События журнала хранилища

Просмотр активности пользователей хранилища

В зависимости от версии Google Workspace у вас может быть доступ к инструменту расследования инцидентов безопасности, который обладает более расширенными функциями. Например, суперадминистраторы могут выявлять, анализировать и принимать меры по проблемам безопасности и конфиденциальности. Подробнее

Для использования этой функции вам потребуется дополнительная лицензия Vault. Подробности см. в разделе «Приобретение лицензий Vault для вашей организации» .

Как администратор вашей организации, вы можете выполнять поиск и реагировать на события журналов Vault. Например, вы можете просмотреть запись действий, выполненных в консоли Vault, таких как изменение пользователями правил хранения или загрузка файлов экспорта.

Возможность выполнения поиска зависит от вашей версии Google, ваших административных прав и источника данных. Вы можете выполнить поиск для всех пользователей, независимо от их версии Google Workspace.

Инструмент аудита и расследования

Для выполнения поиска событий в журнале сначала выберите источник данных. Затем выберите один или несколько фильтров для поиска.

  1. В консоли администратора Google перейдите в меню. а потом Отчетность а потом Аудит и расследование а потом События журнала хранилища .

    Для этого необходимы права администратора по аудиту и расследованиям .

  2. Чтобы отфильтровать события, произошедшие до или после определенной даты, в поле «Дата» выберите «До» или «После» . По умолчанию отображаются события за последние 7 дней. Вы можете выбрать другой диапазон дат или щелкнуть по соответствующему пункту. чтобы удалить фильтр по дате.

  3. Нажмите « Добавить фильтр». а потом Выберите атрибут. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
  4. Выберите оператора а потом выберите значение а потом Нажмите «Применить» .
    • (Необязательно) Чтобы создать несколько фильтров для поиска, повторите этот шаг.
    • (Необязательно) Чтобы добавить оператор поиска, выше в разделе «Добавить фильтр» выберите «И» или «ИЛИ» .
  5. Нажмите «Поиск» . Примечание : На вкладке «Фильтр» можно использовать простые пары параметр-значение для фильтрации результатов поиска. Также можно использовать вкладку «Конструктор условий» , где фильтры представлены в виде условий с операторами И/ИЛИ.

Инструмент для проведения расследований в сфере безопасности

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

Для выполнения поиска в инструменте анализа безопасности сначала выберите источник данных. Затем выберите одно или несколько условий для поиска. Для каждого условия выберите атрибут , оператор и значение .

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр безопасности а потом Инструмент расследования .

    Для этого требуются права администратора центра безопасности .

  2. Щелкните «Источник данных» и выберите «События журнала хранилища» .

  3. Чтобы отфильтровать события, произошедшие до или после определенной даты, в поле «Дата» выберите «До» или «После» . По умолчанию отображаются события за последние 7 дней. Вы можете выбрать другой диапазон дат или щелкнуть по соответствующему пункту. чтобы удалить фильтр по дате.

  4. Нажмите «Добавить условие» .
    Совет : Вы можете включить в поиск одно или несколько условий или настроить поиск с помощью вложенных запросов . Подробнее см. раздел «Настройка поиска с помощью вложенных запросов» .
  5. Атрибут клика а потом Выберите нужный вариант. Например, чтобы отфильтровать события по определенному типу, выберите «Событие» .
    Полный список атрибутов см. в разделе «Описание атрибутов» .
  6. Выберите оператора.
  7. Введите значение или выберите значение из списка.
  8. (Необязательно) Чтобы добавить дополнительные условия поиска, повторите шаги.
  9. Нажмите «Поиск» .
    Результаты поиска, полученные с помощью инструмента расследования, можно просмотреть в таблице внизу страницы.
  10. (Необязательно) Чтобы сохранить результаты расследования, нажмите «Сохранить». а потом Введите заголовок и описание. а потом Нажмите « Сохранить ».

Примечания

  • На вкладке «Конструктор условий» фильтры представлены в виде условий с операторами И/ИЛИ. Вы также можете использовать вкладку «Фильтр» для добавления простых пар параметр-значение для фильтрации результатов поиска.
  • Если вы присвоите пользователю новое имя, вы не увидите результаты запросов со старым именем пользователя. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не увидите результаты для событий, связанных с OldName@example.com .
  • Поиск данных возможен только в сообщениях, которые еще не были удалены из Корзины.

Выполните поиск в консоли хранилища.

Выполните поиск событий журнала Vault.

  1. Войдите на vault.google.com .
  2. Нажмите «Отчеты» .
  3. (Необязательно) Выберите диапазон дат.
  4. (Необязательно) Введите адреса электронной почты пользователей хранилища, действия которых вы хотите отслеживать. Чтобы отслеживать действия всех пользователей хранилища, оставьте поле пустым.
  5. Выберите типы действий пользователей Vault, которые вы хотите отслеживать:
    • Чтобы проверить все действия, нажмите « Выбрать все» .
    • Чтобы проверить только некоторые действия, установите флажок рядом с каждым действием.
  6. Нажмите «Скачать CSV» .

    На ваш компьютер загружается CSV-файл, содержащий информацию аудита. Если вы выполнили поиск по множеству пользователей, вы можете получить несколько записей в журнале.

  7. Откройте CSV-файл в табличном редакторе, например, Google Sheets. Описание значений в CSV-файле см. в разделе «Описание атрибутов» (далее на этой странице).

Аудиторская деятельность по данному вопросу

  1. Войдите на vault.google.com .
  2. Click Matters .
  3. В списке вопросов выберите тот, который хотите проверить.
  4. Нажмите «Аудит» .
    Примечание : Чтобы просмотреть журналы аудита дела в консоли администратора Google, нажмите « Попробовать сейчас» . Идентификатор выбранного вами дела автоматически загрузится на страницу «Аудит и расследование». В качестве альтернативы вы можете скопировать идентификатор дела из URL-адреса:
  5. (Необязательно) Выберите диапазон дат.
  6. (Необязательно) Введите адреса электронной почты пользователей хранилища, действия которых вы хотите отслеживать. Чтобы отслеживать действия всех пользователей хранилища, оставьте поле пустым.
  7. Выберите типы действий пользователей Vault, которые вы хотите отслеживать:
    • Чтобы проверить все действия, нажмите « Выбрать все» .
    • Чтобы проверить только некоторые действия, установите флажок рядом с каждым действием.

      Примечание: В рамках аудитов по конкретным делам не сообщается о каких-либо действиях, связанных с правилами хранения данных, поскольку правила хранения данных регулируются вне рамок отдельных дел.

  8. Нажмите «Скачать CSV» .

    На ваш компьютер загружается CSV-файл, содержащий информацию аудита. Если вы проводили аудит для большого количества пользователей, вы можете получить несколько записей в журнале.

  9. Откройте CSV-файл в табличном редакторе, например, Google Sheets. Описание значений в CSV-файле см. в разделе «Описание атрибутов» (далее на этой странице).

Описание атрибутов

Для этого источника данных при поиске данных о событиях журнала можно использовать следующие атрибуты.

Атрибут Описание
Актер Адрес электронной почты пользователя, выполнившего действие
Дополнительные сведения Содержит дополнительные сведения о полезной нагрузке, такие как срок хранения и условия.
Дата Дата и время события (отображаются в часовом поясе по умолчанию вашего браузера)
Событие Зарегистрированное действие события, например, «Просмотреть расследование» , «Просмотреть внешний документ» или «Начать добавление соавтора».

IP ASN

Необходимо добавить этот столбец в результаты поиска. Инструкции см. в разделе «Управление данными столбцов результатов поиска» .

Номер автономной системы (ASN), подразделение и регион IP-адреса, связанные с записью в журнале.

Чтобы просмотреть IP-адрес автономных систем (ASN), а также код подразделения и региона, где произошла активность, щелкните по названию в результатах поиска.

Идентификатор дела

Идентификатор дела. Этот идентификатор доступен не для всех событий, а только для тех, которые относятся к данному делу.

Название организационного подразделения Название организационного подразделения, к которому относится данное действие.
Запрос

Параметры поиска, введенные пользователем для конкретного поиска.

Название ресурса Имя ресурса действия, например, имя удержания или имя сохраненного запроса.
URL ресурса URL-адрес документа, который пользователь просмотрел.
Целевой пользователь

Адрес электронной почты целевого пользователя, например, пользователя, чья заявка была приостановлена.

Примечание : Если вы присвоили пользователю новое имя, вы не увидите результаты запроса со старым именем пользователя. Например, если вы переименуете OldName@example.com в NewName@example.com , вы не увидите результаты для событий, связанных с OldName@example.com .

Управление данными событий журнала

Управление данными столбца результатов поиска

Вы можете управлять тем, какие столбцы данных будут отображаться в результатах поиска.

  1. В правом верхнем углу таблицы результатов поиска нажмите «Управление столбцами». .
  2. (Необязательно) Чтобы удалить текущие столбцы, нажмите «Удалить». .
  3. (Необязательно) Чтобы добавить столбцы, рядом с кнопкой «Добавить новый столбец » нажмите стрелку вниз. и выберите столбец с данными.
    Повторять по мере необходимости.
  4. (Необязательно) Чтобы изменить порядок столбцов, перетащите названия столбцов данных.
  5. Нажмите « Сохранить ».

Экспорт данных результатов поиска

Результаты поиска можно экспортировать в Google Sheets или в CSV-файл.

  1. В верхней части таблицы результатов поиска нажмите кнопку «Экспорт всех» .
  2. Введите имя а потом Нажмите «Экспорт» .
    Результаты экспорта отображаются под таблицей результатов поиска в разделе «Результаты действия экспорта» .
  3. Для просмотра данных щелкните по названию экспортируемого файла.
    Экспорт открывается в Google Sheets.

Ограничения на экспорт различаются:

  • Общий объем результатов экспорта ограничен 100 000 строками.
  • Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

    Если у вас установлен инструмент для проведения анализа безопасности, общий объем результатов экспорта ограничен 30 миллионами строк.

Для получения более подробной информации перейдите в раздел «Экспорт результатов поиска» .

Когда и как долго доступны данные?

Управляйте своими расследованиями

Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Сравните вашу версию.

Просмотрите список ваших расследований

Чтобы просмотреть список расследований, которые принадлежат вам и которые были предоставлены вам, нажмите «Просмотреть расследования». Список расследований включает имена, описания и ответственных за расследования, а также дату последнего изменения.

Из этого списка вы можете выполнить действия с любыми принадлежащими вам расследованиями, например, удалить расследование. Установите флажок напротив нужного расследования, а затем нажмите «Действия» .

Примечание : Вы можете просмотреть сохраненные расследования в разделе «Быстрый доступ» , непосредственно над списком расследований.

Настройте параметры для ваших расследований.

От имени суперадминистратора нажмите «Настройки». к:

  • Измените часовой пояс для ваших исследований. Часовой пояс применяется к условиям поиска и результатам.
  • Включите или выключите параметр «Требовать рецензентов» . Для получения более подробной информации перейдите в раздел «Требовать рецензентов для массовых действий» .
  • Включить или выключить отображение содержимого . Этот параметр позволяет администраторам с соответствующими правами просматривать содержимое.
  • Включить или выключить обоснование действий .

Для получения более подробной информации перейдите в раздел «Настройка параметров расследования» .

Сохраняйте, делитесь, удаляйте и дублируйте расследования.

Чтобы сохранить критерии поиска или поделиться ими с другими, вы можете создать и сохранить расследование, а затем поделиться им, скопировать или удалить его.

Для получения более подробной информации перейдите в раздел «Сохранение, предоставление доступа, удаление и дублирование расследований» .