Vault-logboekgebeurtenissen

Bekijk de gebruikersactiviteit van Vault

Afhankelijk van uw Google Workspace-editie hebt u mogelijk toegang tot de tool voor beveiligingsonderzoek, die geavanceerdere functies biedt. Superbeheerders kunnen bijvoorbeeld beveiligings- en privacyproblemen identificeren, prioriteren en oplossen. Lees meer

Om deze functie te gebruiken, hebt u een Vault-add-onlicentie nodig. Ga voor meer informatie naar Vault-licenties kopen voor uw organisatie .

Als beheerder van uw organisatie kunt u zoekopdrachten uitvoeren en acties ondernemen op gebeurtenissen in het Vault-logboek. U kunt bijvoorbeeld een overzicht bekijken van acties die in de Vault-console zijn uitgevoerd, zoals welke gebruikers bewaarregels hebben bewerkt of exportbestanden hebben gedownload.

Of u een zoekopdracht kunt uitvoeren, hangt af van uw Google-editie, uw beheerdersrechten en de gegevensbron. U kunt een zoekopdracht uitvoeren voor alle gebruikers, ongeacht hun Google Workspace-editie.

Audit- en onderzoekstool

Om naar logboekgebeurtenissen te zoeken, kiest u eerst een gegevensbron. Selecteer vervolgens een of meer filters voor uw zoekopdracht.

  1. Ga in de Google Admin-console naar Menu. en dan Rapportage en dan Audit en onderzoek en dan Logboekgebeurtenissen van Vault .

    Hiervoor is de beheerdersbevoegdheid Audit & Onderzoek vereist.

  2. Om gebeurtenissen te filteren die vóór of na een specifieke datum hebben plaatsgevonden, selecteert u bij Datum de optie Vóór of Na . Standaard worden gebeurtenissen van de afgelopen 7 dagen weergegeven. U kunt een ander datumbereik selecteren of klikken op om het datumfilter te verwijderen.

  3. Klik op ' Een filter toevoegen'. en dan Selecteer een kenmerk. Om bijvoorbeeld te filteren op een specifiek gebeurtenistype, selecteer je Gebeurtenis .
  4. Selecteer een operator en dan selecteer een waarde en dan Klik op Toepassen .
    • (Optioneel) Om meerdere filters voor uw zoekopdracht te maken, herhaalt u deze stap.
    • (Optioneel) Om een ​​zoekoperator toe te voegen, selecteer je boven ' Een filter toevoegen ' de optie 'EN' of 'OF' .
  5. Klik op Zoeken . Opmerking : Via het tabblad Filter kunt u eenvoudige parameter-waardeparen gebruiken om de zoekresultaten te filteren. U kunt ook het tabblad Voorwaarden gebruiken, waar de filters worden weergegeven als voorwaarden met AND/OR-operatoren.

Beveiligingsonderzoekstool

Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Om een ​​zoekopdracht uit te voeren in de beveiligingsonderzoekstool, kiest u eerst een gegevensbron. Kies vervolgens een of meer voorwaarden voor uw zoekopdracht. Kies voor elke voorwaarde een kenmerk , een operator en een waarde .

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Beveiligingscentrum en dan Onderzoeksinstrument .

    Hiervoor is beheerdersrechten voor het beveiligingscentrum vereist.

  2. Klik op Gegevensbron en selecteer Logboekgebeurtenissen van Vault .

  3. Om gebeurtenissen te filteren die vóór of na een specifieke datum hebben plaatsgevonden, selecteert u bij Datum de optie Vóór of Na . Standaard worden gebeurtenissen van de afgelopen 7 dagen weergegeven. U kunt een ander datumbereik selecteren of klikken op om het datumfilter te verwijderen.

  4. Klik op Voorwaarde toevoegen .
    Tip : U kunt een of meer voorwaarden in uw zoekopdracht opnemen of uw zoekopdracht aanpassen met geneste query's . Zie ' Uw zoekopdracht aanpassen met geneste query's' voor meer informatie.
  5. Klikkenmerk en dan Selecteer een optie. Om bijvoorbeeld te filteren op een specifiek gebeurtenistype, selecteer je Gebeurtenis .
    Voor een volledige lijst met kenmerken, ga naar het gedeelte 'Beschrijvingen van kenmerken' .
  6. Selecteer een operator.
  7. Voer een waarde in of selecteer een waarde uit de lijst.
  8. (Optioneel) Om meer zoekcriteria toe te voegen, herhaalt u de stappen.
  9. Klik op Zoeken .
    Je kunt de zoekresultaten van de onderzoekstool in een tabel onderaan de pagina bekijken.
  10. (Optioneel) Om uw onderzoek op te slaan, klikt u op Opslaan. en dan Voer een titel en beschrijving in. en dan Klik op Opslaan .

Notities

  • In het tabblad 'Voorwaardenbouwer' worden filters weergegeven als voorwaarden met AND/OR-operatoren. U kunt ook het tabblad 'Filter' gebruiken om eenvoudige parameter-waardeparen op te nemen en zo de zoekresultaten te filteren.
  • Als u een gebruiker een nieuwe naam geeft, ziet u geen zoekresultaten meer met de oude naam van de gebruiker. Als u bijvoorbeeld OldName@example.com hernoemt naar NewName@example.com , ziet u geen resultaten meer voor gebeurtenissen die gerelateerd zijn aan OldName@example.com .
  • Je kunt alleen zoeken in berichten die nog niet uit de prullenbak zijn verwijderd.

Voer een zoekopdracht uit in de Vault-console.

Voer een zoekopdracht uit naar gebeurtenissen in het Vault-logboek.

  1. Meld u aan bij vault.google.com .
  2. Klik op Rapporten .
  3. (Optioneel) Selecteer een datumbereik.
  4. (Optioneel) Voer de e-mailadressen in van de Vault-gebruikers van wie u de acties wilt controleren. Laat dit veld leeg om de acties van alle Vault-gebruikers te controleren.
  5. Selecteer welke typen Vault-gebruikersacties u wilt controleren:
    • Om alle acties te controleren, klikt u op Alles selecteren .
    • Om slechts enkele acties te controleren, vinkt u het vakje naast elke actie aan.
  6. Klik op CSV downloaden .

    Er wordt een CSV-bestand met auditgegevens naar uw computer gedownload. Als u voor veel gebruikers hebt gezocht, kunt u meerdere logbestanden ontvangen.

  7. Open het CSV-bestand in een spreadsheetprogramma, zoals Google Sheets. Voor definities van de waarden in het CSV-bestand, ga naar Attribuutbeschrijvingen (verderop op deze pagina).

Controleactiviteiten voor een zaak

  1. Meld u aan bij vault.google.com .
  2. Klikken is belangrijk .
  3. Klik in de lijst met zaken op de zaak die u wilt controleren.
  4. Klik op Audit .
    Opmerking : Om de auditlogboeken van de zaak in de Google Admin-console te bekijken, klikt u op ' Probeer het nu uit' . De ID van de geselecteerde zaak wordt automatisch geladen op de pagina 'Audit en onderzoek'. U kunt de zaak-ID ook kopiëren uit de URL.
  5. (Optioneel) Selecteer een datumbereik.
  6. (Optioneel) Voer de e-mailadressen in van de Vault-gebruikers van wie u de acties wilt controleren. Laat dit veld leeg om de acties van alle Vault-gebruikers te controleren.
  7. Selecteer welke typen Vault-gebruikersacties u wilt controleren:
    • Om alle acties te controleren, klikt u op Alles selecteren .
    • Om slechts enkele acties te controleren, vinkt u het vakje naast elke actie aan.

      Opmerking: Er worden geen acties met betrekking tot bewaarregels gerapporteerd voor zaakspecifieke audits, omdat bewaarregels buiten de zaken om worden beheerd.

  8. Klik op CSV downloaden .

    Er wordt een CSV-bestand met auditgegevens naar uw computer gedownload. Als u een audit voor veel gebruikers hebt uitgevoerd, kunt u meerdere logbestanden ontvangen.

  9. Open het CSV-bestand in een spreadsheetprogramma, zoals Google Sheets. Voor definities van de waarden in het CSV-bestand, ga naar Attribuutbeschrijvingen (verderop op deze pagina).
## Attribuutbeschrijvingen {: #Attribuutbeschrijvingen } Voor deze gegevensbron kunt u de volgende attributen gebruiken bij het zoeken in logboekgebeurtenisgegevens.
Attribuut Beschrijving
Acteur E-mailadres van de gebruiker die de actie heeft uitgevoerd
Naam van de acteursapplicatie

Je moet deze kolom toevoegen aan de zoekresultaten. Zie 'Kolomgegevens van zoekresultaten beheren' voor de stappen .

Details over de applicatie die de actie heeft uitgevoerd. Klik in de zoekresultaten op de naam van de betreffende applicatie om de volgende informatie weer te geven:

  • Naam van de uitvoerende applicatie — Naam van de applicatie die de actie heeft uitgevoerd (ingevuld voor apps van derden en voor sommige apps van Microsoft zelf, zoals Gmail)
  • Actor OAuth-client-ID — Identificatiecode voor de app van derden die de actie heeft uitgevoerd.
  • Identiteitsvervalsing — Of de app zich voordeed als een andere gebruiker.

Als u deze informatie exporteert naar een CSV-bestand (comma-separated values) of Google Sheets, wordt de informatie opgeslagen als één tekstblok in een cel.

Aanvullende details Bevat aanvullende informatie over de lading, zoals de bewaartermijn en -voorwaarden.
Datum Datum en tijd waarop de gebeurtenis plaatsvond (weergegeven in de standaard tijdzone van uw browser)
Evenement De geregistreerde gebeurtenisactie, zoals 'Onderzoek bekijken' , 'Extern document bekijken ' of 'Medewerker toevoegen', begint.

IP ASN

Je moet deze kolom toevoegen aan de zoekresultaten. Zie 'Kolomgegevens van zoekresultaten beheren' voor de stappen .

Het IP-autonoom systeemnummer (ASN), de onderverdeling en de regio die aan de logboekvermelding zijn gekoppeld.

Om het IP-adres, het ASN en de regiocode (subdivisie en regio) te bekijken waar de activiteit plaatsvond, klikt u op de naam in de zoekresultaten.

Zaak-ID

Het identificatienummer van de zaak. Dit identificatienummer is niet beschikbaar voor alle gebeurtenissen, maar alleen voor gebeurtenissen die betrekking hebben op een specifieke zaak.

Naam van de organisatie-eenheid De naam van de organisatie-eenheid waarop de actie van toepassing is.
Vraag

De zoekparameters die de gebruiker heeft ingevoerd voor een specifieke zoekopdracht.

Bronnen

De lijst met resources die aan de actie zijn gekoppeld. Klik op de resource om de volgende details te bekijken:

  • Resource-ID — De resource-identificatiecode
  • Titel van de bron —Titel van de bron
  • Brontype —Categorie van de bron (zoals Google Drive, e-mail of regel)
  • Resource-relatie — De relatie tussen de resource en de gebeurtenis
  • Eigenaarsgegevens — Details over de eigenaar van de bron, inclusief eigenaarstype en eigenaarsidentiteit

  • Bronlabel — Lijst met classificatielabels voor een bron, inclusief bronlabel-ID , bronlabeltitel en bronlabelveld .

    Het veld 'Resource label' bevat de volgende informatie:

    • Label veld-ID
    • Label veldnaam
    • Labelveldtype —Het gegevenstype van het labelveld, bijvoorbeeld:
      • Tekst
      • Nummer
      • Selectie — Inbegrepen: ID, Weergavenaam, Is voorzien van badge
      • Selectielijst
      • Gebruiker — Inbegrepen: E-mail
      • Gebruikerslijst
      • Datum

Als u deze informatie exporteert naar een CSV-bestand (comma-separated values) of Google Sheets, wordt de informatie opgeslagen als één tekstblok in een cel.

Naam van de bron De resourcenaam van de actie, zoals de naam van de vastgehouden actie of de naam van de opgeslagen query.
URL van de bron De URL van een document dat de gebruiker heeft bekeken.
Doelgroep

E-mailadres van de beoogde gebruiker, bijvoorbeeld een gebruiker die in de wacht is gezet

Let op : als u een gebruiker een nieuwe naam geeft, ziet u geen zoekresultaten meer met de oude naam van de gebruiker. Als u bijvoorbeeld OldName@example.com hernoemt naar NewName@example.com , ziet u geen resultaten meer voor gebeurtenissen die gerelateerd zijn aan OldName@example.com .

Beheer logboekgebeurtenisgegevens

Gegevens van de kolom met zoekresultaten beheren

Je kunt zelf bepalen welke gegevenskolommen in je zoekresultaten worden weergegeven.

  1. Klik rechtsboven in de tabel met zoekresultaten op Kolommen beheren. .
  2. (Optioneel) Om de huidige kolommen te verwijderen, klikt u op Verwijderen. .
  3. (Optioneel) Om kolommen toe te voegen, klikt u naast 'Nieuwe kolom toevoegen ' op de pijl naar beneden. en selecteer de gegevenskolom.
    Herhaal indien nodig.
  4. (Optioneel) Om de volgorde van de kolommen te wijzigen, sleept u de namen van de gegevenskolommen.
  5. Klik op Opslaan .

Exporteer zoekresultatengegevens

Je kunt zoekresultaten exporteren naar Google Sheets of naar een CSV-bestand.

  1. Klik bovenaan in de tabel met zoekresultaten op Alles exporteren .
  2. Voer een naam in en dan Klik op Exporteren .
    De export wordt onder de zoekresultatentabel weergegeven, onder ' Exportactieresultaten' .
  3. Om de gegevens te bekijken, klikt u op de naam van uw export.
    Het exportbestand wordt geopend in Google Sheets.

Exportlimieten variëren:

  • De totale resultaten van de export zijn beperkt tot 100.000 rijen.
  • Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

    Als u de tool voor beveiligingsonderzoek hebt, zijn de totale resultaten van de export beperkt tot 30 miljoen rijen.

Ga voor meer informatie naar Zoekresultaten exporteren .

Wanneer en hoe lang zijn de gegevens beschikbaar?

Beheer uw onderzoeken

Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Bekijk uw lijst met onderzoeken

Om een ​​lijst te bekijken van de onderzoeken die u bezit en die met u zijn gedeeld, klikt u op 'Onderzoeken bekijken'. De lijst met onderzoeken bevat de namen, beschrijvingen en eigenaren van de onderzoeken, en de datum van de laatste wijziging.

Vanuit deze lijst kunt u acties uitvoeren op alle onderzoeken die u beheert, bijvoorbeeld een onderzoek verwijderen. Vink het vakje van een onderzoek aan en klik vervolgens op Acties .

Opmerking : U kunt uw opgeslagen onderzoeken bekijken onder Snelle toegang , direct boven uw lijst met onderzoeken.

Configureer de instellingen voor uw onderzoeken.

Als superbeheerder klikt u op Instellingen. naar:

  • Wijzig de tijdzone voor uw zoekopdrachten. De tijdzone is van invloed op de zoekvoorwaarden en -resultaten.
  • Schakel de optie 'Reviewer vereisen' in of uit. Ga naar 'Reviewers vereisen voor bulkacties' voor meer informatie.
  • Schakel 'Inhoud weergeven' in of uit. Met deze instelling kunnen beheerders met de juiste rechten de inhoud bekijken.
  • Schakel de actierechtvaardiging in of uit.

Ga voor meer informatie naar Instellingen configureren voor uw onderzoeken .

Onderzoeken opslaan, delen, verwijderen en dupliceren

Om je zoekcriteria op te slaan of met anderen te delen, kun je een zoekopdracht aanmaken en opslaan, en deze vervolgens delen, dupliceren of verwijderen.

Ga voor meer informatie naar Onderzoeken opslaan, delen, verwijderen en dupliceren .