Eventos de registro de Gmail

Como administrador de tu organización, puedes realizar búsquedas relacionadas con los eventos de registro de Gmail y tomar medidas según los resultados de la búsqueda. Puedes ver las acciones para revisar la actividad de los usuarios y administradores de tu organización en Gmail, por ejemplo, cuando los correos electrónicos se clasifican como spam, se liberan de la cuarentena o se envían a la cuarentena de administrador. Luego, puedes usar la herramienta de investigación de seguridad para tomar medidas, por ejemplo, borrar mensajes específicos, marcarlos como spam o phishing, enviarlos a cuarentena o enviarlos a las bandejas de entrada de los usuarios.

Acerca de la visualización del contenido de los mensajes de Gmail

Si tienes los privilegios adecuados en la herramienta de investigación y la edición de Google Workspace requerida, también puedes ver el contenido de un mensaje de Gmail como parte de una investigación. Para obtener más información, consulta Usa la herramienta de investigación para ver contenido sensible.

Realiza una búsqueda de eventos de registro

Tu capacidad para realizar búsquedas depende de la edición de Google Workspace que tengas, tus privilegios de administrador y la fuente de datos. Puedes buscar datos de todos los usuarios, independientemente de la edición de Google Workspace que tengan.

Herramienta de investigación y auditoría

Para buscar los eventos de registro, primero debes elegir una fuente de datos. Luego, elige uno o más filtros para la búsqueda.

En la Consola del administrador de Google, ve a Menú Informes Investigación y auditoría Eventos de registro de Gmail.

Ir a Eventos de registro de Gmail

Es necesario tener el privilegio de administrador de Auditoría e investigación.
Para filtrar los eventos que ocurrieron antes o después de una fecha específica, en Fecha, selecciona Antes de o Después de. De forma predeterminada, se muestran los eventos de los últimos 7 días. Puedes seleccionar otro período o hacer clic en para quitar el filtro de fecha.
Haz clic en Agregar un filtro selecciona un atributo. Por ejemplo, para filtrar por un tipo de evento específico, selecciona Evento.
Selecciona un operador selecciona un valor haz clic en Aplicar.
- Si quieres crear varios filtros para la búsqueda, repite este paso (opcional).
- Para agregar un operador de búsqueda, arriba de Agregar un filtro, selecciona Y o O (opcional).
Haz clic en Buscar. Nota: En la pestaña Filtro, puedes incluir pares de parámetros y valores simples para filtrar los resultados de la búsqueda. También puedes usar la pestaña Creador de condiciones, en la que los filtros se representan como condiciones con operadores Y/O.

Herramienta de investigación de seguridad

Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

Para realizar una búsqueda en la herramienta de investigación de seguridad, primero elige una fuente de datos. Luego, elige una o más condiciones para tu búsqueda. Para cada condición, elige un atributo, un operador y un valor.

En la Consola del administrador de Google, ve a Menú Seguridad Centro de seguridad Herramienta de investigación.

Ir a la Herramienta de investigación

Es necesario tener el privilegio de administrador del Centro de seguridad.
Haz clic en Fuente de datos y selecciona Eventos de registro de Gmail.
Para filtrar los eventos que ocurrieron antes o después de una fecha específica, en Fecha, selecciona Antes de o Después de. De forma predeterminada, se muestran los eventos de los últimos 7 días. Puedes seleccionar otro período o hacer clic en para quitar el filtro de fecha.
Haga clic en Agregar condición.
Sugerencia: Puedes incluir una o más condiciones en tu búsqueda, o bien personalizarla con consultas anidadas. Para obtener más información, consulta Cómo personalizar tu búsqueda con consultas anidadas.
Haz clic en Atributo selecciona una opción. Por ejemplo, para filtrar por un tipo de evento específico, selecciona Evento.
Para obtener una lista completa de los atributos, consulta la sección Descripciones de los atributos.
Selecciona un operador.
Ingresa un valor o selecciona uno de la lista.
(Opcional) Para agregar más condiciones de búsqueda, repite los pasos.
Haz clic en Buscar.
Puedes revisar los resultados de la búsqueda de la herramienta de investigación en una tabla que se encuentra en la parte inferior de la página.
Para guardar tu investigación, haz clic en Guardar ingresa un título y una descripción haz clic en Guardar.

Notas

En la pestaña Creador de condiciones, los filtros se representan como condiciones con operadores Y/O. También puedes usar la pestaña Filtro para incluir pares sencillos de parámetros y valores para filtrar los resultados de la búsqueda.
Si le asignas un nombre nuevo a un usuario, no verás los resultados de consultas con el nombre anterior del usuario. Por ejemplo, si cambias el nombre de NombreAnterior@example.com a NombreNuevo@example.com, no verás los resultados de eventos relacionados con NombreAnterior@example.com.
Solo puedes buscar datos en los mensajes que aún no se hayan borrado de la papelera.

Descripciones de atributos

Para esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro.

Atributo	Descripción
Nombre de la aplicación del actor Debes agregar esta columna a los resultados de la búsqueda. Para conocer los pasos, visita Administra los datos de la columna de resultados de la búsqueda.	Son los detalles sobre la aplicación que se usó para realizar la acción. Para revisar la siguiente información, haz clic en el nombre en los resultados de la búsqueda: Nombre de la aplicación del actor: Es el nombre de la aplicación que se usó para realizar la acción (se completa para las apps de terceros y para algunas apps propias, como Gmail). ID de cliente de OAuth del actor: Es el identificador de la app de terceros que se usa para realizar la acción. Suplantación de identidad: Indica si la app suplantó la identidad de un usuario. Si exportas la información a un archivo de valores separados por comas (CSV) o a Hojas de cálculo de Google, se guardará como un solo bloque de texto dentro de una celda.
Extensión de archivo adjunto	ID del navegador Chrome
Hash del archivo adjunto	Hash SHA256 del archivo adjunto
Familia de malware de archivos adjuntos	Categoría de software malicioso, si se detecta cuando se administra el mensaje (por ejemplo, El contenido puede ser dañino, Programa malicioso conocido o Virus/gusano)
Nombre del archivo adjunto	Nombre del adjunto
Tipo de cliente	Tipo de cliente de Gmail (por ejemplo, Web, Android, iOS o POP3)
Fecha	Fecha y hora del evento (se muestra en la zona horaria predeterminada de tu navegador)
Delegar	Dirección de correo electrónico del usuario delegado que realizó la acción en nombre del propietario
Identificador de la sesión del dispositivo	Es el ID único generado para una sesión de usuario de cliente de correo.
Dominio de DKIM	Es el dominio autenticado con el mecanismo DKIM (DomainKeys Identified Mail).
Dominio	El dominio en el que ocurrió la acción
Evento	Es la acción del evento registrado, como Descarga de archivo adjunto, Clic en vínculo, Enviar o Ver.
De (sobre)	Dirección del remitente del sobre
De (dirección del encabezado)	Dirección del encabezado del remitente tal como aparece en los encabezados del mensaje, por ejemplo, user@example.com
De (nombre del encabezado)	Nombre visible del encabezado del remitente tal como aparece en el encabezado del mensaje
Ubicación geográfica	Código de país ISO basado en la IP de retransmisión
Contiene un archivo adjunto	El correo electrónico incluye un archivo adjunto
Tiene delegado	Indica si hubo un usuario delegado que realizó la acción en nombre del propietario.
Dirección IP	Dirección IP del cliente de correo electrónico que inició el mensaje o interactuó con él
ASN de IP Debes agregar esta columna a los resultados de la búsqueda. Para conocer los pasos, visita Administra los datos de la columna de resultados de la búsqueda.	Número de sistema autónomo (ASN) de IP, subdivisión y región asociados con la entrada de registro. Para revisar el ASN de IP y el código de subdivisión y región en los que se produjo la actividad, haz clic en el nombre en los resultados de la búsqueda.
Dominio del vínculo	Dominios extraídos de las URLs de los vínculos en el cuerpo del mensaje
ID del mensaje	ID único del mensaje ubicado en el encabezado del mensaje
ID del proyecto de OAuth	ID del proyecto de la consola de Cloud del desarrollador que se autenticó con OAuth
Propietario	Es el propietario del mensaje de correo electrónico. En el caso de un mensaje entrante, es el destinatario. En el caso de un mensaje saliente, es el remitente.
Recursos	Es la lista de recursos asociados con la acción. Haz clic en un recurso para ver los siguientes detalles: ID del recurso: Es el identificador del recurso. Título del recurso: Título del recurso Tipo de recurso: Elemento de Google Drive, correo electrónico, alerta, regla, etcétera Relación de recursos: Relación del recurso con el evento Etiqueta del recurso: Es una lista de etiquetas de clasificación para un recurso, incluidos el ID de etiqueta del recurso, el título de la etiqueta del recurso y el campo de etiqueta del recurso. El campo de etiqueta del recurso contiene lo siguiente: ID del campo de etiqueta Nombre del campo de etiqueta Tipo de campo de etiqueta: Es el tipo de datos del campo de etiqueta, como los siguientes: Texto Número Selección: ID, nombre visible y si tiene distintivo Lista de selección Usuario: Incluido: Correo electrónico Lista de usuarios Fecha Si exportas la información a un archivo de valores separados por comas (CSV) o a Hojas de cálculo de Google, se guardará como un solo bloque de texto dentro de una celda.
Dominio del remitente	Dominio del remitente
Clasificación de spam	Clasificación de spam del mensaje de correo electrónico (por ejemplo, Spam, Malware, Phishing, Suspicious o Clean (not spam))
Motivo de la clasificación de spam	Motivo por el que el mensaje se clasificó como spam (por ejemplo, Spam evidente, Regla personalizada, Reputación del remitente o Adjunto sospechoso)
Dominio de SPF	Nombre de dominio que se usa para la autenticación del marco de trabajo de políticas del remitente (SPF)
Asunto	El asunto del correo electrónico
Hash del adjunto objetivo	Información sobre el hash SHA256 del archivo adjunto si un usuario interactúa con el archivo adjunto de un mensaje
Familia de malware del archivo adjunto objetivo	Información sobre la familia de software malicioso del archivo adjunto si los usuarios interactúan con el archivo adjunto de un mensaje (por ejemplo, El contenido puede ser dañino, Programa malicioso conocido o Virus/gusano)
Nombre del archivo adjunto de destino	Información sobre el nombre del archivo adjunto si los usuarios interactúan con el archivo adjunto de un mensaje
ID de la unidad de destino	Información sobre el ID de Drive si los usuarios interactúan con un elemento de Drive de un mensaje
URL del vínculo de destino	Es la información sobre la URL del vínculo si los usuarios interactúan con el vínculo de un mensaje.
Para (sobre)	Dirección del sobre del destinatario
Fuente de tráfico	Indica si un correo electrónico se envía o recibe de forma interna (dentro de tu dominio) o externa.

Toma medidas en función de los resultados de la búsqueda

Después de realizar una búsqueda en la herramienta de investigación de seguridad, puedes tomar medidas en función de los resultados. Por ejemplo, puedes realizar una búsqueda basada en eventos de registro de Gmail y, luego, usar la herramienta para borrar mensajes específicos, colocarlos en cuarentena o enviarlos a las carpetas Recibidos de los usuarios. Para obtener más detalles sobre las acciones en la herramienta de investigación de seguridad, consulta Toma medidas en función de los resultados de la búsqueda.

Administra tus investigaciones

Cómo ver tu lista de investigaciones

Para ver una lista de las investigaciones que te pertenecen y las que se compartieron contigo, haz clic en Ver investigaciones . La lista de investigaciones incluye los nombres, las descripciones y los propietarios de las investigaciones, así como la fecha de la última modificación.

En esta lista, puedes tomar medidas en relación con las investigaciones que te pertenecen, por ejemplo, borrar una investigación. Marca la casilla de una investigación y, luego, haz clic en Acciones.

Nota: Justo encima de la lista de investigaciones, en Acceso rápido, puedes ver las investigaciones guardadas recientemente.

Cómo configurar los parámetros de configuración de tus investigaciones

Como administrador avanzado, haz clic en Configuración para realizar las siguientes acciones :

Cambiar la zona horaria de tus investigaciones La zona horaria se aplica a las condiciones y los resultados de la búsqueda.
Activa o desactiva la opción Require reviewer. Para obtener más detalles, consulta Cómo solicitar revisores para acciones masivas.
Activa o desactiva la opción Ver contenido. Este parámetro de configuración permite que los administradores con los privilegios adecuados vean el contenido.
Activa o desactiva la opción Habilitar la justificación de la acción.

Para obtener instrucciones y detalles, consulta Cómo configurar los parámetros de configuración de tus investigaciones.

Administra las columnas en los resultados de la búsqueda

Puedes controlar qué columnas de datos aparecen en los resultados de la búsqueda.

En la esquina superior derecha de la tabla de resultados de la búsqueda, haz clic en Administrar columnas .
Para quitar las columnas actuales, haz clic en Quitar elemento (opcional).
Para agregar columnas, junto a Agregar nueva columna, haz clic en la flecha hacia abajo y selecciona la columna de datos (opcional).
Repite la acción según sea necesario.
Para cambiar el orden de las columnas, arrastra el nombre de la columna (opcional).
Haz clic en Guardar.

Cómo exportar datos de los resultados de la búsqueda

Puedes exportar los resultados de la búsqueda en la herramienta de investigación de seguridad a Hojas de cálculo de Google o a un archivo CSV. Para obtener instrucciones, consulta Cómo exportar los resultados de la búsqueda.

¿Cuándo y durante cuánto tiempo están disponibles los datos?

Para obtener más información sobre las fuentes de datos, consulta Tiempos de demora y de retención de datos.

Eventos de registro de Gmail Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.