Eventos de registro de Vault

Cómo ver la actividad de los usuarios de Vault

Según tu edición de Google Workspace, es posible que tengas acceso a la herramienta de investigación de seguridad, que tiene funciones más avanzadas. Por ejemplo, los administradores avanzados pueden identificar y clasificar problemas de seguridad y privacidad, y tomar medidas para resolverlos. Más información

Para usar esta función, debes tener una licencia del complemento de Vault. Para obtener más información, consulta Compra licencias de Vault para tu organización.

Como administrador de tu organización, puedes realizar búsquedas y tomar medidas sobre los eventos de registro de Vault. Por ejemplo, puedes ver un registro de las acciones realizadas en la consola de Vault, como qué usuarios editaron reglas de retención o descargaron archivos de exportación.

Tu capacidad para realizar búsquedas depende de la edición de Google Workspace que tengas, tus privilegios de administrador y la fuente de datos. Puedes buscar datos de todos los usuarios, independientemente de la edición de Google Workspace que tengan.

Herramienta de investigación y auditoría

Para buscar los eventos de registro, primero debes elegir una fuente de datos. Luego, elige uno o más filtros para la búsqueda.

  1. En la Consola del administrador de Google, ve a Menú y luego Informes y luegoInvestigación y auditoría y luegoEventos de registro de Vault.

    Es necesario tener el privilegio de administrador de Auditoría e investigación.

  2. Para filtrar los eventos que ocurrieron antes o después de una fecha específica, en Fecha, selecciona Antes de o Después de. De forma predeterminada, se muestran los eventos de los últimos 7 días. Puedes seleccionar otro período o hacer clic en para quitar el filtro de fecha.

  3. Haz clic en Agregar un filtro y luegoselecciona un atributo. Por ejemplo, para filtrar por un tipo de evento específico, selecciona Evento.
  4. Selecciona un operador y luegoselecciona un valor y luegohaz clic en Aplicar.
    • Si quieres crear varios filtros para la búsqueda, repite este paso (opcional).
    • Para agregar un operador de búsqueda, arriba de Agregar un filtro, selecciona Y o O (opcional).
  5. Haz clic en Buscar. Nota: En la pestaña Filtro, puedes incluir pares de parámetros y valores simples para filtrar los resultados de la búsqueda. También puedes usar la pestaña Creador de condiciones, en la que los filtros se representan como condiciones con operadores Y/O.

Herramienta de investigación de seguridad

Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

Para realizar una búsqueda en la herramienta de investigación de seguridad, primero elige una fuente de datos. Luego, elige una o más condiciones para tu búsqueda. Para cada condición, elige un atributo, un operador y un valor.

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luegoCentro de seguridad y luegoHerramienta de investigación.

    Es necesario tener el privilegio de administrador del Centro de seguridad.

  2. Haz clic en Fuente de datos y selecciona Eventos de registro de Vault.

  3. Para filtrar los eventos que ocurrieron antes o después de una fecha específica, en Fecha, selecciona Antes de o Después de. De forma predeterminada, se muestran los eventos de los últimos 7 días. Puedes seleccionar otro período o hacer clic en para quitar el filtro de fecha.

  4. Haga clic en Agregar condición.
    Sugerencia: Puedes incluir una o más condiciones en tu búsqueda, o bien personalizarla con consultas anidadas. Para obtener más información, consulta Cómo personalizar tu búsqueda con consultas anidadas.
  5. Haz clic en Atributo y luegoselecciona una opción. Por ejemplo, para filtrar por un tipo de evento específico, selecciona Evento.
    Para obtener una lista completa de los atributos, consulta la sección Descripciones de los atributos.
  6. Selecciona un operador.
  7. Ingresa un valor o selecciona uno de la lista.
  8. (Opcional) Para agregar más condiciones de búsqueda, repite los pasos.
  9. Haz clic en Buscar.
    Puedes revisar los resultados de la búsqueda de la herramienta de investigación en una tabla que se encuentra en la parte inferior de la página.
  10. Para guardar tu investigación, haz clic en Guardar y luegoingresa un título y una descripción y luegohaz clic en Guardar.

Notas

  • En la pestaña Creador de condiciones, los filtros se representan como condiciones con operadores Y/O. También puedes usar la pestaña Filtro para incluir pares sencillos de parámetros y valores para filtrar los resultados de la búsqueda.
  • Si le asignas un nombre nuevo a un usuario, no verás los resultados de consultas con el nombre anterior del usuario. Por ejemplo, si cambias el nombre de NombreAnterior@example.com a NombreNuevo@example.com, no verás los resultados de eventos relacionados con NombreAnterior@example.com.
  • Solo puedes buscar datos en los mensajes que aún no se hayan borrado de la papelera.

Ejecuta una búsqueda en la consola de Vault

Cómo ejecutar una búsqueda de eventos de registro de Vault

  1. Accede a vault.google.com.
  2. Haz clic en Informes.
  3. (Opcional) Selecciona un período.
  4. (Opcional) Ingresa las direcciones de correo electrónico de los usuarios de Vault cuyas acciones deseas auditar. Para auditar las acciones de todos los usuarios de Vault, deja el campo vacío.
  5. Selecciona los tipos de acciones del usuario de Vault que deseas auditar:
    • Para auditar todas las acciones, haz clic en Seleccionar todo.
    • Para auditar solo algunas acciones, marca la casilla junto a cada acción.
  6. Haz clic en Descargar CSV.

    Se descargará en tu computadora un archivo CSV que contiene información de auditoría. Si realizaste una búsqueda para muchos usuarios, es posible que obtengas varios registros.

  7. Abre el archivo CSV en una app de hojas de cálculo, como Hojas de cálculo de Google. Para ver las definiciones de los valores en el CSV, consulta Descripciones de los atributos (más adelante en esta página).

Audita la actividad de un asunto

  1. Accede a vault.google.com.
  2. Haz clic en Asuntos.
  3. En la lista de asuntos, haz clic en el que deseas auditar.
  4. Haz clic en Auditoría.
    Nota: Para ver los registros de auditoría del asunto en la Consola del administrador de Google, haz clic en Probar ahora. El ID del asunto que seleccionaste se carga automáticamente en la página Auditoría e investigación. También puedes copiar el ID del asunto en la URL:
  5. (Opcional) Selecciona un período.
  6. (Opcional) Ingresa las direcciones de correo electrónico de los usuarios de Vault cuyas acciones deseas auditar. Para auditar las acciones de todos los usuarios de Vault, deja el campo vacío.
  7. Selecciona los tipos de acciones del usuario de Vault que deseas auditar:
    • Para auditar todas las acciones, haz clic en Seleccionar todo.
    • Para auditar solo algunas acciones, marca la casilla junto a cada acción.

      Nota: No se registran acciones relacionadas con las reglas de retención para las auditorías específicas de asuntos, ya que las reglas de retención se administran fuera de los asuntos.

  8. Haz clic en Descargar CSV.

    Se descargará en tu computadora un archivo CSV que contiene información de auditoría. Si realizaste una auditoría para muchos usuarios, es posible que obtengas varios registros.

  9. Abre el archivo CSV en una app de hojas de cálculo, como Hojas de cálculo de Google. Para ver las definiciones de los valores en el CSV, consulta Descripciones de los atributos (más adelante en esta página).

Descripciones de atributos

Para esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro.

Atributo Descripción
Actor Dirección de correo electrónico del usuario que realizó la acción
Detalles adicionales Contiene detalles adicionales de la carga útil, como el período de retención y las condiciones.
Fecha Fecha y hora en que ocurrió el evento (se muestra en la zona horaria predeterminada de tu navegador)
Evento La acción del evento registrada, como View Investigation, View External Document o Add Collaborator Begin

ASN de IP

Debes agregar esta columna a los resultados de la búsqueda. Para conocer los pasos, visita Administra los datos de la columna de resultados de la búsqueda.

Número de sistema autónomo (ASN) de IP, subdivisión y región asociados con la entrada de registro.

Para revisar el ASN de IP y el código de subdivisión y región en los que se produjo la actividad, haz clic en el nombre en los resultados de la búsqueda.
ID de Matter

Es el ID del asunto. Este ID no está disponible para todos los eventos, sino para los que se relacionan con un asunto.
Nombre de la unidad organizativa Nombre de la unidad organizativa a la que se aplica la acción
Consulta

Los parámetros de búsqueda que el usuario ingresó para una búsqueda específica
Nombre del recurso Es el nombre del recurso de la acción, como el nombre de la retención o el nombre de la búsqueda guardada.
URL del recurso Es la URL de un documento que vio el usuario.
Usuario objetivo

Dirección de correo electrónico del usuario objetivo, como un usuario que se puso en espera

Nota: Si le asignaste un nombre nuevo a un usuario, no verás los resultados de consultas con el nombre anterior del usuario. Por ejemplo, si cambias el nombre de NombreAnterior@example.com a NombreNuevo@example.com, no verás los resultados de eventos relacionados con NombreAnterior@example.com.

Administra datos de eventos de registro

Cómo administrar los datos de la columna de resultados de la búsqueda

Puedes controlar qué columnas de datos aparecen en los resultados de la búsqueda.

  1. En la esquina superior derecha de la tabla de resultados de la búsqueda, haz clic en Administrar columnas .
  2. Para quitar las columnas actuales, haz clic en Quitar (opcional).
  3. Para agregar columnas, junto a Agregar nueva columna, haz clic en la flecha hacia abajo y selecciona la columna de datos (opcional).
    Repite la acción según sea necesario.
  4. Para cambiar el orden de las columnas, arrastra los nombres de las columnas de datos (opcional).
  5. Haz clic en Guardar.

Cómo exportar los datos de los resultados de la búsqueda

Puedes exportar los resultados de la búsqueda a Hojas de cálculo o a un archivo CSV.

  1. En la parte superior de la tabla de resultados de la búsqueda, haz clic en Exportar todos.
  2. Ingresa un nombre y luego haz clic en Exportar.
    La exportación se muestra debajo de la tabla de resultados de la búsqueda en Resultados de la acción de Exportar.
  3. Para ver los datos, haz clic en el nombre de tu exportación.
    La exportación se abrirá en Hojas de cálculo.

Los límites de exportación varían:

  • La cantidad total de resultados de la exportación se limita a 100,000 filas.
  • Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

    Si tienes la herramienta de investigación de seguridad, los resultados totales de la exportación se limitan a 30 millones de filas.

Para obtener más información, consulta Cómo exportar los resultados de la búsqueda.

¿Cuándo y durante cuánto tiempo están disponibles los datos?

Administra tus investigaciones

Ediciones admitidas para esta función: Frontline Standard y Frontline Plus, Enterprise Standard y Enterprise Plus, Education Standard y Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar tu edición

Cómo ver tu lista de investigaciones

Para ver una lista de las investigaciones que te pertenecen y las que se compartieron contigo, haz clic en Ver investigaciones . La lista de investigaciones incluye los nombres, las descripciones y los propietarios de las investigaciones, así como la fecha de la última modificación.

En esta lista, puedes tomar medidas en relación con las investigaciones que te pertenecen, por ejemplo, borrar una investigación. Marca la casilla de una investigación y, luego, haz clic en Acciones.

Nota: Puedes ver las investigaciones guardadas en Acceso rápido, justo arriba de la lista de investigaciones.

Cómo configurar los parámetros de configuración de tus investigaciones

Como administrador avanzado, haz clic en Configuración para realizar las siguientes acciones:

  • Cambiar la zona horaria de tus investigaciones La zona horaria se aplica a las condiciones y los resultados de la búsqueda.
  • Activa o desactiva la opción Require reviewer. Para obtener más detalles, consulta Cómo solicitar revisores para acciones masivas.
  • Activa o desactiva la opción Ver contenido. Este parámetro de configuración permite que los administradores con los privilegios adecuados vean el contenido.
  • Activa o desactiva la opción Habilitar la justificación de la acción.

Para obtener más detalles, consulta Cómo configurar los parámetros de configuración de tus investigaciones.

Cómo guardar, compartir, borrar y duplicar investigaciones

Para guardar tus criterios de búsqueda o compartirlos con otras personas, puedes crear y guardar una investigación, y, luego, compartirla, duplicarla o borrarla.

Para obtener más información, consulta Cómo guardar, compartir, borrar y duplicar investigaciones.