Rechercher et examiner les événements de journaux des utilisateurs

Outil d'investigation sur la sécurité
Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

À l'aide de l'outil d'investigation, vous pouvez rechercher et examiner les événements de journaux d'utilisateurs, et ainsi prendre les mesures nécessaires en fonction des résultats de vos investigations. Par exemple, vous pouvez effectuer les opérations suivantes :

  • Identifier et étudier les tentatives de piratage des comptes utilisateur au sein de votre organisation
  • Surveiller les méthodes de validation en deux étapes utilisées par les membres de votre organisation
  • En savoir plus sur les tentatives de connexion infructueuses des utilisateurs de votre organisation
  • Restaurer ou suspendre des comptes utilisateur

Rechercher et examiner les événements de journaux des utilisateurs

  1. Dans la console d'administration Google, accédez à Menu  puis Sécurité puisCentre de sécurité puisOutil d'investigation.

    Vous devez disposer du droit d'administrateur Centre de sécurité.

  2. Sélectionnez Événements de journaux des utilisateurs en tant que source de données pour votre recherche.

  3. Cliquez sur Ajouter une condition. Vous pouvez inclure une ou plusieurs conditions dans la recherche. Pour en savoir plus sur les conditions disponibles pour la source "Événements de journaux des utilisateurs", consultez Personnaliser les recherches dans l'outil d'investigation > Conditions applicables aux événements de journaux des utilisateurs. Vous pouvez par exemple affiner votre recherche en fonction de la date de l'événement, du nom de l'utilisateur ou d'un type d'événement, tel qu'une modification de mot de passe, une inscription à la validation en deux étapes ou un échec de connexion.

  4. Cliquez sur Rechercher. Les résultats de la recherche sont affichés en bas de la page.

Effectuer des actions en fonction des résultats de recherche

Sur la page des résultats de recherche, sélectionnez un ou plusieurs utilisateurs. Ensuite, dans le menu déroulant Actions, cliquez sur Restaurer le compte utilisateur ou Suspendre le compte utilisateur.

Afficher les informations relatives à certains utilisateurs dans les résultats de recherche

Sur la page des résultats de recherche, sélectionnez un seul utilisateur. Dans le menu déroulant Actions, cliquez sur Afficher les détails. Une page affiche ensuite les informations de connexion, le nom de l'unité organisationnelle, les informations relatives à la sécurité, l'appartenance à un groupe, ainsi que d'autres éléments.

Depuis cette même page, vous pouvez également effectuer des actions sur le compte de l'utilisateur, comme réinitialiser son mot de passe ou lui attribuer un nouveau nom.