Eventos de registro de administrador

Página de auditoría e investigación: ver la actividad de los administradores en la consola de administración

La página del registro de auditoría se ha sustituido por una nueva página de auditoría e investigación. Para obtener información sobre este cambio, consulta el artículo Experiencia mejorada de auditoría e investigación: Novedades de Google Workspace.

En la página de auditoría e investigación, puedes hacer búsquedas relacionadas con eventos de registro de administrador. Puedes ver un registro de las acciones realizadas en tu consola de administración de Google; por ejemplo, cuando un administrador ha añadido un usuario o ha activado un servicio de Google Workspace.

Para ver una lista completa de los servicios y las actividades que puedes investigar, como Google Drive o la actividad de usuario, consulta el artículo Acerca de la herramienta de auditoría e investigación.

Reenviar datos de eventos de registro a Google Cloud

Puedes aceptar compartir los datos de eventos de registro con Google Cloud. Si lo haces, esos datos se envían a Cloud Logging, donde podrás consultar tus registros y controlar cómo se enrutan y almacenan.

Abrir la página de auditoría e investigación

Acceder a datos de eventos de registro de administrador

Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
En la consola de administración, ve a Menú InformesAuditoría e investigaciónEventos de registro de administrador.

Filtrar los datos

Accede a los datos de eventos de registro de administrador tal como se describe arriba, en la sección Acceder a datos de eventos de registro de administrador.
Haz clic en Añadir un filtro y selecciona un atributo.
En la ventana emergente, selecciona un operadorselecciona un valorhaz clic en Aplicar.
(Opcional) Para crear varios filtros de búsqueda, haz lo siguiente:
1. Haz clic en Añadir un filtro y repite el paso 3.
2. (Opcional) Para añadir un operador de búsqueda, encima de Añadir un filtro, selecciona AND u OR.
Haz clic en Buscar.

Nota: En la pestaña Filtro, puedes incluir pares de parámetros y valores sencillos para filtrar los resultados de búsqueda. También puedes usar la pestaña Creador de condiciones, donde los filtros se representan como condiciones con los operadores AND/OR.

Descripciones de atributos

En esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro:

Atributo	Descripción
Acciones*	Las acciones que ha llevado a cabo el administrador en la herramienta de investigación de seguridad o en una regla de actividad. Para obtener más información sobre las acciones que puede realizar un administrador, consulta el artículo Tomar medidas en función de los resultados de búsqueda.
Actor	La dirección de correo electrónico del usuario que ha realizado la acción. En lugar de una dirección de correo, es posible que veas lo siguiente: Administrador de licencias: si la acción registrada conlleva un cambio en la licencia de un usuario Cuenta de servicio: si la acción la realizó un administrador de una cuenta de servicio Anónimo: si la acción la realizó un administrador de una cuenta de servicio
Nombre del grupo actor	El nombre del grupo del actor. Para obtener más información, consulta la sección Filtrar resultados por grupo de Google. Para añadir un grupo a la lista de grupos de filtrado permitidos, sigue estos pasos: Selecciona Nombre del grupo del actor. Haz clic en Grupos de filtrado. Se mostrará la página Grupos de filtrado. Haz clic en Añadir grupos. Para buscar un grupo, escribe los primeros caracteres de su nombre o de su dirección de correo electrónico. Cuando veas el grupo que buscas, selecciónalo. (Opcional) Para añadir otro grupo, búscalo y selecciónalo. Cuando hayas seleccionado todos los grupos que te interesen, haz clic en Añadir. (Opcional) Para quitar un grupo, haz clic en Quitar grupo . Haz clic en Guardar.
Unidad organizativa del actor	Unidad organizativa del actor
Información adicional	Información de contexto adicional sobre el evento
Fecha de comienzo*	Utiliza la fecha de comienzo y la fecha de finalización para filtrar los eventos que se producen en un intervalo de fechas, como los eventos de Desglose de gráficos. Nota: Para buscar eventos en un periodo determinado, usa el atributo Fecha.
Fuente de datos*	La fuente de datos de la herramienta de investigación o la fuente de alertas del Centro de alertas
Fecha	Fecha y hora en las que se ha producido el evento (se muestran en la zona horaria predeterminada de tu navegador)
ID de dispositivo*	El ID del dispositivo afectado por este evento de auditoría. Por ejemplo, si un administrador borra los datos de un dispositivo propiedad de la empresa, en este campo se muestra el ID de dispositivo.
Tipo de dispositivo	El tipo de dispositivo afectado por este evento de auditoría. Por ejemplo, si un administrador borra los datos de un dispositivo propiedad de la empresa, en este campo se muestra el tipo de dispositivo.
Nombre de dominio	El dominio en el que se ha producido la acción
Fecha de finalización*	Utiliza la fecha de comienzo y la fecha de finalización para filtrar los eventos que se producen en un intervalo de fechas, como los eventos de Desglose de gráficos. Nota: Para buscar eventos en un periodo determinado, usa el atributo Fecha.
Evento	La acción del evento registrado; por ejemplo, Consulta de investigación o Creación de regla de actividad. En Valor del evento, los eventos se agrupan por tipo; por ejemplo, Configuración de usuario o Configuración del dominio. La mayoría de los valores de eventos son suficientemente explícitos. Por ejemplo, Añadir aplicación (en Configuración del dominio) es un valor de búsqueda de una aplicación que se ha añadido a tu dominio. Puedes buscar eventos en el cuadro de búsqueda. Consejo: Si tienes valores de eventos que utilizas con frecuencia, fíjalos en la parte superior del menú desplegable.
Edición de Google Workspace*	Edición de Google Workspace del administrador (actor) que ha realizado la acción
Correo de grupo	Correo del grupo de Google afectado por esta actividad
Dirección IP	La dirección de protocolo de Internet (IP) asociada con la acción registrada. Suele reflejar la ubicación física del usuario, pero también puede ser la dirección de un servidor proxy o de una red privada virtual (VPN).
Justificación*	La explicación proporcionada por el administrador, si la acción requería un texto justificativo
ID de mensaje*	El ID del mensaje de correo afectado por este evento de auditoría
Valor nuevo*	Nuevo valor del ajuste si se ha actualizado
Valor anterior*	Valor anterior del ajuste si se ha actualizado
IDs de recurso*	Los IDs de uno o varios recursos afectados por el evento de auditoría
Resource name (Nombre de recurso)*	Nombre del recurso afectado por el evento de auditoría
Tipo de recurso*	Tipo de recurso afectado por el evento de auditoría
Consulta de búsqueda	Consulta que se utiliza para obtener o procesar datos. Por ejemplo, la consulta utilizada al hacer una búsqueda en la herramienta de investigación, al crear reglas de actividad o al volcar correos.
Nombre del ajuste	Nombre del ajuste actualizado
Nombre de la unidad organizativa del ajuste	Los ajustes de la consola de administración se pueden aplicar al ámbito de una unidad organizativa. Cuando se actualiza un ajuste y se aplica al ámbito de una unidad organizativa, en este campo se muestra el nombre de la unidad organizativa.
Objetivo*	La dirección de correo objetivo del evento. Por ejemplo, la dirección de correo de destino cuando se crea un monitor de correo o la dirección de correo del verificador cuando se realiza una acción en bloque en la herramienta de investigación.
Elementos afectados*	Número total de entidades afectadas por el evento de auditoría. Por ejemplo, el número de usuarios que se han subido en bloque a un grupo o el número de acciones que ha activado una regla de actividad. Se trata de un campo contextual que depende del evento.
Elementos fallidos*	Número total de operaciones fallidas. Por ejemplo, el número de usuarios que no han podido completar una subida en bloque de usuarios a un grupo o el número de acciones que no se han podido realizar como parte de un activador de regla de actividad. Se trata de un campo contextual que depende del evento.
Correo del usuario	El correo del usuario que ha realizado la acción

* No puedes crear reglas de informes con estos filtros. Más información sobre las diferencias entre las reglas de informes y las reglas de actividad

Nota: Si has asignado un nuevo nombre a un usuario, en la consulta no aparecerán los resultados correspondientes a su nombre antiguo. Por ejemplo, si has cambiado NombreAntiguo@example.com a NuevoNombre@example.com, no aparecerán resultados de eventos relacionados con NombreAntiguo@example.com.

Gestionar datos de eventos de registro

Gestionar datos de columnas de resultados de búsqueda

Puedes controlar qué columnas de datos quieres que aparezcan en los resultados de búsqueda.

En la parte superior derecha de la tabla de resultados de búsqueda, haz clic en Gestionar columnas .
(Opcional) Para quitar columnas, haz clic en Quitar .
(Opcional) Para añadir columnas, junto a Añadir nueva columna, haz clic en la flecha hacia abajo y selecciona la columna de datos.
Repite el proceso tantas veces como sea necesario.
(Opcional) Para cambiar el orden de las columnas, arrastra los nombres de las columnas de datos.
Haz clic en Guardar.

Exportar datos de resultados de búsqueda

En la parte superior de la tabla de resultados de búsqueda, haz clic en Exportar todo.
Introduce un nombre haz clic en Exportar.
La exportación se muestra debajo de la tabla de resultados de búsqueda, en Resultados de la acción Exportar.
Para ver los datos, haz clic en el nombre de tu exportación.
La exportación se abrirá en Hojas de cálculo de Google.

Crear reglas de informes

Consulta el artículo Crear y gestionar reglas de notificación.

¿Cuándo están disponibles los datos y durante cuánto tiempo?

Consulta el artículo Plazos de conservación y periodos de retraso de los datos.

Temas relacionados

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?