События журнала диска

Для выполнения поиска событий в журнале сначала выберите источник данных. Затем выберите один или несколько фильтров для поиска.

1. В консоли администратора Google перейдите в меню. Отчетность Аудит и расследование События журнала диска .

   Перейдите в раздел «События журнала Диска».

   Для этого необходимы права администратора по аудиту и расследованиям .

2. Чтобы отфильтровать события, произошедшие до или после определенной даты, в поле «Дата» выберите «До» или «После» . По умолчанию отображаются события за последние 7 дней. Вы можете выбрать другой диапазон дат или щелкнуть по соответствующему пункту. чтобы удалить фильтр по дате.

3. Нажмите « Добавить фильтр». Выберите атрибут. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
4. Выберите оператора выберите значение Нажмите «Применить» .
   • (Необязательно) Чтобы создать несколько фильтров для поиска, повторите этот шаг.
   • (Необязательно) Чтобы добавить оператор поиска, выше в разделе «Добавить фильтр» выберите «И» или «ИЛИ» .
5. Нажмите «Поиск» . Примечание : На вкладке «Фильтр» можно использовать простые пары параметр-значение для фильтрации результатов поиска. Также можно использовать вкладку «Конструктор условий» , где фильтры представлены в виде условий с операторами И/ИЛИ.

Для выполнения поиска в инструменте анализа безопасности сначала выберите источник данных. Затем выберите одно или несколько условий для поиска. Для каждого условия выберите атрибут , оператор и значение .

1. В консоли администратора Google перейдите в меню. Безопасность Центр безопасности Инструмент расследования .

   Перейдите к инструменту «Расследование».

   Для этого требуются права администратора центра безопасности .

2. Щелкните «Источник данных» и выберите «События журнала диска» .

3. Чтобы отфильтровать события, произошедшие до или после определенной даты, в поле «Дата» выберите «До» или «После» . По умолчанию отображаются события за последние 7 дней. Вы можете выбрать другой диапазон дат или щелкнуть по соответствующему пункту. чтобы удалить фильтр по дате.

4. Нажмите «Добавить условие» .
   Совет : Вы можете включить в поиск одно или несколько условий или настроить поиск с помощью вложенных запросов . Подробнее см. раздел «Настройка поиска с помощью вложенных запросов» .
5. Атрибут клика Выберите нужный вариант. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
   Полный список атрибутов см. в разделе «Описание атрибутов» .
6. Выберите оператора.
7. Введите значение или выберите значение из списка.
8. (Необязательно) Чтобы добавить дополнительные условия поиска, повторите шаги.
9. Нажмите «Поиск» .
   Результаты поиска, полученные с помощью инструмента расследования, можно просмотреть в таблице внизу страницы.
10. (Необязательно) Чтобы сохранить результаты расследования, нажмите «Сохранить». Введите заголовок и описание. Нажмите « Сохранить ».

Примечания

• На вкладке «Конструктор условий» фильтры представлены в виде условий с операторами И/ИЛИ. Вы также можете использовать вкладку «Фильтр» для добавления простых пар параметр-значение для фильтрации результатов поиска.
• Если вы присвоите пользователю новое имя, вы не увидите результаты запросов со старым именем пользователя. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не увидите результаты для событий, связанных с OldName@example.com .
• Поиск данных возможен только в сообщениях, которые еще не были удалены из Корзины.

Примечание :

• Не все атрибуты из приведенного ниже списка отображаются для всех событий.
• Приведенный ниже список не является исчерпывающим и может изменяться. Для получения более подробной информации о событиях журнала Drive перейдите в раздел «События аудита Drive» на веб-сайте Google Workspace Admin SDK .

Примечание : Если вы присвоили пользователю новое имя, вы не увидите результаты запроса со старым именем пользователя. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не увидите результаты для событий, связанных с OldName@example.com .

Файлы, которые автоматически удаляются Google Диском или очищаются из Корзины, регистрируются в журнале.

При копировании файла для нового файла регистрируются события создания и копирования , а для исходного файла — событие копирования источника .

Когда пользователь за пределами вашей организации копирует файл во внешнее хранилище, ваша организация не регистрирует события создания и копирования, поскольку новый файл находится во внешнем хранилище. Однако в ваших журналах присутствует событие «Копирование из источника» для исходного файла с типом копирования « Внешнее» . Чтобы отслеживать копирование данных за пределы вашей организации, вы можете просмотреть события «Копирование из источника» , имеющие тип копирования «Внешнее» .

События печати не регистрируются, когда пользователь печатает файл, открытый в формате Google (Docs, Sheets, Slides, Drawings и Forms).

При печати файлов с помощью приложения «Диск» на устройствах Apple iPhone, iPad или Android события печати могут регистрироваться как события загрузки .

Большинство загрузок регистрируются, в том числе и копирование файлов между Google Диском и локальным устройством с помощью Google Диска для настольных компьютеров.

Следующие действия просмотра регистрируются как события загрузки :

• Предварительный просмотр файла в приложении «Диск» на мобильном устройстве.
• Предварительный просмотр файла, например PDF, который нельзя открыть напрямую в Google Документы или других приложениях Google.
• Отправка файла в качестве вложения к электронному письму из приложения Google, например, Google Docs.

Загрузки из следующих источников не регистрируются:

• Загрузка файлов Google Takeout (вместо этого выполните поиск по запросу "События журнала Takeout ")
• Загрузки в офлайн-кэш браузера
• Фотографии, синхронизированные с Google Фото, загруженные из него или просмотренные с помощью Google Фото.
• Файлы, отправленные по электронной почте из Gmail в виде вложений, отображаются на диске.

События синхронизации содержимого элементов регистрируются в следующих случаях и доступны для отслеживания активности после 1 июля 2024 года:

• Файл синхронизируется из Google Диска на локальное устройство с помощью Google Диска для настольных компьютеров. Эти события также регистрируются как события загрузки .
• Файл синхронизируется с устройством для доступа в автономном режиме , включая постоянную синхронизацию с онлайн-версией. События синхронизации содержимого элемента с мобильным приложением Google Диск (Android и iOS) могут быть зарегистрированы как события загрузки .

События предварительной загрузки содержимого элемента указывают на то, что приложение Google получило данные из Google Диска, но не сразу отобразило их пользователю. Например, предварительный просмотр файла в Google Диске может привести к предварительной загрузке файлов, находящихся поблизости. Содержимое будет доступно пользователю, если оно понадобится позже.

Вы можете получать доступ к файлам от имени пользователей через приложение, использующее API Google Workspace, например, API Google Drive или API Google Sheets. Эти действия не регистрируются как события «Загрузка» или «Просмотр» , а только как «Доступ к содержимому элемента» . События « Доступ к содержимому элемента» в Gemini регистрируются только тогда, когда доступ к содержимому файла осуществляется вне открытого пользователем файла в Google Drive для веб-версии.

События доступа к содержимому элемента не регистрируются при просмотре или открытии файла пользователем в веб-версии Drive, мобильной версии Drive или настольном приложении Drive.

Просмотр файлов с использованием URL-адресов /htmlview, /embed, /revisions и других специальных URL-адресов регистрируется как событие просмотра .

События доступа к URL-адресу регистрируются, когда скрипт Apps Script обращается к URL-адресу , в том числе при запуске скрипта из панели управления Apps Script , запуске в качестве надстройки или запуске в качестве пользовательской функции в Google Sheets . События доступа к URL-адресу не регистрируются, когда пользователь щелкает ссылку в файле.

Сообщаемые атрибуты зависят от того, как был запущен скрипт и кто является его владельцем:

• Когда скрипт запускается как пользовательская функция, идентификатор документа и другие атрибуты, связанные с документом, отражают лист, на котором была вызвана функция.
• Если скрипт не запускается как пользовательская функция, атрибуты, относящиеся к документу, не отображаются.
• Идентификатор скрипта отображается, если скрипт Apps Script принадлежит вашей организации.

Вызов функции импорта таблиц , которая обращается к URL-адресу, регистрируется как событие « URL-адрес импорта таблиц» . Событие регистрируется, когда содержимое таблицы изменяется в результате автоматического обновления или когда пользователь открывает таблицу.

Некоторые события связаны с пользователями, общими папками или общими дисками за пределами вашей организации, например, когда пользователь внутри вашей организации предоставляет доступ к файлу внешнему пользователю. Обе организации регистрируют событие, когда происходит смена владельца элемента с одной организации на другую.

Примеры событий, зарегистрированных обоими приложениями:

• Элемент Google Диска, принадлежащий пользователю вашей организации, перемещается на внешний общий диск.
• Элемент Google Диска, принадлежащий пользователю, не входящему в вашу организацию, перемещается на общий диск, принадлежащий вашей организации.
• Пользователь копирует файл в вашу организацию или из нее. Принимающая организация регистрирует имя скопированного файла, а не имя исходного файла.

Примеры событий, зарегистрированных вашей организацией, но не зарегистрированных внешним доменом:

• Элемент Google Диска, принадлежащий пользователю в вашей организации, предоставляется в общий доступ внешнему пользователю.
• Элемент Google Диска, принадлежащий пользователю в вашей организации, предоставляется в общий доступ группе, разрешающей доступ внешним пользователям, даже если в эту группу не входят внешние пользователи.
• Внешний пользователь просматривает, редактирует, загружает, распечатывает или удаляет элемент Google Диска, принадлежащий вашей организации.
• Внешний пользователь загружает файл на общий диск, принадлежащий вашей организации.

События, зарегистрированные внешним доменом, но не вашей организацией, представляют собой обратную ситуацию по сравнению с предыдущим разделом.

Для анонимных пользователей (пользователей, не вошедших в учетную запись Google) изменения и загрузки регистрируются, но просмотры — нет.

Действия, выполняемые пользователями, не входящими в домен, отображаются как анонимные, за исключением случаев, когда информация о содержимом явно предоставлена ​​им (как отдельному пользователю, так и участнику определенной группы).

Администраторы могут ограничивать анонимный и внешний доступ, устанавливая политики совместного доступа организации или политики правил доверия.

При копировании файлов между Google Диском и локальным устройством с помощью Google Диска для настольных компьютеров регистрируются события синхронизации содержимого загрузок и элементов .

Когда пользователь выполняет поиск в Google Диске или в общедоступных API Google Диска, поиск регистрируется как событие « Выполнен поиск элемента» . Событие содержит информацию о результатах поиска и поисковом запросе пользователя.

Вы можете управлять тем, какие столбцы данных будут отображаться в результатах поиска.

1. В правом верхнем углу таблицы результатов поиска нажмите «Управление столбцами». .
2. (Необязательно) Чтобы удалить текущие столбцы, нажмите «Удалить». .
3. (Необязательно) Чтобы добавить столбцы, рядом с кнопкой «Добавить новый столбец » нажмите стрелку вниз. и выберите столбец с данными.
   Повторять по мере необходимости.
4. (Необязательно) Чтобы изменить порядок столбцов, перетащите названия столбцов данных.
5. Нажмите « Сохранить ».

Результаты поиска можно экспортировать в Google Sheets или в CSV-файл.

1. В верхней части таблицы результатов поиска нажмите кнопку «Экспорт всех» .
2. Введите имя Нажмите «Экспорт» .
   Результаты экспорта отображаются под таблицей результатов поиска в разделе «Результаты действия экспорта» .
3. Для просмотра данных щелкните по названию экспортируемого файла.
   Экспорт открывается в Google Sheets.

Ограничения на экспорт различаются:

• Общий объем результатов экспорта ограничен 100 000 строками.
• Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

  Если у вас установлен инструмент для проведения анализа безопасности, общий объем результатов экспорта ограничен 30 миллионами строк.

Для получения более подробной информации перейдите в раздел «Экспорт результатов поиска» .

Перейдите в раздел «Сохранение данных и задержки» .

• Вы можете настроить оповещения на основе данных событий журнала с помощью правил формирования отчетов. Инструкции см. в разделе «Создание и управление правилами формирования отчетов» .
• Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

  Для эффективного предотвращения, обнаружения и устранения проблем безопасности вы можете автоматизировать действия в инструменте расследования инцидентов безопасности и настроить оповещения, создав правила действий . Чтобы настроить правило, задайте для него условия, а затем укажите действия, которые должны быть выполнены при выполнении этих условий. Для получения более подробной информации перейдите в раздел «Создание и управление правилами действий» .

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

После выполнения поиска в инструменте расследования инцидентов безопасности вы можете предпринять действия на основе результатов поиска. Например, вы можете выполнить поиск на основе событий журнала Gmail, а затем использовать инструмент для удаления определенных сообщений, отправки сообщений в карантин или отправки сообщений в почтовые ящики пользователей. Для получения более подробной информации перейдите в раздел «Действия на основе результатов поиска» .

Чтобы просмотреть список расследований, которые принадлежат вам и которые были предоставлены вам, нажмите «Просмотреть расследования». Список расследований включает имена, описания и ответственных за расследования, а также дату последнего изменения.

Из этого списка вы можете выполнить действия с любыми принадлежащими вам расследованиями, например, удалить расследование. Установите флажок напротив нужного расследования, а затем нажмите «Действия» .

Примечание : Вы можете просмотреть сохраненные расследования в разделе «Быстрый доступ» , непосредственно над списком расследований.

От имени суперадминистратора нажмите «Настройки». к:

• Измените часовой пояс для ваших исследований. Часовой пояс применяется к условиям поиска и результатам.
• Включите или выключите параметр «Требовать рецензентов» . Для получения более подробной информации перейдите в раздел «Требовать рецензентов для массовых действий» .
• Включить или выключить отображение содержимого . Этот параметр позволяет администраторам с соответствующими правами просматривать содержимое.
• Включить или выключить обоснование действий .

Для получения более подробной информации перейдите в раздел «Настройка параметров расследования» .

Чтобы сохранить критерии поиска или поделиться ими с другими, вы можете создать и сохранить расследование, а затем поделиться им, скопировать или удалить его.

Для получения более подробной информации перейдите в раздел «Сохранение, предоставление доступа, удаление и дублирование расследований» .