אירועים ביומן של Looker Studio

מה משתמשים יכולים לעשות באמצעות מרכיבי Looker Studio

יש מהדורות Google Workspace שבהן אדמינים מקבלים גישה לכלי לחקירת אבטחה, שכולל תכונות מתקדמות יותר. לדוגמה, סופר-אדמינים כולים לזהות בעיות אבטחה ופרטיות, לקבוע מה הדחיפות שלהן ולטפל בהן. מידע נוסף

אדמינים בארגונים יכולים להריץ חיפושים לאירועים ביומן של Looker Studio ולטפל בהם. הם יכולים לראות תיעוד של פעולות כדי לבדוק פעולות שבוצעו ברכיבי Looker Studio שמשתמשים אחרים בארגון יצרו. לדוגמה, אפשר לראות מי צפה בדוח, יצר ניתוח חדש או שיתף מקור נתונים.

יצירה של מקור נתונים שחולץ גם גורמת ליצירה של אירוע ייצוא של מקור הנתונים שחולץ.

למידע על פעולות ושירותים אחרים, כמו Google Drive ופעילות משתמש, תוכלו לעיין ברשימה של אירועים ביומן.

הערה: מקור הנתונים אירועים ביומן של Looker Studio מספק נתונים מ-6 החודשים הקודמים. לשמירה לתקופה ארוכה יותר, אפשר לייצא את נתוני היומן.

היכולת שלכם להריץ חיפוש תלויה במהדורת Google שלכם, בהרשאות האדמין שיש לכם ובמקור הנתונים. אתם יכולים להריץ חיפוש על כל המשתמשים, ללא קשר למהדורת Google Workspace שלהם.

כלי הביקורת והחקירה

כדי להריץ חיפוש לאירועים ביומן, צריך קודם לבחור מקור נתונים, ואחר כך צריך לבחור מסנן אחד או יותר לחיפוש.

  1. במסוף Google Admin, נכנסים לתפריט ואז דיווח ואז ביקורת וחקירה ואז אירועים ביומן של Looker Studio.

    כדי לעשות את זה צריך הרשאות אדמין לביקורת וחקירה.

  2. כדי לסנן אירועים שהתרחשו לפני או אחרי תאריך מסוים, בוחרים באפשרות לפני או אחרי בקטע תאריך. כברירת מחדל, מוצגים אירועים מ-7 הימים האחרונים. אפשר לבחור טווח תאריכים אחר או ללחוץ על כדי להסיר את מסנן התאריכים.

  3. לוחצים על הוספת מסנן ואז בוחרים מאפיין. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
  4. בוחרים אופרטור ואז בוחרים ערך ואז לוחצים על החלת השינויים.
    • (אופציונלי) כדי ליצור כמה מסננים לחיפוש, חוזרים על השלב הזה.
    • (אופציונלי) כדי להוסיף אופרטור חיפוש, מעל הוספת מסנן, בוחרים באפשרות AND או OR.
    • (אופציונלי) כדי ליצור כמה מסננים לחיפוש, חוזרים על השלב הזה.
    • (אופציונלי) כדי להוסיף סימן או מילה למיקוד החיפוש, מעל הוספת מסנן, בוחרים באפשרות AND או OR.
  5. לוחצים על חיפוש.
  6. הערה: באמצעות הכרטיסייה סינון, אפשר לכלול זוגות פשוטים של פרמטרים וערכים כדי לסנן את תוצאות החיפוש. אפשר גם להשתמש בכרטיסייה הכלי להגדרת תנאים, שבה המסננים מיוצגים כתנאים עם האופרטורים AND/OR.

הכלי לחקירת אבטחה

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

כדי להריץ חיפוש בכלי לחקירת אבטחה, צריך קודם לבחור מקור נתונים. לאחר מכן צריך לבחור תנאי אחד או יותר לחיפוש. לכל תנאי, בוחרים מאפיין, אופרטור וערך.

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחה ואז מרכז האבטחה ואז כלי חקירה.

    כדי לעשות את זה צריך הרשאות אדמין למרכז האבטחה.

  2. לוחצים על מקור נתונים ובוחרים באפשרות אירועים ביומן של Looker Studio.
  3. לוחצים על הוספת תנאי.
    הערה: אפשר לכלול תנאי אחד או יותר בחיפוש, או להתאים אישית את החיפוש באמצעות שאילתות עם היררכיית כללים. מידע נוסף מופיע במאמר בנושא התאמה אישית של חיפושים באמצעות שאילתות עם היררכיית כללים.
  4. לוחצים על מאפיין ואז בוחרים אפשרות. לדוגמה, כדי לסנן לפי סוג אירוע ספציפי, בוחרים באפשרות אירוע.
    רשימה מלאה של מאפיינים מופיעה בקטע תיאורים של המאפיינים.
  5. בוחרים אופרטור.
  6. מציינים ערך או בוחרים ערך מהרשימה.
  7. (אופציונלי) כדי להוסיף עוד תנאי חיפוש, חוזרים על השלבים.
  8. לוחצים על חיפוש.
    בטבלה שבתחתית הדף אפשר לעיין בתוצאות החיפוש מכלי החקירה.
  9. (אופציונלי) כדי לשמור את החקירה, לוחצים על סמל השמירה ואז מזינים שם ותיאור ואז לוחצים על שמירה.

הערות

  • בכרטיסייה של הכלי להגדרת תנאים, המסננים מיוצגים כתנאים עם האופרטורים AND ו-OR. אפשר גם להשתמש בכרטיסייה של המסננים כדי לכלול זוגות פשוטים של פרמטר וערך ולסנן לפיהם את תוצאות החיפוש.
  • אם תתנו למשתמש שם חדש, לא תראו תוצאות לשאילתות עם השם הישן שלו. לדוגמה, אם תשנו את השם של OldName@example.com ל-NewName@example.com, לא תראו תוצאות לאירועים שקשורים ל-OldName@example.com.
  • אתם יכולים לחפש נתונים רק בהודעות שעדיין לא נמחקו מהאשפה.

תיאורים של המאפיינים

במקור הנתונים הזה, אתם יכולים להשתמש במאפיינים הבאים כשאתם מחפשים נתונים של אירועים ביומן:

מאפיין תיאור
המשתמש כתובת האימייל של המשתמש שביצע את הפעולה

שם האפליקציה של המשתמש

צריך להוסיף את העמודה הזאת לתוצאות החיפוש. השלבים מפורטים במאמר בנושא ניהול עמודות הנתונים של תוצאות החיפוש.

פרטים על האפליקציה שמשמשת לביצוע הפעולה. לוחצים על השם בתוצאות החיפוש כדי לבדוק את הפרטים הבאים:

  • שם האפליקציה של המשתמש – השם של האפליקציה ששימשה לביצוע הפעולה (מאוכלס לאפליקציות צד שלישי ולחלק מהאפליקציות מבית Google, כמו Gmail)
  • מזהה לקוח OAuth של המשתמש – המזהה של אפליקציית הצד השלישי ששימשה לביצוע הפעולה
  • התחזות – אם האפליקציה התחזתה למשתמש

אם מייצאים את המידע לקובץ CSV (ערכים מופרדים בפסיק) או לגיליון אלקטרוני ב-Google Sheets, המידע נשמר כיחידת טקסט אחת בתוך תא.
שם קבוצת המשתמשים

שם הקבוצה של המשתמש. מידע נוסף מופיע במאמר בנושא סינון תוצאות לפי קבוצה ב-Google.

כדי להוסיף קבוצה לרשימת ההיתרים של קבוצות הסינון:

  1. בוחרים את שם הקבוצה של המשתמש.
  2. לוחצים על קבוצות סינון.
    מופיע הדף של קבוצות הסינון.
  3. לוחצים על הוספת קבוצות.
  4. כדי לחפש קבוצה, מזינים את התווים הראשונים של השם או כתובת האימייל של הקבוצה. אם רואים את הקבוצה שרוצים, בוחרים אותה.
  5. כדי להוסיף עוד קבוצה, מחפשים את הקבוצה ובוחרים אותה.
  6. כשמסיימים לבחור קבוצות, לוחצים על הוספה.
  7. (אופציונלי) אם רוצים להסיר קבוצה, לוחצים על סמל הסרת הקבוצה .
  8. לוחצים על שמירה.
היחידה הארגונית של המשתמש היחידה הארגונית של המשתמש
מזהה נכס מזהה הנכס שבו התרחשה הפעולה שנרשמה ביומן
שם הנכס השם של הנכס שהוצג או שונה
סוג הנכס סוג הנכס שבו התרחשה הפעולה שנרשמה ביומן
סוג המחבר סוג המחבר שמשמש לאחזור נתונים לנכס של מקור נתונים
ערך נוכחי

אם ההגדרות משתנות, בשדה הזה מוצג הערך הנוכחי של ההגדרות – לדוגמה, אפשר לערוך, אפשר לצפות, פרטי, גלוי לכולם באינטרנט או המזהה הנוכחי של סביבת העבודה של הצוות.

הערה: המאפיין הזה יחליף את המאפיין "ערך חדש".
סוג ייצוא הנתונים הסוג או הפורמט של ייצוא הנתונים ב-Looker Studio. מזינים אחד מהערכים הבאים:
  • CSV
  • ‫CSV Excel (קובץ CSV בפורמט Excel)
  • מקור הנתונים שחולץ
  • Google Sheets
תאריך התאריך והשעה של האירוע (מוצגים באזור הזמן שמוגדר בדפדפן כברירת מחדל)
מזהה התוכן להפצה המזהה של לוח הזמנים או ההתראה
השם של התוכן להפצה השם של לוח הזמנים או ההתראה
האימייל של בעלי התוכן להפצה כתובת האימייל של הבעלים של לוח הזמנים או ההתראה. הבעלים של לוח הזמנים הוא המשתמש האחרון שערך אותו. הבעלים של ההתראה הוא מי שיצר אותה.
סוג התוכן להפצה סוג התוכן שמופץ, כמו לוח זמנים או התראה
מוטמע במזהה לצורכי דיווח המזהה לצורכי דיווח שבו מוטמע מקור הנתונים
אירוע פעולת האירוע שנרשמה, כמו יצירה, ייצוא נתונים או שחזור
כתובת IP כתובת פרוטוקול האינטרנט (IP) שמשויכת לפעולה שנרשמה ביומן. בדרך כלל מראה את המיקום הפיזי של המשתמש, אבל יכולה להיות גם כתובת של שרת proxy או של רשת וירטואלית פרטית (VPN).

כתובת IP של ASN

צריך להוסיף את העמודה הזאת לתוצאות החיפוש. השלבים מפורטים במאמר בנושא ניהול עמודות הנתונים של תוצאות החיפוש.

מספר המערכת האוטונומית (ASN) של כתובת ה-IP, חלוקת המשנה והאזור שמשויכים לרשומה ביומן.

כדי לבדוק את ה-ASN של כתובת ה-IP, את חלוקת המשנה ואת קוד האזור שבו התרחשה הפעילות, לוחצים על השם בתוצאות החיפוש.
ערך חדש אם ההגדרות משתנות, בשדה הזה מוצג הערך החדש של ההגדרות – לדוגמה, אפשר לערוך, אפשר לצפות, פרטי או גלוי לכולם באינטרנט.
ערך ישן אם ההגדרות משתנות, בשדה הזה מוצג הערך הישן של ההגדרות – למשל, אפשר לערוך, אפשר לצפות, פרטי או גלוי לכולם באינטרנט.
בעלים הבעלים של הנכס
מזהה סביבת העבודה ברמה העליונה סביבת העבודה של הצוות שמשתמש בנכס.
ערך קודם

אם ההגדרות משתנות, בשדה הזה מוצג הערך הקודם של ההגדרות – לדוגמה, אפשר לערוך, אפשר לצפות, פרטי, גלוי לכולם באינטרנט או המזהה הנוכחי של סביבת העבודה של הצוות.

הערה: המאפיין הזה יחליף את המאפיין 'ערך ישן'.
חשיפה קודמת הרשאות הגישה לנכס ב-Looker Studio לפני הפעילות
מזהה הפרויקט מזהה הפרויקט ב-Google Cloud שמשויך להפעלת Gemini ב-Looker.
Resources

רשימת המשאבים שמשויכים לפעולה. לוחצים על משאב כדי לצפות בפרטים הבאים:

  • מזהה המשאב – המזהה של המשאב
  • שם המשאב – השם של המשאב
  • סוג המשאב – פריט ב-Google Drive, אימייל, התראה, כלל וכו'
  • יחס המשאב – הקשר שבין המשאב לאירוע

  • תווית המשאב – רשימה של תוויות הסיווג למשאב, כולל מזהה התווית של המשאב, שם התווית של המשאב ושדה התווית של המשאב.

    שדה התווית של המשאב מכיל את:

    • מזהה שדה התווית
    • שם שדה התווית
    • סוג שדה התווית – סוג הנתונים של שדה התווית, למשל:
      • טקסט
      • מספר
      • בחירה – כולל: מזהה, שם לתצוגה, אם יש תג
      • רשימת הבחירה
      • משתמש – כולל: אימייל
      • רשימת משתמשים
      • תאריך

אם מייצאים את המידע לקובץ CSV (ערכים מופרדים בפסיק) או לגיליון אלקטרוני ב-Google Sheets, המידע נשמר כיחידת טקסט אחת בתוך תא.
שם ההגדרה שם ההגדרה של Gemini ב-Looker. בוחרים אחד מהערכים האלה:
  • הפעלה של Gemini
  • הפעלת שימוש בנתונים של בודקים נאמנים
  • הפעלת שימוש בתכונות של בודקים נאמנים
Target כשמשנים את הגישה של המשתמשים, בשדה הזה מופיעים משתמשי היעד או קבוצות היעד שהשינוי הזה חל עליהם
דומיין היעד אם משנים את הרשאות הגישה לקישור, בשדה הזה מופיעים הדומיינים שיש להם גישה לקישור. לדוגמה, אם הקישור משותף בתוך הדומיין שלכם, אתם צריכים להקליד את הדומיין של הארגון. אם הקישור הוא ציבורי, אתם צריכים להקליד "הכול".
חשיפה הרשאות הגישה לנכס Looker Studio שקשור לפעילות

הערה: אם נתתם למשתמש שם חדש, לא יוצגו תוצאות של שאילתות עם השם הישן שלו. למשל, אם אתם משנים את השם של OldName@example.com ל-NewName@example.com, לא תראו תוצאות לאירועים שקשורים לשם OldName@example.com.

ייצוא נתוני אירועים ביומן של Looker Studio ל-BigQuery

אם יש לכם אישור, תוכלו לייצא נתוני אירועים ביומן של Looker Studio ל-Google BigQuery. כדי לבצע ייצוא, צריך:

מידע נוסף על יומני דיווח ו-BigQuery

הגדרה של התראות באימייל

אפשר להגדיר התראות כדי לעקוב בקלות אחרי פעילויות ספציפיות ב-Looker Studio. לדוגמה, תוכלו לקבל התראה בכל פעם שמשתמש יוצר או מוחק דוח.

  1. פותחים את האירועים ביומן כמו שמתואר למעלה בקטע הרצת חיפוש לאירועים ביומן.
  2. לוחצים על הוספת מסנן.
  3. מזינים או בוחרים קריטריונים למסננים ולוחצים על יצירת התראה.
  4. נותנים שם להתראה.
  5. (אופציונלי) כדי לשלוח את ההתראה לכל הסופר-אדמינים, בקטע נמענים לוחצים על הפעלה.
  6. מזינים את כתובות האימייל של מי שרוצים שתישלח להם התראה.
  7. לוחצים על יצירה.

בקטע התראות אימייל לאדמינים יש הסבר על עריכה של התראות מותאמת אישית.

ניהול נתוני האירועים ביומן

ניהול עמודות הנתונים של תוצאות החיפוש

אתם יכולים לקבוע אילו עמודות נתונים יופיעו בתוצאות החיפוש.

  1. בפינה השמאלית העליונה של טבלת תוצאות החיפוש, לוחצים על הסמל לניהול העמודות .
  2. (אופציונלי) כדי להסיר עמודות שמוצגות כרגע, לוחצים על סמל ההסרה .
  3. (אופציונלי) כדי להוסיף עמודות, לצד הוספת עמודה חדשה לוחצים על החץ למטה ובוחרים את עמודת הנתונים.
    חוזרים על הפעולה לפי הצורך.
  4. (אופציונלי) כדי לשנות את סדר העמודות, גוררים את השמות של עמודות הנתונים.
  5. לוחצים על שמירה.

ייצוא נתונים של תוצאות חיפוש

אתם יכולים לייצא את תוצאות החיפוש ל-Sheets או לקובץ CSV.

  1. בחלק העליון של טבלת תוצאות החיפוש, לוחצים על ייצוא של הכול.
  2. מזינים שם ואז לוחצים על ייצוא.
    קובץ הייצוא מוצג מתחת לטבלת תוצאות החיפוש בקטע ייצוא התוצאות של פעולה.
  3. כדי לראות את הנתונים, לוחצים על שם הייצוא.
    הייצוא נפתח ב-Sheets.

מגבלות הנתונים שאפשר לייצא משתנות לפי:

  • מספר השורות הכולל של התוצאות שאתם יכולים לייצא מוגבל ל-100,000 שורות.
  • התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

    אם אתם משתמשים בכלי לחקירת אבטחה, אתם יכולים לייצא עד 30 מיליון שורות של תוצאות סה"כ.

מידע נוסף מופיע במאמר בנושא ייצוא תוצאות חיפוש.

מתי הנתונים נעשים זמינים ולמשך כמה זמן הם נשמרים?

טיפול באירועים על סמך תוצאות החיפוש

יצירת כללי פעילות והגדרת התראות

  • אפשר להגדיר התראות על סמך נתוני אירועים ביומן באמצעות כללי דיווח. הוראות מופיעות במאמר בנושא יצירה וניהול של כללי דיווח.
  • התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

    כדי לסייע במניעה, זיהוי ותיקון יעילים של בעיות אבטחה, אפשר להפוך פעולות לאוטומטיות בכלי חקירת האבטחה ולהגדיר התראות על ידי יצירת כללי פעילות. כדי להגדיר כלל, מגדירים תנאים לכלל ואז מציינים את הפעולות שצריך לבצע כשהתנאים מתקיימים. פרטים נוספים מופיעים במאמר בנושא יצירה וניהול של כללי פעילות.

טיפול באירועים על סמך תוצאות החיפוש

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

אחרי שמריצים חיפוש בכלי לחקירת אבטחה, אפשר לבצע פעולות על סמך תוצאות החיפוש. לדוגמה, אפשר להריץ חיפוש שמבוסס על אירועים ביומן ב-Gmail, ואז להשתמש בכלי כדי למחוק הודעות ספציפיות, לשלוח הודעות להסגר או לשלוח הודעות לתיבות הדואר הנכנס של המשתמשים. פרטים נוספים מופיעים במאמר בנושא טיפול באירועים על סמך תוצאות החיפוש.

ניהול החקירות

התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus ו-Cloud Identity Premium. השוואה בין המהדורות

צפייה ברשימת החקירות

כדי לראות את רשימת החקירות שבבעלותכם וששותפו איתכם, אתם יכולים ללחוץ על "צפייה בפרטי החקירות" . רשימת החקירות כוללת את השמות, התיאורים והבעלים של החקירות, ואת התאריך שבו בוצע השינוי האחרון.

מהרשימה הזו אפשר לבצע פעולות בחקירות שבבעלותכם, למשל למחוק חקירה. מסמנים את התיבה של החקירה ולוחצים על פעולות.

הערה: אפשר לראות את החקירות השמורות בקטע גישה מהירה, ממש מעל רשימת החקירות.

קביעת ההגדרות של החקירות

אתם יכולים להתחבר בתפקיד סופר-אדמין, וללחוץ על סמל ההגדרות כדי:

  • לשנות את אזור הזמן של החקירות. אזור הזמן חל על תנאי החיפוש ועל התוצאות.
  • להפעיל או להשבית את האפשרות דרישה לבודק פעולות. פרטים נוספים מופיעים בקטע דרישה לבודקים בשביל פעולות בכמות גדולה.
  • להפעיל או להשבית את ההגדרה צפייה בתוכן. ההגדרה הזו מאפשרת לאדמינים עם ההרשאות המתאימות לצפות בתוכן.
  • להפעיל או להשבית את ההגדרה יש להזין נימוק לפעולות לפני ביצוע.

פרטים נוספים מופיעים בקטע קביעת הגדרות של החקירות.

שמירה, שיתוף, מחיקה ושכפול של חקירות

כדי לשמור את הקריטריונים של החיפוש או לשתף אותם עם אחרים, אתם יכולים ליצור ולשמור חקירה, ואז לשתף, לשכפל או למחוק אותה.

פרטים נוספים מופיעים במאמר בנושא שמירה, שיתוף, מחיקה ושכפול של חקירות.