Zdarzenia z dziennika Dysku

Aby przeszukać zdarzenia z dziennika, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 filtr wyszukiwania.

1. W konsoli administracyjnej Google otwórz Menu  Raportowanie Kontrola i analiza zagrożeń Zdarzenia z dziennika Dysku.

   Przejdź do zdarzeń z dziennika Dysku

   Wymaga uprawnień administratora Kontrola i analiza zagrożeń.

2. Aby filtrować zdarzenia, które wystąpiły przed lub po określonej dacie, w polu Data wybierz Przed lub Po. Domyślnie wyświetlane są zdarzenia z ostatnich 7 dni. Możesz wybrać inny zakres dat lub kliknąć , aby usunąć filtr daty.

3. Kliknij Dodaj filtr wybierz atrybut. Aby na przykład filtrować według określonego typu zdarzenia, wybierz Zdarzenie.
4. Wybierz operatora wybierz wartość kliknij Zastosuj.
   • (Opcjonalnie) Aby utworzyć kilka filtrów wyszukiwania, powtórz ten krok.
   • (Opcjonalnie) Aby dodać operator wyszukiwania, nad opcją Dodaj filtr wybierz ORAZ bądź LUB.
5. Kliknij Szukaj. Uwaga: na karcie Filtr możesz uwzględnić proste pary parametrów i wartości, aby przefiltrować wyniki wyszukiwania. Możesz też użyć karty Narzędzie do definiowania warunków, gdzie filtry są mają postać warunków z operatorem ORAZ i LUB.

Aby przeprowadzić wyszukiwanie w narzędziu do analizy zagrożeń, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 warunek wyszukiwania. Dla każdego warunku wybierz atrybut, operator i wartość.

1. W konsoli administracyjnej Google otwórz Menu  Bezpieczeństwo Centrum bezpieczeństwa Narzędzie do analizy zagrożeń.

   Otwórz Narzędzie do analizy zagrożeń

   Wymaga uprawnień administratora Centrum bezpieczeństwa.

2. Kliknij Źródło danych i wybierz Zdarzenia z dziennika Dysku.

3. Aby filtrować zdarzenia, które wystąpiły przed lub po określonej dacie, w polu Data wybierz Przed lub Po. Domyślnie wyświetlane są zdarzenia z ostatnich 7 dni. Możesz wybrać inny zakres dat lub kliknąć , aby usunąć filtr daty.

4. Kliknij Dodaj warunek.
   Wskazówka: w wyszukiwaniu możesz uwzględnić 1 lub kilka warunków. Możesz też dostosować wyszukiwanie za pomocą zapytań zagnieżdżonych. Więcej informacji znajdziesz w artykule Dostosowywanie wyszukiwania za pomocą zapytań zagnieżdżonych.
5. Kliknij Atrybut wybierz opcję. Aby na przykład filtrować według określonego typu zdarzenia, wybierz Zdarzenie.
   Pełną listę atrybutów znajdziesz w sekcji Opisy atrybutów.
6. Wybierz operator.
7. Wpisz wartość lub wybierz ją z listy.
8. (Opcjonalnie) Aby dodać więcej warunków wyszukiwania, powtórz te czynności.
9. Kliknij Szukaj.
   Wyniki wyszukiwania z narzędzia do analizy zagrożeń możesz sprawdzić w tabeli u dołu strony.
10. (Opcjonalnie) Aby zapisać analizę zagrożeń, kliknij Zapisz  wpisz tytuł i opis  kliknij Zapisz.

Uwagi

• Na karcie Narzędzie do definiowania warunków filtry mają postać warunków z operatorami AND/OR. Proste pary parametrów i wartości do filtrowania wyników wyszukiwania możesz też dodawać na karcie Filtr.
• Jeśli zmienisz nazwę konta użytkownika, nie zobaczysz wyników zapytań ze starą nazwą konta użytkownika. Jeśli na przykład zmienisz nazwę konta stara_nazwa@example.com na nowa_nazwa@example.com, nie zobaczysz wyników dotyczących zdarzeń powiązanych z nazwą stara_nazwa@example.com.
• Możesz wyszukiwać dane tylko w wiadomościach, które nie zostały jeszcze usunięte z Kosza.

Uwaga:

• Nie wszystkie atrybuty z poniższej listy są raportowane w przypadku wszystkich zdarzeń.
• Poniższa lista nie jest ostateczna i może ulec zmianie. Więcej informacji o zdarzeniach z dziennika Dysku znajdziesz w artykule na temat działań rejestrowanych w dzienniku kontrolnym Dysku w witrynie pakietu Google Workspace Admin SDK.

Uwaga: jeśli zmienisz nazwę konta użytkownika, nie zobaczysz wyników zapytań ze starą nazwą konta użytkownika. Jeśli na przykład zmienisz nazwę konta stara_nazwa@example.com na nowa_nazwa@example.com, nie zobaczysz wyników dotyczących zdarzeń powiązanych z nazwą stara_nazwa@example.com.

Pliki automatycznie usuwane z Dysku lub usunięte z kosza są rejestrowane.

Po skopiowaniu pliku zdarzenia tworzenia i kopiowania są rejestrowane dla nowego pliku, a zdarzenie kopii źródła jest rejestrowane dla pierwotnego pliku.

Gdy użytkownik spoza organizacji skopiuje plik do lokalizacji zewnętrznej, organizacja nie rejestruje zdarzeń tworzenia i kopiowania, ponieważ nowy plik jest zewnętrzny. Jednak w pierwotnym pliku dzienniki zawierają zdarzenie kopii źródła, a typ kopii jest zewnętrzny. Aby sprawdzić, kiedy dane są kopiowane poza organizację, możesz przejrzeć zdarzenia kopii źródła, których typ kopii jest zewnętrzny.

Zdarzenia drukowania nie są rejestrowane, gdy użytkownik drukuje pliki otwarte w formatach Google (Dokumenty, Arkusze, Prezentacje, Rysunki i Formularze).

Podczas drukowania plików za pomocą aplikacji Dysk na urządzeniach Apple (iPhone i iPad) lub na urządzeniach z Androidem zdarzenia drukowania mogą być rejestrowane jako zdarzenia pobierania.

Zdarzenia pobierania są zazwyczaj rejestrowane, nawet gdy pliki są kopiowane między Dyskiem i urządzeniem lokalnym za pomocą Dysku Google na komputer.

Te działania wyświetlania są rejestrowane jako zdarzenia pobierania:

• wyświetlanie podglądu pliku w aplikacji Dysk na urządzeniu mobilnym;
• wyświetlenie podglądu pliku takiego jak PDF, którego nie można otworzyć bezpośrednio w Dokumentach lub innych aplikacjach Google;
• wysłanie pliku jako załącznika do e-maila z aplikacji Google, takiej jak Dokumenty.

Operacje pobierania z tych źródeł nie są rejestrowane:

• operacje pobierania z Google Takeout (zamiast tego należy wyszukać zdarzenia z dziennika Takeout);
• operacje pobierania do pamięci podręcznej przeglądarki w trybie offline;
• zdjęcia synchronizowane ze Zdjęciami Google, pobierane z tej usługi i wyświetlane w niej;
• elementy z Dysku wysłane pocztą e-mail z Gmaila jako załączniki.

Zdarzenia synchronizacji treści elementu są rejestrowane w tych przypadkach i dostępne dla aktywności po 1 lipca 2024 roku:

• Plik jest synchronizowany z Dysku z urządzeniem lokalnym za pomocą Dysku na komputer. Takie pliki są też rejestrowane jako zdarzenia pobierania.
• Plik jest synchronizowany z urządzeniem w celu uzyskania dostępu offline, w tym ciągłej synchronizacji z wersją online. Zdarzenia synchronizacji treści elementu z aplikacją mobilną Dysk (na Androida i iOS) mogą być rejestrowane jako zdarzenia pobierania.

Zdarzenia wstępnego pobierania zawartości elementu wskazują, że aplikacja Google pobrała dane z Dysku, ale nie wyświetliła ich od razu użytkownikowi. Na przykład wyświetlenie podglądu pliku na Dysku może spowodować pobieranie z wyprzedzeniem plików w pobliżu. Treści są dostępne dla użytkownika w sytuacji gdyby były potrzebne później.

Możesz uzyskać dostęp do plików w imieniu użytkowników za pomocą aplikacji korzystającej z interfejsu Google Workspace API, takiego jak Google Drive API lub Google Sheets API. Te działania nie są rejestrowane jako zdarzenia pobierania ani wyświetlania, tylko jako Treść elementu, do której uzyskano dostęp. Zdarzenia Treść elementu, do której uzyskano dostęp w Gemini są rejestrowane tylko wtedy, gdy dostęp do zawartości pliku następuje poza otwartym plikiem użytkownika na Dysku w przeglądarce.

Zdarzenia dostępu do zawartości elementów nie są rejestrowane, gdy użytkownik wyświetli lub otworzy plik w Dysku w przeglądarce, na Dysku na urządzeniu mobilnym lub w aplikacji Dysk na komputer.

Wyświetlenia plików przy użyciu /htmlview, /embed, /revisions i innych specjalnych adresów URL są rejestrowane jako zdarzenia wyświetlania.

Zdarzenia URL, który otwarto są rejestrowane, gdy skrypt Apps Script uzyskuje dostęp do adresu URL, w tym także wtedy, gdy skrypt jest uruchamiany z instancji panelu Apps Script, uruchom jako Dodatek lub jako funkcję niestandardową w Arkuszach. Zdarzenia URL, który otwarto nie są rejestrowane, gdy użytkownik kliknie link w pliku.

Zgłaszane atrybuty zależą od sposobu uruchomienia skryptu i od tego, kto jest jego właścicielem:

• Gdy skrypt zostanie uruchomiony jako funkcja niestandardowa, identyfikator dokumentu i inne atrybuty związane z dokumentem będą zgodne z arkuszem, w którym ta funkcja została wywołana.
• Gdy skrypt nie jest uruchamiany jako funkcja niestandardowa, atrybuty związane z dokumentem nie są raportowane.
• Identyfikator skryptu jest raportowany, gdy skrypt Apps Script należy do organizacji.

Wywołanie funkcji importowania Arkuszy, która uzyskuje dostęp do adresu URL, jest rejestrowane jako zdarzenie Adresu URL importu z Arkuszy. Zdarzenie jest rejestrowane, gdy zawartość arkusza zostaje zmieniona przez automatyczne odświeżanie lub gdy użytkownik otworzy arkusz.

Niektóre zdarzenia dotyczą użytkowników, folderów udostępnionych lub dysków współdzielonych spoza organizacji, na przykład gdy użytkownik w organizacji udostępnia plik osobie z zewnątrz. Gdy element staje się własnością drugiej organizacji, zdarzenie jest rejestrowane w obu organizacjach.

Przykłady zdarzeń rejestrowanych przez obie organizacje:

• przeniesienie elementu na Dysku należącego do użytkownika w organizacji na zewnętrzny dysk współdzielony;
• przeniesienie elementu na Dysku należącego do użytkownika spoza organizacji na dysk współdzielony w Twojej organizacji;
• skopiowanie pliku na Dysk w organizacji lub poza nią – w organizacji odbierającej jest rejestrowana nazwa skopiowanego, a nie oryginalnego pliku.

Przykłady zdarzeń rejestrowanych przez Twoją organizację, ale nierejestrowanych w domenie zewnętrznej:

• udostępnienie elementu na Dysku należącego do użytkownika w Twojej organizacji użytkownikowi zewnętrznemu;
• udostępnienie elementu na Dysku należącego do użytkownika w organizacji grupie, która zezwala na dostęp użytkowników zewnętrznych, nawet jeśli nie ma w niej takich użytkowników;
• wyświetlenie, zmodyfikowanie, pobranie, wydrukowanie lub usunięcie elementu na Dysku należącego do Twojej organizacji;
• przesłanie przez zewnętrznego użytkownika pliku na dysk współdzielony należący do Twojej organizacji.

W przypadku domeny zewnętrznej rejestrowane zdarzenia są przeciwne do tych opisanych w poprzedniej sekcji.

W przypadku anonimowych użytkowników (niezalogowanych na konto Google) rejestrowane są zmiany i operacje pobierania, ale wyświetlenia już nie.

Działania wykonywane przez użytkowników spoza domeny są pokazywane jako anonimowe, chyba że element został udostępniony im bezpośrednio (indywidualnie lub w ramach grupy).

Administratorzy mogą ograniczać dostęp anonimowy i zewnętrzny, ustawiając reguły zaufania lub zasady udostępniania w organizacji.

Podczas kopiowania plików między Dyskiem i urządzeniem lokalnym za pomocą Dysku na komputer rejestrowane są zdarzenia pobierania i synchronizacji zawartości elementu.

Gdy użytkownik przeprowadzi wyszukiwanie na Dysku lub w publicznych interfejsach API Dysku, wyszukiwanie zostanie zapisane jako zdarzenie wyszukiwania elementu wykonanego. To zdarzenie będzie zawierać informacje o wynikach wyszukiwania i zapytaniu użytkownika.

Możesz określić, które kolumny danych mają pojawiać się w wynikach wyszukiwania.

1. W prawym górnym rogu tabeli wyników wyszukiwania kliknij Zarządzaj kolumnami .
2. (Opcjonalnie) Aby usunąć bieżące kolumny, kliknij Usuń .
3. (Opcjonalnie) Aby dodać kolumny, obok Dodaj nową kolumnę kliknij strzałkę w dół  i wybierz kolumnę danych.
   W razie potrzeby powtórz tę czynność.
4. (Opcjonalnie) Aby zmienić kolejność kolumn, przeciągnij nazwy kolumn danych.
5. Kliknij Zapisz.

Wyniki wyszukiwania możesz wyeksportować do Arkuszy lub do pliku CSV.

1. U góry tabeli wyników wyszukiwania kliknij Eksportuj wszystko.
2. Wpisz nazwę  kliknij Eksportuj.
   Wyeksportowane dane wyświetlają się pod tabelą wyników wyszukiwania w sekcji wyników eksportowania.
3. Aby wyświetlić dane, kliknij nazwę eksportu.
   Eksport otworzy się w Arkuszach.

Limity eksportu różnią się od siebie:

• Limit liczby eksportowanych wyników wynosi 100 tys. wierszy.
• Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

  Jeśli masz narzędzie do analizy zagrożeń, limit liczby eksportowanych wyników wynosi 30 milionów wierszy.

Więcej informacji znajdziesz w artykule Eksportowanie wyników wyszukiwania.

Przeczytaj artykuł Czas przechowywania danych i opóźnienia.

• Alerty na podstawie danych zdarzeń z dziennika możesz konfigurować za pomocą reguł raportowania. Instrukcje znajdziesz w artykule Tworzenie reguł raportowania i zarządzanie nimi.
• Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

  Aby skutecznie zapobiegać problemom z zabezpieczeniami, wykrywać je i rozwiązywać, możesz zautomatyzować działanie narzędzia do analizy zagrożeń i skonfigurować alerty, tworząc reguły związane z aktywnością. Aby skonfigurować regułę, określ warunki reguły, a następnie wskaż czynności, które mają być wykonywane po spełnieniu tych warunków. Więcej informacji znajdziesz w artykule Tworzenie reguł związanych z aktywnością i zarządzanie nimi.

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

Po uruchomieniu wyszukiwania w narzędziu do analizy zagrożeń możesz wykonywać działania na wynikach wyszukiwania. Na przykład po przeprowadzeniu wyszukiwania zdarzeń z dziennika Gmaila za pomocą narzędzia można usunąć określone wiadomości, wysłać je do kwarantanny lub do skrzynek odbiorczych użytkowników. Więcej informacji znajdziesz w artykule Podejmowanie działań na podstawie wyników wyszukiwania.

Aby wyświetlić listę analiz zagrożeń, które należą do Ciebie lub zostały Ci udostępnione, kliknij Wyświetl operacje analizy zagrożeń . Na tej liście znajdują się nazwy, opisy i właściciele analiz zagrożeń oraz daty ostatniej modyfikacji.

Na tej liście możesz też wykonywać czynności na swoich szablonach analizy zagrożeń – na przykład usuwać je. Zaznacz pole obok analizy zagrożeń i kliknij Czynności.

Uwaga: zapisane analizy zagrożeń możesz wyświetlić w sekcji Szybki dostęp, bezpośrednio nad listą analiz zagrożeń.

Jako superadministrator kliknij Ustawienia , aby:

• zmienić strefę czasową analizy zagrożeń używaną w warunkach i wynikach wyszukiwania.
• Włącz lub wyłącz opcję Wymagaj analizy. Więcej informacji znajdziesz w artykule Wymaganie zatwierdzania działań zbiorczych.
• Włącz lub wyłącz opcję Wyświetl treść. To ustawienie pozwala administratorom z odpowiednimi uprawnieniami na wyświetlanie treści.
• Włącz lub wyłącz opcję Włącz uzasadnianie działań.

Więcej informacji znajdziesz w artykule Konfigurowanie ustawień analizy zagrożeń.

Aby zapisać kryteria wyszukiwania lub udostępnić je innym osobom, możesz utworzyć i zapisać szablon analizy zagrożeń, a następnie udostępnić go, zduplikować lub usunąć.

Więcej informacji znajdziesz w artykule Zapisywanie, udostępnianie, usuwanie i powielanie analiz zagrożeń.