Gmail-logghändelser

Som administratör för din organisation kan du köra sökningar relaterade till Gmail-logghändelser och vidta åtgärder baserat på sökresultaten. Du kan visa åtgärder för att granska organisationens användar- och administratörsaktivitet i Gmail – till exempel när e-postmeddelanden klassificeras som skräppost, släpps från karantän eller skickas till administratörskarantän. Du kan sedan använda säkerhetsundersökningsverktyget för att vidta åtgärder – till exempel att ta bort specifika meddelanden, markera meddelanden som skräppost eller nätfiske, skicka meddelanden till karantän eller skicka meddelanden till användarnas inkorgar.

Om att visa innehållet i Gmail-meddelanden

Om du har rätt behörighet i utredningsverktyget och den Google Workspace-utgåva som krävs kan du även visa innehållet i ett Gmail-meddelande som en del av en utredning. Mer information finns i Använd utredningsverktyget för att visa känsligt innehåll .

Din möjlighet att köra en sökning beror på din Google-utgåva, dina administratörsbehörigheter och datakällan. Du kan köra en sökning på alla användare, oavsett deras Google Workspace-utgåva.

Revisions- och utredningsverktyg

För att söka efter logghändelser, välj först en datakälla. Välj sedan ett eller flera filter för din sökning.

  1. I Googles administratörskonsol, gå till Meny och sedan Rapportering och sedan Revision och utredning och sedan Gmail-logghändelser .

    Kräver administratörsbehörighet som granskning och utredning .

  2. För att filtrera händelser som inträffade före eller efter ett specifikt datum, välj Före eller Efter för Datum . Som standard visas händelser från de senaste 7 dagarna. Du kan välja ett annat datumintervall eller klicka på för att ta bort datumfiltret.

  3. Klicka på Lägg till ett filter och sedan välj ett attribut. Om du till exempel vill filtrera efter en specifik händelsetyp väljer du Händelse .
  4. Välj en operator och sedan välj ett värde och sedan klicka på Verkställ .
    • (Valfritt) Upprepa det här steget om du vill skapa flera filter för din sökning.
    • (Valfritt) För att lägga till en sökoperator, välj OCH eller ELLER ovanför Lägg till ett filter .
  5. Klicka på Sök . Obs ! Med hjälp av fliken Filter kan du inkludera enkla parameter- och värdepar för att filtrera sökresultaten. Du kan också använda fliken Villkorsbyggare , där filtren representeras som villkor med OCH/ELLER-operatorer.

Verktyg för säkerhetsutredning

Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

För att köra en sökning i säkerhetsutredningsverktyget, välj först en datakälla. Välj sedan ett eller flera villkor för din sökning. För varje villkor väljer du ett attribut , en operator och ett värde .

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Säkerhetscenter och sedan Utredningsverktyg .

    Kräver administratörsbehörighet i säkerhetscenter .

  2. Klicka på Datakälla och välj Gmail-logghändelser .

  3. För att filtrera händelser som inträffade före eller efter ett specifikt datum, välj Före eller Efter för Datum . Som standard visas händelser från de senaste 7 dagarna. Du kan välja ett annat datumintervall eller klicka på för att ta bort datumfiltret.

  4. Klicka på Lägg till villkor .
    Tips : Du kan inkludera ett eller flera villkor i din sökning eller anpassa din sökning med kapslade frågor . För mer information, gå till Anpassa din sökning med kapslade frågor .
  5. Klickattribut och sedan Välj ett alternativ. Om du till exempel vill filtrera efter en specifik händelsetyp väljer du Händelse .
    För en komplett lista över attribut, gå till avsnittet Attributbeskrivningar .
  6. Välj en operator.
  7. Ange ett värde eller välj ett värde från listan.
  8. (Valfritt) Upprepa stegen om du vill lägga till fler sökvillkor.
  9. Klicka på Sök .
    Du kan granska sökresultaten från undersökningsverktyget i en tabell längst ner på sidan.
  10. (Valfritt) För att spara din undersökning, klicka på Spara och sedan ange en titel och beskrivning och sedan klicka på Spara .

Anteckningar

  • På fliken Villkorsbyggare representeras filter som villkor med OCH/ELLER-operatorer. Du kan också använda fliken Filter för att inkludera enkla parameter- och värdepar för att filtrera sökresultaten.
  • Om du ger en användare ett nytt namn kommer du inte att se frågeresultat med användarens gamla namn. Om du till exempel byter namn på GammaltNamn@example.com till NyttNamn@example.com kommer du inte att se resultat för händelser relaterade till GammaltNamn@example.com .
  • Du kan bara söka efter data i meddelanden som ännu inte har raderats från papperskorgen.
## Attributbeskrivningar {: #AttributeDescriptions } För den här datakällan kan du använda följande attribut när du söker efter logghändelsedata.
Attribut Beskrivning
Information om skådespelarens ansökan Detaljer om appen som användes för att utföra åtgärden.

Om du vill söka efter appspecifika data väljer du Information om aktörsapplikation på menyn och väljer sedan en kapslad kolumn: Aktörsapplikationsnamn , Aktörs OAuth-klient-ID eller Impersonation .

Sökresultaten visas i kolumnen Aktörens programnamn .
Obs! Du kan behöva lägga till den här kolumnen i dina sökresultat. För stegen, gå till Hantera sökresultatskolumndata .

Klicka på en post i sökresultaten för att öppna panelen Logginformation och visa:

  • Aktörens programnamn — Namn på appen som utförde åtgärden
  • Aktör OAuth-klient-ID — Identifierare för tredjepartsappen
  • Personifiering – Om appen imiterade en användare

Om du exporterar den här informationen till en kommaseparerad fil (CSV) eller Google Sheets sparas informationen som ett enda textblock i en cell.

Förlängning av tillbehör Chrome-webbläsarens ID
Bilaga hash SHA256-hash för bilagan
Familj av skadlig kod för bilagor Kategori av skadlig kod, om den upptäcks när meddelandet hanteras – till exempel Innehållet kan vara skadligt, Känt skadligt program eller Virus/mask
Bilaga namn Namn på bilagan
Klienttyp Gmail-klienttyp – till exempel Webb, Android, iOS eller POP3.
Datum Datum och tid för händelsen (visas i din webbläsares standardtidszon)
Delegera E-postadress till den ombudsanvändare som utförde åtgärden för ägarens räkning
Enhetssessionsidentifierare Det unika ID som genereras för en e-postklientanvändarsession
DKIM-domän Domänen autentiserad med DKIM-mekanismen (Domain Keys Identified Mail)
Domän Domänen där åtgärden inträffade
Händelse Den loggade händelseåtgärden, till exempel nedladdning av bilaga, länkklick , skicka eller visa.
Från (kuvert) Avsändarens kuvertadress
Från (Rubrikadress) Avsändarens rubrikadress som den visas i meddelanderubrikerna, till exempel användare@example.com
Från (Rubriknamn) Avsändarens visningsnamn i meddelanderubriken som det visas i meddelanderubriken
Geografisk plats ISO-landskod baserad på relä-IP
Har bilagor E-postmeddelandet innehåller en bilaga
Har delegat Huruvida det fanns en ombudsanvändare som utförde åtgärden för ägarens räkning
IP-adress IP-adressen för e-postklienten som startade eller interagerade med meddelandet

IP-ASN

Du måste lägga till den här kolumnen i sökresultaten. För stegen, gå till Hantera kolumndata för sökresultat .

IP-nummer för autonomt system (ASN), underavdelning och region som är associerad med loggposten.

För att granska IP-ASN och underavdelnings- och regionkod där aktiviteten inträffade klickar du på namnet i sökresultaten.

Länkdomän Domän(er) extraherade från länk-URL:er i meddelandetexten
Meddelande-ID Det unika meddelande-ID som finns i meddelanderubriken
OAuth-projekt-ID Molnkonsolprojekt-ID för utvecklaren som autentiserade med OAuth
Ägare Ägaren av e-postmeddelandet. För ett inkommande meddelande är det mottagaren. För ett utgående meddelande är det avsändaren.
Resurser Detaljer om filer, mappar eller regler som är kopplade till åtgärden.

För att söka efter dessa uppgifter, välj Resurser från menyn och välj sedan en kapslad kolumn: Resurs-ID , Resurstitel , Resurstyp eller Ägaruppgifter .

Resultaten visas i kolumnen Resurser . Klicka på en post för att öppna panelen Loggdetaljer och visa:
  • Resurs-ID — Resursidentifieraren
  • Resurstitel — Resursens titel
  • Resurstyp — Resursens kategori (t.ex. Google Drive, e-post eller regel)
  • Resursrelation — Relationen mellan resursen och händelsen
  • Ägaruppgifter — Information om resursägaren, inklusive ägartyp och ägaridentitet
  • ResursetikettKlassificeringsetiketterna som tillämpats på resursen
  • Resursetikettfält — De specifika fälten och datatyperna inom en etikett

Om du exporterar den här informationen till en kommaseparerad fil (CSV) eller Google Sheets sparas informationen som ett enda textblock i en cell.

Resursetikett Detaljer om klassificeringsetiketterna som tilldelats en resurs.

För att söka efter den här informationen, välj Resursetikett från menyn och välj sedan en kapslad kolumn: Resursetikett-ID eller Resursetiketttitel .

Resultaten visas i kolumnen Resurser . Klicka på en post för att öppna panelen Logginformation .
Resursetikettfält Detaljer om de specifika fälten inom en klassificeringsetikett.

Om du vill söka efter dessa fält väljer du Resursetikettfält från menyn och väljer sedan en kapslad kolumn: Etikettfält-ID , Etikettfältnamn eller Etikettfälttyp .

Resultaten visas i kolumnen Resurser . Klicka på en post för att öppna panelen Logginformation .
Värde i fältet Resursetikett Detaljer om de data som angetts i ett specifikt etikettfält.

Om du vill söka efter dessa värden väljer du Fältvärde för resursetikett från menyn och väljer sedan en kapslad kolumn: Datum , Nummer , Urval , Urvalslista , Text , Användare eller Användarlista .

Resultaten visas i kolumnen Resurser . Klicka på en post för att öppna panelen Logginformation .
Avsändardomän Avsändarens domän
Spamklassificering Skräppostklassificering av e-postmeddelandet – till exempel Skräppost, Skadlig kod, Nätfiske, Misstänkt eller Ren (inte skräppost)
Orsak till spamklassificering Anledning till att meddelandet klassificeras som skräppost – till exempel uppenbar skräppost, Anpassad regel, Avsändarens rykte eller Misstänkt bilaga
SPF-domän Domännamn som används för SPF-autentisering (Sender Policy Framework)
Ämne Ämnesraden i e-postmeddelandet
Hash för målbilaga Information om SHA256-bilagornas hash om en användare interagerar med ett meddelandes bilaga
Målgrupp av skadlig kod för bilagor Information om familjen av skadlig kod för bilagor om användare interagerar med en bilaga till ett meddelande – till exempel Innehållet kan vara skadligt, Känt skadligt program eller Virus/mask
Namn på målbilaga Information om namnet på den bifogade filen om användare interagerar med en bifogad fil i ett meddelande
Målenhets-ID Information om Drive-ID om användare interagerar med ett meddelandes Drive-objekt
Mållänks-URL Information om länkens URL om användare interagerar med en meddelandelänk
Till (kuvert) Mottagarens kuvertadress
Trafikkälla Anger om ett e-postmeddelande skickas/tas emot internt (inom din domän) eller externt

Vidta åtgärder baserat på sökresultat

När du har kört en sökning i säkerhetsundersökningsverktyget kan du agera utifrån dina sökresultat. Du kan till exempel köra en sökning baserat på Gmail-logghändelser och sedan använda verktyget för att ta bort specifika meddelanden, skicka meddelanden till karantän eller skicka meddelanden till användarnas inkorgar. För mer information om åtgärder i säkerhetsundersökningsverktyget, gå till Vidta åtgärder baserat på sökresultat .

Hantera dina utredningar

Visa din lista över utredningar

Om du vill se en lista över de utredningar som du äger och som delats med dig klickar du på Visa utredningar Utredningslistan innehåller namn, beskrivningar och ägare till utredningarna, samt datum för senaste ändring.

Från den här listan kan du vidta åtgärder för alla utredningar som du äger – till exempel att ta bort en utredning. Markera rutan för en utredning och klicka sedan på Åtgärder .

Obs: Direkt ovanför din lista över undersökningar, under Snabbåtkomst , du kan visa nyligen sparade undersökningar.

Konfigurera inställningar för dina undersökningar

Som superadministratör klickar du på Inställningar till:

  • Ändra tidszonen för dina undersökningar. Tidszonen gäller för sökvillkor och resultat.
  • Aktivera eller inaktivera Kräv granskare . För mer information, gå till Kräv granskare för massåtgärder .
  • Aktivera eller inaktivera Visa innehåll . Den här inställningen tillåter administratörer med lämpliga behörigheter att visa innehåll.
  • Slå på eller av Aktivera åtgärdsjustering .

För instruktioner och detaljer, gå till Konfigurera inställningar för dina undersökningar .

Hantera kolumner i dina sökresultat

Du kan styra vilka datakolumner som visas i dina sökresultat.

  1. Klicka på Hantera kolumner längst upp till höger i sökresultatstabellen. .
  2. (Valfritt) Om du vill ta bort aktuella kolumner klickar du på Ta bort objekt. .
  3. (Valfritt) För att lägga till kolumner, klicka på nedåtpilen bredvid Lägg till ny kolumn och välj datakolumnen.
    Upprepa vid behov.
  4. (Valfritt) Om du vill ändra kolumnernas ordning drar du kolumnnamnet.
  5. Klicka på Spara .

Exportera data från sökresultat

Du kan exportera sökresultat i säkerhetsutredningsverktyget till Google Kalkylark eller till en CSV-fil. Instruktioner finns i Exportera sökresultat .

Dela, radera och duplicera undersökningar

För att spara dina sökkriterier eller dela dem med andra kan du skapa och spara en undersökning och sedan dela, duplicera eller ta bort den.

För mer information, gå till Spara, dela, ta bort och duplicera undersökningar .

När och hur länge är data tillgängliga?

För mer information om datakällor, gå till Datalagring och fördröjningstider .