En fonction de votre édition Google Workspace, vous pouvez avoir accès à l'outil d'investigation de sécurité, qui offre des fonctionnalités plus avancées. Par exemple, les super-administrateurs peuvent identifier, trier et prendre les mesures adéquates concernant les problèmes de confidentialité et de sécurité. En savoir plus
En tant qu'administrateur de votre organisation, vous pouvez effectuer des recherches et examiner les problèmes liés au nouveau service de migration de données. Vous pouvez ainsi surveiller les activités de migration de données de votre organisation, résoudre les problèmes et vous assurer que tout fonctionne correctement. Vous pouvez voir qui a lancé une migration, le type de données transférées et l'état de chaque événement. Vous gardez ainsi le contrôle et comprenez exactement ce qui se passe avec vos données.
Rechercher des événements de journaux
Votre capacité à effectuer une recherche dépend de votre édition de Google Workspace, de vos droits d'administrateur et de la source des données. Vous pouvez effectuer une recherche sur tous les utilisateurs, quelle que soit leur édition de Google Workspace.
Outil d'audit et d'investigation
Pour exécuter une recherche portant sur les événements de journaux, choisissez d'abord une source de données. Sélectionnez ensuite un ou plusieurs filtres pour votre recherche.
-
Connectez-vous à la console d'administration Google avec un compte administrateur.
Si vous ne disposez pas d'un compte administrateur, vous ne pouvez pas accéder à la console d'administration.
-
Accédez à Menu
Reporting > Audit et enquête > Événements de journaux de la migration des données.
Vous devez disposer du droit d'administrateur Audit et enquête.
-
Pour filtrer les événements qui se sont produits avant ou après une date spécifique, sélectionnez Avant ou Après pour Date. Par défaut, les événements des sept derniers jours sont affichés. Vous pouvez sélectionner une autre période ou cliquer sur
pour supprimer le filtre de date.
- Cliquez sur Ajouter un filtre, puis sélectionnez un attribut.
- Dans la fenêtre pop-up, sélectionnez un opérateur
sélectionnez une valeur
- (Facultatif) Pour créer plusieurs filtres pour votre recherche, répétez cette étape.
- (Facultatif) Pour ajouter un opérateur de recherche, sélectionnez AND ou OR au-dessus de Ajouter un filtre.
- Cliquez sur Rechercher.
Remarque: L'onglet Filtre vous permet d'inclure des paires paramètres/valeurs simples pour filtrer les résultats de la recherche. Vous pouvez également utiliser l'onglet Générateur de conditions, dans lequel les filtres sont représentés par des conditions associées à des opérateurs AND/OR.
Outil d'investigation sur la sécurité
Pour lancer une recherche dans l'outil d'investigation de sécurité, choisissez d'abord une source de données. Sélectionnez ensuite une ou plusieurs conditions pour votre recherche. Pour chaque condition, sélectionnez un attribut, un opérateur et une valeur.
-
Connectez-vous à la console d'administration Google avec un compte administrateur.
Si vous ne disposez pas d'un compte administrateur, vous ne pouvez pas accéder à la console d'administration.
-
Accédez à Menu
Sécurité > Centre de sécurité > Outil d'investigation.
Vous devez disposer du droit d'administrateur Centre de sécurité.
- Cliquez sur Source de données, puis sélectionnez Événements de journal de migration de données.
-
Pour filtrer les événements qui se sont produits avant ou après une date spécifique, sélectionnez Avant ou Après pour Date. Par défaut, les événements des sept derniers jours sont affichés. Vous pouvez sélectionner une autre période ou cliquer sur
- Cliquez sur Ajouter une condition.
Conseil : Vous pouvez inclure une ou plusieurs conditions dans votre recherche ou la personnaliser avec des requêtes imbriquées. Pour en savoir plus, consultez Personnaliser votre recherche avec des requêtes imbriquées. - Cliquez sur Attribut
Pour obtenir la liste complète des attributs, consultez Descriptions des attributs ci-dessous. - Sélectionnez un opérateur.
- Saisissez une valeur ou sélectionnez-en une dans la liste déroulante.
- (Facultatif) Pour ajouter d'autres critères de recherche, répétez les étapes 4 à 7.
- Cliquez sur Rechercher.
Les résultats de la recherche dans l'outil d'investigation sont affichés dans un tableau en bas de la page. - (Facultatif) Pour enregistrer votre enquête, cliquez sur Enregistrer
Remarques
- Dans l'onglet Générateur de conditions, les filtres sont représentés par des conditions avec des opérateurs AND/OR. L'onglet Filtre vous permet d'inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de la recherche.
- Si vous avez donné un nouveau nom à un utilisateur, vous n'obtiendrez aucun résultat si vous lancez des requêtes avec son ancien nom. Par exemple, si vous changez AncienNom@exemple.com en NouveauNom@exemple.com, vous n'obtiendrez aucun résultat pour des événements liés à AncienNom@exemple.com.
- Vous ne pouvez rechercher des données que dans les messages qui n'ont pas encore été supprimés de la corbeille.
Descriptions des attributs
Pour cette source de données, vous pouvez utiliser les attributs suivants lorsque vous recherchez des données d'événements de journaux :
| Attribut | Description |
|---|---|
| Événement | Action d'événement consigné. Il peut s'agir d'une action effectuée par l'administrateur dans le nouveau service de migration de données (par exemple, créer une connexion, démarrer une migration ou quitter une migration). Il peut également s'agir d'une action effectuée par l'outil de migration pendant une migration (par exemple, la création d'un libellé Gmail ou d'un fichier Google Drive). Pour en savoir plus sur les événements de migration de données, consultez Vérifier les événements en lien avec le nouveau service de migration de données. |
| Description |
Description de l'événement. Exemple :
|
| Type de migration | Type de migration : migration Chat, migration Gmail, migration Exchange Online ou migration OneDrive, par exemple. |
| Type d'événement |
Type d'événement effectué dans le nouveau service de migration de données.
|
| État de l'événement | État de l'événement : Réussite, Ignoré, Échec ou Réussite avec avertissements, par exemple. |
| ID d'exécution | Identifiant de l'exécution associée à la migration. Chaque fois que vous exécutez une migration, un ID d'exécution est émis. Vous pouvez utiliser cet ID pour mettre en corrélation les événements de journaux avec les migrations et les rapports précédents. |
| Type de source |
Disponible uniquement pour les événements de migration (voir "Type d'événement"). Type de source des données migrées : message Microsoft Teams, fichier Microsoft OneDrive ou message IMAP, par exemple. |
| Type de cible |
Disponible uniquement pour les événements de migration (voir "Type d'événement"). Type cible des données migrées : message Gmail, espace Google Chat, fichier Drive, par exemple. |
| Identifiant source |
Disponible uniquement pour les événements de migration (voir "Type d'événement"). Identifiant de l'objet source qui est migré : un identifiant de canal, de message d'espace ou de message Gmail, par exemple. Pour obtenir la liste complète des identifiants sources, consultez Descriptions des identifiants. |
| URI source |
Disponible uniquement pour les événements de migration (voir "Type d'événement"). Métadonnées de l'objet source migré : LabelName, Rfc822Id ou File name, par exemple. Pour obtenir la liste complète, consultez Descriptions des identifiants. |
| Identifiant cible |
Événement de migration : identifiant de l'objet cible vers lequel les données sont migrées. Événement de configuration de la migration : identifiant de la ressource. ConnectionId, MigrationMapId, SettingsId ou ExecutionId, par exemple. Pour obtenir la liste complète, consultez Descriptions des identifiants. |
| URI cible |
Événement de migration : métadonnées de l'objet cible en cours de migration. Événement de configuration de la migration : métadonnées de la ressource. Par exemple, nom de la connexion, nom du paramètre ou nom de la carte de migration. |
| Code d'état HTTP | Code HTTP de l'état de l'événement. Pour en savoir plus sur les codes HTTP, consultez la page Codes d'état HTTP. |
| Message d'erreur | Message d'erreur ou d'avertissement de l'événement en cas d'échec ou d'état d'avertissement. |
| Acteur | Adresse e-mail de l'administrateur qui a lancé la migration. |
| Date | Date et heure auxquelles l'événement s'est produit (affichées dans le fuseau horaire par défaut de votre navigateur). |
Gérer les données d'événement des journaux
Vous pouvez contrôler l'affichage des colonnes de données dans les résultats de recherche.
- En haut à droite du tableau des résultats de recherche, cliquez sur Gérer les colonnes
.
- (Facultatif) Pour supprimer les colonnes actuelles, cliquez sur Supprimer
- (Facultatif) Pour ajouter des colonnes, à côté de Ajouter une colonne, cliquez sur la flèche vers le bas
, puis sélectionnez la colonne de données.
Répétez l'opération autant de fois que nécessaire. - (Facultatif) Pour modifier l'ordre des colonnes, faites glisser leur nom.
- Cliquez sur Enregistrer.
Vous pouvez exporter les résultats de recherche dans Sheets ou un fichier CSV.
- En haut du tableau des résultats de recherche, cliquez sur Tout exporter.
- Saisissez un nom
L'exportation s'affiche sous le tableau des résultats de recherche sous Résultats de l'exportation. - Pour afficher les données, cliquez sur le nom de votre exportation.
L'exportation s'ouvre dans Sheets.
Les limites d'exportation varient :
- Le total des résultats de l'exportation est limité à 100 000 lignes.
- Si vous disposez de l'outil d'investigation sur la sécurité, le total des résultats de l'exportation est limité à 30 millions de lignes.
Pour en savoir plus, consultez Exporter les résultats d'une recherche.
Intervenir en fonction des résultats de recherche
- Vous pouvez configurer des alertes en fonction des données des événements de journaux à l'aide de règles de reporting. Pour savoir comment procéder, consultez Créer et gérer des règles de reporting.
- Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition
Afin de prévenir, de détecter et de résoudre les problèmes de sécurité de façon efficace, vous pouvez automatiser les actions de l'outil d'investigation de sécurité et configurer des alertes en créant des règles d'activité. Pour définir une règle, vous devez configurer ses conditions, puis spécifier les actions à effectuer lorsque les conditions sont remplies. Pour en savoir plus et obtenir des instructions, consultez Créer et gérer des règles d'activité.
Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition
Après avoir effectué une recherche dans l'outil d'investigation de sécurité, vous pouvez agir sur les résultats. Vous pouvez par exemple effectuer une recherche basée sur des événements de journaux Gmail, puis, à l'aide de l'outil, supprimer des messages spécifiques, envoyer des messages en zone de quarantaine, ou envoyer des messages vers la boîte de réception de certains utilisateurs. Pour en savoir plus, consultez Effectuer des actions en fonction des résultats de recherche.
Gérer vos investigations
Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus ; Cloud Identity Premium. Comparer votre édition
Afficher la liste d'enquêtesPour afficher la liste des investigations dont vous êtes le propriétaire et qui ont été partagées avec vous, cliquez sur Afficher les investigations . La liste des enquêtes inclut leurs noms, leurs descriptions et leurs propriétaires, ainsi que la date de la dernière modification.
Cette liste vous permet d'intervenir sur les enquêtes que vous possédez, par exemple pour en supprimer une. Cochez la case correspondant à une enquête, puis cliquez sur Actions.
Remarque : Juste au-dessus de votre liste d'enquêtes, sous Accès rapide, vous pouvez afficher les enquêtes récemment enregistrées.
En tant que super-administrateur, cliquez sur Paramètres pour effectuer les actions suivantes :
- Modifier le fuseau horaire de votre événement. Le fuseau horaire s'applique aux conditions de recherche et aux résultats.
- Activer ou désactiver l'option Exiger une validation. Pour en savoir plus, consultez Exiger une validation pour les actions groupées.
- Activer ou désactiver Afficher le contenu. Ce paramètre permet aux administrateurs disposant des droits d'accès appropriés d'afficher le contenu.
- Activer ou désactiver l'option Activer la justification des actions.
Pour en savoir plus et obtenir des instructions, consultez Configurer les paramètres de vos enquêtes.
Pour enregistrer vos critères de recherche ou les partager avec d'autres utilisateurs, vous pouvez créer et enregistrer une enquête, puis la partager, la dupliquer ou la supprimer.
Pour en savoir plus, consultez Enregistrer et partager des enquêtes.
Articles associés
- Utiliser l'outil d'investigation avec le tableau de bord de sécurité
- Créer un graphique personnalisé basé sur une investigation
- Lancer une enquête à partir du centre d'alerte
- Examiner les rapports d'e-mails malveillants
- Effectuer une recherche dans le partage de fichiers
- Rechercher des utilisateurs dans différentes sources de données
Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.
