Eventi dei log di Drive

Per eseguire una ricerca degli eventi dei log, scegli innanzitutto un'origine dati. Poi scegli uno o più filtri per la ricerca.

1. Nella Console di amministrazione Google, vai a Menu Report Controllo e indagine Eventi dei log di Drive.

   Vai a Eventi dei log di Drive

   È necessario disporre del privilegio amministrativo Controllo e indagine.

2. Per filtrare gli eventi che si sono verificati prima o dopo una data specifica, seleziona Prima o Dopo per Data. Per impostazione predefinita, vengono mostrati gli eventi degli ultimi 7 giorni. Puoi selezionare un intervallo di date diverso o fare clic su per rimuovere il filtro della data.

3. Fai clic su Aggiungi un filtro seleziona un attributo. Ad esempio, per filtrare in base a un tipo di evento specifico, seleziona Evento.
4. Seleziona un operatore seleziona un valore fai clic su Applica.
   • (Facoltativo) Per creare più filtri per la ricerca, ripeti questo passaggio.
   • (Facoltativo) Per aggiungere un operatore di ricerca, sopra Aggiungi un filtro, seleziona AND oppure OR.
5. Fai clic su Cerca. Nota: utilizzando la scheda Filtro, puoi includere semplici coppie di parametri e valori per filtrare i risultati di ricerca. Puoi anche utilizzare la scheda Generatore di condizioni, in cui i filtri sono rappresentati come condizioni con gli operatori E/O.

Per eseguire una ricerca nello strumento di indagine sulla sicurezza, scegli innanzitutto un'origine dati. Poi scegli una o più condizioni per la ricerca. Per ogni condizione, scegli un attributo, un operatore e un valore.

1. Nella Console di amministrazione Google, vai a Menu Sicurezza Centro sicurezza Strumento di indagine.

   Vai allo strumento di indagine

   È necessario disporre del privilegio di amministratore Centro sicurezza.

2. Fai clic su Origine dati e seleziona Eventi dei log di Drive.

3. Per filtrare gli eventi che si sono verificati prima o dopo una data specifica, seleziona Prima o Dopo per Data. Per impostazione predefinita, vengono mostrati gli eventi degli ultimi 7 giorni. Puoi selezionare un intervallo di date diverso o fare clic su per rimuovere il filtro della data.

4. Fai clic su Aggiungi condizione.
   Suggerimento: puoi includere una o più condizioni nella ricerca oppure personalizzarla con query nidificate. Per maggiori dettagli, vedi Personalizzare la ricerca con query nidificate.
5. Fai clic su Attributo seleziona un'opzione. Ad esempio, per filtrare in base a un tipo di evento specifico, seleziona Evento.
   Per un elenco completo degli attributi, consulta la sezione Descrizioni degli attributi.
6. Seleziona un operatore.
7. Inserisci un valore o selezionane uno dall'elenco.
8. (Facoltativo) Per aggiungere altre condizioni di ricerca, ripeti i passaggi.
9. Fai clic su Cerca.
   Puoi esaminare i risultati di ricerca dello strumento di indagine in una tabella nella parte inferiore della pagina.
10. (Facoltativo) Per salvare la tua indagine, fai clic su Salva inserisci un titolo e una descrizione fai clic su Salva.

Note

• Nella scheda Generatore di condizioni, i filtri sono rappresentati come condizioni con gli operatori AND/OR. Puoi anche utilizzare la scheda Filtro per includere coppie di parametri e valori semplici per filtrare i risultati della ricerca.
• Se hai assegnato un nuovo nome a un utente, le query in cui è utilizzato il suo nome precedente non restituiranno risultati. Ad esempio, se rinomini NomePrecedente@example.com in NuovoNome@example.com, non verranno restituiti risultati per gli eventi correlati a NomePrecedente@example.com.
• Puoi cercare dati solo nei messaggi che non sono ancora stati eliminati dal cestino.

Nota:

• Non tutti gli attributi del seguente elenco vengono segnalati per tutti gli eventi.
• Il seguente elenco non è esaustivo ed è soggetto a modifiche. Per maggiori dettagli sugli eventi dei log di Drive, vai a Eventi dell'attività di controllo di Drive sul sito web dell'SDK Admin di Google Workspace.

Nota: se hai assegnato un nuovo nome a un utente, le query in cui è utilizzato il suo nome precedente non restituiranno risultati. Ad esempio, se rinomini NomePrecedente@example.com in NuovoNome@example.com, non verranno restituiti risultati per gli eventi correlati a NomePrecedente@example.com.

I file che vengono eliminati automaticamente da Drive o eliminati dal cestino vengono registrati.

Quando un file viene copiato, vengono registrati gli eventi Crea e Copia per il nuovo file e viene registrato un evento Copia di origine per il file originale.

Quando un utente esterno all'organizzazione copia un file in una posizione esterna, l'organizzazione non registra gli eventi Crea e Copia perché il nuovo file è esterno. Tuttavia, i log presentano l'evento Copia di origine nel file originale con un Tipo di copia impostato su Esterno. Per monitorare quando i dati vengono copiati al di fuori dell'organizzazione, puoi esaminare gli eventi Copia di origine che hanno un tipo di copia Esterno.

Gli eventi Stampa non vengono registrati quando un utente stampa un file aperto in un formato file Google (Documenti, Fogli, Presentazioni, Disegni e Moduli).

Quando stampi i file utilizzando l'app Drive da un iPhone o iPad Apple o da un dispositivo Android, gli eventi Stampa potrebbero essere registrati come eventi di Download.

La maggior parte dei download viene registrata, anche quando i file vengono copiati tra Drive e un dispositivo locale utilizzando Google Drive per computer.

Le seguenti azioni di Visualizzazione vengono registrate come eventi Download:

• Visualizzazione dell'anteprima di un file nell'app Drive su un dispositivo mobile
• Visualizzazione dell'anteprima di un file, ad esempio un PDF, che non può essere aperto direttamente in Documenti o in altre app Google.
• Invio di un file come allegato di un'email da un'app Google, ad esempio Documenti.

I download dalle seguenti origini non vengono inclusi nel log:

• Download di Google Takeout (cerca invece gli eventi del log Takeout)
• Download nella cache del browser offline
• Foto sincronizzate per il download da o la visualizzazione con Google Foto
• Elementi di Drive inviati come allegati di email da Gmail

Gli eventi dei contenuti dell'elemento sincronizzati vengono registrati nei seguenti casi e sono disponibili per l'attività dopo il 1° luglio 2024:

• Un file viene sincronizzato da Drive a un dispositivo locale utilizzando Drive per computer. Questi eventi vengono registrati anche come eventi Download.
• Un file viene sincronizzato con un dispositivo per l'accesso offline, incluse le sincronizzazioni in corso con la versione online. Gli eventi dei contenuti dell'elemento sincronizzati con l'app mobile Drive (Android e iOS) possono essere registrati come eventi Download.

Gli eventi precaricati dei contenuti dell'elemento indicano che un'app Google ha recuperato i dati di Drive, ma non li ha mostrati immediatamente all'utente. Ad esempio, la visualizzazione dell'anteprima di un file in Drive può comportare il precaricamento dei file vicini. I contenuti sono disponibili per l'utente se ne avrà bisogno in un secondo momento.

Puoi accedere ai file per conto degli utenti tramite un'app che utilizza un'API Google Workspace, come l'API Google Drive o l'API Google Sheets. Queste azioni non vengono registrate come eventi di Download o Visualizzazione, ma solo come Contenuti dell'elemento a cui è stato eseguito l'accesso. Gli eventi Contenuti dell'elemento a cui è stato eseguito l'accesso di Gemini vengono registrati solo quando si accede al contenuto del file al di fuori del file aperto di un utente in Drive per il web.

Gli eventi di Contenuti dell'elemento a cui è stato eseguito l'accesso non vengono registrati quando un file viene visualizzato o aperto da un utente in Drive per il web, Drive su dispositivo mobile o nell'app Drive per computer.

La visualizzazione di file con gli URL speciali /htmlview, /embed, /revisions e altri viene ora registrata come evento Visualizzazione.

Gli eventi Accesso tramite URL vengono registrati quando uno script di Apps Script accede a un URL, compreso il momento in cui lo script viene eseguitoDashboard di Apps Script, eseguito come componente aggiuntivo o eseguito come funzione personalizzata in Fogli. Gli eventi Accesso all'URL non vengono registrati quando un utente fa clic su un link in un file.

Gli attributi riportati dipendono da come è stato eseguito lo script e dal relativo proprietario:

• Quando uno script viene eseguito come funzione personalizzata, l'ID documento e altri attributi relativi al documento riflettono il foglio in cui è stata chiamata la funzione.
• Quando uno script non viene eseguito come funzione personalizzata, gli attributi relativi al documento non vengono segnalati.
• L'ID script viene indicato se lo script di Apps Script è di proprietà della tua organizzazione.

La chiamata di una funzione di importazione di Fogli, che accede a un URL, viene registrata come un evento URL di importazione di Fogli. Viene registrato un evento quando i contenuti del foglio vengono modificati da un aggiornamento automatico o quando un utente apre il foglio.

Alcuni eventi coinvolgono utenti, cartelle condivise o Drive condivisi all'esterno dell'organizzazione, ad esempio quando un utente dell'organizzazione condivide un file con un utente esterno. Entrambe le organizzazioni registrano un evento quando la proprietà di un elemento passa da un'organizzazione a un'altra.

Esempi di eventi registrati da entrambe:

• Un elemento di Drive di proprietà di un utente della tua organizzazione viene spostato in un Drive condiviso esterno.
• Un elemento di Drive di proprietà di un utente esterno all'organizzazione viene spostato in un Drive condiviso di proprietà della tua organizzazione.
• Un utente copia un file all'interno o all'esterno della tua organizzazione. L'organizzazione di destinazione registra il nome del file copiato, non quello del file originale.

Esempi di eventi registrati dalla tua organizzazione, ma non dal dominio esterno:

• Un elemento di Drive di proprietà di un utente della tua organizzazione viene condiviso con un utente esterno.
• Un elemento di Drive di proprietà di un utente della tua organizzazione viene condiviso con un gruppo che consente gli utenti esterni, anche se nessun utente esterno fa parte del gruppo.
• Un utente esterno visualizza, modifica, scarica, stampa o elimina un elemento di Drive di proprietà della tua organizzazione.
• Un utente esterno carica un file su un Drive condiviso di proprietà della tua organizzazione.

Gli eventi registrati dal dominio esterno, ma non dalla tua organizzazione, funzionano al contrario rispetto alla sezione precedente.

Per gli utenti anonimi (utenti che non hanno eseguito l'accesso a un Account Google), vengono registrate le modifiche e i download, ma non le visualizzazioni.

Le azioni eseguite da utenti esterni al dominio vengono mostrate come anonime, tranne quando l'elemento viene condiviso esplicitamente con loro (in qualità di singoli utenti o di membri di un gruppo specifico).

Gli amministratori possono limitare l'accesso anonimo ed esterno impostando le policy di condivisione dell'organizzazione o le policy delle regole di attendibilità.

Quando i file vengono copiati tra Drive e un dispositivo locale utilizzando Drive per computer, vengono registrati gli eventi Download e Contenuti dell'elemento sincronizzati.

Quando un utente esegue una ricerca in Drive o nelle API Drive pubbliche, la ricerca viene registrata come evento di ricerca eseguita elemento. L'evento include informazioni sui risultati di ricerca e sulla query di ricerca dell'utente.

Puoi stabilire quali colonne di dati visualizzare nei risultati di ricerca.

1. Nell'angolo in alto a destra della tabella dei risultati di ricerca, fai clic su Gestisci colonne .
2. (Facoltativo) Per rimuovere le colonne attualmente visualizzate, fai clic su Rimuovi .
3. (Facoltativo) Per aggiungere colonne, fai clic sulla Freccia giù in corrispondenza di Aggiungi nuova colonna e seleziona la colonna di dati che ti interessa.
   Ripeti questa operazione in base alle necessità.
4. (Facoltativo) Per modificare l'ordine delle colonne, trascina i nomi delle colonne di dati.
5. Fai clic su Salva.

Puoi esportare i risultati di ricerca in Fogli o in un file CSV.

1. Nella parte superiore della tabella dei risultati di ricerca, fai clic su Esporta tutto.
2. Inserisci un nome fai clic su Esporta.
   L'esportazione viene visualizzata al di sotto della tabella dei risultati di ricerca, in Risultati dell'azione Esporta.
3. Per visualizzare i dati, fai clic sul nome dell'esportazione.
   L'esportazione si apre in Fogli.

I limiti di esportazione possono variare:

• I risultati complessivi dell'esportazione sono limitati a 100.000 righe.
• Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

  Se utilizzi lo strumento di indagine sulla sicurezza, i risultati totali dell'esportazione sono limitati a 30 milioni di righe.

Per saperne di più, consulta Esportare i risultati di ricerca.

Vai a Conservazione dei dati e tempi di attesa.

• Puoi configurare avvisi in base ai dati sugli eventi dei log utilizzando le regole di reporting. Per le istruzioni, vai a Creare e gestire le regole di reporting.
• Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

  Per contribuire a prevenire, rilevare e risolvere in modo efficiente i problemi di sicurezza, puoi creare regole di attività per automatizzare azioni nello strumento di indagine sulla sicurezza e configurare avvisi. Per configurare una regola, imposta le sue condizioni e specifica quali azioni eseguire quando queste condizioni sono soddisfatte. Per maggiori dettagli, vedi Creare e gestire le regole di attività.

Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

Dopo aver eseguito una ricerca nello strumento di indagine sulla sicurezza, puoi operare sui relativi risultati. Ad esempio, puoi eseguire una ricerca basata sugli eventi del log di Gmail e quindi utilizzare lo strumento per eliminare messaggi specifici, metterli in quarantena o inviarli nella Posta in arrivo degli utenti. Per maggiori dettagli, vedi Adottare azioni basate sui risultati di ricerca.

Per visualizzare un elenco delle indagini di tua proprietà e di quelle che sono state condivise con te, fai clic su Visualizza indagini . L'elenco delle indagini ne include i nomi, le descrizioni e i proprietari, nonché la data dell'ultima modifica.

Da questo elenco puoi eseguire azioni sulle indagini di tua proprietà, ad esempio eliminare un'indagine. Seleziona la casella in corrispondenza di un'indagine, quindi fai clic su Azioni.

Nota: puoi visualizzare le indagini salvate nella sezione Accesso rapido, direttamente sopra l'elenco delle indagini.

Come super amministratore, fai clic su Impostazioni per:

• Modificare il fuso orario per le indagini. Il fuso orario si applica alle condizioni e ai risultati di ricerca.
• Attivare o disattivare l'opzione Richiedi revisore. Per maggiori dettagli, vedi Richiedere revisori per azioni collettive.
• Attiva o disattiva l'opzione Visualizza i contenuti. Questa impostazione consente agli amministratori con i privilegi appropriati di visualizzare i contenuti.
• Attiva o disattiva l'opzione Abilita motivazione azione.

Per ulteriori dettagli, vedi Configurare le impostazioni per le indagini.

Per condividere una ricerca con altri utenti o salvarne i criteri, puoi creare e salvare un'indagine e, successivamente, condividerla, duplicarla o eliminarla.

Per maggiori dettagli, vedi Salvare, condividere, eliminare e duplicare le indagini.