Eventi dei log di Vault

Visualizzare l'attività utente in Vault

A seconda della versione di Google Workspace che utilizzi, potresti avere accesso allo strumento di indagine sulla sicurezza, che offre funzionalità più avanzate. Ad esempio, i super amministratori possono identificare, assegnare una priorità e intervenire in caso di problemi di sicurezza e privacy. Scopri di più

Per utilizzare questa funzionalità, devi disporre di una licenza aggiuntiva di Vault. Per maggiori dettagli, vedi Acquistare licenze di Vault per l'organizzazione.

In qualità di amministratore della tua organizzazione, puoi eseguire ricerche e intervenire sugli eventi dei log di Vault. Ad esempio, puoi visualizzare un record delle azioni eseguite nella console di Vault, ad esempio quali utenti hanno modificato le regole di conservazione o scaricato file esportati.

La possibilità di eseguire ricerche dipende dalla versione di Google che utilizzi, dai tuoi privilegi amministrativi e dall'origine dati. Puoi eseguire una ricerca su tutti gli utenti, indipendentemente dalla versione di Google Workspace in uso.

Strumento di controllo e indagine

Per eseguire una ricerca degli eventi dei log, scegli innanzitutto un'origine dati. Poi scegli uno o più filtri per la ricerca.

  1. Nella Console di amministrazione Google, vai a Menu e poi Report e poiControllo e indagine e poiEventi dei log di Vault.

    È necessario disporre del privilegio amministrativo Controllo e indagine.

  2. Per filtrare gli eventi che si sono verificati prima o dopo una data specifica, seleziona Prima o Dopo per Data. Per impostazione predefinita, vengono mostrati gli eventi degli ultimi 7 giorni. Puoi selezionare un intervallo di date diverso o fare clic su per rimuovere il filtro della data.

  3. Fai clic su Aggiungi un filtro e poiseleziona un attributo. Ad esempio, per filtrare in base a un tipo di evento specifico, seleziona Evento.
  4. Seleziona un operatore e poiseleziona un valore e poifai clic su Applica.
    • (Facoltativo) Per creare più filtri per la ricerca, ripeti questo passaggio.
    • (Facoltativo) Per aggiungere un operatore di ricerca, sopra Aggiungi un filtro, seleziona AND oppure OR.
  5. Fai clic su Cerca. Nota: utilizzando la scheda Filtro, puoi includere semplici coppie di parametri e valori per filtrare i risultati di ricerca. Puoi anche utilizzare la scheda Generatore di condizioni, in cui i filtri sono rappresentati come condizioni con gli operatori E/O.

Strumento di indagine sulla sicurezza

Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

Per eseguire una ricerca nello strumento di indagine sulla sicurezza, scegli innanzitutto un'origine dati. Poi scegli una o più condizioni per la ricerca. Per ogni condizione, scegli un attributo, un operatore e un valore.

  1. Nella Console di amministrazione Google, vai a Menu e poi Sicurezza e poiCentro sicurezza e poiStrumento di indagine.

    È necessario disporre del privilegio di amministratore Centro sicurezza.

  2. Fai clic su Origine dati e seleziona Eventi dei log di Vault.

  3. Per filtrare gli eventi che si sono verificati prima o dopo una data specifica, seleziona Prima o Dopo per Data. Per impostazione predefinita, vengono mostrati gli eventi degli ultimi 7 giorni. Puoi selezionare un intervallo di date diverso o fare clic su per rimuovere il filtro della data.

  4. Fai clic su Aggiungi condizione.
    Suggerimento: puoi includere una o più condizioni nella ricerca oppure personalizzarla con query nidificate. Per maggiori dettagli, vedi Personalizzare la ricerca con query nidificate.
  5. Fai clic su Attributo e poi seleziona un'opzione. Ad esempio, per filtrare in base a un tipo di evento specifico, seleziona Evento.
    Per un elenco completo degli attributi, consulta la sezione Descrizioni degli attributi.
  6. Seleziona un operatore.
  7. Inserisci un valore o selezionane uno dall'elenco.
  8. (Facoltativo) Per aggiungere altre condizioni di ricerca, ripeti i passaggi.
  9. Fai clic su Cerca.
    Puoi esaminare i risultati di ricerca dello strumento di indagine in una tabella nella parte inferiore della pagina.
  10. (Facoltativo) Per salvare la tua indagine, fai clic su Salva e poiinserisci un titolo e una descrizione e poifai clic su Salva.

Note

  • Nella scheda Generatore di condizioni, i filtri sono rappresentati come condizioni con gli operatori AND/OR. Puoi anche utilizzare la scheda Filtro per includere coppie di parametri e valori semplici per filtrare i risultati della ricerca.
  • Se hai assegnato un nuovo nome a un utente, le query in cui è utilizzato il suo nome precedente non restituiranno risultati. Ad esempio, se rinomini NomePrecedente@example.com in NuovoNome@example.com, non verranno restituiti risultati per gli eventi correlati a NomePrecedente@example.com.
  • Puoi cercare dati solo nei messaggi che non sono ancora stati eliminati dal cestino.

Eseguire una ricerca nella console di Vault

Eseguire una ricerca di eventi del log di Vault

  1. Accedi a vault.google.com.
  2. Fai clic su Report.
  3. (Facoltativo) Seleziona un intervallo di date.
  4. (Facoltativo) Inserisci gli indirizzi email degli utenti di Vault di cui vuoi controllare le azioni. Per controllare le azioni di tutti gli utenti di Vault, lascia vuoto il campo.
  5. Seleziona i tipi di azioni degli utenti Vault che vuoi controllare:
    • Per controllare tutte le azioni, fai clic su Seleziona tutto.
    • Per controllare solo alcune azioni, seleziona la casella accanto a ogni azione.
  6. Fai clic su Scarica CSV.

    Un file CSV contenente le informazioni di controllo viene scaricato sul computer. Se hai eseguito una ricerca per molti utenti, potresti visualizzare più log.

  7. Apri il file CSV in un'app per fogli di lavoro, ad esempio Fogli Google. Per le definizioni dei valori nel file CSV, vai a Descrizioni degli attributi, più avanti in questa pagina.

Controllare l'attività di una pratica

  1. Accedi a vault.google.com.
  2. Fai clic su Pratiche.
  3. Nell'elenco delle pratiche, fai clic su quella che vuoi controllare.
  4. Fai clic su Controlli.
    Nota: per visualizzare i log di controllo della pratica nella Console di amministrazione Google, fai clic su Prova adesso. L'ID della pratica selezionata viene caricato automaticamente nella pagina Controllo e indagine. In alternativa, puoi copiare l'ID della pratica nell'URL:
  5. (Facoltativo) Seleziona un intervallo di date.
  6. (Facoltativo) Inserisci gli indirizzi email degli utenti di Vault di cui vuoi controllare le azioni. Per controllare le azioni di tutti gli utenti di Vault, lascia vuoto il campo.
  7. Seleziona i tipi di azioni degli utenti Vault che vuoi controllare:
    • Per controllare tutte le azioni, fai clic su Seleziona tutto.
    • Per controllare solo alcune azioni, seleziona la casella accanto a ogni azione.

      Nota:non vengono segnalate le azioni relative alle regole di conservazione per i controlli su pratiche specifiche perché le regole di conservazione sono gestite all'esterno delle pratiche.

  8. Fai clic su Scarica CSV.

    Un file CSV contenente le informazioni di controllo viene scaricato sul computer. Se hai eseguito un controllo per molti utenti, potresti ricevere più log.

  9. Apri il file CSV in un'app per fogli di lavoro, ad esempio Fogli Google. Per le definizioni dei valori nel file CSV, vai a Descrizioni degli attributi, più avanti in questa pagina.

Descrizioni degli attributi

Per questa origine dati, puoi utilizzare i seguenti attributi durante la ricerca dei dati sugli eventi dei log.

Attributo Descrizione
Actor Indirizzo email dell'utente che ha eseguito l'azione.
Ulteriori dettagli Contiene ulteriori dettagli del payload, come il periodo di conservazione e le condizioni
Data Data e ora in cui si è verificato l'evento, riportati nel fuso orario predefinito del browser.
Evento L'azione evento registrata, ad esempio Visualizza indagine, Visualizza documento esterno o Inizio aggiunta del collaboratore.

ASN IP

Devi aggiungere questa colonna ai risultati di ricerca. Per i passaggi, vai a Gestire i dati delle colonne dei risultati di ricerca.

Numero di sistema autonomo (ASN) IP, sottodivisione e regione associati alla voce di log.

Per esaminare l'ASN IP, la sottodivisione e il codice regione in cui si è verificata l'attività, fai clic sul nome nei risultati di ricerca.
ID pratica

ID della pratica. Questo ID non è disponibile per tutti gli eventi, ma solo per quelli relativi a una questione.
Nome dell'unità organizzativa Il nome dell'unità organizzativa a cui si applica l'azione
Query

I parametri di ricerca inseriti dall'utente per una ricerca specifica
Nome risorsa Il nome della risorsa dell'azione, ad esempio il nome dell'archiviazione a fini legali o della query salvata
URL risorsa L'URL di un documento visualizzato dall'utente
Utente di destinazione

Indirizzo email dell'utente scelto come target, ad esempio un utente sottoposto a blocco

Nota: se hai assegnato un nuovo nome a un utente, le query in cui è utilizzato il suo nome precedente non restituiranno risultati. Ad esempio, se rinomini NomePrecedente@example.com in NuovoNome@example.com, non verranno restituiti risultati per gli eventi correlati a NomePrecedente@example.com.

Gestire i dati sugli eventi del log

Gestire i dati delle colonne dei risultati di ricerca

Puoi stabilire quali colonne di dati visualizzare nei risultati di ricerca.

  1. Nell'angolo in alto a destra della tabella dei risultati di ricerca, fai clic su Gestisci colonne .
  2. (Facoltativo) Per rimuovere le colonne attualmente visualizzate, fai clic su Rimuovi .
  3. (Facoltativo) Per aggiungere colonne, fai clic sulla Freccia giù in corrispondenza di Aggiungi nuova colonna e seleziona la colonna di dati che ti interessa.
    Ripeti questa operazione in base alle necessità.
  4. (Facoltativo) Per modificare l'ordine delle colonne, trascina i nomi delle colonne di dati.
  5. Fai clic su Salva.

Esportare i dati dei risultati di ricerca

Puoi esportare i risultati di ricerca in Fogli o in un file CSV.

  1. Nella parte superiore della tabella dei risultati di ricerca, fai clic su Esporta tutto.
  2. Inserisci un nome e poi fai clic su Esporta.
    L'esportazione viene visualizzata al di sotto della tabella dei risultati di ricerca, in Risultati dell'azione Esporta.
  3. Per visualizzare i dati, fai clic sul nome dell'esportazione.
    L'esportazione si apre in Fogli.

I limiti di esportazione possono variare:

  • I risultati complessivi dell'esportazione sono limitati a 100.000 righe.
  • Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

    Se utilizzi lo strumento di indagine sulla sicurezza, i risultati totali dell'esportazione sono limitati a 30 milioni di righe.

Per saperne di più, consulta Esportare i risultati di ricerca.

Quando sono disponibili i dati? Per quanto tempo?

Gestire le indagini

Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard ed Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Confronta la tua versione

Visualizzare l'elenco delle indagini

Per visualizzare un elenco delle indagini di tua proprietà e di quelle che sono state condivise con te, fai clic su Visualizza indagini . L'elenco delle indagini ne include i nomi, le descrizioni e i proprietari, nonché la data dell'ultima modifica.

Da questo elenco puoi eseguire azioni sulle indagini di tua proprietà, ad esempio eliminare un'indagine. Seleziona la casella in corrispondenza di un'indagine, quindi fai clic su Azioni.

Nota: puoi visualizzare le indagini salvate nella sezione Accesso rapido, direttamente sopra l'elenco delle indagini.

Configurare le impostazioni per le indagini

Come super amministratore, fai clic su Impostazioni per:

  • Modificare il fuso orario per le indagini. Il fuso orario si applica alle condizioni e ai risultati di ricerca.
  • Attivare o disattivare l'opzione Richiedi revisore. Per maggiori dettagli, vedi Richiedere revisori per azioni collettive.
  • Attiva o disattiva l'opzione Visualizza i contenuti. Questa impostazione consente agli amministratori con i privilegi appropriati di visualizzare i contenuti.
  • Attiva o disattiva l'opzione Abilita motivazione azione.

Per ulteriori dettagli, vedi Configurare le impostazioni per le indagini.

Salvare, condividere, eliminare e duplicare le indagini

Per condividere una ricerca con altri utenti o salvarne i criteri, puoi creare e salvare un'indagine e, successivamente, condividerla, duplicarla o eliminarla.

Per maggiori dettagli, vedi Salvare, condividere, eliminare e duplicare le indagini.