Eventi dei log di Gmail

In qualità di amministratore della tua organizzazione, puoi eseguire ricerche relative agli eventi dei log di Gmail e intervenire in base ai risultati di ricerca. Puoi visualizzare le azioni per esaminare le attività degli utenti e degli amministratori della tua organizzazione in Gmail, ad esempio quando le email vengono classificate come spam, rimosse dalla quarantena o inviate alla quarantena amministrativa. Puoi quindi utilizzare lo strumento di indagine sulla sicurezza per intervenire, ad esempio, per eliminare messaggi specifici, contrassegnarli come spam o phishing, metterli in quarantena o inviarli alla Posta in arrivo degli utenti.

Informazioni sulla visualizzazione dei contenuti dei messaggi di Gmail

Se disponi dei privilegi appropriati nello strumento di indagine e della versione di Google Workspace richiesta, puoi visualizzare i contenuti di un messaggio di Gmail anche nell'ambito di un'indagine. Per maggiori dettagli, vai a Utilizzare lo strumento di indagine per visualizzare i contenuti sensibili.

La possibilità di eseguire ricerche dipende dalla versione di Google che utilizzi, dai tuoi privilegi amministrativi e dall'origine dati. Puoi eseguire una ricerca su tutti gli utenti, indipendentemente dalla versione di Google Workspace in uso.

Strumento di controllo e indagine

Per eseguire una ricerca degli eventi dei log, scegli innanzitutto un'origine dati. Poi scegli uno o più filtri per la ricerca.

  1. Nella Console di amministrazione Google, vai a Menu e poi Report e poi Controllo e indagine e poi Eventi dei log di Gmail.

    È necessario disporre del privilegio amministrativo Audit & Investigation.

  2. Per filtrare gli eventi che si sono verificati prima o dopo una data specifica, seleziona Prima o Dopo per Data. Per impostazione predefinita, vengono mostrati gli eventi degli ultimi 7 giorni. Puoi selezionare un intervallo di date diverso o fare clic su per rimuovere il filtro della data.

  3. Fai clic su Aggiungi un filtro e poi seleziona un attributo. Ad esempio, per filtrare in base a un tipo di evento specifico, seleziona Evento.
  4. Seleziona un operatore e poi seleziona un valore e poi fai clic su Applica.
    • (Facoltativo) Per creare più filtri per la ricerca, ripeti questo passaggio.
    • (Facoltativo) Per aggiungere un operatore di ricerca, sopra Aggiungi un filtro, seleziona AND oppure OR.
  5. Fai clic su Cerca. Nota: utilizzando la scheda Filtro, puoi includere semplici coppie di parametri e valori per filtrare i risultati di ricerca. Puoi anche utilizzare la scheda Generatore di condizioni, in cui i filtri sono rappresentati come condizioni con gli operatori AND/OR.

Strumento di indagine sulla sicurezza

Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

Per eseguire una ricerca nello strumento di indagine sulla sicurezza, scegli innanzitutto un'origine dati. Poi scegli una o più condizioni per la ricerca. Per ogni condizione, scegli un attributo, un operatore e un valore.

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezza e poi Centro sicurezza e poi Strumento di indagine.

    È necessario disporre del privilegio di amministratore Centro sicurezza.

  2. Fai clic su Origine dati e seleziona Eventi dei log di Gmail.

  3. Per filtrare gli eventi che si sono verificati prima o dopo una data specifica, seleziona Prima o Dopo per Data. Per impostazione predefinita, vengono mostrati gli eventi degli ultimi 7 giorni. Puoi selezionare un intervallo di date diverso o fare clic su per rimuovere il filtro della data.

  4. Fai clic su Aggiungi condizione.
    Suggerimento: puoi includere una o più condizioni nella ricerca oppure personalizzarla con query nidificate. Per maggiori dettagli, vedi Personalizzare la ricerca con query nidificate.
  5. Fai clic su Attributo e poi seleziona un'opzione. Ad esempio, per filtrare in base a un tipo di evento specifico, seleziona Evento.
    Per un elenco completo degli attributi, consulta la sezione Descrizioni degli attributi.
  6. Seleziona un operatore.
  7. Inserisci un valore o selezionane uno dall'elenco.
  8. (Facoltativo) Per aggiungere altre condizioni di ricerca, ripeti i passaggi.
  9. Fai clic su Cerca.
    Puoi esaminare i risultati di ricerca dello strumento di indagine in una tabella nella parte inferiore della pagina.
  10. (Facoltativo) Per salvare la tua indagine, fai clic su Salva e poi inserisci un titolo e una descrizione e poi fai clic su Salva.

Note

  • Nella scheda Generatore di condizioni, i filtri sono rappresentati come condizioni con gli operatori AND/OR. Puoi anche utilizzare la scheda Filtro per includere coppie di parametri e valori semplici per filtrare i risultati della ricerca.
  • Se assegni un nuovo nome a un utente, le query in cui è utilizzato il suo nome precedente non restituiranno risultati. Ad esempio, se rinomini NomePrecedente@example.com in NuovoNome@example.com, non verranno restituiti risultati per gli eventi correlati a NomePrecedente@example.com.
  • Puoi cercare dati solo nei messaggi che non sono ancora stati eliminati dal cestino.

Descrizioni degli attributi

Per questa origine dati, puoi utilizzare i seguenti attributi durante la ricerca dei dati sugli eventi dei log:

Attributo Descrizione
Informazioni sull'applicazione dell'attore Dettagli sull'app utilizzata per eseguire l'azione.

Per eseguire la ricerca in base ai dati specifici dell'app, seleziona Informazioni sull'applicazione dell'attore dal menu, quindi seleziona una colonna nidificata: Nome dell'applicazione dell'attore, ID client OAuth dell'attore o Rappresentazione.

I risultati di ricerca vengono visualizzati nella colonna Nome applicazione attore.
Nota:potresti dover aggiungere questa colonna ai risultati di ricerca. Per i passaggi, vai a Gestire i dati delle colonne dei risultati di ricerca.

Fai clic su una voce nei risultati di ricerca per aprire il riquadro Dettagli log e visualizzare:

  • Nome dell'applicazione dell'attore: nome dell'app utilizzata per eseguire l'azione
  • ID client OAuth dell'attore: identificatore dell'app di terze parti
  • Furto d'identità: indica se l'app ha rubato l'identità di un utente

Se esporti le informazioni in un file con valori separati da virgole (CSV) o in Fogli Google, le informazioni vengono salvate come un unico blocco di testo all'interno di una cella.
Estensione dell'allegato ID del browser Chrome
Hash allegato Hash SHA256 dell'allegato
Famiglia malware degli allegati Categoria di malware, se rilevata durante la gestione del messaggio, ad esempio I contenuti potrebbero essere dannosi, Programma dannoso noto o Virus/worm
Nome allegato Nome dell'allegato
Tipo di client Tipo di client Gmail, ad esempio web, Android, iOS o POP3
Data Data e ora dell'evento (nel fuso orario predefinito del browser).
Delega Indirizzo email dell'utente delegato che ha eseguito l'azione per conto del proprietario
Identificatore sessione dispositivo L'ID univoco generato per una sessione utente client di posta
Dominio DKIM Il dominio autenticato con il meccanismo DKIM (Domain Keys Identified Mail)
Dominio Il dominio in cui si è verificata l'azione
Evento L'azione dell'evento registrato, ad esempio Download allegati, Clic sul link, Invia o Visualizza.
Da (busta) Indirizzo della busta del mittente
Da (indirizzo intestazione) Indirizzo dell'intestazione del mittente esattamente come appare nelle intestazioni del messaggio, ad esempio user@example.com
Da (nome intestazione) Nome visualizzato nell'intestazione del mittente, come appare nell'intestazione del messaggio
Geolocalizzazione Codice paese ISO basato sull'IP di inoltro
Contiene un allegato L'email include un allegato
Con delegato Indica se esisteva un utente delegato che ha eseguito l'azione per conto del proprietario
Indirizzo IP Indirizzo IP del client di posta che ha avviato o interagito con il messaggio

ASN IP

Devi aggiungere questa colonna ai risultati di ricerca. Per i passaggi, vai a Gestire i dati delle colonne dei risultati di ricerca.

Numero di sistema autonomo (ASN) IP, sottodivisione e regione associati alla voce di log.

Per esaminare l'ASN IP, la sottodivisione e il codice regione in cui si è verificata l'attività, fai clic sul nome nei risultati di ricerca.
Dominio del link Dominio o domini estratti da URL di link contenuti nel corpo del messaggio
ID messaggio L'ID messaggio univoco che si trova nell'intestazione del messaggio
ID progetto OAuth ID progetto della console Cloud dello sviluppatore che ha eseguito l'autenticazione con OAuth
Proprietario Proprietario del messaggio email. Per un messaggio in entrata, è il destinatario. Nel caso di un messaggio in uscita, si tratta del mittente
Risorse Dettagli sui file, sulle cartelle o sulle regole associati all'azione.

Per eseguire la ricerca in base a questi dettagli, seleziona Risorse dal menu, poi seleziona una colonna nidificata: ID risorsa, Titolo risorsa o Tipo di risorsa.

I risultati vengono visualizzati nella colonna Risorse. Fai clic su una voce per aprire il riquadro Dettagli log e visualizzare:
  • ID risorsa: l'identificatore della risorsa
  • Titolo risorsa: titolo della risorsa
  • Tipo di risorsa: categoria della risorsa (ad esempio Google Drive, email o regola)
  • Relazione con risorsa: relazione della risorsa con l'evento
  • Etichetta risorsa: le etichette di classificazione applicate alla risorsa
  • Campo etichetta risorsa: i campi e i tipi di dati specifici all'interno di un'etichetta

Se esporti le informazioni in un file con valori separati da virgole (CSV) o in Fogli Google, le informazioni vengono salvate come un unico blocco di testo all'interno di una cella.
Etichetta risorsa Dettagli sulle etichette di classificazione assegnate a una risorsa.

Per eseguire la ricerca in base a queste informazioni, seleziona Etichetta risorsa dal menu, quindi seleziona una colonna nidificata: ID etichetta risorsa o Titolo etichetta risorsa.

I risultati vengono visualizzati nella colonna Risorse. Fai clic su una voce per aprire il riquadro Dettagli log.
Campo etichetta risorsa Dettagli sui campi specifici all'interno di un'etichetta di classificazione.

Per eseguire la ricerca in base a questi campi, seleziona Campo etichetta risorsa dal menu, quindi seleziona una colonna nidificata: ID campo etichetta, Nome campo etichetta o Tipo di campo etichetta.

I risultati vengono visualizzati nella colonna Risorse. Fai clic su una voce per aprire il riquadro Dettagli log.
Valore del campo etichetta risorsa Dettagli sui dati inseriti in un campo dell'etichetta specifico.

Per eseguire la ricerca in base a questi valori, seleziona Valore campo etichetta risorsa dal menu, quindi seleziona una colonna nidificata: Data, Numero, Selezione, Elenco di selezione, Testo, Utente o Elenco utenti.

I risultati vengono visualizzati nella colonna Risorse. Fai clic su una voce per aprire il riquadro Dettagli log.
Dominio mittente Dominio del mittente
Classificazione spam Classificazione del messaggio email come spam, ad esempio Spam, malware, phishing, sospetto o Pulito (non spam)
Motivo classificazione spam Motivo per cui il messaggio è stato classificato come spam, ad esempio Spam palese, Regola personalizzata, Reputazione mittente o Allegato sospetto
Dominio SPF Nome di dominio utilizzato per l'autenticazione SPF (Sender Policy Framework)
Oggetto La riga dell'oggetto dell'email
Hash degli allegati di destinazione Informazioni sull'hash dell'allegato SHA256 se un utente interagisce con l'allegato di un messaggio
Famiglia malware degli allegati di destinazione Informazioni sulla famiglia di malware degli allegati se gli utenti interagiscono con l'allegato di un messaggio, ad esempio I contenuti potrebbero essere dannosi, Programma dannoso noto o Virus/worm
Nome degli allegati di destinazione Informazioni sul nome dell'allegato se gli utenti interagiscono con l'allegato di un messaggio
ID unità di destinazione Informazioni sull'ID Drive se gli utenti interagiscono con l'elemento di Drive di un messaggio
URL del link di destinazione Informazioni sull'URL del link se gli utenti interagiscono con il link di un messaggio
A (busta) Indirizzo della busta del destinatario
Sorgente di traffico Indica se un'email viene inviata/ricevuta internamente (all'interno del tuo dominio) o esternamente

Intervenire in funzione dei risultati di ricerca

Dopo aver eseguito una ricerca nello strumento di indagine sulla sicurezza, puoi operare sui relativi risultati. Ad esempio, puoi eseguire una ricerca basata sugli eventi del log di Gmail e quindi utilizzare lo strumento per eliminare messaggi specifici, metterli in quarantena o inviarli nella Posta in arrivo degli utenti. Per maggiori dettagli sulle azioni che puoi eseguire nello strumento di indagine sulla sicurezza, vedi Adotta azioni basate sui risultati di ricerca.

Gestire le indagini

Visualizzare l'elenco delle indagini

Per visualizzare un elenco delle indagini di tua proprietà e di quelle che sono state condivise con te, fai clic su Visualizza indagini . L'elenco delle indagini ne include i nomi, le descrizioni e i proprietari, nonché la data dell'ultima modifica.

Da questo elenco puoi eseguire azioni sulle indagini di tua proprietà, ad esempio eliminare un'indagine. Seleziona la casella accanto a un'indagine, quindi fai clic su Azioni.

Nota:nella sezione Accesso rapido al di sopra dell'elenco delle indagini, puoi visualizzare le indagini salvate di recente.

Configurare le impostazioni per le indagini

Come super amministratore, puoi fare clic su Impostazioni per :

  • Modificare il fuso orario per le indagini. Il fuso orario si applica alle condizioni e ai risultati di ricerca.
  • Attivare o disattivare l'opzione Richiedi revisore. Per maggiori dettagli, vedi Richiedere revisori per azioni collettive.
  • Attiva o disattiva l'opzione Visualizza i contenuti. Questa impostazione consente agli amministratori con i privilegi appropriati di visualizzare i contenuti.
  • Attiva o disattiva l'opzione Abilita motivazione azione.

Per istruzioni e dettagli, vai a Configurare le impostazioni per le indagini.

Gestire le colonne nei risultati di ricerca

Puoi stabilire quali colonne di dati visualizzare nei risultati di ricerca.

  1. Nell'angolo in alto a destra della tabella dei risultati di ricerca, fai clic su Gestisci colonne .
  2. (Facoltativo) Per rimuovere le colonne attualmente visualizzate, fai clic su Rimuovi elemento .
  3. (Facoltativo) Per aggiungere colonne, fai clic sulla Freccia giù in corrispondenza di Aggiungi nuova colonna e seleziona la colonna di dati che ti interessa.
    Ripeti queste operazioni in base alle necessità.
  4. (Facoltativo) Per modificare l'ordine delle colonne, trascina il nome della colonna.
  5. Fai clic su Salva.

Esportare i dati dai risultati di ricerca

Nello strumento di indagine sulla sicurezza puoi esportare i risultati di ricerca in Fogli Google o in un file CSV. Per le istruzioni, vedi Esportare i risultati di ricerca.

Condividere, eliminare e duplicare le indagini

Per condividere una ricerca con altri utenti o salvarne i criteri, puoi creare e salvare un'indagine e, successivamente, condividerla, duplicarla o eliminarla.

Per maggiori dettagli, vedi Salvare, condividere, eliminare e duplicare le indagini.

Quando sono disponibili i dati? Per quanto tempo?

Per saperne di più sulle origini dati, vedi Conservazione dei dati e tempi di attesa.