Eventos de registro de acciones para datos de administrador

En función de la edición de Google Workspace que tengas, es posible que tengas acceso a la herramienta de investigación de seguridad, que tiene funciones más avanzadas. Por ejemplo, los superadministradores pueden identificar, clasificar y abordar problemas de seguridad y privacidad. Más información

Como administrador de tu organización, puedes hacer búsquedas y tomar medidas con respecto a problemas de seguridad relacionados con los eventos de registro de acciones para datos de administrador. Puedes consultar un registro de las acciones realizadas en la consola de administración de Google o en la API Reports del SDK de administrador de Google Workspace; por ejemplo, cuando un administrador ha accedido a datos sensibles de un evento, los ha eliminado o los ha restaurado.

Reenviar datos de eventos de registro a Google Cloud

Puedes aceptar compartir los datos de eventos de registro con Google Cloud. Si lo haces, esos datos se envían a Cloud Logging, donde podrás consultar tus registros y controlar cómo se enrutan y almacenan.

Buscar eventos de registro

(Opción avanzada) Si quieres automatizar las consultas al hacer una búsqueda, puedes usar la API Reports del SDK de administrador en su lugar. Consulta más información en descripción general de la API Reports.

La posibilidad de hacer una búsqueda depende de la edición de Google, de los privilegios de administrador y de la fuente de datos. Puedes hacer una búsqueda con todos los usuarios, independientemente de su edición de Google Workspace.

Herramienta de auditoría y de investigación

Herramienta de investigación de seguridad

Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

Para hacer una búsqueda en la herramienta de investigación de seguridad, primero debes elegir una fuente de datos. A continuación, elige una o varias condiciones para la búsqueda. Elige un atributo, un operador y un valor para cada condición.

Inicia sesión con una cuenta de administrador en consola de administración de Google.
Si no usas una cuenta de administrador, no podrás acceder a la consola de administración.
Ve a Menú Seguridad > Centro de Seguridad > Herramienta de investigación.
Se necesita el privilegio de administrador Centro de Seguridad.
Haz clic en Fuente de datos y selecciona Eventos de registro de acciones para datos de administrador.
Haz clic en Añadir condición.
Nota: Puedes incluir una o varias condiciones en tu búsqueda o personalizarla con consultas anidadas. Consulta más información en el artículo Personalizar la búsqueda con consultas anidadas.
Haz clic en Atributoselecciona una opción.
Para ver una lista completa de los atributos, consulta la sección Descripciones de atributos que aparece abajo.
Selecciona un operador.
Introduce un valor o selecciona uno en la lista desplegable.
(Opcional) Para añadir más condiciones de búsqueda, repite los pasos del 4 al 7.
Haz clic en Buscar.
Los resultados de búsqueda de la herramienta de investigación se muestran en una tabla en la parte inferior de la página.
(Opcional) Para guardar la investigación, haz clic en Guardarintroduce un título y una descripciónhaz clic en Guardar.

Nota:

En la pestaña Creador de condiciones, los filtros se representan como condiciones con los operadores AND/OR. En la pestaña Filtro también puedes incluir pares simples de parámetros y valores para filtrar los resultados de búsqueda.
Si has asignado un nuevo nombre a un usuario, en la consulta no aparecerán los resultados correspondientes a su nombre antiguo. Por ejemplo, si has cambiado NombreAntiguo@example.com a NuevoNombre@example.com, no aparecerán resultados de eventos relacionados con NombreAntiguo@example.com.

Descripciones de atributos

En esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro:

Atributo	Descripción
Actor	La dirección de correo del usuario que realizó la acción.
Fuente de datos de evento objetivo	Aplicación desde la que se accedió a los datos, se eliminaron o se restauraron. Un evento puede identificarse de forma inequívoca mediante tres campos: ID de evento Nombre de la fuente de datos Hora a la que se produjo el evento
Fecha	Fecha y hora en las que se ha producido el evento (se muestran en la zona horaria predeterminada de tu navegador).
IDs de evento objetivo	IDs de eventos de los datos a los que se ha accedido, que se han eliminado o que se han restaurado. Un evento puede identificarse de forma inequívoca mediante tres campos: ID de evento Nombre de la fuente de datos Hora a la que se produjo el evento
Consulta de búsqueda	Filtros aplicados en la consulta que se usan para obtener o procesar datos.
Justificación	La explicación proporcionada por el administrador, si la acción requería un texto justificativo.
Fecha de evento objetivo	Fecha en la que se produjo el evento objetivo. Un evento puede identificarse de forma inequívoca mediante tres campos: ID de evento Nombre de la fuente de datos Hora a la que se produjo el evento