Gebeurtenissen in het schijflogboek

Bekijk de bestandsactiviteit van de gebruiker in Google Drive

Afhankelijk van uw Google Workspace-editie hebt u mogelijk toegang tot de tool voor beveiligingsonderzoek, die geavanceerdere functies biedt. Superbeheerders kunnen bijvoorbeeld beveiligings- en privacyproblemen identificeren, prioriteren en oplossen. Lees meer

Als beheerder van uw organisatie kunt u zoekopdrachten uitvoeren en acties ondernemen op gebeurtenissen in het Drive-logboek. U kunt bijvoorbeeld een overzicht bekijken van de acties die gebruikers van uw organisatie in Drive hebben uitgevoerd. Gebeurtenissen in het Drive-logboek omvatten inhoud die uw gebruikers maken in Google Docs, Sheets, Slides en andere Google Workspace-apps, en inhoud die uw gebruikers uploaden naar Drive, zoals pdf's en Microsoft Word-bestanden.

Je kunt de Activiteiten-API gebruiken om toegang te krijgen tot basisrapportagegegevens. Als je Google Workspace-editie dit ondersteunt, kun je de Rapportage-API gebruiken om toegang te krijgen tot geavanceerde rapportagegegevens van Google Workspace.

Belangrijk:

  • Niet alle activiteiten in Drive worden geregistreerd. Voor een lijst van wat wel en niet wordt geregistreerd, ga naar Geregistreerde en niet-geregistreerde gebeurtenissen .
  • Voor meer informatie over wanneer gegevens beschikbaar komen en hoe lang ze worden bewaard, ga naar Gegevensbewaring en vertragingstijden .
  • De meeste Drive-auditgebeurtenissen worden alleen geregistreerd voor bestanden die eigendom zijn van gebruikers met ondersteunde edities. Gebeurtenissen met betrekking tot geopende URL's worden echter geregistreerd wanneer de gebruiker die een Google Apps Script-script start dat een URL opent, lid is van uw organisatie en een ondersteunde editie heeft.

Of u een zoekopdracht kunt uitvoeren, hangt af van uw Google-editie, uw beheerdersrechten en de gegevensbron. U kunt een zoekopdracht uitvoeren voor alle gebruikers, ongeacht hun Google Workspace-editie.

Audit- en onderzoekstool

Om naar logboekgebeurtenissen te zoeken, kiest u eerst een gegevensbron. Selecteer vervolgens een of meer filters voor uw zoekopdracht.

  1. Ga in de Google Admin-console naar Menu. en dan Rapportage en dan Audit en onderzoek en dan Gebeurtenissen in het schijflogboek .

    Hiervoor is de beheerdersbevoegdheid Audit & Onderzoek vereist.

  2. Om gebeurtenissen te filteren die vóór of na een specifieke datum hebben plaatsgevonden, selecteert u bij Datum de optie Vóór of Na . Standaard worden gebeurtenissen van de afgelopen 7 dagen weergegeven. U kunt een ander datumbereik selecteren of klikken op om het datumfilter te verwijderen.

  3. Klik op ' Een filter toevoegen'. en dan Selecteer een kenmerk. Om bijvoorbeeld te filteren op een specifiek gebeurtenistype, selecteer je Gebeurtenis .
  4. Selecteer een operator en dan selecteer een waarde en dan Klik op Toepassen .
    • (Optioneel) Om meerdere filters voor uw zoekopdracht te maken, herhaalt u deze stap.
    • (Optioneel) Om een ​​zoekoperator toe te voegen, selecteer je boven ' Een filter toevoegen ' de optie 'EN' of 'OF' .
  5. Klik op Zoeken . Opmerking : Via het tabblad Filter kunt u eenvoudige parameter-waardeparen gebruiken om de zoekresultaten te filteren. U kunt ook het tabblad Voorwaarden gebruiken, waar de filters worden weergegeven als voorwaarden met AND/OR-operatoren.

Beveiligingsonderzoekstool

Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Om een ​​zoekopdracht uit te voeren in de beveiligingsonderzoekstool, kiest u eerst een gegevensbron. Kies vervolgens een of meer voorwaarden voor uw zoekopdracht. Kies voor elke voorwaarde een kenmerk , een operator en een waarde .

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Beveiligingscentrum en dan Onderzoeksinstrument .

    Hiervoor is beheerdersrechten voor het beveiligingscentrum vereist.

  2. Klik op Gegevensbron en selecteer Gebeurtenissen in het schijflogboek .

  3. Om gebeurtenissen te filteren die vóór of na een specifieke datum hebben plaatsgevonden, selecteert u bij Datum de optie Vóór of Na . Standaard worden gebeurtenissen van de afgelopen 7 dagen weergegeven. U kunt een ander datumbereik selecteren of klikken op om het datumfilter te verwijderen.

  4. Klik op Voorwaarde toevoegen .
    Tip : U kunt een of meer voorwaarden in uw zoekopdracht opnemen of uw zoekopdracht aanpassen met geneste query's . Zie ' Uw zoekopdracht aanpassen met geneste query's' voor meer informatie.
  5. Klikkenmerk en dan Selecteer een optie. Om bijvoorbeeld te filteren op een specifiek gebeurtenistype, selecteer je Gebeurtenis .
    Voor een volledige lijst met kenmerken, ga naar het gedeelte 'Beschrijvingen van kenmerken' .
  6. Selecteer een operator.
  7. Voer een waarde in of selecteer een waarde uit de lijst.
  8. (Optioneel) Om meer zoekcriteria toe te voegen, herhaalt u de stappen.
  9. Klik op Zoeken .
    Je kunt de zoekresultaten van de onderzoekstool in een tabel onderaan de pagina bekijken.
  10. (Optioneel) Om uw onderzoek op te slaan, klikt u op Opslaan. en dan Voer een titel en beschrijving in. en dan Klik op Opslaan .

Notities

  • In het tabblad 'Voorwaardenbouwer' worden filters weergegeven als voorwaarden met AND/OR-operatoren. U kunt ook het tabblad 'Filter' gebruiken om eenvoudige parameter-waardeparen op te nemen en zo de zoekresultaten te filteren.
  • Als u een gebruiker een nieuwe naam geeft, ziet u geen zoekresultaten meer met de oude naam van de gebruiker. Als u bijvoorbeeld OldName@example.com hernoemt naar NewName@example.com , ziet u geen resultaten meer voor gebeurtenissen die gerelateerd zijn aan OldName@example.com .
  • Je kunt alleen zoeken in berichten die nog niet uit de prullenbak zijn verwijderd.

Attribuutbeschrijvingen

Voor deze gegevensbron kunt u de volgende kenmerken gebruiken bij het zoeken naar logboekgebeurtenisgegevens.

Attributen voor het zoeken in loggegevens

Opmerking :

  • Niet alle kenmerken in de volgende lijst worden voor alle gebeurtenissen gerapporteerd.
  • De volgende lijst is niet volledig en kan worden gewijzigd. Ga voor meer informatie over Drive-logboekgebeurtenissen naar Drive Audit Activity Events op de website van de Google Workspace Admin SDK .
Attribuut Beschrijving
Acteur

E-mailadres van de gebruiker die de actie heeft uitgevoerd. Gebruikers buiten het domein worden als anoniem weergegeven, behalve wanneer ze een document bekijken of bewerken dat expliciet met hen is gedeeld (als individu of als onderdeel van een specifieke groep).

Opmerking : Wanneer een gebruiker zowel een primair e-mailadres als een aliasadres heeft, registreert het logboek het primaire e-mailadres, zelfs als een gebeurtenis, zoals het delen van items, betrekking heeft op de alias.

Naam van de acteursgroep

De groepsnaam van de acteur. Ga voor meer informatie naar Resultaten filteren op Google Groep .

Om een ​​groep toe te voegen aan uw lijst met toegestane groepen voor filters:

  1. Selecteer de naam van de actorgroep .
  2. Klik op Groepen filteren .
    De pagina 'Groepen filteren' verschijnt.
  3. Klik op Groepen toevoegen .
  4. Zoek een groep door de eerste paar tekens van de naam of het e-mailadres in te voeren. Selecteer de gewenste groep zodra je deze hebt gevonden.
  5. (Optioneel) Om nog een groep toe te voegen, zoek en selecteer de groep.
  6. Klik op Toevoegen zodra je klaar bent met het selecteren van groepen.
  7. (Optioneel) Om een ​​groep te verwijderen, klikt u op Groep verwijderen. .
  8. Klik op Opslaan .
Organisatorische eenheid van de actor Organisatorische eenheid van de actor
API-methode De API-methode die wordt gebruikt door de actie van Download en Item-inhoudstoegangsacties die plaatsvinden via een app van derden, bijvoorbeeld drive.files.export.
App-ID OAuth-client-ID van de app van derden die de actie heeft uitgevoerd.
Appnaam De app die de actie uitvoerde
Publiek Doeldomein in het geval het auditlogboek betrekking heeft op een wijziging van de zichtbaarheid.
Factureerbaar (Essentiële zaken) (alleen editie) Of de gebruikersactie een betaalde activiteit is
Datum

Datum en tijd waarop de gebeurtenis plaatsvond (weergegeven in de standaard tijdzone van uw browser)

Let op: De meeste gebeurtenissen worden geregistreerd zodra ze zijn voltooid. Grote uploads kunnen soms even duren voordat ze worden geregistreerd.

Document-ID

Unieke Drive-item-ID die aan de activiteit is gekoppeld, zoals opgeslagen in de URL-link van het bestand.

Opmerking: Deze informatie wordt alleen gerapporteerd voor bepaalde acties met betrekking tot URL-toegang , document-ID en andere bestandsgerelateerde velden, zoals documenttype en eigenaar. Zie URL-toegang voor meer informatie.

Documenttype Bestandsindelingen die bij de activiteit betrokken zijn, zoals Docs, Sheets of Slides, JPEG, PDF, PNG, MP4, Microsoft Word, Excel, PowerPoint, txt, HTML, MPEG-audio, QuickTime-video, mappen of gedeelde schijven.
Domein* Het domein waar de actie plaatsvond
Versleuteld* Of het bestand aan de clientzijde is versleuteld
Naam van het evenement

Gebeurtenissen zoals Bekijken , Hernoemen , Aanmaken , Bewerken , Afdrukken , Verwijderen , Uploaden en Downloaden

De meeste acties worden direct geregistreerd. Printgebeurtenissen in de Drive-viewer kunnen echter tot 12 uur of langer na de gebeurtenis worden geregistreerd. Bestanden die door Drive worden verwijderd of uit de prullenbak worden geleegd, worden geregistreerd. Andere gebeurtenissen, zoals het uploaden van een bestand, worden geregistreerd zodra ze zijn voltooid.

Imitatie

Een applicatie heeft domeinbrede delegatie gebruikt om namens een gebruiker een verzoek in te dienen. 'True' geeft aan dat de actie namens een gebruiker is uitgevoerd. U kunt de Actor raadplegen om het e-mailadres van de gebruiker, de app-ID en de appnaam te vinden waarmee de applicatie kan worden geïdentificeerd.

Lees meer over domeinbrede delegatie .
IP-adres*

Het adres waar de gebruiker de activiteit heeft uitgevoerd. Dit kan de fysieke locatie van de gebruiker zijn, maar het kan ook een proxyserver of een VPN-adres (Virtual Private Network) zijn.

Er worden geen IP-adressen geregistreerd voor gebeurtenissen:

  • Gestart door gebruikers buiten het domein.
  • Van diensten die het IP-adres niet registreren in hun verzoeken.
  • Betrekking hebbend op het hernoemen of verwijderen van een gedeelde schijf.
IP ASN

Je moet deze kolom toevoegen aan de zoekresultaten. Zie 'Kolomgegevens van zoekresultaten beheren' voor de stappen .

Het IP-autonoom systeemnummer (ASN), de onderverdeling en de regio die aan de logboekvermelding zijn gekoppeld.

Om het IP-adres, het ASN en de regiocode (subdivisie en regio) te bekijken waar de activiteit plaatsvond, klikt u op de naam in de zoekresultaten.

Nieuwe waarde voor zichtbaarheid bij publicatie Nieuwe zichtbaarheid van het document
Nieuwe waarde* Nieuwe waarde van de gewijzigde instelling
Nieuwe waarde-ID's* Nieuwe waarde van het labelveld
Oude publicatie zichtbaarheidswaarde De oude zichtbaarheid van het document als de activiteit een wijziging van de zichtbaarheid betreft.
Oude waarde* Oude waarde van de gewijzigde instelling
Oude waarde-ID's* Oude waarde van het labelveld
Eigenaar Gebruiker die eigenaar is van het bestand
Vooraf zichtbaar De vorige zichtbaarheid van het document, voor het geval de zichtbaarheid wordt gewijzigd.
Ontvangers* E-mailadressen van de ontvangers
Bronnen Details over de bestanden, mappen of regels die aan de actie zijn gekoppeld.

Om op deze gegevens te zoeken, selecteert u 'Bronnen' in het menu en vervolgens een geneste kolom: Bron-ID , Brontitel , Brontype of Eigenaarsgegevens .

De resultaten worden weergegeven in de kolom 'Bronnen' . Klik op een item om het paneel met logdetails te openen en de volgende informatie te bekijken:
  • Resource-ID — De resource-identificatiecode
  • Titel van de bron —Titel van de bron
  • Brontype —Categorie van de bron (zoals Google Drive, e-mail of regel)
  • Resource-relatie — De relatie tussen de resource en de gebeurtenis
  • Eigenaarsgegevens — Details over de eigenaar van de bron, inclusief eigenaarstype en eigenaarsidentiteit
  • Bronlabel — De classificatielabels die op de bron van toepassing zijn.
  • Resource-labelveld — De specifieke velden en gegevenstypen binnen een label

Als u deze informatie exporteert naar een CSV-bestand (comma-separated values) of Google Sheets, wordt de informatie opgeslagen als één tekstblok in een cel.

Bronlabel Details over de classificatielabels die aan een bron zijn toegekend.

Om op deze informatie te zoeken, selecteert u 'Resource label' in het menu en vervolgens een geneste kolom: 'Resource label ID' of 'Resource label title' .

De resultaten worden weergegeven in de kolom 'Bronnen' . Klik op een item om het detailvenster van het logboek te openen.
Bronlabelveld Details over de specifieke velden binnen een classificatielabel.

Om op deze velden te zoeken, selecteert u 'Bronlabelveld' in het menu en vervolgens een geneste kolom: 'Labelveld-ID' , 'Labelveldnaam ' of 'Labelveldtype' .

De resultaten worden weergegeven in de kolom 'Bronnen' . Klik op een item om het detailvenster van het logboek te openen.
Waarde van het veld 'Resource label' Details over de gegevens die in een specifiek labelveld zijn ingevoerd.

Om op deze waarden te zoeken, selecteert u 'Resource label field value' in het menu en vervolgens een geneste kolom: Datum , Nummer , Selectie , Selectielijst , Tekst , Gebruiker of Gebruikerslijst .

De resultaten worden weergegeven in de kolom 'Bronnen' . Klik op een item om het detailvenster van het logboek te openen.
ID van gedeelde schijf De schijf-ID van de gedeelde schijf waarop het bestand zich bevindt. Als het bestand zich niet op een gedeelde schijf bevindt, wordt dit veld niet ingevuld.
Doel Gebruiker wiens toegang is gewijzigd
Titel Titel van het document
Gebruikersapparaat-ID

Je moet deze kolom toevoegen aan de zoekresultaten. Zie 'Kolomgegevens van zoekresultaten beheren' voor de stappen .

Details over het apparaat dat de actie heeft uitgevoerd.

Klik in de zoekresultaten op 'Gebruikersapparaat-ID' om het volgende weer te geven:

  • Gebruikersapparaat-ID — De unieke identificatiecode van het apparaat
  • Gebruikersapparaattype — Het type apparaat dat wordt gebruikt (zoals DESKTOP_MAC of DESKTOP_WINDOWS)
  • Versie van het besturingssysteem van het gebruikersapparaat — De versie van het besturingssysteem die op het apparaat is geïnstalleerd.

Als u deze informatie exporteert naar een CSV-bestand (comma-separated values) of Google Sheets, wordt de informatie opgeslagen als één tekstblok in een cel.

Zichtbaarheid Zichtbaarheid van het Drive-item dat aan de activiteit is gekoppeld
Zichtbaarheidsverandering Zichtbaarheid van het Drive-item vóór de activiteit
Bezoeker 'Ja' betekent dat de activiteit afkomstig is van een niet-Google-gebruiker. 'Nee' betekent dat de activiteit afkomstig is van een Google-gebruiker. Lees meer over het delen van documenten met bezoekers .
* Met deze filters kunt u geen rapportageregels maken. Lees meer over rapportageregels versus activiteitsregels .

Let op : als u een gebruiker een nieuwe naam geeft, ziet u geen zoekresultaten meer met de oude naam van de gebruiker. Als u bijvoorbeeld OldName@example.com hernoemt naar NewName@example.com , ziet u geen resultaten meer voor gebeurtenissen die gerelateerd zijn aan OldName@example.com .

Bekijk bestanden die buiten een domein worden gedeeld.

Audit- en onderzoekspagina

  1. Open de logboekgebeurtenissen zoals beschreven in ' Een zoekopdracht uitvoeren naar logboekgebeurtenissen' .
  2. Klik op ' Een filter toevoegen'. en dan Zichtbaarheid en dan Selecteer 'Extern delen' .
  3. Klik op Zoeken .

Als je extern delen uitschakelt en een gebruiker een bron deelt met een groep die externe gebruikers toestaat, worden de gegevens in het logboek gemarkeerd als 'Extern gedeeld '. Externe gebruikers in de groep hebben echter geen toegang tot de gedeelde bron. Dit zie je zelfs als de groep geen externe gebruikers heeft.

Beveiligingsonderzoekstool

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Beveiligingscentrum en dan Onderzoeksinstrument .

    Hiervoor is beheerdersrechten voor het beveiligingscentrum vereist.

  2. Klik op Gegevensbron en dan Selecteer 'Schijflogboekgebeurtenissen' .
  3. Klik op Voorwaarde toevoegen .
  4. Klikkenmerk en dan Selecteer Zichtbaarheid .
  5. Klik bevat en dan selecteer Is.
  6. Klikzichtbaarheid en dan Selecteer 'Extern delen' .
  7. Klik op Zoeken .
    Je kunt de zoekresultaten van de onderzoekstool in een tabel onderaan de pagina bekijken.

Als je extern delen uitschakelt en een gebruiker een bron deelt met een groep die externe gebruikers toestaat, worden de gegevens in het logboek gemarkeerd als 'Extern gedeeld '. Externe gebruikers in de groep hebben echter geen toegang tot de gedeelde bron. Dit zie je zelfs als de groep geen externe gebruikers heeft.

Geregistreerde en niet-geregistreerde gebeurtenissen

Verwijderen

Bestanden die automatisch door Drive worden verwijderd of uit de prullenbak worden geleegd, worden geregistreerd.

Kopiëren

Wanneer een bestand wordt gekopieerd, worden er 'Create'- en 'Copy'- gebeurtenissen geregistreerd voor het nieuwe bestand, en een 'Source Copy'- gebeurtenis voor het originele bestand.

Wanneer een gebruiker buiten uw organisatie een bestand naar een externe locatie kopieert, registreert uw organisatie de gebeurtenissen 'Aanmaken' en 'Kopiëren' niet, omdat het nieuwe bestand extern is. Uw logboeken bevatten echter wel de gebeurtenis 'Bron kopiëren ' voor het oorspronkelijke bestand met het kopieertype ' Extern' . Om te controleren wanneer gegevens buiten uw organisatie worden gekopieerd, kunt u de gebeurtenissen 'Bron kopiëren' met het kopieertype 'Extern' bekijken.

Afdrukken

Printgebeurtenissen worden niet geregistreerd wanneer een gebruiker een bestand afdrukt dat is geopend in een Google-bestandsindeling (Docs, Sheets, Slides, Drawings en Forms).

Bij het afdrukken van bestanden met de Drive-app vanaf een Apple iPhone, iPad of Android-apparaat kunnen afdrukgebeurtenissen worden geregistreerd als downloadgebeurtenissen .

Download

De meeste downloads worden geregistreerd, ook wanneer bestanden worden gekopieerd tussen Drive en een lokaal apparaat via Google Drive voor desktop.

De volgende weergaveacties worden geregistreerd als downloadgebeurtenissen :

  • Een bestand bekijken in de Drive-app op een mobiel apparaat.
  • Een bestand, zoals een PDF, bekijken dat niet rechtstreeks in Docs of andere Google-apps kan worden geopend.
  • Een bestand als bijlage meesturen met een e-mail vanuit een Google-app, zoals Docs.

Downloads van de volgende bronnen worden niet geregistreerd:

  • Downloads van Google Takeout (zoek in plaats daarvan naar gebeurtenissen in het Takeout-logboek )
  • Downloads naar offline browsercache
  • Foto's die gesynchroniseerd zijn met, gedownload zijn van of bekeken worden via Google Foto's
  • Drive-items die als bijlagen vanuit Gmail worden verzonden.

Inhoud van items gesynchroniseerd

Gebeurtenissen met betrekking tot de synchronisatie van iteminhoud worden in de volgende gevallen geregistreerd en zijn beschikbaar voor gebruik na 1 juli 2024:

  • Een bestand wordt gesynchroniseerd van Drive naar een lokaal apparaat met behulp van Drive voor desktop. Deze synchronisaties worden ook geregistreerd als downloadgebeurtenissen .
  • Een bestand wordt gesynchroniseerd met een apparaat voor offline toegang , inclusief doorlopende synchronisaties met de online versie. Gebeurtenissen met betrekking tot de synchronisatie van iteminhoud met de mobiele Drive-app (Android en iOS) kunnen in plaats daarvan als downloadgebeurtenissen worden geregistreerd.

Inhoud van het item vooraf opgehaald

Gebeurtenissen waarbij iteminhoud vooraf wordt opgehaald, geven aan dat een Google-app Drive-gegevens heeft opgehaald, maar deze niet direct aan de gebruiker heeft getoond. Het bekijken van een voorbeeld van een bestand in Drive kan bijvoorbeeld leiden tot het vooraf ophalen van bestanden in de buurt. De inhoud is beschikbaar voor de gebruiker als deze deze later nodig heeft.

Toegang tot iteminhoud

U kunt namens gebruikers bestanden openen via een app die gebruikmaakt van een Google Workspace API, zoals de Google Drive API of de Google Sheets API. Deze acties worden niet geregistreerd als download- of weergavegebeurtenissen , maar alleen als 'Toegang tot iteminhoud' . De 'Toegang tot iteminhoud' -gebeurtenissen van Gemini worden alleen geregistreerd wanneer bestandsinhoud wordt geopend buiten het geopende bestand van een gebruiker in Drive voor web.

Gebeurtenissen met betrekking tot de toegang tot iteminhoud worden niet geregistreerd wanneer een gebruiker een bestand bekijkt of opent in Drive voor web, Drive op mobiel of de Drive-app voor desktop.

Weergave

Het bekijken van bestanden via /htmlview, /embed, /revisions en andere speciale URL's wordt geregistreerd als weergavegebeurtenissen .

URL bezocht

Gebeurtenissen met betrekking tot URL-toegang worden geregistreerd wanneer een Apps Script-script een URL opent , ook wanneer het script wordt uitgevoerd vanuit het Apps Script-dashboard , als een invoegtoepassing of als een aangepaste functie in Google Sheets . Gebeurtenissen met betrekking tot URL-toegang worden niet geregistreerd wanneer een gebruiker op een link in een bestand klikt.

De gerapporteerde kenmerken zijn afhankelijk van hoe het script is uitgevoerd en wie de eigenaar ervan is:

  • Wanneer een script als aangepaste functie wordt uitgevoerd, weerspiegelen de document-ID en andere documentgerelateerde kenmerken het werkblad waarin de functie is aangeroepen.
  • Als een script niet als een aangepaste functie wordt uitgevoerd, worden documentgerelateerde attributen niet gerapporteerd.
  • De script-ID wordt weergegeven als het Apps Script-script eigendom is van uw organisatie.

URL voor het importeren van spreadsheets

Het aanroepen van een Sheets Import-functie , die een URL gebruikt, wordt geregistreerd als een Sheets Import URL- gebeurtenis. Een gebeurtenis wordt geregistreerd wanneer de inhoud van het spreadsheet wordt gewijzigd door een automatische vernieuwing of wanneer een gebruiker het spreadsheet opent.

Gebeurtenissen waarbij externe domeinen betrokken zijn.

Sommige gebeurtenissen hebben betrekking op gebruikers, gedeelde mappen of gedeelde schijven buiten uw organisatie, bijvoorbeeld wanneer een gebruiker binnen uw organisatie een bestand deelt met een externe gebruiker. Beide organisaties registreren een gebeurtenis wanneer het eigenaarschap van het item van de ene organisatie naar de andere overgaat.

Voorbeelden van gebeurtenissen die door beide zijn vastgelegd:

  • Een Drive-item dat eigendom is van een gebruiker in uw organisatie, wordt verplaatst naar een externe gedeelde schijf.
  • Een Drive-item dat eigendom is van een gebruiker buiten uw organisatie, wordt verplaatst naar een gedeelde schijf die eigendom is van uw organisatie.
  • Een gebruiker kopieert een bestand naar of vanuit uw organisatie. De ontvangende organisatie registreert de naam van het gekopieerde bestand, niet de oorspronkelijke bestandsnaam.

Voorbeelden van gebeurtenissen die door uw organisatie zijn vastgelegd, maar niet door het externe domein:

  • Een Drive-item dat eigendom is van een gebruiker binnen uw organisatie, wordt gedeeld met een externe gebruiker.
  • Een Drive-item dat eigendom is van een gebruiker in uw organisatie, wordt gedeeld met een groep die externe gebruikers toestaat, zelfs als er geen externe gebruikers deel uitmaken van die groep.
  • Een externe gebruiker kan een Drive-item dat eigendom is van uw organisatie bekijken, bewerken, downloaden, afdrukken of verwijderen.
  • Een externe gebruiker uploadt een bestand naar een gedeelde schijf die eigendom is van uw organisatie.

Gebeurtenissen die door het externe domein, maar niet door uw organisatie zijn geregistreerd, zijn het tegenovergestelde van wat in de vorige sectie werd beschreven.

Anonieme en externe gebruikers

Voor anonieme gebruikers (gebruikers die niet zijn ingelogd op een Google-account) worden bewerkingen, downloads en weergaven geregistreerd.

Handelingen uitgevoerd door gebruikers buiten het domein worden als anoniem weergegeven, tenzij het item expliciet met hen wordt gedeeld (als individu of als onderdeel van een specifieke groep).

Beheerders kunnen anonieme en externe toegang beperken door beleid voor het delen van organisatiegegevens of vertrouwensregels in te stellen.

Schijf voor desktop

Wanneer bestanden tussen Drive en een lokaal apparaat worden gekopieerd met Drive voor desktop, worden de gebeurtenissen 'Downloaden' en 'Inhoud van items gesynchroniseerd' geregistreerd.

Zoekactiviteiten

Wanneer een gebruiker een zoekopdracht uitvoert in Drive of via de openbare Drive API's, wordt deze zoekopdracht geregistreerd als een gebeurtenis ' Item zoeken uitgevoerd' . Deze gebeurtenis bevat informatie over de zoekresultaten en de zoekopdracht van de gebruiker.

Beheer logboekgebeurtenisgegevens

Gegevens van de kolom met zoekresultaten beheren

Je kunt zelf bepalen welke gegevenskolommen in je zoekresultaten worden weergegeven.

  1. Klik rechtsboven in de tabel met zoekresultaten op Kolommen beheren. .
  2. (Optioneel) Om de huidige kolommen te verwijderen, klikt u op Verwijderen. .
  3. (Optioneel) Om kolommen toe te voegen, klikt u naast 'Nieuwe kolom toevoegen ' op de pijl naar beneden. en selecteer de gegevenskolom.
    Herhaal indien nodig.
  4. (Optioneel) Om de volgorde van de kolommen te wijzigen, sleept u de namen van de gegevenskolommen.
  5. Klik op Opslaan .

Exporteer zoekresultatengegevens

Je kunt zoekresultaten exporteren naar Google Sheets of naar een CSV-bestand.

  1. Klik bovenaan in de tabel met zoekresultaten op Alles exporteren .
  2. Voer een naam in en dan Klik op Exporteren .
    De export wordt onder de zoekresultatentabel weergegeven, onder ' Exportactieresultaten' .
  3. Om de gegevens te bekijken, klikt u op de naam van uw export.
    Het exportbestand wordt geopend in Google Sheets.

Exportlimieten variëren:

  • De totale resultaten van de export zijn beperkt tot 100.000 rijen.
  • Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

    Als u de tool voor beveiligingsonderzoek hebt, zijn de totale resultaten van de export beperkt tot 30 miljoen rijen.

Ga voor meer informatie naar Zoekresultaten exporteren .

Wanneer en hoe lang zijn de gegevens beschikbaar?

Onderneem actie op basis van de zoekresultaten.

Maak activiteitsregels aan en stel waarschuwingen in.

  • U kunt waarschuwingen instellen op basis van logboekgebeurtenisgegevens met behulp van rapportageregels. Zie Rapportageregels maken en beheren voor instructies.
  • Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

    Om beveiligingsproblemen efficiënt te voorkomen, op te sporen en op te lossen, kunt u acties in de tool voor beveiligingsonderzoek automatiseren en waarschuwingen instellen door activiteitsregels te maken. Om een ​​regel in te stellen, definieert u de voorwaarden voor de regel en specificeert u vervolgens de acties die moeten worden uitgevoerd wanneer aan de voorwaarden is voldaan. Ga voor meer informatie naar Activiteitsregels maken en beheren .

Onderneem actie op basis van de zoekresultaten.

Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Nadat u een zoekopdracht hebt uitgevoerd in de tool voor beveiligingsonderzoek, kunt u actie ondernemen op basis van de zoekresultaten. U kunt bijvoorbeeld een zoekopdracht uitvoeren op basis van gebeurtenissen in het Gmail-logboek en vervolgens de tool gebruiken om specifieke berichten te verwijderen, berichten in quarantaine te plaatsen of berichten naar de inbox van gebruikers te sturen. Ga naar Actie ondernemen op basis van zoekresultaten voor meer informatie.

Beheer uw onderzoeken

Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Bekijk uw lijst met onderzoeken

Om een ​​lijst te bekijken van de onderzoeken die u bezit en die met u zijn gedeeld, klikt u op 'Onderzoeken bekijken'. De lijst met onderzoeken bevat de namen, beschrijvingen en eigenaren van de onderzoeken, en de datum van de laatste wijziging.

Vanuit deze lijst kunt u acties uitvoeren op alle onderzoeken die u beheert, bijvoorbeeld een onderzoek verwijderen. Vink het vakje van een onderzoek aan en klik vervolgens op Acties .

Opmerking : U kunt uw opgeslagen onderzoeken bekijken onder Snelle toegang , direct boven uw lijst met onderzoeken.

Configureer de instellingen voor uw onderzoeken.

Als superbeheerder klikt u op Instellingen. naar:

  • Wijzig de tijdzone voor uw zoekopdrachten. De tijdzone is van invloed op de zoekvoorwaarden en -resultaten.
  • Schakel de optie 'Reviewer vereisen' in of uit. Ga naar 'Reviewers vereisen voor bulkacties' voor meer informatie.
  • Schakel 'Inhoud weergeven' in of uit. Met deze instelling kunnen beheerders met de juiste rechten de inhoud bekijken.
  • Schakel de actierechtvaardiging in of uit.

Ga voor meer informatie naar Instellingen configureren voor uw onderzoeken .

Onderzoeken opslaan, delen, verwijderen en dupliceren

Om je zoekcriteria op te slaan of met anderen te delen, kun je een zoekopdracht aanmaken en opslaan, en deze vervolgens delen, dupliceren of verwijderen.

Ga voor meer informatie naar Onderzoeken opslaan, delen, verwijderen en dupliceren .


Google, Google Workspace en aanverwante merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waaraan ze zijn verbonden.