Événements de journaux Vault

Afficher l'activité des utilisateurs Vault

Selon votre édition Google Workspace, vous pouvez avoir accès à l'outil d'investigation sur la sécurité, qui dispose de fonctionnalités plus avancées. Par exemple, les super-administrateurs peuvent identifier, prioriser et corriger les problèmes de sécurité et de confidentialité. En savoir plus

Pour utiliser cette fonctionnalité, vous devez disposer d'une licence pour le module complémentaire Vault. Pour en savoir plus, consultez Acheter des licences Vault pour votre organisation.

En tant qu'administrateur de votre organisation, vous pouvez effectuer des recherches sur les événements de journaux Vault et agir en conséquence. Par exemple, vous pouvez consulter un récapitulatif des actions effectuées dans la console Vault, telles que la modification de règles de conservation ou le téléchargement de fichiers d'exportation par des utilisateurs.

Votre capacité à effectuer une recherche dépend de votre édition Google, de vos droits d'administrateur et de la source des données. Vous pouvez effectuer une recherche sur tous les utilisateurs, quelle que soit leur édition Google Workspace.

Outil d'audit et d'investigation

Pour exécuter une recherche portant sur les événements de journaux, choisissez d'abord une source de données. Sélectionnez ensuite un ou plusieurs filtres pour votre recherche.

  1. Dans la console d'administration Google, accédez à Menu  puis Reporting puis Audit et investigation puis Événements de journaux Vault.

    Vous devez disposer du droit d'administrateur Audit et enquête.

  2. Pour filtrer les événements qui se sont produits avant ou après une date spécifique, sélectionnez Avant ou Après pour l'option Date. Par défaut, les événements des sept derniers jours sont affichés. Vous pouvez sélectionner une autre période ou cliquer sur  pour supprimer le filtre de date.

  3. Cliquez sur Ajouter un filtre puis sélectionnez un attribut. Par exemple, pour filtrer les données par type d'événement spécifique, sélectionnez Événement.
  4. Sélectionnez un opérateur puis sélectionnez une valeur puis cliquez sur Appliquer.
    • (Facultatif) Pour créer plusieurs filtres pour votre recherche, répétez cette étape.
    • (Facultatif) Pour ajouter un opérateur de recherche, sélectionnez AND ou OR au-dessus de l'option Ajouter un filtre.
  5. Cliquez sur Rechercher. Remarque : L'onglet Filtre vous permet d'inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de recherche. Vous pouvez également utiliser l'onglet Générateur de conditions, dans lequel les filtres sont représentés par des conditions avec des opérateurs AND/OR.

Outil d'investigation de sécurité

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

Pour lancer une recherche dans l'outil d'investigation sur la sécurité, sélectionnez d'abord une source de données. Choisissez ensuite une ou plusieurs conditions pour votre recherche. Pour chaque condition, sélectionnez un attribut, un opérateur et une valeur.

  1. Dans la console d'administration Google, accédez à Menu  puis Sécurité puis Centre de sécurité puis Outil d'investigation.

    Le droit d'administrateur Centre de sécurité est requis.

  2. Cliquez sur Source de données, puis sélectionnez Événements de journaux Vault.

  3. Pour filtrer les événements qui se sont produits avant ou après une date spécifique, sélectionnez Avant ou Après pour l'option Date. Par défaut, les événements des sept derniers jours sont affichés. Vous pouvez sélectionner une autre période ou cliquer sur  pour supprimer le filtre de date.

  4. Cliquez sur Ajouter une condition.
    Conseil : Vous pouvez inclure une ou plusieurs conditions dans votre recherche ou la personnaliser avec des requêtes imbriquées. Pour en savoir plus, consultez Personnaliser votre recherche avec des requêtes imbriquées.
  5. Cliquez sur Attribut puis sélectionnez une option. Par exemple, pour filtrer les données par type d'événement spécifique, sélectionnez Événement.
    Pour obtenir la liste complète des attributs, consultez la section Descriptions des attributs.
  6. Sélectionnez un opérateur.
  7. Saisissez une valeur ou sélectionnez-en une dans la liste.
  8. (Facultatif) Pour ajouter des conditions de recherche, répétez la procédure.
  9. Cliquez sur Rechercher.
    Vous pouvez consulter les résultats de recherche de l'outil d'investigation dans un tableau en bas de la page.
  10. (Facultatif) Pour enregistrer votre investigation, cliquez sur Enregistrer  puis saisissez un titre et une description puis cliquez sur Enregistrer.

Notes

  • Dans l'onglet Générateur de conditions, les filtres sont représentés par des conditions avec des opérateurs AND/OR. L'onglet Filtre vous permet d'inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de recherche.
  • Si vous avez donné un nouveau nom à un utilisateur, vous n'obtiendrez aucun résultat si vous lancez des requêtes avec son ancien nom. Par exemple, si vous remplacez AncienNom@example.com par NouveauNom@example.com, vous n'obtiendrez aucun résultat pour des événements liés à AncienNom@example.com.
  • Vous ne pouvez rechercher des données que dans les messages qui n'ont pas encore été supprimés de la corbeille.

Effectuer une recherche dans la console Vault

Rechercher des événements de journaux Vault

  1. Connectez-vous à vault.google.com.
  2. Cliquez sur Rapports.
  3. (Facultatif) Sélectionnez une plage de dates.
  4. (Facultatif) Saisissez les adresses e-mail des utilisateurs Vault dont vous souhaitez auditer les actions. Pour auditer les actions de tous les utilisateurs Vault, laissez ce champ vide.
  5. Sélectionnez les types d'actions que vous souhaitez auditer dans Vault :
    • Pour auditer toutes les actions, cliquez sur Tout sélectionner.
    • Pour auditer seulement certaines actions, cochez les cases correspondantes.
  6. Cliquez sur Télécharger au format CSV.

    Un fichier CSV contenant des informations d'audit est téléchargé sur votre ordinateur. Si vous avez effectué une recherche pour de nombreux utilisateurs, vous pouvez obtenir plusieurs journaux.

  7. Ouvrez le fichier CSV dans un tableur tel que Google Sheets. Pour connaître la définition des valeurs du fichier CSV, consultez Descriptions des attributs (plus bas sur cette page).

Auditer l'activité en rapport avec un litige

  1. Connectez-vous à vault.google.com.
  2. Cliquez sur Litiges.
  3. Dans la liste des litiges, cliquez sur celui que vous souhaitez auditer.
  4. Cliquez sur Audit.
    Remarque : Pour afficher les journaux d'audit du litige dans la console d'administration Google, cliquez sur Essayez maintenant. L'ID du litige que vous avez sélectionné est automatiquement chargé sur la page "Audit et investigation". Vous pouvez également copier l'ID de la demande dans l'URL :
  5. (Facultatif) Sélectionnez une plage de dates.
  6. (Facultatif) Saisissez les adresses e-mail des utilisateurs Vault dont vous souhaitez auditer les actions. Pour auditer les actions de tous les utilisateurs Vault, laissez ce champ vide.
  7. Sélectionnez les types d'actions que vous souhaitez auditer dans Vault :
    • Pour auditer toutes les actions, cliquez sur Tout sélectionner.
    • Pour auditer seulement certaines actions, cochez les cases correspondantes.

      Remarque : Aucune action liée à une règle de conservation n'est consignée pour les audits en rapport avec un litige, car ces règles sont gérées en dehors des litiges.

  8. Cliquez sur Télécharger au format CSV.

    Un fichier CSV contenant des informations d'audit est téléchargé sur votre ordinateur. Si vous avez réalisé un audit pour de nombreux utilisateurs, vous pouvez obtenir plusieurs journaux.

  9. Ouvrez le fichier CSV dans un tableur tel que Google Sheets. Pour connaître la définition des valeurs du fichier CSV, consultez Descriptions des attributs (plus bas sur cette page).

Description des attributs

Pour cette source de données, vous pouvez utiliser les attributs suivants lorsque vous recherchez des données d'événements de journaux.

Attribut Description
Acteur Adresse e-mail de l'utilisateur ayant réalisé l'action.
Informations supplémentaires Contient des informations supplémentaires sur la charge utile, telles que la durée et les conditions de conservation
Date Date et heure auxquelles l'événement s'est produit (affichées dans le fuseau horaire par défaut de votre navigateur).
Événement Action consignée, telle que Afficher l'investigation, Afficher le document externe ou Ajouter un collaborateur (début)

Numéro de système autonome de l'adresse IP

Vous devez ajouter cette colonne aux résultats de recherche. Pour savoir comment procéder, consultez Gérer les données des colonnes de résultats de recherche.

Numéro de système autonome (ASN) de l'adresse IP, subdivision et région associés à l'entrée de journal.

Pour examiner le numéro de système autonome de l'adresse IP, le code correspondant à la subdivision et le code régional où l'activité a eu lieu, cliquez sur le nom dans les résultats de recherche.
ID Matter

ID du litige. Cet ID n'est pas disponible pour tous les événements, mais uniquement pour ceux qui concernent un litige.
Nom de l'unité organisationnelle Nom de l'unité organisationnelle concernée par l'action
Requête

Paramètres de recherche saisis par l'utilisateur pour une recherche spécifique
Nom de la ressource Nom de la ressource de l'action, tel que le nom d'une obligation de conservation ou d'une requête enregistrée
URL de la ressource URL d'un document consulté par l'utilisateur
Utilisateur cible

Adresse e-mail de l'utilisateur concerné (par exemple, celui d'un utilisateur soumis à une obligation de conservation)

Remarque : Si vous avez donné un nouveau nom à un utilisateur, vous n'obtiendrez aucun résultat si vous lancez des requêtes avec son ancien nom. Par exemple, si vous changez AncienNom@exemple.com en NouveauNom@exemple.com, vous n'obtiendrez aucun résultat pour des événements liés à AncienNom@exemple.com.

Gérer les données d'événement des journaux

Gérer les données des colonnes de résultats de recherche

Vous pouvez contrôler l'affichage des colonnes de données dans les résultats de recherche.

  1. En haut à droite du tableau des résultats de recherche, cliquez sur Gérer les colonnes .
  2. (Facultatif) Pour supprimer les colonnes actuelles, cliquez sur Supprimer .
  3. (Facultatif) Pour ajouter des colonnes, à côté de Ajouter une colonne, cliquez sur la flèche vers le bas , puis sélectionnez la colonne de données.
    Répétez l'opération autant de fois que nécessaire.
  4. (Facultatif) Pour modifier l'ordre des colonnes, faites glisser leur nom.
  5. Cliquez sur Enregistrer.

Exporter les données des résultats de recherche

Vous pouvez exporter les résultats de recherche dans Sheets ou un fichier CSV.

  1. En haut du tableau des résultats de recherche, cliquez sur Tout exporter.
  2. Saisissez un nom puis cliquez sur Exporter.
    L'exportation s'affiche en dessous du tableau des résultats de recherche sous Exporter les résultats de l'action.
  3. Pour afficher les données, cliquez sur le nom de votre exportation.
    L'exportation s'ouvre dans Sheets.

Les limites d'exportation varient :

  • Le total des résultats de l'exportation est limité à 100 000 lignes.
  • Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

    Si vous disposez de l'outil d'investigation sur la sécurité, le total des résultats de l'exportation est limité à 30 millions de lignes.

Pour en savoir plus, consultez Exporter les résultats d'une recherche.

Quand et pendant combien de temps les données sont-elles disponibles ?

Gérer vos enquêtes

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

Afficher la liste des investigations

Pour afficher la liste des investigations dont vous êtes le propriétaire et qui ont été partagées avec vous, cliquez sur Afficher les investigations . La liste des investigations inclut leur nom, leur description et leur propriétaire, ainsi que la date de la dernière modification.

Cette liste vous permet d'intervenir sur les investigations dont vous êtes le propriétaire, par exemple pour en supprimer une. Cochez la case correspondant à une investigation, puis cliquez sur Actions.

Remarque : Vous pouvez afficher vos investigations enregistrées sous Accès rapide, juste au-dessus de votre liste d'investigations.

Configurer les paramètres de vos investigations

En tant que super-administrateur, cliquez sur Paramètres  pour effectuer les actions suivantes :

  • Modifier le fuseau horaire de votre événement. Le fuseau horaire s'applique aux conditions de recherche et aux résultats.
  • Activer ou désactiver l'option Exiger une validation. Pour en savoir plus, consultez Exiger une validation pour les actions groupées.
  • Activer ou désactiver l'option Afficher le contenu. Ce paramètre permet aux administrateurs disposant des droits d'accès appropriés d'afficher le contenu.
  • Activer ou désactiver l'option Activer la justification des actions.

Pour en savoir plus, consultez Configurer les paramètres de vos investigations.

Enregistrer, partager, supprimer et dupliquer des investigations

Pour enregistrer vos critères de recherche ou les partager avec d'autres utilisateurs, vous pouvez créer et enregistrer une investigation, puis la partager, la dupliquer ou la supprimer.

Pour en savoir plus, consultez Enregistrer, partager, supprimer et dupliquer des investigations.