

  • Lorsqu'un script est exécuté en tant que fonction personnalisée, l'ID du document et les autres attributs liés au document reflètent la feuille dans laquelle la fonction a été appelée.
  • Lorsqu'un script n'est pas exécuté en tant que fonction personnalisée, les attributs liés aux documents ne sont pas indiqués.
  • L'ID de script est indiqué si le script Apps Script appartient à votre organisation.

URL d'importation Sheets

L'appel d'une fonction d'importation Sheets, qui accède à une URL, est consigné en tant qu'événement URL d'importation Sheets. Un événement est consigné lorsque le contenu de la feuille est modifié par une actualisation automatique ou lorsqu'un utilisateur ouvre la feuille.

Événements impliquant des domaines externes

Certains événements concernent des utilisateurs, des dossiers partagés ou des Drive partagés externes à votre organisation, par exemple lorsqu'un utilisateur de votre organisation partage un fichier avec un utilisateur externe. Les deux organisations consignent un événement lorsque la propriété de l'élément passe d'une organisation à une autre.

Exemples d'événements enregistrés par les deux :

  • Un élément Drive appartenant à un utilisateur de votre organisation est déplacé vers un Drive partagé externe.
  • Un élément Drive appartenant à un utilisateur externe à votre organisation est déplacé vers un Drive partagé appartenant à votre organisation.
  • Un utilisateur copie un fichier dans votre organisation ou en dehors. L'organisation qui reçoit le fichier enregistre le nom du fichier copié, et non celui du fichier d'origine.

Exemples d'événements enregistrés par votre organisation, mais pas par le domaine externe :

  • Un élément Drive appartenant à un utilisateur de votre organisation est partagé avec un utilisateur externe.
  • Un élément Drive appartenant à un utilisateur de votre organisation est partagé avec un groupe qui autorise les utilisateurs externes, même si aucun utilisateur externe n'en fait partie.
  • Un utilisateur externe affiche, modifie, télécharge, imprime ou supprime un élément Drive appartenant à votre organisation.
  • Un utilisateur externe importe un fichier dans un Drive partagé appartenant à votre organisation.

Les événements enregistrés par le domaine externe, mais pas par votre organisation, sont l'inverse de la section précédente.

Utilisateurs anonymes et externes

Pour les utilisateurs anonymes (c'est-à-dire ceux qui ne sont pas connectés à un compte Google), les modifications et les téléchargements sont enregistrés, mais pas les consultations.

Les actions effectuées par des utilisateurs externes au domaine sont affichées comme anonymes, sauf si l'élément est explicitement partagé avec eux (à titre individuel ou dans un groupe spécifique).

Les administrateurs peuvent limiter l'accès anonyme et externe en définissant des règles de partage pour l'organisation ou des règles de confiance.

Drive pour ordinateur

Lorsque des fichiers sont copiés entre Drive et un appareil local à l'aide de Drive pour ordinateur, les événements Télécharger et Contenu de l'élément synchronisé sont consignés.

Rechercher des activités

Lorsqu'un utilisateur effectue une recherche dans Drive ou dans les API Drive publiques, la recherche est enregistrée en tant qu'événement Recherche d'élément effectuée. L'événement inclut des informations sur les résultats de recherche et la requête de recherche de l'utilisateur.

Gérer les données d'événement des journaux

Gérer les données des colonnes de résultats de recherche

Vous pouvez contrôler l'affichage des colonnes de données dans les résultats de recherche.

  1. En haut à droite du tableau des résultats de recherche, cliquez sur Gérer les colonnes  .
  2. (Facultatif) Pour supprimer les colonnes actuelles, cliquez sur Supprimer .
  3. (Facultatif) Pour ajouter des colonnes, à côté de Ajouter une colonne, cliquez sur la flèche vers le bas , puis sélectionnez la colonne de données.
    Répétez l'opération autant de fois que nécessaire.
  4. (Facultatif) Pour modifier l'ordre des colonnes, faites glisser leur nom.
  5. Cliquez sur Enregistrer.

Exporter les données des résultats de recherche

Vous pouvez exporter les résultats de recherche dans Sheets ou un fichier CSV.

  1. En haut du tableau des résultats de recherche, cliquez sur Tout exporter.
  2. Saisissez un nom puis cliquez sur Exporter.
    L'exportation s'affiche sous le tableau des résultats de recherche sous Exporter les résultats de l'action.
  3. Pour afficher les données, cliquez sur le nom de votre exportation.
    L'exportation s'ouvre dans Sheets.

Les limites d'exportation varient :

  • Le total des résultats de l'exportation est limité à 100 000 lignes.
  • Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

    Si vous disposez de l'outil d'investigation sur la sécurité, le total des résultats de l'exportation est limité à 30 millions de lignes.

Pour en savoir plus, consultez Exporter les résultats de recherche.

Quand et pendant combien de temps les données sont-elles disponibles ?

Effectuer des actions en fonction des résultats de recherche

Créer des règles d'activité et configurer des alertes

  • Vous pouvez configurer des alertes en fonction des données des événements de journaux à l'aide de règles de reporting. Pour savoir comment procéder, consultez Créer et gérer des règles de reporting.
  • Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

    Afin de prévenir, de détecter et de résoudre les problèmes de sécurité de façon efficace, vous pouvez automatiser les actions de l'outil d'investigation de sécurité et configurer des alertes en créant des règles d'activité. Pour définir une règle, vous devez configurer ses conditions, puis spécifier les actions à effectuer lorsque les conditions sont remplies. Pour en savoir plus, consultez Créer et gérer des règles d'activité.

Effectuer des actions en fonction des résultats de recherche

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

Après avoir effectué une recherche dans l'outil d'investigation de sécurité, vous pouvez agir sur les résultats. Vous pouvez par exemple effectuer une recherche basée sur des événements de journaux Gmail, puis, à l'aide de l'outil, supprimer des messages spécifiques, envoyer des messages en zone de quarantaine, ou envoyer des messages vers la boîte de réception de certains utilisateurs. Pour en savoir plus, consultez Effectuer des actions en fonction des résultats de recherche.

Gérer vos investigations

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

Afficher la liste des investigations

Pour afficher la liste des investigations dont vous êtes le propriétaire et qui ont été partagées avec vous, cliquez sur Afficher les investigations . La liste des investigations inclut leur nom, leur description et leur propriétaire, ainsi que la date de la dernière modification.

Cette liste vous permet d'intervenir sur les investigations dont vous êtes le propriétaire, par exemple pour en supprimer une. Cochez la case correspondant à une investigation, puis cliquez sur Actions.

Remarque : Vous pouvez afficher vos enquêtes enregistrées sous Accès rapide, juste au-dessus de votre liste d'enquêtes.

Configurer les paramètres de vos investigations

En tant que super-administrateur, cliquez sur Paramètres  pour effectuer les actions suivantes :

  • Modifier le fuseau horaire de vos investigations. Le fuseau horaire s'applique aux conditions de recherche et aux résultats.
  • Activez ou désactivez l'option Exiger une validation. Pour en savoir plus, consultez Exiger une validation pour les actions groupées.
  • Activez ou désactivez Afficher le contenu. Ce paramètre permet aux administrateurs disposant des droits d'accès appropriés d'afficher le contenu.
  • Activez ou désactivez l'option Activer la justification des actions.

Pour en savoir plus, consultez Configurer les paramètres de vos investigations.

Enregistrer, partager, supprimer et dupliquer des enquêtes

Pour enregistrer vos critères de recherche ou les partager avec d'autres utilisateurs, vous pouvez créer et enregistrer une enquête, puis la partager, la dupliquer ou la supprimer.

Pour en savoir plus, consultez Enregistrer, partager, supprimer et dupliquer des enquêtes.


Google, Google Workspace, ainsi que les marques et logos associés sont des marques appartenant à Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.