События журнала пользователя

Проанализируйте активность входа пользователей в систему.

В зависимости от версии Google Workspace у вас может быть доступ к инструменту расследования инцидентов безопасности, который обладает более расширенными функциями. Например, суперадминистраторы могут выявлять, анализировать и принимать меры по проблемам безопасности и конфиденциальности. Подробнее

Как администратор вашей организации, вы можете выполнять поиск и принимать меры на основе событий журнала пользователей. Например, вы можете проверить важные действия, выполняемые пользователями в своих учетных записях. К таким действиям относятся изменение паролей, данных для восстановления учетной записи (номера телефонов, адреса электронной почты) и регистрация двухфакторной аутентификации. Вход в систему из почтового клиента или приложения, отличного от браузера, не регистрируется в этом отчете, за исключением случаев программного входа в систему из сессии, которая была сочтена подозрительной.

Данные о событиях в журнале собираются по сессиям. Это означает, что несколько попыток выполнить одно и то же действие в течение короткого времени могут быть объединены и отображаться как одна запись в журнале. Например, если пользователь вводит неверный пароль 5 раз, а затем вводит правильный пароль, в журнале могут отображаться только две записи: одна для всех неудачных попыток и одна для успешной попытки.

Примечание : Если данные о событиях журнала пользователя за предыдущие 6 месяцев отсутствуют, события журнала пользователя могут не отображаться в левом навигационном меню.

Пересылайте данные о событиях журнала в облако Google.

Вы можете включить функцию обмена данными о событиях журналов с Google Cloud. Если вы включите эту функцию, данные будут пересылаться в Cloud Logging, где вы сможете запрашивать и просматривать свои журналы, а также управлять маршрутизацией и хранением журналов.

Тип данных о событиях журнала, которыми вы можете делиться с Google Cloud, зависит от вашей учетной записи Google Workspace, Cloud Identity или Essentials.

Возможность выполнения поиска зависит от вашей версии Google, ваших административных прав и источника данных. Вы можете выполнить поиск для всех пользователей, независимо от их версии Google Workspace.

Инструмент аудита и расследования

Для выполнения поиска событий в журнале сначала выберите источник данных. Затем выберите один или несколько фильтров для поиска.

  1. В консоли администратора Google перейдите в меню. а потом Отчетность а потом Аудит и расследование а потом События в журнале пользователя .

    Для этого необходимы права администратора по аудиту и расследованиям .

  2. Чтобы отфильтровать события, произошедшие до или после определенной даты, в поле «Дата» выберите «До» или «После» . По умолчанию отображаются события за последние 7 дней. Вы можете выбрать другой диапазон дат или щелкнуть по соответствующему пункту. чтобы удалить фильтр по дате.

  3. Нажмите « Добавить фильтр». а потом Выберите атрибут. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
  4. Выберите оператора а потом выберите значение а потом Нажмите «Применить» .
    • (Необязательно) Чтобы создать несколько фильтров для поиска, повторите этот шаг.
    • (Необязательно) Чтобы добавить оператор поиска, выше в разделе «Добавить фильтр» выберите «И» или «ИЛИ» .
  5. Нажмите «Поиск» . Примечание : На вкладке «Фильтр» можно использовать простые пары параметр-значение для фильтрации результатов поиска. Также можно использовать вкладку «Конструктор условий» , где фильтры представлены в виде условий с операторами И/ИЛИ.

Инструмент для проведения расследований в сфере безопасности

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

Для выполнения поиска в инструменте анализа безопасности сначала выберите источник данных. Затем выберите одно или несколько условий для поиска. Для каждого условия выберите атрибут , оператор и значение .

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Инструмент расследования .

    Для этого требуются права администратора центра безопасности .

  2. Щелкните «Источник данных» и выберите «События журнала пользователя» .

  3. Чтобы отфильтровать события, произошедшие до или после определенной даты, в поле «Дата» выберите «До» или «После» . По умолчанию отображаются события за последние 7 дней. Вы можете выбрать другой диапазон дат или щелкнуть по соответствующему пункту. чтобы удалить фильтр по дате.

  4. Нажмите «Добавить условие» .
    Совет : Вы можете включить в поиск одно или несколько условий или настроить поиск с помощью вложенных запросов . Подробнее см. раздел «Настройка поиска с помощью вложенных запросов» .
  5. Атрибут клика а потом Выберите нужный вариант. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
    Полный список атрибутов см. в разделе «Описание атрибутов» .
  6. Выберите оператора.
  7. Введите значение или выберите значение из списка.
  8. (Необязательно) Чтобы добавить дополнительные условия поиска, повторите шаги.
  9. Нажмите «Поиск» .
    Результаты поиска, полученные с помощью инструмента расследования, можно просмотреть в таблице внизу страницы.
  10. (Необязательно) Чтобы сохранить результаты расследования, нажмите «Сохранить». а потом Введите заголовок и описание. а потом Нажмите « Сохранить ».

Примечания

  • На вкладке «Конструктор условий» фильтры представлены в виде условий с операторами И/ИЛИ. Вы также можете использовать вкладку «Фильтр» для добавления простых пар параметр-значение для фильтрации результатов поиска.
  • Если вы присвоите пользователю новое имя, вы не увидите результаты запросов со старым именем пользователя. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не увидите результаты для событий, связанных с OldName@example.com .
  • Поиск данных возможен только в сообщениях, которые еще не были удалены из Корзины.

Описание атрибутов

Для этого источника данных при поиске данных о событиях журнала можно использовать следующие атрибуты.

Атрибут Описание
Название актёрской группы

Название группы, к которой принадлежит актёр. Для получения дополнительной информации перейдите в раздел «Фильтрация результатов по группам Google» .

Чтобы добавить группу в список разрешенных групп фильтрации:

  1. Выберите название группы акторов .
  2. Нажмите «Группы фильтрации» .
    Открывается страница «Группы фильтрации».
  3. Нажмите «Добавить группы» .
  4. Найдите группу, введя первые несколько символов ее названия или адреса электронной почты. Когда вы увидите нужную группу, выберите ее.
  5. (Необязательно) Чтобы добавить еще одну группу, найдите и выберите нужную группу.
  6. После выбора групп нажмите кнопку «Добавить» .
  7. (Необязательно) Чтобы удалить группу, нажмите «Удалить группу». .
  8. Нажмите « Сохранить ».
Организационное подразделение актёра Организационная единица актёра
Пострадавший пользователь Адрес электронной почты пострадавшего пользователя
Тип задачи*

Тип запроса, используемый для проверки пользователя, например, пароль или ключ безопасности.

Примечание : Новые типы проверки подлинности, такие как пароль, могут привести к несоответствиям с существующим типом проверки подлинности под названием «другое» для журналов аудита, созданных до 30 сентября 2024 года.

Дата Дата и время мероприятия (отображаются в часовом поясе по умолчанию вашего браузера)
Домен* Область, где произошло действие
Адрес пересылки электронной почты Адрес электронной почты для пересылки сообщений Gmail.

Событие

Зарегистрированное событие, например, регистрация с помощью двухфакторной аутентификации или подозрительный вход в систему.

Примечание : Даже если пользователь вошел в систему с использованием других типов авторизации , помимо пароля Google (например, Exchange , Reauth , SAML или Unknown ), для события выхода из системы тип авторизации отображается как «Пароль Google» .

Статус события (бета-версия)

Статус события. Например, «Успешно» или «Неудачно» . Щелкните по статусу, чтобы получить дополнительную информацию, например, код ошибки.

IP-адрес IP-адрес, который пользователь использовал для входа в систему. Обычно это физическое местоположение пользователя, но это также может быть адрес прокси-сервера или виртуальной частной сети (VPN).

IP ASN

Необходимо добавить этот столбец в результаты поиска. Инструкции см. в разделе «Управление данными столбцов результатов поиска» .

Номер автономной системы (ASN), подразделение и регион IP-адреса, связанные с записью в журнале.

Чтобы просмотреть IP-адрес автономных систем (ASN), а также код подразделения и региона, где произошла активность, щелкните по названию в результатах поиска.

Является ли второй фактор* Возвращает true , если пользователь вошел в систему с использованием двухфакторной аутентификации.
Значение "False" , если пользователь не вошел в систему с использованием двухфакторной аутентификации.
Подозрительно* Значение true, если попытка входа в систему была подозрительной и успешной, в противном случае — false . Применимо только к событиям login_success, событиям разрешенных конфиденциальных действий и событиям заблокированных конфиденциальных действий.
Время входа в систему Если событие «Подозрительный вход» заблокировано, в этом поле отображается дата и время попытки входа пользователя.
тип входа

Метод аутентификации, использованный пользователем:

  • Обмен токенами — это процесс аутентификации пользователя посредством обмена токенами, например, через вход в систему OAuth. Это также может указывать на то, что пользователь уже был авторизован в одной сессии, когда вошел в другую, и две сессии были объединены.
  • Пароль Google — Использован пароль Google. Включает вход в менее защищенные приложения (если разрешено).
  • OIDC — Аутентификация с помощью единого входа OpenID Connect (OIDC).
  • Повторная аутентификация — пользователь проходит аутентификацию с помощью запроса на повторную аутентификацию по паролю.
  • SAML — Аутентификация с помощью единого входа (SSO) Security Assertion Markup Language (SAML)**
  • Неизвестно — Пользователь вошел в систему, используя неизвестный способ.
Пользователь Адрес электронной почты пользователя, выполнившего действие
Пользовательский агент (бета-версия) Информация об устройстве пользователя, такая как веб-браузер, операционная система или другие сведения об устройстве, например, Mozilla/5.0 (Windows NT 6.3; Win64; x64). Этот атрибут относится к событиям журнала «Учетные данные сеанса, привязанные к устройству» (DBSC).

* С помощью этих фильтров нельзя создавать правила формирования отчетов. Подробнее о различиях между правилами формирования отчетов и правилами действий можно узнать здесь.

**Примечание для пользователей SAML, использующих профиль SSO для вашей организации (устаревший SAML): Если попытка входа через SAML исходит с неизвестного устройства или IP-адреса, или если оценка риска повышена, в журнал событий записывается неудачная попытка входа типа «Пароль Google» . Это происходит даже если ваш вход через SAML был успешным, поскольку система помечает первоначальную попытку как подозрительную. За этой записью о неудачном входе следует запись об успешном входе через SAML. В устаревшем SAML для одного входа через SAML генерируются две сессии. Первая, часто не имеющая отношения к делу, отфильтровывается только в том случае, если она считается не подозрительной.

Примечание : Если вы присвоили пользователю новое имя, вы не увидите результаты запроса со старым именем пользователя. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не увидите результаты для событий, связанных с OldName@example.com .

Управление данными событий журнала

Управление данными столбца результатов поиска

Вы можете управлять тем, какие столбцы данных будут отображаться в результатах поиска.

  1. В правом верхнем углу таблицы результатов поиска нажмите «Управление столбцами». .
  2. (Необязательно) Чтобы удалить текущие столбцы, нажмите «Удалить». .
  3. (Необязательно) Чтобы добавить столбцы, рядом с кнопкой «Добавить новый столбец » нажмите стрелку вниз. и выберите столбец с данными.
    Повторять по мере необходимости.
  4. (Необязательно) Чтобы изменить порядок столбцов, перетащите названия столбцов данных.
  5. Нажмите « Сохранить ».

Экспорт данных результатов поиска

Результаты поиска можно экспортировать в Google Sheets или в CSV-файл.

  1. В верхней части таблицы результатов поиска нажмите кнопку «Экспорт всех» .
  2. Введите имя а потом Нажмите «Экспорт» .
    Результаты экспорта отображаются под таблицей результатов поиска в разделе «Результаты действия экспорта» .
  3. Для просмотра данных щелкните по названию экспортируемого файла.
    Экспорт открывается в Google Sheets.

Ограничения на экспорт различаются:

  • Общий объем результатов экспорта ограничен 100 000 строками.
  • Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

    Если у вас установлен инструмент для проведения анализа безопасности, общий объем результатов экспорта ограничен 30 миллионами строк.

Для получения более подробной информации перейдите в раздел «Экспорт результатов поиска» .

Когда и как долго доступны данные?

Принимайте меры на основе результатов поиска.

Создавайте правила действий и настраивайте оповещения.

  • Вы можете настроить оповещения на основе данных событий журнала с помощью правил формирования отчетов. Инструкции см. в разделе «Создание и управление правилами формирования отчетов» .
  • Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

    Для эффективного предотвращения, обнаружения и устранения проблем безопасности вы можете автоматизировать действия в инструменте расследования инцидентов безопасности и настроить оповещения, создав правила действий . Чтобы настроить правило, задайте для него условия, а затем укажите действия, которые должны быть выполнены при выполнении этих условий. Для получения более подробной информации перейдите в раздел «Создание и управление правилами действий» .

Принимайте меры на основе результатов поиска.

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

После выполнения поиска в инструменте расследования инцидентов безопасности вы можете предпринять действия на основе результатов поиска. Например, вы можете выполнить поиск на основе событий журнала Gmail, а затем использовать инструмент для удаления определенных сообщений, отправки сообщений в карантин или отправки сообщений в почтовые ящики пользователей. Для получения более подробной информации перейдите в раздел «Действия на основе результатов поиска» .

Управляйте своими расследованиями

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

Просмотрите список ваших расследований

Чтобы просмотреть список расследований, которые принадлежат вам и которые были предоставлены вам, нажмите «Просмотреть расследования». Список расследований включает имена, описания и ответственных за расследования, а также дату последнего изменения.

Из этого списка вы можете выполнить действия с любыми принадлежащими вам расследованиями, например, удалить расследование. Установите флажок напротив нужного расследования, а затем нажмите «Действия» .

Примечание : Вы можете просмотреть сохраненные расследования в разделе «Быстрый доступ» , непосредственно над списком расследований.

Настройте параметры для ваших расследований.

От имени суперадминистратора нажмите «Настройки». к:

  • Измените часовой пояс для ваших исследований. Часовой пояс применяется к условиям поиска и результатам.
  • Включите или выключите параметр «Требовать рецензентов» . Для получения более подробной информации перейдите в раздел «Требовать рецензентов для массовых действий» .
  • Включить или выключить отображение содержимого . Этот параметр позволяет администраторам с соответствующими правами просматривать содержимое.
  • Включить или выключить обоснование действий .

Для получения более подробной информации перейдите в раздел «Настройка параметров расследования» .

Сохраняйте, делитесь, удаляйте и дублируйте расследования.

Чтобы сохранить критерии поиска или поделиться ими с другими, вы можете создать и сохранить расследование, а затем поделиться им, скопировать или удалить его.

Для получения более подробной информации перейдите в раздел «Сохранение, предоставление доступа, удаление и дублирование расследований» .


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.