После поиска в одном источнике данных (например, используя события журналов Gmail для поиска и удаления вредоносного письма) вы можете захотеть исследовать конкретного пользователя, переключившись на другой источник данных и выполнив поиск в нем (например, чтобы просмотреть события журналов Google Drive и исследовать обмен файлами, связанный с этим пользователем).
Например, это может понадобиться, если учетная запись пользователя была взломана, и вы обнаружили, что с этой учетной записи было отправлено вредоносное электронное письмо. Затем вы сможете изучить другие действия, совершенные с этой учетной записи пользователя в Google Drive.
Примечание: Некоторые функции инструмента для проведения расследований в области безопасности, например, данные, связанные с Gmail, недоступны во всех версиях. Для получения подробной информации перейдите в разделы «События журнала Gmail» и «События журнала Google Drive» .
Проведите исследование пользователя по различным источникам данных.
Завершите поиск, следуя инструкциям в разделе «Найти и удалить вредоносные электронные письма» .
Поддерживаемые версии для этой функции: Frontline Plus; Enterprise Plus; Education Standard и Education Plus. Сравните вашу версию.
В результатах поиска наведите курсор на пользователя в столбце «Отправитель» (например, user@example.com ).
Наведите курсор на элемент в результатах поиска и нажмите кнопку «Сводная таблица», чтобы открыть пункты меню.
Щелкните «Журнал событий Диска» > «Актер» .
Это открывает новую страницу поиска, где источником данных являются события журнала Drive , и где условие включает в себя того же участника .При необходимости вы можете нажать кнопку «ДОБАВИТЬ УСЛОВИЕ» , чтобы добавить дополнительные критерии для поиска.
Нажмите ПОИСК .
Просматривайте и экспортируйте результаты поиска.
Примечание: Вы также можете выполнить сводную таблицу по всему столбцу в результатах поиска. Для этого наведите курсор на название столбца, а затем выберите соответствующий пункт в меню.