Zdarzenia w dzienniku użytkownika

Sprawdzanie aktywności użytkowników związanej z logowaniem

W zależności od wersji Google Workspace możesz mieć dostęp do narzędzia do analizy zagrożeń, które ma bardziej zaawansowane funkcje. Superadministratorzy mogą na przykład identyfikować i grupować problemy związane z bezpieczeństwem oraz prywatnością, a także przeciwdziałać takim problemom. Więcej informacji

Jako administrator organizacji możesz przeprowadzać wyszukiwania i podejmować działania w związku ze zdarzeniami w dzienniku użytkownika. Możesz na przykład sprawdzać ważne działania wykonywane przez użytkowników na ich kontach. Należą do nich zmiany hasła, zmiany danych do odzyskiwania konta (numerów telefonów, adresów e-mail) oraz zmiany ustawienia weryfikacji dwuetapowej. W tym raporcie nie jest rejestrowane logowanie z klienta poczty e-mail ani z aplikacji działającej poza przeglądarką, chyba że jest to próba logowania programowego w ramach sesji, która została uznana za podejrzaną.

Dane zdarzeń z dziennika są zbierane według sesji. Oznacza to, że kilka prób wykonania tego samego działania w krótkim czasie może zostać połączonych i wyświetlonych jako pojedynczy wpis w logu. Jeśli na przykład użytkownik 5 razy wpisze nieprawidłowe hasło, a potem poda prawidłowe, w dziennikach mogą pojawić się tylko 2 wpisy: jeden dotyczący wszystkich nieudanych prób i jeden wskazujący udane logowanie.

Uwaga: jeśli nie ma danych dotyczących zdarzeń w dzienniku użytkownika z ostatnich 6 miesięcy, Zdarzenia w dzienniku użytkownika mogą nie być widoczne w menu nawigacyjnym po lewej stronie.

Przekazywanie danych zdarzenia z dziennika do Google Cloud

Możesz wyrazić zgodę na udostępnianie danych zdarzeń z dziennika usłudze Google Cloud. Jeśli włączysz udostępnianie, dane będą przekazywane usłudze Cloud Logging, w której możesz przeglądać logi i tworzyć dotyczące ich zapytania oraz decydować, jak chcesz kierować ruchem logów i jak je przechowywać.

Rodzaj danych zdarzeń z dziennika, które możesz udostępniać Google Cloud, zależy od Twojego konta Google Workspace, Cloud Identity lub Essentials.

Możliwość wyszukiwania zależy od wersji usługi Google, uprawnień administratora i źródła danych. Możesz przeprowadzić wyszukiwanie dla wszystkich użytkowników, niezależnie od używanej przez nich wersji Google Workspace.

Narzędzie do kontroli i analizy zagrożeń

Aby przeszukać zdarzenia z dziennika, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 filtr wyszukiwania.

  1. W konsoli administracyjnej Google otwórz Menu  a potem Raportowanie a potemKontrola i analiza zagrożeń a potemZdarzenia z dziennika użytkownika.

    Wymaga uprawnień administratora Kontrola i analiza zagrożeń.

  2. Aby filtrować zdarzenia, które wystąpiły przed lub po określonej dacie, w polu Data wybierz Przed lub Po. Domyślnie wyświetlane są zdarzenia z ostatnich 7 dni. Możesz wybrać inny zakres dat lub kliknąć , aby usunąć filtr daty.

  3. Kliknij Dodaj filtr a potem wybierz atrybut. Aby na przykład filtrować według określonego typu zdarzenia, wybierz Zdarzenie.
  4. Wybierz operatora a potemwybierz wartość a potemkliknij Zastosuj.
    • (Opcjonalnie) Aby utworzyć kilka filtrów wyszukiwania, powtórz ten krok.
    • (Opcjonalnie) Aby dodać operator wyszukiwania, nad opcją Dodaj filtr wybierz ORAZ bądź LUB.
  5. Kliknij Szukaj. Uwaga: na karcie Filtr możesz uwzględnić proste pary parametrów i wartości, aby przefiltrować wyniki wyszukiwania. Możesz też użyć karty Narzędzie do definiowania warunków, gdzie filtry są mają postać warunków z operatorem ORAZ i LUB.

Narzędzie do analizy zagrożeń

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

Aby przeprowadzić wyszukiwanie w narzędziu do analizy zagrożeń, najpierw wybierz źródło danych. Następnie wybierz co najmniej 1 warunek wyszukiwania. Dla każdego warunku wybierz atrybut, operator i wartość.

  1. W konsoli administracyjnej Google otwórz Menu  a potem Bezpieczeństwo a potemCentrum bezpieczeństwa a potemNarzędzie do analizy zagrożeń.

    Wymaga uprawnień administratora Centrum bezpieczeństwa.

  2. Kliknij Źródło danych i wybierz Zdarzenia z dziennika użytkownika.

  3. Aby filtrować zdarzenia, które wystąpiły przed lub po określonej dacie, w polu Data wybierz Przed lub Po. Domyślnie wyświetlane są zdarzenia z ostatnich 7 dni. Możesz wybrać inny zakres dat lub kliknąć , aby usunąć filtr daty.

  4. Kliknij Dodaj warunek.
    Wskazówka: w wyszukiwaniu możesz uwzględnić 1 lub kilka warunków. Możesz też dostosować wyszukiwanie za pomocą zapytań zagnieżdżonych. Więcej informacji znajdziesz w artykule Dostosowywanie wyszukiwania za pomocą zapytań zagnieżdżonych.
  5. Kliknij Atrybut a potem wybierz opcję. Aby na przykład filtrować według określonego typu zdarzenia, wybierz Zdarzenie.
    Pełną listę atrybutów znajdziesz w sekcji Opisy atrybutów.
  6. Wybierz operator.
  7. Wpisz wartość lub wybierz ją z listy.
  8. (Opcjonalnie) Aby dodać więcej warunków wyszukiwania, powtórz te czynności.
  9. Kliknij Szukaj.
    Wyniki wyszukiwania z narzędzia do analizy zagrożeń możesz sprawdzić w tabeli u dołu strony.
  10. (Opcjonalnie) Aby zapisać analizę zagrożeń, kliknij Zapisz  a potem wpisz tytuł i opis a potem kliknij Zapisz.

Uwagi

  • Na karcie Narzędzie do definiowania warunków filtry mają postać warunków z operatorami AND/OR. Proste pary parametrów i wartości do filtrowania wyników wyszukiwania możesz też dodawać na karcie Filtr.
  • Jeśli zmienisz nazwę konta użytkownika, nie zobaczysz wyników zapytań ze starą nazwą konta użytkownika. Jeśli na przykład zmienisz nazwę konta stara_nazwa@example.com na nowa_nazwa@example.com, nie zobaczysz wyników dotyczących zdarzeń powiązanych z nazwą stara_nazwa@example.com.
  • Możesz wyszukiwać dane tylko w wiadomościach, które nie zostały jeszcze usunięte z Kosza.

Opisy atrybutów

W przypadku tego źródła danych podczas wyszukiwania danych zdarzenia z dziennika możesz użyć tych atrybutów:

Atrybut Opis
Nazwa grupy

Nazwa grupy użytkownika, który wykonał czynność. Więcej informacji znajdziesz w artykule Filtrowanie wyników za pomocą grup dyskusyjnych Google.

Aby dodać grupę do listy dozwolonych grup filtrowania:

  1. Kliknij Nazwa grupy.
  2. Kliknij Grupy filtrowania.
    Pojawi się strona Grupy filtrowania.
  3. Kliknij Dodawanie grup.
  4. Wyszukaj grupę, wpisując kilka pierwszych znaków jej nazwy lub adresu e-mail. Gdy zobaczysz odpowiednią grupę, wybierz ją.
  5. (Opcjonalnie) Aby dodać kolejną grupę, wyszukaj ją i wybierz.
  6. Gdy wybierzesz odpowiednie grupy, kliknij Dodaj.
  7. (Opcjonalnie) Aby usunąć grupę, kliknij Usuń grupę .
  8. Kliknij Zapisz.
Jednostka organizacyjna użytkownika, który wykonał czynność Jednostka organizacyjna użytkownika, który wykonał czynność.
Użytkownik, którego dotyczy problem Adres e-mail użytkownika, u którego występuje problem
Typ warunku

Wykorzystany sposób weryfikacji tożsamości użytkownika, np. Hasło lub Klucz bezpieczeństwa

Uwaga: nowo dodane typy weryfikacji tożsamości, takie jak klucz dostępu, mogą być niezgodne z dotychczasowym typem weryfikacji o nazwie inne w przypadku dzienników kontrolnych utworzonych przed 30 września 2024 r.
Data Data i godzina wystąpienia zdarzenia (według domyślnej strefy czasowej ustawionej w przeglądarce).
Domena Domena, w której wykonano czynność
Adres do przekazywania e-maili dalej Adres e-mail, na który mają być przekazywane wiadomości z Gmaila

Wydarzenie

Zarejestrowane zdarzenie, np. Rejestracja w systemie weryfikacji dwuetapowej lub Podejrzane logowanie

Uwaga: w przypadku zdarzenia Wylogowanie, nawet jeśli użytkownik wybrał typ logowania inny niż hasło Google (np. Exchange, Reauth, SAML lub Nieznany), typ logowania w przypadku zdarzeń Wylogowanie jest wyświetlany jako Hasło Google.

Stan wydarzenia (beta)

Stan zdarzenia. Na przykład Ukończono lub Niepowodzenie. Kliknij stan, aby uzyskać dodatkowe informacje, np. kod błędu.
Adres IP Adres IP, z którego użytkownik się zalogował. Zazwyczaj jest to adres wskazujący fizyczną lokalizację użytkownika, ale może to być również adres serwera proxy lub wirtualnej sieci prywatnej (VPN).

ASN IP

Musisz dodać tę kolumnę do wyników wyszukiwania. Instrukcje znajdziesz w sekcji Zarządzanie danymi w kolumnie wyników wyszukiwania artykułu Zdarzenia z dziennika administratora.

Numer systemu autonomicznego adresu IP (ASN), pododdział i region powiązane z wpisem logu.

Aby sprawdzić identyfikator ASN adresu IP oraz kod pododdziału i regionu, w którym wystąpiła aktywność, kliknij nazwę w wynikach wyszukiwania.
Jest drugim składnikiem* Prawda, jeśli użytkownik zalogował się przy użyciu uwierzytelniania dwuskładnikowego
Fałsz, jeśli użytkownik nie zalogował się przy użyciu uwierzytelniania dwuskładnikowego
Wzbudza podejrzenia* Prawda, jeśli próba logowania była podejrzana i się powiodła. W przeciwnym razie fałsz. Dotyczy tylko zdarzeń login_success (pomyślne logowanie), sensitive actions allowed (działania związane z poufnymi danymi zostały dozwolone) i sensitive action blocked (działania związane z poufnymi danymi zostały zablokowane).
Czas logowania Jeśli zdarzenie podejrzanej próby logowania zostanie zablokowane, w tym polu wyświetli się data i godzina, o której użytkownik próbował się zalogować.
Typ logowania

Metoda uwierzytelniania, z której skorzystał użytkownik:

  • Exchange – użytkownik jest uwierzytelniany za pomocą wymiany tokenów, na przykład przy użyciu logowania OAuth. Może to również oznaczać, że użytkownik był już zalogowany w sesji, gdy logował się do kolejnej, w wyniku czego 2 sesje zostały scalone.
  • Hasło Google – logowanie za pomocą hasła Google. Obejmuje logowanie się w mniej bezpiecznych aplikacjach (jeśli jest to dozwolone).
  • OIDC – uwierzytelnianie za pomocą logowania jednokrotnego przez OpenID Connect (OIDC).
  • Reauth – uwierzytelnienie przy wykorzystaniu prośby o ponowne uwierzytelnienie hasła.
  • SAML – uwierzytelnienie za pomocą funkcji logowania jednokrotnego przez SAML**
  • Nieznany – użytkownik zalogował się za pomocą nieznanej metody.
Użytkownik Adres e-mail użytkownika, który wykonał czynność
Klient użytkownika (beta) Informacje o urządzeniu użytkownika, takie jak przeglądarka, system operacyjny lub inne szczegóły urządzenia, np. Mozilla/5.0 (Windows NT 6.3; Win64; x64). Ten atrybut jest charakterystyczny dla zdarzeń z dziennika danych uwierzytelniających sesji powiązanych z urządzeniem (DBSC).

* Nie możesz utworzyć reguł raportowania z tymi filtrami. Dowiedz się więcej o regułach raportowania i regułach związanych z aktywnością.

** Uwaga dotycząca użytkowników SAML korzystających z profilu SSO w Twojej organizacji (starsza wersja SAML): jeśli próba logowania przez SAML pochodzi z nieznanego urządzenia lub adresu IP albo jeśli ocena ryzyka jest wyższa, nieudane logowanie z typem Hasło Google jest rejestrowane w zdarzeniu dziennika. Dzieje się tak nawet wtedy, gdy logowanie SAML się powiedzie, ponieważ system oznacza pierwszą próbę jako podejrzaną. Po tym wpisie o nieudanym logowaniu następuje zdarzenie pomyślnego logowania SAML. W starszej wersji usługi SAML w przypadku jednego logowania SAML generowane są 2 sesje logowania. Pierwsza, często nieistotna sesja, jest odfiltrowywana tylko wtedy, gdy nie wzbudza podejrzeń.

Uwaga: jeśli zmienisz nazwę konta użytkownika, nie zobaczysz wyników zapytań ze starą nazwą konta użytkownika. Jeśli na przykład zmienisz nazwę konta stara_nazwa@example.com na nowa_nazwa@example.com, nie zobaczysz wyników dotyczących zdarzeń powiązanych z nazwą stara_nazwa@example.com.

Zarządzanie danymi zdarzenia z dziennika

Zarządzanie danymi w kolumnie wyników wyszukiwania

Możesz określić, które kolumny danych mają pojawiać się w wynikach wyszukiwania.

  1. W prawym górnym rogu tabeli wyników wyszukiwania kliknij Zarządzaj kolumnami .
  2. (Opcjonalnie) Aby usunąć bieżące kolumny, kliknij Usuń .
  3. (Opcjonalnie) Aby dodać kolumny, obok Dodaj nową kolumnę kliknij strzałkę w dół  i wybierz kolumnę danych.
    W razie potrzeby powtórz tę czynność.
  4. (Opcjonalnie) Aby zmienić kolejność kolumn, przeciągnij nazwy kolumn danych.
  5. Kliknij Zapisz.

Eksportowanie danych wyników wyszukiwania

Wyniki wyszukiwania możesz wyeksportować do Arkuszy lub do pliku CSV.

  1. U góry tabeli wyników wyszukiwania kliknij Eksportuj wszystko.
  2. Wpisz nazwę  kliknij Eksportuj.a potem
    Wyeksportowane dane wyświetlają się pod tabelą wyników wyszukiwania w sekcji wyników eksportowania.
  3. Aby wyświetlić dane, kliknij nazwę eksportu.
    Eksport otworzy się w Arkuszach.

Limity eksportu różnią się od siebie:

  • Limit liczby eksportowanych wyników wynosi 100 tys. wierszy.
  • Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

    Jeśli masz narzędzie do analizy zagrożeń, limit liczby eksportowanych wyników wynosi 30 milionów wierszy.

Więcej informacji znajdziesz w artykule Eksportowanie wyników wyszukiwania.

Kiedy i jak długo dane są dostępne?

Podejmowanie działań na podstawie wyników wyszukiwania

Tworzenie reguł związanych z aktywnością i konfigurowanie alertów

  • Alerty na podstawie danych zdarzeń z dziennika możesz konfigurować za pomocą reguł raportowania. Instrukcje znajdziesz w artykule Tworzenie reguł raportowania i zarządzanie nimi.
  • Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

    Aby skutecznie zapobiegać problemom z zabezpieczeniami, wykrywać je i rozwiązywać, możesz zautomatyzować działanie narzędzia do analizy zagrożeń i skonfigurować alerty, tworząc reguły związane z aktywnością. Aby skonfigurować regułę, określ warunki reguły, a następnie wskaż czynności, które mają być wykonywane po spełnieniu tych warunków. Więcej informacji znajdziesz w artykule Tworzenie reguł związanych z aktywnością i zarządzanie nimi.

Podejmowanie działań na podstawie wyników wyszukiwania

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

Po uruchomieniu wyszukiwania w narzędziu do analizy zagrożeń możesz wykonywać działania na wynikach wyszukiwania. Na przykład po przeprowadzeniu wyszukiwania zdarzeń z dziennika Gmaila za pomocą narzędzia można usunąć określone wiadomości, wysłać je do kwarantanny lub do skrzynek odbiorczych użytkowników. Więcej informacji znajdziesz w artykule Podejmowanie działań na podstawie wyników wyszukiwania.

Zarządzanie analizami zagrożeń

Ta funkcja jest dostępna w tych wersjach: Frontline Standard i Frontline Plus; Enterprise Standard i Enterprise Plus; Education Standard i Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Porównanie wersji

Wyświetlanie listy szablonów analizy zagrożeń

Aby wyświetlić listę analiz zagrożeń, które należą do Ciebie lub zostały Ci udostępnione, kliknij Wyświetl operacje analizy zagrożeń . Na tej liście znajdują się nazwy, opisy i właściciele analiz zagrożeń oraz daty ostatniej modyfikacji.

Na tej liście możesz też wykonywać czynności na swoich szablonach analizy zagrożeń – na przykład usuwać je. Zaznacz pole obok analizy zagrożeń i kliknij Czynności.

Uwaga: zapisane analizy zagrożeń możesz wyświetlić w sekcji Szybki dostęp, bezpośrednio nad listą analiz zagrożeń.

Konfigurowanie ustawień analizy zagrożeń

Jako superadministrator kliknij Ustawienia , aby:

  • zmienić strefę czasową analizy zagrożeń używaną w warunkach i wynikach wyszukiwania.
  • Włącz lub wyłącz opcję Wymagaj analizy. Więcej informacji znajdziesz w artykule Wymaganie zatwierdzania działań zbiorczych.
  • Włącz lub wyłącz opcję Wyświetl treść. To ustawienie pozwala administratorom z odpowiednimi uprawnieniami na wyświetlanie treści.
  • Włącz lub wyłącz opcję Włącz uzasadnianie działań.

Więcej informacji znajdziesz w artykule Konfigurowanie ustawień analizy zagrożeń.

Zapisywanie, udostępnianie, usuwanie i powielanie analiz zagrożeń

Aby zapisać kryteria wyszukiwania lub udostępnić je innym osobom, możesz utworzyć i zapisać szablon analizy zagrożeń, a następnie udostępnić go, zduplikować lub usunąć.

Więcej informacji znajdziesz w artykule Zapisywanie, udostępnianie, usuwanie i powielanie analiz zagrożeń.


Google, Google Workspace i inne powiązane nazwy są znakami towarowymi Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi należącymi do ich właścicieli.