Журнал аудита администратора

Просмотр действий, выполненных в консоли администратора

В некоторых версиях Google Workspace вы можете получить доступ к инструменту "Анализ безопасности" с расширенными функциями. Например, суперадминистраторы могут идентифицировать, сортировать и устранять проблемы, связанные с конфиденциальностью и безопасностью. Подробнее…

Как администратор организации, вы можете искать и устранять проблемы с безопасностью, связанные с событиями журнала администратора. Например, вы можете проверять записи о действиях, выполненных в консоли администратора Google (например, о случаях, когда администратор добавил пользователя или включил сервис Google Workspace).

Как пересылать данные о событиях в Google Cloud

Вы можете предоставить Google Cloud доступ к данным о событиях. В этом случае данные будут пересылаться в Cloud Logging, где можно просматривать журналы, выполнять по ним поиск, а также управлять их маршрутизацией и хранением.

Как искать события журнала

Возможность поиска в инструменте "Анализ безопасности" зависит от версии сервиса Google, назначенных прав администратора и источника данных. Вы можете искать действия всех пользователей, независимо от того, какая у них версия Google Workspace.

Инструмент "Аудит и анализ"

Чтобы выполнить поиск событий в журнале, сначала выберите источник данных. Затем добавьте один или несколько фильтров.

  1. Войдите в консоль администратора Google как администратор.

    Войти в консоль администратора можно, только если вы используете аккаунт администратора.

  2. Нажмите на значок меню а затем Отчеты > Аудит и анализ > Журнал аудита администратора.

    Вам необходимо использовать аккаунт администратора с доступом к отчетам.

  3. Нажмите Добавить фильтр и выберите атрибут.
  4. Во всплывающем окне выберите оператора затемвыберите значениеа затемнажмите Применить.
    • Если нужно создать несколько фильтров результатов поиска, повторите этот шаг.
    • Если нужно добавить оператор поиска, над элементом Добавить фильтр выберите И или ИЛИ.
    • Если нужно создать несколько фильтров результатов поиска, повторите этот шаг.
    • Если нужно добавить оператор поиска, над элементом Добавить фильтр выберите И или ИЛИ.
  5. Нажмите Поиск.
  6. Примечание. С помощью вкладки Фильтр можно включить простые пары параметров и значений, чтобы отфильтровать результаты поиска. Кроме того, вы можете использовать вкладку Конструктор условий, на которой фильтры представлены в виде условий с операторами И/ИЛИ.

Инструмент "Анализ безопасности"

Эта функция доступна в версиях Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

Чтобы выполнить поиск в инструменте "Анализ безопасности", сначала выберите источник данных. Затем добавьте одно или несколько условий поиска и для каждого из них выберите атрибут, оператор и значение.

  1. Войдите в консоль администратора Google как администратор.

    Войти в консоль администратора можно, только если вы используете аккаунт администратора.

  2. Нажмите на значок меню а затем Безопасность > Центр безопасности > Инструмент "Анализ безопасности".

    У вас должны быть права администратора с доступом к центру безопасности.

  3. Нажмите Источник данных и выберите Журнал аудита администратора.
  4. Нажмите Добавить условие.
    Совет. Вы можете указать одно или несколько условий или использовать вложенные запросы. Подробнее о том, как использовать вложенные запросы при поиске
  5. Нажмите Атрибута затемвыберите нужный вариант.
    Полный список атрибутов приведен в разделе Описания атрибутов ниже.
  6. Выберите оператор.
  7. Введите значение или выберите его в раскрывающемся списке.
  8. Если нужно добавить дополнительные условия поиска, повторите шаги 4–7.
  9. Нажмите Поиск.
    Результаты поиска в инструменте "Анализ безопасности" показываются в таблице в нижней части страницы.
  10. Чтобы сохранить анализ, нажмите Сохранить а затемвведите название и описаниеа затемСохранить.

Примечания

  • На вкладке Конструктор условий фильтры представлены в виде условий с операторами И/ИЛИ. На вкладке Фильтр можно выбрать простые пары параметров и значений, чтобы отфильтровать результаты поиска.
  • Если пользователь был переименован, поиск не даст результатов для его прежнего имени. Например, если OldName@example.com заменили на NewName@example.com, в результатах поиска не будет событий, связанных с пользователем OldName@example.com.

Описания атрибутов

При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:

Атрибут Описание
Действия* Действия администратора, при которых он использовал инструмент "Анализ безопасности" или правило действий. Более подробные сведения о том, что он может в таких случаях предпринимать, вы найдете в статье Какие действия можно выполнять с результатами поиска.
Исполнитель

Адрес электронной почты пользователя, совершившего действие. Вместо такого адреса может быть указана следующая информация:

  • Менеджер лицензий. Эта информация приводится в случае, если действие администратора привело к изменению лицензии пользователя.
  • Сервисный аккаунт. Он будет указан, если действие выполнено администратором сервисного аккаунта.
  • Анонимный пользователь. Указывается, если действие выполнено администратором сервисного аккаунта.
Название группы

Название группы, к которой относится исполнитель. Подробнее о том, как фильтровать результаты по группе Google

Чтобы добавить группу в белый список групп фильтрации:

  1. Выберите Название группы.
  2. Выберите Группы фильтрации.
    Откроется соответствующая страница.
  3. Нажмите Добавить группы.
  4. Найдите группу: начните вводить ее название или адрес электронной почты, а затем выберите нужный вариант из списка предложений.
  5. Если вы хотите добавить ещё одну группу, найдите и выберите ее.
  6. Когда группы будут выбраны, нажмите Добавить.
  7. Если вы хотите удалить группу, нажмите на значок "Удалить группу" рядом с ней.
  8. Нажмите Сохранить.
Организационное подразделение исполнителя Организационное подразделение, к которому относится исполнитель.
Дополнительная информация Дополнительные данные, относящиеся к контексту события.
Дата начала* Укажите дату начала и дату окончания, чтобы увидеть события, которые произошли в заданное время, например события "Детализированный анализ диаграммы". Примечание. Чтобы выполнить поиск событий в определенном диапазоне дат, используйте атрибут Дата.
Источник данных* Источник данных в инструменте "Анализ безопасности" или источник оповещения в Центре оповещений.
Дата Дата и время, когда произошло событие (указывается в часовом поясе, установленном в вашем браузере по умолчанию).
Идентификатор устройства* Идентификатор устройства, затронутого этим событием аудита. Например, если администратор стирает данные с корпоративного устройства, то в этом поле сохраняется идентификатор устройства.
Тип устройства Тип устройства, затронутого этим событием аудита. Например, если администратор стирает данные с корпоративного устройства, то в этом поле сохраняется тип устройства.
Доменное имя Домен, в котором было выполнено действие.
Дата окончания* Укажите дату начала и дату окончания, чтобы увидеть события, которые произошли в заданное время, например события "Детализированный анализ диаграммы". Примечание. Чтобы выполнить поиск событий в определенном диапазоне дат, используйте атрибут Дата.
Событие

Действие в зарегистрированном событии, например Запрос анализа или Создание правила активности.

В разделе Значение события приведен список событий, объединенных в группы, например по категориям Настройки пользователя или Настройки домена. Большинство значений имеют понятные названия, разъясняющие их суть. Например, Добавление приложения в разделе Настройки домена – это значение, позволяющее найти приложение, которое было добавлено в ваш домен. Вы можете искать события при помощи окна поиска.

Совет. Если вы часто используете некоторые значения событий, закрепите эти события в верхней части раскрывающегося меню.

Версия Google Workspace* Версия Google Workspace для администратора, который выполняет действия и указан в атрибуте "Исполнитель".

Адрес электронной почты группы

Адрес электронной почты группы Google, затронутой этим действием.
IP-адрес IP-адрес, с которого было совершено зарегистрированное действие. Обычно соответствует местоположению администратора, но это может быть и адрес прокси-сервера или виртуальной частной сети (VPN).
Причина* Если для выполнения действия необходимо предоставить обоснование, то его текст составляется администратором.
Идентификатор сообщения* Идентификатор сообщения электронного письма, затронутого событием аудита.
Новое значение* Новое значение настройки в случае ее изменения.
Старое значение* Старое значение измененной настройки.
Идентификаторы ресурса* Идентификаторы одного или нескольких ресурсов, затронутых событием аудита.
Название ресурса* Название ресурса, затронутого событием аудита.
Тип ресурса* Тип ресурса, затронутого событием аудита.
Поисковый запрос Запрос, который осуществляется для получения и обработки данных. Например, к этой категории относятся запросы, которые используются при поиске с помощью инструмента "Анализ безопасности", при создании правил активности или при создании пакета разгрузки памяти электронной почты.
Категория настройки Категория измененной настройки.
Название настройки Название измененной настройки.
Название организационного подразделения, к которому относится параметр Настройки в консоли администратора можно ограничить организационным подразделением. Когда обновление настроек распространяется на организационное подразделение, в этом поле отображается название такого подразделения.
Адресат* Электронный адрес пользователя, имеющего отношение к событию. Например, адрес, добавленный для отслеживания электронной почты, или адрес электронной почты проверяющего при выполнении массового действия в инструменте "Анализ безопасности".
Всего затронутых объектов* Общее количество объектов, затронутых событием аудита. Например, это может быть количество пользователей, которые были загружены при массовой загрузке пользователей в группу, или количество действий, которые были запущены в рамках активации правила активности. Это поле является контекстным и зависит от события.
Всего сбоев* Общее количество невыполненных операций. Например, это может быть количество пользователей, которых не удалось добавить при массовой загрузке пользователей в группу, или количество действий, которые не были выполнены в рамках активации правила активности. Это поле является контекстным и зависит от события.
Адрес электронной почты пользователя Адрес электронной почты пользователя, совершившего действие.
*С помощью этих фильтров нельзя добавлять правила создания отчетов. Подробнее о различиях между правилами создания отчетов и правилами действий

Примечание. Если пользователь был переименован, поиск по его прежнему имени не даст результатов. Например, если StaroeImya@example.com заменить на NovoeImya@example.com, в результатах поиска не будет событий, связанных с пользователем StaroeImya@example.com.

Как работать с данными о событиях в журнале

Как управлять столбцами данных в результатах поиска

Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.

  1. В правой верхней части таблицы с результатами поиска нажмите на значок "Управление столбцами" .
  2. Чтобы удалить отображаемые столбцы, нажмите "Удалить" .
  3. Чтобы добавить столбцы, рядом с надписью Добавить столбец нажмите на стрелку вниз и выберите вариант из списка.
    При необходимости повторите действия для другого запроса.
  4. Чтобы изменить порядок столбцов, перетащите их названия.
  5. Нажмите Сохранить.

Как экспортировать результаты поиска

Результаты поиска можно экспортировать в таблицу Google или CSV-файл.

  1. В верхней части таблицы результатов поиска нажмите Экспортировать все.
  2. Введите название а затем нажмите Экспорт.
    Экспортированные данные будут показаны под таблицей с результатами поиска в разделе Результаты выполнения действия "Экспорт".
  3. Чтобы посмотреть экспортированные данные, нажмите на название файла.
    Данные откроются в Google Таблицах.

На экспорт накладываются различные ограничения:

  • Ограничение на объем экспорта результатов: 100 000 строк.
  • Эта функция доступна в версиях Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

    Если у вас есть инструмент "Анализ безопасности", всего можно экспортировать не более 30 млн строк (10 000 строк для писем Gmail).

Подробнее об экспорте результатов поиска

Когда данные становятся доступны и как долго они хранятся?

Подробная информация приведена в статье Задержки при обновлении отчетов и сроки хранения данных.

Какие действия можно выполнить с результатами поиска

Как создавать правила активности и настраивать оповещения
  • Вы можете настроить оповещения на основе данных о событиях журнала, используя правила создания отчетов. Подробнее о том, как работать с правилами создания отчетов и настраивать оповещения
  • Эта функция доступна в версиях Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

    Чтобы эффективнее предотвращать, выявлять и исправлять проблемы с безопасностью, вы можете автоматизировать действия в инструменте "Анализ безопасности" и настроить оповещения с помощью правил активности. Для каждого правила нужно задать условия и указать, какие действия следует выполнять при соблюдении этих условий. Подробнее о том, как создавать правила активности

Действия с результатами поиска

Эта функция доступна в версиях Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

Результаты поиска, полученные с помощью инструмента "Анализ безопасности", можно использовать для разных целей. Например, сообщения, найденные при поиске по событиям журнала Gmail, можно удалять, отправлять в карантин или помещать в папки "Входящие" пользователей. Подробнее о том, какие действия можно выполнять с результатами поиска

Как управлять процессом анализа

Эта функция доступна в версиях Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

Как посмотреть список анализов

Чтобы посмотреть список анализов, которые вам принадлежат или к которым вам предоставлен доступ, нажмите на значок "Посмотреть список анализов" . В списке указаны названия, описания и владельцы анализов, а также дата их последнего изменения.

На странице со списком можно выполнять действия с любыми принадлежащими вам анализами, например удалять их. Для этого установите флажок рядом с нужным анализом и нажмите Действия.

Примечание. Над списком анализов в разделе Быстрый доступ также отображаются недавно сохраненные результаты анализов.

Как задать настройки анализа

Войдите в систему как суперадминистратор и нажмите на значок "Настройки" . В этом меню можно выполнить следующие действия:

  • Изменить часовой пояс для анализов. Он применяется ко всем условиям и результатам поиска.
  • Включить или отключить параметр Запросить проверку. Подробные сведения о нем можно найти в статье Как включить обязательную проверку массовых действий.
  • Включить или отключить параметр Просмотр контента. С его помощью вы можете предоставить администраторам право просматривать содержимое.
  • Включить или отключить параметр Включить обоснование действия.

Подробные сведения и инструкции приведены в статье Как задавать настройки анализа.

Как копировать анализы, удалять их и предоставлять к ним доступ

Чтобы сохранить параметры поиска или поделиться ими с другими пользователями, вы можете создать и сохранить анализ, а затем предоставить к нему доступ, копировать или удалить его.

Подробную информацию можно найти в статье Как сохранять результаты анализа и предоставлять к ним доступ.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
3811053752202337546
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false
false