Événements de journaux Gmail

En tant qu'administrateur de votre organisation, vous pouvez effectuer des recherches sur les événements de journaux Gmail et agir en fonction des résultats. Vous pouvez afficher les actions effectuées pour suivre l'activité des utilisateurs et des administrateurs de votre organisation dans Gmail. Vous pouvez, par exemple, voir quand des e-mails sont classés comme spam, libérés de la zone de quarantaine ou envoyés dans la zone de quarantaine administrative. Vous pouvez ensuite effectuer des actions à l'aide de l'outil d'investigation sur la sécurité : supprimer des messages spécifiques, les marquer comme spam ou hameçonnage, les envoyer en zone de quarantaine ou les envoyer vers la boîte de réception de certains utilisateurs, par exemple.

À propos de l'affichage du contenu des messages Gmail

Si vous disposez des droits nécessaires dans l'outil d'investigation et de l'édition Google Workspace requise, vous pouvez également afficher le contenu d'un message Gmail dans le cadre d'une investigation. Pour en savoir plus, consultez Afficher le contenu sensible à l'aide de l'outil d'investigation.

Rechercher des événements de journaux

Votre capacité à effectuer une recherche dépend de votre édition de Google Workspace, de vos droits d'administrateur et de la source des données. Vous pouvez effectuer une recherche sur tous les utilisateurs, quelle que soit leur édition de Google Workspace.

Outil d'audit et d'investigation

Pour exécuter une recherche portant sur les événements de journaux, choisissez d'abord une source de données. Sélectionnez ensuite un ou plusieurs filtres pour votre recherche.

  1. Dans la console d'administration Google, accédez à Menu puis Création de rapportspuisAudit et investigationpuisÉvénements de journaux Gmail.

    Vous devez disposer du droit d'administrateur Audit et enquête.

  2. Pour filtrer les événements qui se sont produits avant ou après une date spécifique, sélectionnez Avant ou Après pour Date. Par défaut, les événements des sept derniers jours sont affichés. Vous pouvez sélectionner une autre période ou cliquer sur pour supprimer le filtre de date.

  3. Cliquez sur Ajouter un filtre, puis sélectionnez un attribut.
  4. Dans la fenêtre pop-up, sélectionnez un opérateurpuissélectionnez une valeurpuiscliquez sur Appliquer.
    • (Facultatif) Pour créer plusieurs filtres pour votre recherche, répétez cette étape.
    • (Facultatif) Pour ajouter un opérateur de recherche, sélectionnez AND ou OR au-dessus de Ajouter un filtre.
  5. Cliquez sur Rechercher.

    Remarque: L'onglet Filtre vous permet d'inclure des paires paramètres/valeurs simples pour filtrer les résultats de la recherche. Vous pouvez également utiliser l'onglet Générateur de conditions, dans lequel les filtres sont représentés par des conditions associées à des opérateurs AND/OR.

Outil d'investigation sur la sécurité

Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition

Pour lancer une recherche dans l'outil d'investigation de sécurité, choisissez d'abord une source de données. Sélectionnez ensuite une ou plusieurs conditions pour votre recherche. Pour chaque condition, sélectionnez un attribut, un opérateur et une valeur

  1. Connectez-vous à la console d'administration Google avec un compte administrateur.

    Si vous ne disposez pas d'un compte administrateur, vous ne pouvez pas accéder à la console d'administration.

  2. Accédez à Menu  puis  Sécurité > Centre de sécurité > Outil d'investigation.

    Vous devez disposer du droit d'administrateur Centre de sécurité.

  3. Cliquez sur Source de données et sélectionnez Événements de journaux Gmail.

  4. Pour filtrer les événements qui se sont produits avant ou après une date spécifique, sélectionnez Avant ou Après pour Date. Par défaut, les événements des sept derniers jours sont affichés. Vous pouvez sélectionner une autre période ou cliquer sur pour supprimer le filtre de date.

  5. Cliquez sur Ajouter une condition.
    Conseil : Vous pouvez inclure une ou plusieurs conditions dans votre recherche ou la personnaliser avec des requêtes imbriquées. Pour en savoir plus, consultez Personnaliser votre recherche avec des requêtes imbriquées.
  6. Cliquez sur Attributpuissélectionnez une option.
    Pour obtenir la liste complète des attributs, consultez Descriptions des attributs ci-dessous.
  7. Sélectionnez un opérateur.
  8. Saisissez une valeur ou sélectionnez-en une dans la liste déroulante.
  9. (Facultatif) Pour ajouter d'autres critères de recherche, répétez les étapes 4 à 7.
  10. Cliquez sur Rechercher.
    Les résultats de la recherche dans l'outil d'investigation sont affichés dans un tableau en bas de la page.
  11. (Facultatif) Pour enregistrer votre enquête, cliquez sur Enregistrer puissaisissez un titre et une descriptionpuiscliquez sur Enregistrer.

Remarques

  • Dans l'onglet Générateur de conditions, les filtres sont représentés par des conditions avec des opérateurs AND/OR. L'onglet Filtre vous permet d'inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de la recherche.
  • Si vous avez donné un nouveau nom à un utilisateur, vous n'obtiendrez aucun résultat si vous lancez des requêtes avec son ancien nom. Par exemple, si vous changez AncienNom@exemple.com en NouveauNom@exemple.com, vous n'obtiendrez aucun résultat pour des événements liés à AncienNom@exemple.com.

Descriptions des attributs

Pour cette source de données, vous pouvez utiliser les attributs suivants lorsque vous recherchez des données d'événements de journaux :

 
Attribut Description

Nom de l'application de l'acteur

Cette colonne de données doit être ajoutée aux résultats de recherche. Pour en savoir plus, consultez Gérer les colonnes dans vos résultats de recherche.

Informations sur l'application utilisée pour effectuer l'action. Cliquez sur le nom dans les résultats de recherche pour ouvrir un panneau latéral et obtenir les informations suivantes sur l'application de l'acteur :

  • Nom de l'application de l'acteur : nom de l'application utilisée pour effectuer l'action (renseigné pour les applications tierces et, dans certains cas comme Gmail, pour les applications propriétaires)
  • ID client OAuth de l'acteur : identifiant de l'application tierce utilisée pour effectuer l'action
  • Usurpation d'identité : indique si l'application usurpait l'identité d'un utilisateur.
Remarque : Lorsque vous exportez les informations détaillées de cette colonne dans un fichier CSV (valeurs séparées par une virgule) ou dans Google Sheets, elles sont enregistrées sous forme de bloc de texte unique dans la cellule.
Extension de pièce jointe ID du navigateur Chrome
Hachage de pièce jointe Hachage SHA-256 de la pièce jointe
Famille de logiciels malveillants détectés dans les pièces jointes Catégorie de logiciels malveillants, si elle est détectée lors du traitement du message (par exemple, Ce contenu peut être dangereux, Programme malveillant connu ou Virus/ver informatique)
Nom de la pièce jointe Nom de la pièce jointe
Type de client Type de client Gmail (par exemple, Web, Android, iOS ou POP3)
Date La date et l'heure auxquelles l'événement s'est produit (selon le fuseau horaire par défaut de votre navigateur)
Délégué Adresse e-mail de l'utilisateur délégué ayant réalisé l'action au nom du propriétaire
Identifiant de session de l'appareil Identifiant unique généré pour la session utilisateur d'un client de messagerie
Domaine DKIM Domaine authentifié avec le mécanisme DKIM (Domain Keys Identified Mail)
Domaine Le domaine où l'action s'est produite
Événement Action consignée pour l'événement telle que Téléchargement de pièces jointes, Clic sur un lien, Envoi ou Affichage.
De (enveloppe) Adresse d'expéditeur dans l'enveloppe
De (adresse de l'en-tête) Adresse d'expéditeur dans l'en-tête, telle qu'elle apparaît dans les en-têtes du message (par exemple, user@example.com)
De (nom de l'en-tête) Nom à afficher pour l'en-tête de l'expéditeur, tel qu'il apparaît dans l'en-tête du message
Zone géographique Code ISO du pays défini selon l'adresse IP du relais
Contenant une pièce jointe E-mail incluant une pièce jointe
A un délégué Indique si un utilisateur délégué a réalisé l'action au nom du propriétaire
Adresse IP Adresse IP du client de messagerie à l'origine du message ou qui a interagi avec
Domaine du lien Domaines extraits des URL des liens présents dans le corps du message
ID du message ID unique du message figurant dans son en-tête
ID du projet OAuth ID de projet de la console Cloud du développeur qui s'est authentifié avec OAuth
Propriétaire Propriétaire de l'e-mail. Pour un message entrant, il s'agit du destinataire. Pour un message sortant, il s'agit de l'expéditeur.
Ressources

Liste des ressources associées à l'action. Cliquez sur les éléments suivants pour afficher les détails d'une ressource :

  • ID de ressource : identifiant de la ressource
  • Titre de la ressource : titre de la ressource
  • Type de ressource : élément Drive, e-mail, alerte, règle, etc.
  • Relation de la ressource : relation entre la ressource et l'événement
  • Libellé de ressource : liste des libellés de classification pour une ressource, y compris :
    • ID du libellé de ressource
    • Titre du libellé de ressource
    • Champ de libellé de ressource
      • ID du champ de libellé
      • Nom du champ de libellé
      • Type de champ de libellé : type de données du champ de libellé. Voici les valeurs possibles et leurs propriétés associées :
        • Texte
        • Nombre
        • Sélection : inclut l'ID, le nom à afficher et l'état "Avec badge".
        • Liste de sélections
        • Utilisateur : inclut l'adresse e-mail.
        • Liste des utilisateurs
        • Date
Remarque : Lorsque vous exportez les informations détaillées de cette colonne dans un fichier CSV (valeurs séparées par une virgule) ou dans Google Sheets, elles sont enregistrées sous forme de bloc de texte unique dans la cellule.
Domaine de l'expéditeur Domaine de l'expéditeur
Classification en tant que spam Classification du message en tant que spam (par exemple, Spam, Logiciel malveillant, Hameçonnage, Suspect ou Fiable (non spam))
Motif de la classification en tant que spam Motif de la classification du message comme spam (par exemple, Spam flagrant, Règle personnalisée, Réputation de l'expéditeur ou Pièce jointe suspecte
Domaine SPF Nom de domaine utilisé pour l'authentification SPF (Sender Policy Framework)
Objet Ligne d'objet de l'e-mail
Hachage des pièces jointes cibles Informations sur le hachage SHA256 d'une pièce jointe si un utilisateur interagit avec la pièce jointe d'un message
Famille de logiciels malveillants détectés dans les pièces jointes cibles Informations sur la famille de logiciels malveillants en pièce jointe si les utilisateurs interagissent avec la pièce jointe d'un message (par exemple, Ce contenu peut être dangereux, Programme malveillant connu ou Virus/ver informatique)
Nom des pièces jointes cibles Informations sur le nom d'une pièce jointe si les utilisateurs interagissent avec la pièce jointe d'un message
ID de Drive cible Informations sur l'ID Drive si les utilisateurs interagissent avec l'élément Drive d'un message
URL du lien cible Informations sur l'URL d'un lien si les utilisateurs interagissent avec le lien d'un message
À (enveloppe) Adresse de destinataire dans l'enveloppe
Source de trafic Indique si un e-mail est envoyé/reçu en interne (dans votre domaine) ou en externe

Prendre des mesures en fonction des résultats de recherche

Après avoir effectué une recherche dans l'outil d'investigation, vous pouvez agir sur les résultats. Vous pouvez par exemple effectuer une recherche basée sur des événements de journaux Gmail, puis, à l'aide de l'outil d'investigation, supprimer des messages spécifiques, envoyer des messages en zone de quarantaine, ou envoyer des messages vers la boîte de réception de certains utilisateurs. Pour en savoir plus sur les actions disponibles dans l'outil d'investigation, consultez Effectuer des actions en fonction des résultats de recherche.

Gérer vos enquêtes

Tout développer  |  Tout réduire et revenir en haut de la page

Afficher la liste d'enquêtes

Pour afficher la liste des enquêtes dont vous êtes le propriétaire et qui ont été partagées avec vous, cliquez sur Afficher les investigations . La liste des enquêtes inclut leurs noms, leurs descriptions et leurs propriétaires, ainsi que la date de la dernière modification. 

Cette liste vous permet d'intervenir sur les enquêtes que vous possédez, par exemple pour en supprimer une. Cochez la case correspondant à une enquête, puis cliquez sur Actions.

Remarque : Juste au-dessus de votre liste d'enquêtes, sous Accès rapide, vous pouvez afficher les enquêtes récemment enregistrées.

Configurer les paramètres de vos enquêtes

En tant que super-administrateur, cliquez sur Paramètres  pour effectuer les actions suivantes :

  • Modifier le fuseau horaire de votre événement. Le fuseau horaire s'applique aux conditions de recherche et aux résultats.
  • Activer ou désactiver l'option Exiger une validation. Pour en savoir plus, consultez Exiger une validation pour les actions groupées.
  • Activer ou désactiver Afficher le contenu. Ce paramètre permet aux administrateurs disposant des droits d'accès appropriés d'afficher le contenu.
  • Activer ou désactiver l'option Activer la justification des actions.

Pour en savoir plus et obtenir des instructions, consultez Configurer les paramètres de vos enquêtes.

Gérer les colonnes dans vos résultats de recherche

Vous pouvez contrôler l'affichage des colonnes de données dans les résultats de recherche. 

  1. En haut à droite du tableau des résultats de recherche, cliquez sur Gérer les colonnes .
  2. (Facultatif) Pour supprimer les colonnes actuelles, cliquez sur Supprimer l'élément .
  3. (Facultatif) Pour ajouter des colonnes, à côté de "Ajouter une colonne", cliquez sur la flèche vers le bas , puis sélectionnez la colonne de données.
    Répétez l'opération autant de fois que nécessaire.
  4. (Facultatif) Pour modifier l'ordre des colonnes, faites glisser leur nom.
  5. Cliquez sur Enregistrer.
Exporter des données à partir des résultats de recherche

Vous pouvez exporter les résultats d'une recherche dans l'outil d'investigation vers Google Sheets ou un fichier CSV. Pour savoir comment procéder, consultez Exporter les résultats de recherche.

Partager, supprimer et dupliquer des enquêtes

Pour enregistrer vos critères de recherche ou les partager avec d'autres utilisateurs, vous pouvez créer et enregistrer une enquête, puis la partager, la dupliquer ou la supprimer.

Pour en savoir plus, consultez Enregistrer et partager des enquêtes.

Quand et pendant combien de temps les données sont-elles disponibles ?

Pour en savoir plus sur les sources de données, consultez Conservation des données et temps de latence.

Articles associés

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Posez une question à la communauté de l'aide Obtenez des réponses de membres de la communauté
Contactez-nous Donnez-nous plus de détails pour que nous puissions vous aider
true
Démarrez dès aujourd'hui votre essai gratuit de 14 jours.

Messagerie professionnelle, stockage en ligne, agendas partagés, visioconférences et bien plus. Démarrez dès aujourd'hui votre essai gratuit de G Suite.

Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal
13364602190104015702
true
Rechercher dans le centre d'aide
false
true
true
true
true
true
73010
false
false
false
false