Looker Studio регистрирует события

Посмотрите, что пользователи делают с ресурсами Looker Studio.

В зависимости от версии Google Workspace у вас может быть доступ к инструменту расследования инцидентов безопасности, который обладает более расширенными функциями. Например, суперадминистраторы могут выявлять, анализировать и принимать меры по проблемам безопасности и конфиденциальности. Подробнее

Как администратор вашей организации, вы можете выполнять поиск и реагировать на события журнала Looker Studio. Вы можете просмотреть запись действий, чтобы ознакомиться с действиями, предпринятыми пользователями вашей организации в отношении ресурсов Looker Studio. Например, вы можете увидеть, когда пользователь просмотрел отчет, создал новое исследование или поделился источником данных.

Создание извлеченного источника данных также приводит к созданию события экспорта источника данных для извлекаемого источника.

Для получения информации о других сервисах и действиях, таких как Google Drive и активность пользователей, см. список событий в журнале .

Примечание : Источник данных о событиях журнала Looker Studio предоставляет данные за предыдущие 6 месяцев. Если вы хотите сохранить их на более длительный срок, вы можете экспортировать данные журнала.

Возможность выполнения поиска зависит от вашей версии Google, ваших административных прав и источника данных. Вы можете выполнить поиск для всех пользователей, независимо от их версии Google Workspace.

Инструмент аудита и расследования

Для выполнения поиска событий в журнале сначала выберите источник данных. Затем выберите один или несколько фильтров для поиска.

  1. В консоли администратора Google перейдите в меню. а потом Отчетность а потом Аудит и расследование а потом Looker Studio регистрирует события .

    Для этого необходимы права администратора по аудиту и расследованиям .

  2. Чтобы отфильтровать события, произошедшие до или после определенной даты, в поле «Дата» выберите «До» или «После» . По умолчанию отображаются события за последние 7 дней. Вы можете выбрать другой диапазон дат или щелкнуть по соответствующему пункту. чтобы удалить фильтр по дате.

  3. Нажмите « Добавить фильтр». а потом Выберите атрибут. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
  4. Выберите оператора а потом выберите значение а потом Нажмите «Применить» .
    • (Необязательно) Чтобы создать несколько фильтров для поиска, повторите этот шаг.
    • (Необязательно) Чтобы добавить оператор поиска, выше в разделе «Добавить фильтр» выберите «И» или «ИЛИ» .
    • (Необязательно) Чтобы создать несколько фильтров для поиска, повторите этот шаг.
    • (Необязательно) Чтобы добавить оператор поиска, выше в разделе «Добавить фильтр» выберите «И» или «ИЛИ».
  5. Нажмите «Поиск» .
  6. Примечание : На вкладке «Фильтр» можно использовать простые пары параметр-значение для фильтрации результатов поиска. Также можно использовать вкладку «Конструктор условий» , где фильтры представлены в виде условий с операторами И/ИЛИ.

Инструмент для проведения расследований в сфере безопасности

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

Для выполнения поиска в инструменте анализа безопасности сначала выберите источник данных. Затем выберите одно или несколько условий для поиска. Для каждого условия выберите атрибут , оператор и значение .

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Инструмент расследования .

    Для этого требуются права администратора центра безопасности .

  2. Щелкните «Источник данных» и выберите «Запись событий в журнал Looker Studio» .
  3. Нажмите «Добавить условие» .
    Совет : Вы можете включить в поиск одно или несколько условий или настроить поиск с помощью вложенных запросов . Подробнее см. раздел «Настройка поиска с помощью вложенных запросов» .
  4. Атрибут клика а потом Выберите нужный вариант. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
    Полный список атрибутов см. в разделе «Описание атрибутов» .
  5. Выберите оператора.
  6. Введите значение или выберите значение из списка.
  7. (Необязательно) Чтобы добавить дополнительные условия поиска, повторите шаги.
  8. Нажмите «Поиск» .
    Результаты поиска, полученные с помощью инструмента расследования, можно просмотреть в таблице внизу страницы.
  9. (Необязательно) Чтобы сохранить результаты расследования, нажмите «Сохранить». а потом Введите заголовок и описание. а потом Нажмите « Сохранить ».

Примечания

  • На вкладке «Конструктор условий» фильтры представлены в виде условий с операторами И/ИЛИ. Вы также можете использовать вкладку «Фильтр» для добавления простых пар параметр-значение для фильтрации результатов поиска.
  • Если вы присвоите пользователю новое имя, вы не увидите результаты запросов со старым именем пользователя. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не увидите результаты для событий, связанных с OldName@example.com .
  • Поиск данных возможен только в сообщениях, которые еще не были удалены из Корзины.

Описание атрибутов

Для этого источника данных при поиске данных о событиях журнала можно использовать следующие атрибуты.

Атрибут Описание
Актер Адрес электронной почты пользователя, выполнившего действие

Название приложения актёра

Необходимо добавить этот столбец в результаты поиска. Инструкции см. в разделе «Управление данными столбцов результатов поиска» .

Подробная информация о приложении, использованном для выполнения действия. Чтобы просмотреть следующую информацию, щелкните по названию в результатах поиска:

  • Название приложения-объекта — Название приложения, используемого для выполнения действия (заполняется для сторонних приложений и для некоторых собственных приложений, таких как Gmail).
  • Идентификатор клиента Actor OAuth — идентификатор стороннего приложения, используемого для выполнения действия.
  • Выдача себя за другого пользователя — выдавало ли приложение себя за другого пользователя.

Если вы экспортируете информацию в файл с разделителями-запятыми (CSV) или в Google Таблицы, информация сохраняется как единый блок текста в ячейке.

Название актёрской группы

Название группы, к которой принадлежит актёр. Для получения дополнительной информации перейдите в раздел «Фильтрация результатов по группам Google» .

Чтобы добавить группу в список разрешенных групп фильтрации:

  1. Выберите название группы акторов .
  2. Нажмите «Группы фильтрации» .
    Открывается страница «Группы фильтрации».
  3. Нажмите «Добавить группы» .
  4. Найдите группу, введя первые несколько символов ее названия или адреса электронной почты. Когда вы увидите нужную группу, выберите ее.
  5. (Необязательно) Чтобы добавить еще одну группу, найдите и выберите нужную группу.
  6. После выбора групп нажмите кнопку «Добавить» .
  7. (Необязательно) Чтобы удалить группу, нажмите «Удалить группу». .
  8. Нажмите « Сохранить ».
Организационное подразделение актёра Организационная единица актёра
Идентификатор актива Идентификатор актива, где произошло зарегистрированное действие
Название актива Название объекта, который был просмотрен или изменен.
Тип актива Тип актива, для которого было зафиксировано действие.
Тип разъема Тип коннектора, используемый для получения данных из источника данных.
Текущая стоимость

Если настройки изменены, в этом поле отображается текущее значение настроек — например, «Можно редактировать», «Можно просматривать», «Частный», «Общедоступный в интернете» или «Идентификатор текущего рабочего пространства команды» .

Примечание: Этот атрибут заменит новое значение.
Тип экспорта данных Тип или формат экспорта данных в Looker Studio. Введите одно из следующих значений:
  • CSV
  • CSV Excel (CSV в формате Excel)
  • Извлеченный источник данных
  • Google Таблицы
Дата Дата и время мероприятия (отображаются в часовом поясе по умолчанию вашего браузера)
Идентификатор содержимого распространения Идентификатор расписания или оповещения
Название содержимого дистрибутива Название расписания или оповещения
Адрес электронной почты владельца контента для распространения Адрес электронной почты владельца расписания или оповещения. Владелец расписания — это его последний редактор. Владелец оповещения — это создатель оповещения.
Тип контента распространения Тип распространяемого контента, например, по расписанию или в виде оповещений.
Встроено в идентификатор отчета Идентификатор отчета, в который встроен источник данных.
Событие Зарегистрированное действие события, например, «Создать» , «Экспорт данных» или «Восстановить».
IP-адрес IP-адрес, связанный с зарегистрированным действием. Обычно отражает физическое местоположение пользователя, но может также являться адресом прокси-сервера или виртуальной частной сети (VPN).

IP ASN

Необходимо добавить этот столбец в результаты поиска. Инструкции см. в разделе «Управление данными столбцов результатов поиска» .

Номер автономной системы (ASN), подразделение и регион IP-адреса, связанные с записью в журнале.

Чтобы просмотреть IP-адрес автономных систем (ASN), а также код подразделения и региона, где произошла активность, щелкните по названию в результатах поиска.

Новое значение Если настройки изменены, в этом поле отображается новое значение настроек — например, «Можно редактировать» , «Можно просматривать» , «Частный» или «Общедоступный в интернете» .
Старая ценность Если настройки изменены, в этом поле отображается старое значение настроек — например, «Можно редактировать» , «Можно просматривать» , «Частный» или «Общедоступный в сети» .
Владелец Владелец актива
Идентификатор родительского рабочего пространства Рабочее пространство команды для данного ресурса.
Предыдущая стоимость

Если настройки были изменены, в этом поле отображается предыдущее значение настроек — например, «Можно редактировать», «Можно просматривать», «Частный», «Общедоступный в интернете» или «Идентификатор текущего рабочего пространства команды» .

Примечание: Этот атрибут заменит старое значение.
Предварительная видимость Видимость ресурса Looker Studio перед началом действия
Идентификатор проекта Идентификатор проекта Google Cloud, связанный с использованием Gemini в Looker.
Ресурсы

Список ресурсов, связанных с действием. Щелкните по ресурсу, чтобы просмотреть следующие сведения:

  • Идентификатор ресурса — идентификатор ресурса
  • Название ресурса — Заголовок ресурса
  • Тип ресурса — элемент Google Drive, электронное письмо, оповещение, правило и т. д.
  • Ресурсная связь — отношение ресурса к событию.

  • Метка ресурса — Список классификационных меток для ресурса, включая идентификатор метки ресурса , заголовок метки ресурса и поле метки ресурса .

    Поле «Метка ресурса» содержит:

    • Идентификатор поля метки
    • Название поля метки
    • Тип поля метки — Тип данных поля метки, например:
      • Текст
      • Число
      • Выбор — Включено: ID, Отображаемое имя, Наличие бейджа
      • Список выбора
      • Пользователь — Включено: Электронная почта
      • Список пользователей
      • Дата

Если вы экспортируете информацию в файл с разделителями-запятыми (CSV) или в Google Таблицы, информация сохраняется как единый блок текста в ячейке.

Название параметра Название объекта Gemini в настройках Looker. Выберите одно из следующих значений:
  • Gemini enable
  • Возможность использования данных Trusted Tester
  • Включение функции Trusted Tester
Цель При изменении прав доступа пользователей в этом поле указываются целевые пользователи или группы, к которым применяется это изменение прав доступа.
Целевой домен Если видимость ссылки изменена, в этом поле указываются домены, имеющие доступ к ссылке. Например, если ссылка используется внутри вашего домена, введите домен вашей организации, а если ссылка общедоступна, введите «все».
Видимость Отображение ресурса Looker Studio, связанного с данной деятельностью.

Примечание : Если вы присвоили пользователю новое имя, вы не увидите результаты запроса со старым именем пользователя. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не увидите результаты для событий, связанных с OldName@example.com .

Экспорт данных журнала событий Looker Studio в BigQuery

Если это разрешено, вы можете экспортировать данные журналов событий Looker Studio в Google BigQuery. Для экспорта вам потребуется:

Узнайте больше о журналах отчетов и BigQuery .

Настройте оповещения по электронной почте

Вы можете легко отслеживать конкретные действия в Looker Studio, настроив оповещения. Например, получать оповещение всякий раз, когда кто-то создает или удаляет отчет.

  1. Откройте журнал событий, как описано выше в разделе «Выполнение поиска по событиям журнала» .
  2. Нажмите «Добавить фильтр» .
  3. Введите или выберите критерии для фильтра и нажмите «Создать оповещение» .
  4. Введите название для оповещения.
  5. (Необязательно) Чтобы отправить оповещение всем суперадминистраторам, в разделе «Получатели» нажмите « Включить» .
  6. Введите адреса электронной почты получателей уведомлений.
  7. Нажмите «Создать» .

Чтобы отредактировать пользовательские оповещения, перейдите в раздел «Оповещения по электронной почте администратора» .

Управление данными событий журнала

Управление данными столбца результатов поиска

Вы можете управлять тем, какие столбцы данных будут отображаться в результатах поиска.

  1. В правом верхнем углу таблицы результатов поиска нажмите «Управление столбцами». .
  2. (Необязательно) Чтобы удалить текущие столбцы, нажмите «Удалить». .
  3. (Необязательно) Чтобы добавить столбцы, рядом с кнопкой «Добавить новый столбец » нажмите стрелку вниз. и выберите столбец с данными.
    Повторять по мере необходимости.
  4. (Необязательно) Чтобы изменить порядок столбцов, перетащите названия столбцов данных.
  5. Нажмите « Сохранить ».

Экспорт данных результатов поиска

Результаты поиска можно экспортировать в Google Sheets или в CSV-файл.

  1. В верхней части таблицы результатов поиска нажмите кнопку «Экспорт всех» .
  2. Введите имя а потом Нажмите «Экспорт» .
    Результаты экспорта отображаются под таблицей результатов поиска в разделе «Результаты действия экспорта» .
  3. Для просмотра данных щелкните по названию экспортируемого файла.
    Экспорт открывается в Google Sheets.

Ограничения на экспорт различаются:

  • Общий объем результатов экспорта ограничен 100 000 строками.
  • Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

    Если у вас установлен инструмент для проведения анализа безопасности, общий объем результатов экспорта ограничен 30 миллионами строк.

Для получения более подробной информации перейдите в раздел «Экспорт результатов поиска» .

Когда и как долго доступны данные?

Принимайте меры на основе результатов поиска.

Создавайте правила действий и настраивайте оповещения.

  • Вы можете настроить оповещения на основе данных событий журнала с помощью правил формирования отчетов. Инструкции см. в разделе «Создание и управление правилами формирования отчетов» .
  • Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

    Для эффективного предотвращения, обнаружения и устранения проблем безопасности вы можете автоматизировать действия в инструменте расследования инцидентов безопасности и настроить оповещения, создав правила действий . Чтобы настроить правило, задайте для него условия, а затем укажите действия, которые должны быть выполнены при выполнении этих условий. Для получения более подробной информации перейдите в раздел «Создание и управление правилами действий» .

Принимайте меры на основе результатов поиска.

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

После выполнения поиска в инструменте расследования инцидентов безопасности вы можете предпринять действия на основе результатов поиска. Например, вы можете выполнить поиск на основе событий журнала Gmail, а затем использовать инструмент для удаления определенных сообщений, отправки сообщений в карантин или отправки сообщений в почтовые ящики пользователей. Для получения более подробной информации перейдите в раздел «Действия на основе результатов поиска» .

Управляйте своими расследованиями

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

Просмотрите список ваших расследований

Чтобы просмотреть список расследований, которые принадлежат вам и которые были предоставлены вам, нажмите «Просмотреть расследования». Список расследований включает имена, описания и ответственных за расследования, а также дату последнего изменения.

Из этого списка вы можете выполнить действия с любыми принадлежащими вам расследованиями, например, удалить расследование. Установите флажок напротив нужного расследования, а затем нажмите «Действия» .

Примечание : Вы можете просмотреть сохраненные расследования в разделе «Быстрый доступ» , непосредственно над списком расследований.

Настройте параметры для ваших расследований.

От имени суперадминистратора нажмите «Настройки». к:

  • Измените часовой пояс для ваших исследований. Часовой пояс применяется к условиям поиска и результатам.
  • Включите или выключите параметр «Требовать рецензентов» . Для получения более подробной информации перейдите в раздел «Требовать рецензентов для массовых действий» .
  • Включить или выключить отображение содержимого . Этот параметр позволяет администраторам с соответствующими правами просматривать содержимое.
  • Включить или выключить обоснование действий .

Для получения более подробной информации перейдите в раздел «Настройка параметров расследования» .

Сохраняйте, делитесь, удаляйте и дублируйте расследования.

Чтобы сохранить критерии поиска или поделиться ими с другими, вы можете создать и сохранить расследование, а затем поделиться им, скопировать или удалить его.

Для получения более подробной информации перейдите в раздел «Сохранение, предоставление доступа, удаление и дублирование расследований» .