Події в журналах адміністратора

Перегляд дій, що виконуються в Консолі адміністратора

Залежно від версії Google Workspace ви можете мати доступ до інструмента "Аналіз безпеки", у якому доступні розширені функції. Наприклад, суперадміністратори можуть виявляти, сортувати й усувати проблеми з безпекою і конфіденційністю. Докладніше

Як адміністратор організації ви можете шукати й усувати проблеми з безпекою, пов’язані з подіями в журналі адміністратора. Наприклад, ви маєте змогу відстежувати записи про дії, виконані в Консолі адміністратора Google (як-от записи про випадки, коли адміністратор додав користувача чи ввімкнув сервіс Google Workspace).

Як надсилати дані про події в журналі в Google Cloud

Ви можете надати Google Cloud доступ до даних про події. Якщо ввімкнути спільний доступ, дані передаватимуться в Cloud Logging, де ви зможете надсилати запити й переглядати журнали, а також керувати їх маршрутизацією і зберіганням.

Тип даних про події в журналі, які можна надсилати в Google Cloud, залежить від облікового запису Google Workspace, Cloud Identity або Essentials.

Як шукати події в журналі

Можливість виконання пошуку залежить від версії Google, прав адміністратора й джерела даних. Ви можете виконувати пошук усіх користувачів незалежно від їхньої версії Google Workspace.

Інструмент "Аудит і аналіз безпеки"

Щоб знайти події в журналі, спершу виберіть джерело даних, а потім додайте принаймні один фільтр.

  1. Відкрийте Консоль адміністратора Google.

    Увійдіть за допомогою облікового запису адміністратора (не закінчується на @gmail.com).

  2. У Консолі адміністратора натисніть значок потім Звіти потім Аудит і аналіз потім Події в журналі адміністратора.
  3. Натисніть Додати фільтр і виберіть атрибут.
  4. У спливаючому вікні виберіть оператор потім виберіть значення потім натисніть Застосувати.
    • (Необов’язково) Щоб створити кілька фільтрів для пошукового запиту, виконайте цей крок потрібну кількість разів.
    • (Необов’язково) Щоб додати оператор пошуку, над пунктом Додати фільтр виберіть І чи АБО.
    • (Необов’язково) Щоб створити кілька фільтрів для пошукового запиту, виконайте цей крок потрібну кількість разів.
    • (Необов’язково) Щоб додати оператор пошуку, над пунктом Додати фільтр виберіть І чи АБО.
  5. Натисніть Пошук.

  6. Підказка. Щоб фільтрувати результати пошуку, на вкладці Фільтр можна включити прості пари параметрів і значень. Крім того, на вкладці Конструктор умов фільтри представлено як умови з операторами І/АБО.

Інструмент аналізу безпеки

Ця функція підтримується в таких версіях: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus і Cloud Identity Premium. Compare your edition

Щоб виконати пошук в інструменті "Аналіз безпеки", спершу виберіть джерело даних. Потім виберіть принаймні одну умову для пошуку. Для кожної умови виберіть атрибут, оператор і значення

  1. Відкрийте Консоль адміністратора Google.

    Увійдіть за допомогою облікового запису адміністратора (не закінчується на @gmail.com).

  2. У Консолі адміністратора натисніть значок потім Безпека потім Центр безпеки потім Інструмент "Аналіз безпеки".
  3. Натисніть Джерело даних і виберіть Події в журналі адміністратора.
  4. Натисніть Додати умову.
    Підказка. Ви можете вказати одну чи кілька умов у своєму пошуковому запиті або налаштувати пошук за допомогою вбудованих запитів. Щоб дізнатися більше, перегляньте цю статтю.
  5. Натисніть Атрибут потім виберіть потрібний варіант.
    Повний список атрибутів наведено в розділі Описи атрибутів (далі на цій сторінці).
  6. Виберіть оператор.
  7. Введіть значення або виберіть значення зі списку.
  8. (Необов’язково) Щоб додати інші умови пошуку, повторіть кроки 4–7.
  9. Натисніть Пошук.
    Результати пошуку в інструменті "Аналіз безпеки" можна переглянути в таблиці внизу сторінки.
  10. Необов’язково: щоб зберегти аналіз, натисніть значок потім введіть назву й опис потім натисніть Зберегти.

Примітки

  • На вкладці Конструктор умов фільтри представлено як умови з операторами "І/АБО". Щоб фільтрувати результати пошуку, на вкладці Фільтр можна включити прості пари параметрів і значень.
  • Якщо змінити ім’я користувача, пошук за його старим іменем не дасть результатів. Наприклад, якщо stareimia@example.com перейменувати на noveimia@example.com, у результатах пошуку не буде подій, пов’язаних із stareimia@example.com.

Опис атрибутів

Для цього джерела даних можна використовувати такі атрибути під час пошуку даних про події в журналі:

Атрибут Опис
Дії* Дії, які виконує адміністратор за допомогою інструмента аналізу безпеки або правила для дії. Щоб дізнатися більше про те, які дії може виконувати адміністратор, перегляньте цю статтю
Виконавець

Електронна адреса користувача, який виконав дію. Замість електронної адреси можуть відображатися наведені нижче назви. 

  • Менеджер ліцензій. Указується, якщо дія адміністратора активує зміну ліцензії користувача.
  • Сервісний обліковий запис. Указується, якщо дію виконав адміністратор сервісного облікового запису.
  • Анонімний користувач. Указується, якщо дію виконав адміністратор сервісного облікового запису.
Назва групи виконавця

Назва групи виконавця Щоб дізнатися більше, перегляньте статтю Фільтрування результатів за групами Google.

Щоб додати групу до списку дозволених, виконайте наведені нижче дії.

  1. Виберіть Назва групи.
  2. Натисніть Групи фільтрування.
    Відкриється відповідна сторінка.
  3. Натисніть Додати групи.
  4. Знайдіть групу, ввівши перші кілька символів її назви або електронної адреси. Виберіть потрібну групу.
  5. (Необов’язково) Щоб додати іншу групу, знайдіть і виберіть її.
  6. Вибравши групи, натисніть Додати.
  7. (Необов’язково) Щоб вилучити групу, натисніть значок .
  8. Натисніть Зберегти.
Організаційний підрозділ виконавця Організаційний підрозділ, до якого належить виконавець.
Додаткова інформація Додаткова контекстна інформація про подію.
Дата початку* За допомогою параметрів Дата початку й Дата завершення можна фільтрувати події, які включають певний діапазон дат початку й завершення, наприклад події "Деталізація діаграми". Примітка. Для пошуку подій у певному діапазоні дат використовуйте атрибут Дата.
Джерело даних* Джерело даних в інструменті "Аналіз безпеки" або джерело сповіщень у Центрі сповіщень.
Дата Дата й час події (відображається в часовому поясі за умовчанням вебпереглядача).
Ідентифікатор пристрою* Ідентифікатор пристрою, на який вплинула ця подія аудиту. Наприклад, якщо адміністратор видалить усі дані з корпоративного пристрою, у цьому полі відображатиметься ідентифікатор пристрою.
Тип пристрою Тип пристрою, на який вплинула ця подія аудиту. Наприклад, якщо адміністратор видалить усі дані з корпоративного пристрою, у цьому полі відображатиметься тип пристрою.
Доменне ім’я Домен, у якому відбулася дія
Дата завершення* За допомогою параметрів Дата початку й Дата завершення можна фільтрувати події, які включають певний діапазон дат початку й завершення, наприклад події "Деталізація діаграми". Примітка. Для пошуку подій у певному діапазоні дат використовуйте атрибут Дата.
Подія

Зареєстрована дія події, наприклад Запит на дослідження або Створення правила для дії

У розділі Значення події вказано список подій, об’єднаних у групи, наприклад за категоріями Налаштування користувача або Налаштування домену. Більшість значень подій мають зрозумілі назви. Наприклад, Установити додаток у розділі Налаштування домену – це значення пошуку для додатка, який було включено у ваш домен. Ви можете шукати події за допомогою поля пошуку.

Порада. Якщо ви часто використовуєте значення подій, закріпіть їх угорі спадного меню. 
Версія Google Workspace* Версія Google Workspace для адміністратора ("Виконавця"), який виконав дію.

Електронна адреса групи

 Електронна адреса групи Google, на яку вплинула ця дія.
IP-адреса IP-адреса, пов’язана із зареєстрованою дією. Зазвичай відображає фізичне місцезнаходження користувача, але може бути проксі-сервером або адресою віртуальної приватної мережі (VPN).
Обґрунтування* Якщо для виконання дії необхідно надати обґрунтування, його текст складається адміністратором.
Ідентифікатор повідомлення* Ідентифікатор електронного повідомлення, на яке вплинула подія аудиту.
Нове значення* Нове значення налаштування на випадок його оновлення.
Старе значення* Старе значення налаштування на випадок його оновлення.
Ідентифікатори ресурсів* Ідентифікатори одного чи кількох ресурсів, на які вплинула подія аудиту.
Назва ресурсу* Назва ресурсу, на який вплинула подія аудиту.
Тип ресурсу* Тип ресурсу, на який вплинула подія аудиту.
Пошуковий запит Запит, який використовується для отримання чи обробки даних. Наприклад, до цієї категорії належить запит, який використовується для пошуку інструментом "Аналіз безпеки" або під час створення правил для дій чи дампу електронної пошти.
Назва налаштування Назва оновленого налаштування.
Назва організаційного підрозділу, якого стосується налаштування Налаштування в Консолі адміністратора можна обмежити організаційним підрозділом. Коли оновлення налаштування поширюється на організаційний підрозділ, у цьому полі відображається назва такого підрозділу.
Ціль* Цільова електронна адреса користувача, пов’язаного з подією. Наприклад, це може бути адреса, додана для відстеження електронної пошти, або адреса особи, що перевіряє процес виконання масової дії в інструменті "Аналіз безпеки".
Усього уражених об’єктів* Загальна кількість об’єктів, на які вплинула подія аудиту. Наприклад, це може бути кількість людей, яких було завантажено під час масового завантаження користувачів у групу, або кількість дій, ініційованих активатором правила для дії. Це поле є контекстним і залежить від події.
Усього об’єктів із помилкою* Загальна кількість невдалих операцій. Наприклад, це може бути кількість людей, яких не вдалося додати під час масового завантаження користувачів у групу, або кількість дій, які не було виконано під час активації правила для дії. Це поле є контекстним і залежить від події.
Електронна адреса користувача Електронна адреса користувача, який виконав дію.
* За допомогою цих фільтрів не можна створювати правила звітування. Докладніше про правила звітування й правила для дій.

Примітка. Якщо змінити ім’я користувача, пошук за його старим іменем не дасть результатів. Наприклад, якщо stareimia@example.com перейменувати на noveimia@example.com, у результатах пошуку не буде подій, пов’язаних із stareimia@example.com.

Як керувати даними про події в журналі

Як керувати стовпцями даних у результатах пошуку

Ви можете вибрати, які стовпці даних показуватимуться в результатах пошуку.

  1. У верхньому правому куті таблиці з результатами пошуку натисніть значок .
  2. (Необов’язково) Щоб вилучити поточні стовпці, натисніть значок .
  3. (Необов’язково) Щоб додати стовпці, поруч з опцією Додати новий стовпець натисніть значок і виберіть стовпець даних.
    За потреби виконайте ці кроки ще раз.
  4. (Необов’язково) Щоб змінити порядок стовпців, перетягніть назви стовпців даних.
  5. Натисніть Зберегти.

Як експортувати дані результатів пошуку

Результати пошуку можна експортувати в Google Таблиці або файл CSV.

  1. Угорі таблиці з результатами пошуку натисніть Експортувати все.
  2. Введіть назву потім натисніть Експортувати.
    Експорт даних відображається під таблицею з результатами пошуку Результати експорту дій.
  3. Щоб переглянути дані, натисніть назву експорту.
    Після цього відкриється сервіс Google Таблиці.

На експорт накладаються різні обмеження.

  • Усього можна експортувати не більше ніж 100 000 рядків (за винятком пошукових запитів у Gmail, які мають обмеження до 10 000 рядків).
  • Ця функція підтримується в таких версіях: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus і Cloud Identity Premium. Compare your edition

    Якщо ви користуєтесь інструментом аналізу безпеки, загальна кількість результатів експорту обмежується 30 мільйонами рядків (за винятком пошукових запитів у Gmail, які мають обмеження до 10 000 рядків).

Щоб дізнатися більше, перегляньте статтю про те, як експортувати результати пошуку.

Коли дані стануть доступними й на який строк

Які дії можна виконувати на основі результатів пошуку

Як створити правила для дій і налаштувати сповіщення
  • Ви можете налаштувати сповіщення на основі даних про події в журналі за допомогою правил звітування. Вказівки можна переглянути в цій статті.
  • Ця функція підтримується в таких версіях: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus і Cloud Identity Premium. Compare your edition

    Щоб ефективніше виявляти й усувати проблеми з безпекою, а також запобігати їм, ви можете автоматизувати дії в інструменті "Аналіз безпеки", створивши правила для дій. Щоб налаштувати правило, задайте для нього умови, а потім укажіть, які дії слід виконувати за їх дотримання. Детальну інформацію і вказівки можна переглянути в цій статті.

Які дії можна виконувати на основі результатів пошуку

Ця функція підтримується в таких версіях: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus і Cloud Identity Premium. Compare your edition

Результати пошуку, отримані за допомогою інструмента "Аналіз безпеки", можна використовувати для різних цілей. Наприклад, ви можете виконати пошук на основі подій у журналі Gmail, а потім за допомогою інструмента видалити певні повідомлення, перемістити їх у карантин або надіслати користувачам у папки "Вхідні". Щоб дізнатися більше про дії, які можна виконувати на основі результатів пошуку, перегляньте цю статтю.

Як керувати аналізами

Ця функція підтримується в таких версіях: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus і Cloud Identity Premium. Compare your edition

Як переглянути список результатів аналізів

Щоб переглянути список результатів аналізів, які належать вам або до яких вам надали доступ, натисніть значок . Цей список містить назви, описи й імена власників результатів аналізів, а також дату їх останньої зміни. 

На сторінці зі списком можна виконувати дії з будь-якими аналізами, які вам належать (наприклад, видаляти їх). Поставте прапорець біля потрібного аналізу й натисніть Дії.

Примітка. Нещодавно збережені результати аналізів можна переглянути безпосередньо над їх списком у розділі Швидкий доступ.

Як налаштувати параметри аналізів

Увійдіть у систему як суперадміністратор і натисніть значок . У цьому меню можна виконати наведені нижче дії.

  • Змінити часовий пояс для аналізів. Часовий пояс застосовується до умов і результатів пошуку.
  • Увімкнути чи вимкнути параметр Запит на перевірку. Щоб дізнатися більше про перевірку масових дій, перегляньте цю статтю.
  • Увімкнути чи вимкнути параметр Перегляд контенту. Завдяки цьому налаштуванню адміністратори з відповідними правами матимуть змогу переглядати контент.
  • Увімкнути чи вимкнути параметр Увімкніть обґрунтування дії.

Вказівки й докладні відомості про налаштування параметрів для проведення аналізів наведено в цій статті.

Як видаляти й копіювати результати аналізу, а також ділитися ними

Щоб зберегти критерії пошуку або поділитися ними з іншими користувачами, ви можете створити аналіз, зберегти його результати, а потім копіювати чи видалити його або поділитися ним з іншими.

Дізнатися більше про зазначені вище дії ви можете в цій статті.

Пов’язані теми для Центру безпеки

Чи корисна ця інформація?

Як можна її покращити?

Потрібна додаткова допомога?

Спробуйте дії нижче.

Опублікуйте запитання на довідковому форумі Отримайте відповіді від учасників форуму
Зв’яжіться з нами Розкажіть нам більше й отримайте допомогу
true
Start your free 14-day trial today

Professional email, online storage, shared calendars, video meetings and more. Start your free Google Workspace trial today.

Пошук
Очистити пошук
Закрити пошук
Головне меню
18317317218507320722
true
Пошук у довідковому центрі
true
true
true
true
true
73010
false
false