Встречайте события из журнала оборудования

Понимание активности пользователей в Meet hardware

Как администратор вашей организации, вы можете использовать страницу аудита и расследования для выполнения поиска, связанного с событиями журнала оборудования Meet. Там вы можете просмотреть запись действий с устройствами Meet в вашей организации, например, когда устройство было отключено или перезагружено.

Полный список сервисов и действий, которые вы можете проверить, например, в Google Drive или в разделе «О инструменте аудита и проверки» , см. в соответствующем документе.

Нужна помощь во время совещания или для организации конкретного совещания?

С помощью инструмента «Управление качеством совещаний» вы можете устранять неполадки в режиме реального времени. Перейдите в раздел «Отслеживание качества совещаний и статистики» .

Выполните поиск событий журнала.

Инструмент аудита и расследования

Для выполнения поиска событий в журнале сначала выберите источник данных. Затем выберите один или несколько фильтров для поиска.

  1. Войдите в консоль администратора Google, используя учетную запись администратора .
  2. Слева нажмите «Отчеты» . а потом Аудит и расследование а потом Встречайте события в журнале оборудования .
  3. Нажмите «Добавить условие» .
    Совет : Вы можете включить в поиск одно или несколько условий или настроить поиск с помощью вложенных запросов . Подробнее см. раздел «Настройка поиска с помощью вложенных запросов» .
  4. Атрибут клика а потом Выберите нужный вариант. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
    Полный список атрибутов см. в разделе «Описание атрибутов» .
    Не все атрибуты доступны для поиска.
  5. Выберите оператора.
  6. Введите значение или выберите значение из списка.
  7. (Необязательно) Чтобы добавить дополнительные условия поиска, повторите шаги.
  8. Нажмите «Поиск» .
    Результаты поиска, полученные с помощью инструмента расследования, можно просмотреть в таблице внизу страницы.
Примечание : На вкладке «Фильтр» можно использовать простые пары параметр-значение для фильтрации результатов поиска. Также можно использовать вкладку «Конструктор условий» , где фильтры представлены в виде условий с операторами И/ИЛИ.

Инструмент для проведения расследований в сфере безопасности

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

Для выполнения поиска в инструменте анализа безопасности сначала выберите источник данных. Затем выберите одно или несколько условий для поиска. Для каждого условия выберите атрибут , оператор и значение .

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Инструмент расследования .

    Для этого требуются права администратора центра безопасности .

  2. Щелкните «Источник данных» и выберите «Соответствовать событиям журнала оборудования» .
  3. Нажмите «Добавить условие» .
    Совет : Вы можете включить в поиск одно или несколько условий или настроить поиск с помощью вложенных запросов . Подробнее см. раздел «Настройка поиска с помощью вложенных запросов» .
  4. Атрибут клика а потом Выберите нужный вариант. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
    Полный список атрибутов см. в разделе «Описание атрибутов» .
    Не все атрибуты доступны для поиска.
  5. (Необязательно) Нажмите «Содержит» (или «Является »).
  6. Выберите оператора.
  7. Введите значение или выберите значение из списка.
  8. (Необязательно) Чтобы добавить дополнительные условия поиска, повторите шаги.
  9. Нажмите «Поиск» .
    Результаты поиска, полученные с помощью инструмента расследования, можно просмотреть в таблице внизу страницы.
  10. (Необязательно) Чтобы сохранить результаты расследования, нажмите «Сохранить». а потом Введите заголовок и описание. а потом Нажмите « Сохранить ».

Примечание : На вкладке «Конструктор условий» фильтры представлены в виде условий с операторами И/ИЛИ. Вы также можете использовать вкладку «Фильтр» для включения простых пар параметр-значение для фильтрации результатов поиска.

Описание атрибутов

Для этого источника данных при поиске данных о событиях журнала можно использовать следующие атрибуты:

Атрибут Описание Поисковый
Пораженный периферический Периферийные устройства, затронутые данным событием.
Дата Дата и время мероприятия. Отображается в часовом поясе по умолчанию вашего браузера.
Описание Подробное описание мероприятий Google Meet Hardware
Идентификатор устройства Идентификатор устройства, затронутого данным событием аудита. Например, если периферийное устройство было отключено, то в этом поле будет указан идентификатор устройства.
Название устройства Название устройства.

Событие

В журнал событий записывается действие, например, обновление операционной системы или перезагрузка компьютера.

Совет: Если у вас есть часто используемые значения событий, закрепите эти события в верхней части выпадающего меню.

данные о событии Подробности мероприятия, в котором приняло участие аппаратное устройство.

IP ASN

Необходимо добавить этот столбец в результаты поиска. Инструкции см. в разделе «Управление данными столбцов результатов поиска» .

Номер автономной системы (ASN), подразделение и регион IP-адреса, связанные с записью в журнале.

Чтобы просмотреть IP-адрес автономных систем (ASN), а также код подразделения и региона, где произошла активность, щелкните по названию в результатах поиска.

Ресурсы

Список ресурсов, связанных с действием. Щелкните по ресурсу, чтобы просмотреть следующие сведения:

  • Идентификатор ресурса — идентификатор ресурса
  • Название ресурса — Заголовок ресурса
  • Тип ресурса — элемент Google Drive, электронное письмо, оповещение, правило и т. д.
  • Ресурсная связь — отношение ресурса к событию.

  • Метка ресурса — Список классификационных меток для ресурса, включая идентификатор метки ресурса , заголовок метки ресурса и поле метки ресурса .

    Поле «Метка ресурса» содержит:

    • Идентификатор поля метки
    • Название поля метки
    • Тип поля метки — Тип данных поля метки, например:
      • Текст
      • Число
      • Выбор — Включено: ID, Отображаемое имя, Наличие бейджа
      • Список выбора
      • Пользователь — Включено: Электронная почта
      • Список пользователей
      • Дата

Если вы экспортируете информацию в файл с разделителями-запятыми (CSV) или в Google Таблицы, информация сохраняется как единый блок текста в ячейке.

Серийный номер Серийный номер устройства.

Управление данными событий журнала

Управление данными столбца результатов поиска

Вы можете управлять тем, какие столбцы данных будут отображаться в результатах поиска.

  1. В правом верхнем углу таблицы результатов поиска нажмите «Управление столбцами». .
  2. (Необязательно) Чтобы удалить текущие столбцы, нажмите «Удалить». .
  3. (Необязательно) Чтобы добавить столбцы, рядом с кнопкой «Добавить новый столбец » нажмите стрелку вниз. и выберите столбец с данными.
    Повторять по мере необходимости.
  4. (Необязательно) Чтобы изменить порядок столбцов, перетащите названия столбцов данных.
  5. Нажмите « Сохранить ».

Экспорт данных результатов поиска

Результаты поиска можно экспортировать в Google Sheets или в CSV-файл.

  1. В верхней части таблицы результатов поиска нажмите кнопку «Экспорт всех» .
  2. Введите имя а потом Нажмите «Экспорт» .
    Результаты экспорта отображаются под таблицей результатов поиска в разделе «Результаты действия экспорта» .
  3. Для просмотра данных щелкните по названию экспортируемого файла.
    Экспорт открывается в Google Sheets.

Ограничения на экспорт различаются:

  • Общий объем результатов экспорта ограничен 100 000 строками.
  • Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

    Если у вас установлен инструмент для проведения анализа безопасности, общий объем результатов экспорта ограничен 30 миллионами строк.

Для получения более подробной информации перейдите в раздел «Экспорт результатов поиска» .

Когда и как долго доступны данные?

Принимайте меры на основе результатов поиска.

Создавайте правила действий и настраивайте оповещения.

  • Вы можете настроить оповещения на основе данных событий журнала с помощью правил формирования отчетов. Инструкции см. в разделе «Создание и управление правилами формирования отчетов» .
  • Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

    Для эффективного предотвращения, обнаружения и устранения проблем безопасности вы можете автоматизировать действия в инструменте расследования инцидентов безопасности и настроить оповещения, создав правила действий . Чтобы настроить правило, задайте для него условия, а затем укажите действия, которые должны быть выполнены при выполнении этих условий. Для получения более подробной информации перейдите в раздел «Создание и управление правилами действий» .

Принимайте меры на основе результатов поиска.

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

После выполнения поиска в инструменте расследования инцидентов безопасности вы можете предпринять действия на основе результатов поиска. Например, вы можете выполнить поиск на основе событий журнала Gmail, а затем использовать инструмент для удаления определенных сообщений, отправки сообщений в карантин или отправки сообщений в почтовые ящики пользователей. Для получения более подробной информации перейдите в раздел «Действия на основе результатов поиска» .

Управляйте своими расследованиями

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

Просмотрите список ваших расследований

Чтобы просмотреть список расследований, которые принадлежат вам и которые были предоставлены вам, нажмите «Просмотреть расследования». Список расследований включает имена, описания и ответственных за расследования, а также дату последнего изменения.

Из этого списка вы можете выполнить действия с любыми принадлежащими вам расследованиями, например, удалить расследование. Установите флажок напротив нужного расследования, а затем нажмите «Действия» .

Примечание : Вы можете просмотреть сохраненные расследования в разделе «Быстрый доступ» , непосредственно над списком расследований.

Настройте параметры для ваших расследований.

От имени суперадминистратора нажмите «Настройки». к:

  • Измените часовой пояс для ваших исследований. Часовой пояс применяется к условиям поиска и результатам.
  • Включите или выключите параметр «Требовать рецензентов» . Для получения более подробной информации перейдите в раздел «Требовать рецензентов для массовых действий» .
  • Включить или выключить отображение содержимого . Этот параметр позволяет администраторам с соответствующими правами просматривать содержимое.
  • Включить или выключить обоснование действий .

Для получения более подробной информации перейдите в раздел «Настройка параметров расследования» .

Сохраняйте, делитесь, удаляйте и дублируйте расследования.

Чтобы сохранить критерии поиска или поделиться ими с другими, вы можете создать и сохранить расследование, а затем поделиться им, скопировать или удалить его.

Для получения более подробной информации перейдите в раздел «Сохранение, предоставление доступа, удаление и дублирование расследований» .