Du kan använda gransknings- och utredningssidan för att köra sökningar relaterade till adminlogghändelser. Där kan du visa en lista över åtgärder som utförts i Googles administratörskonsol, till exempel när en administratör har lagt till en användare eller aktiverat en Google Workspace-tjänst.
Om du vill ha en fullständig lista över tjänster och aktiviteter som du kan undersöka, exempelvis Google Drive eller användaraktivitet, kan du läsa Om gransknings- och utredningsverktyget.
Vidarebefordra logghändelsedata till Google Cloud
Du kan välja att dela logghändelsedata med Google Cloud. Om du aktiverar delning vidarebefordras data till Cloud Logging där du kan söka i och se dina loggar samt kontrollera hur du dirigerar och lagrar dina loggar.
Öppna sidan för granskning och utredning
Åtkomst till händelsedata för administratörslogg
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
-
På administratörskonsolen öppnar du menyn RapporteringGranskning och utredningAdministratörslogghändelser.
Filtrera data
- Få åtkomst till händelsedata för administratören enligt beskrivningen ovan i Åtkomst till händelsedata för administratörslogg.
- Klicka på Lägg till ett filter och välj sedan ett attribut.
- Välj en operator i popup-fönstret välj ett värdeklicka på Tillämpa.
-
(Valfritt) Så här skapar du flera filter för sökningen:
- Klicka på Lägg till ett filter och upprepa steg 3.
- (Valfritt) Om du vill lägga till en sökoperator väljer du AND eller OR ovanför Lägg till ett filter.
- Klicka på Sök.
Obs! På fliken Filter kan du inkludera enkla parameter- och värdepar för att filtrera sökresultaten. Du kan även använda fliken Villkorsverktyg där filtren representeras som villkor med OCH/ELLER-operatorer.
Attributbeskrivningar
För denna datakälla kan du använda följande attribut när du söker efter logghändelsedata:
Attribut | Beskrivning |
---|---|
Åtgärd(er)* | Åtgärder som administratören vidtagit med hjälp av verktyget för säkerhetsutredningar eller med hjälp av en aktivitetsregel. Mer information om vilka åtgärder en administratör kan vidta finns i Vidta åtgärder baserat på sökresultat. |
Aktör |
E-postadressen för den användare som utförde åtgärden. I stället för en e-postadress kan du se:
|
Grupp-id |
Aktörens gruppnamn. Mer information finns i Filtrera resultat efter Google-grupp. Så här lägger du till en grupp i godkännandelistan för filtreringsgrupper:
|
Organisationsenhet för aktör | Aktörens organisationsenhet |
Ytterligare information | Ytterligare sammanhangsinformation till händelsen |
Startdatum* | Använd Startdatum och Slutdatum för att filtrera händelser som omfattar ett visst start- och slutdatum, till exempel händelser i form av diagram i detalj. Obs! Om du vill söka efter händelser inom ett visst datumintervall använder du attributet Datum. |
Datakälla* | Datakällan i utredningsverktyget eller varningskällan i varningscentret |
Datum | Datum och tid då händelsen inträffade (visas i webbläsarens standardtidszon) |
Enhets-id* | Id för enheten som berörs av den här granskningshändelsen. Om en administratör till exempel rensar en företagsägd enhet, registrerar det här fältet enhets-id. |
Enhetstyp | Enhetstyp som berörs av den här granskningshändelsen. Om en administratör till exempel rensar en företagsägd enhet, registrerar det här fältet enhetstyp |
Domännamn | Domänen där åtgärden skedde |
Slutdatum* | Använd Startdatum och Slutdatum för att filtrera händelser som omfattar ett visst start- och slutdatum, till exempel händelser i form av diagram i detalj. Obs! Om du vill söka efter händelser inom ett visst datumintervall använder du attributet Datum. |
Händelse |
Den loggade händelseåtgärden, till exempel Utredningsfråga eller Skapa aktivitetsregel. Under Händelsevärde grupperas händelserna efter typ, såsom Användarinställningar eller Domäninställningar. De flesta händelsevärden är självförklarande. Exempelvis är Lägg till app under Domäninställningar ett sökvärde för en app som har lagts till på din domän. Det går att söka efter händelser i sökrutan. Tips! Det går att fästa händelsevärden som du använder ofta högst upp på rullgardinsmenyn. |
Google Workspace-utgåva* | Google Workspace-utgåva för administratören (Aktör) som utförde åtgärden |
Gruppens e-postadress |
E-postadress till Google-gruppen som berörs av den här aktiviteten |
IP-adress | IP-adress som är associerad med den loggade åtgärden. Speglar vanligtvis användarens fysiska plats men kan även vara en adress för en proxyserver eller en VPN-adress. |
Motivering* | Om det behövs en motivering till åtgärden tillhandahålls den av administratören. |
Meddelande-id* | Meddelande-id för e-postmeddelandet som berörs av den här granskningshändelsen |
Nytt värde* | Nytt värde för inställningen om den uppdateras |
Gammalt värde* | Gammalt värde för inställningen om den uppdateras |
Resurs-id(:n)* | Id för en eller flera resurser som berörs av granskningshändelsen |
Resursnamn* | Namn på resursen som berörs av granskningshändelsen |
Resurstyp* | Resurstypen som berörs av granskningshändelsen |
Sökfråga | Sökfråga som används för att hämta eller bearbeta data. Till exempel sökfrågan som används i sökningen med utredningsverktyget, när du skapar aktivitetsregler eller när du skapar e-postdump. |
Inställningsnamn | Den uppdaterade inställningens namn |
Namn på organisationsenhet för inställning | Inställningarna på administratörskonsolen kan omfatta en organisationsenhet. När en inställning uppdateras och den omfattar en organisationsenhet, visas organisationsenhetens namn i det här fältet. |
Mål* | Händelsens mål-e-postadress. Till exempel målets e-postadressen när du skapar en e-postövervakare eller verifierarens e-postadress när du utför en massåtgärd i utredningsverktyget. |
Totalt antal påverkade* | Totalt antal enheter som påverkades av granskningshändelsen. Till exempel antal uppladdade användare när du laddade upp användare till en grupp eller antalet åtgärder utlösta som en del av en aktivitetsregelutlösare. Det här är ett sammanhangsfält som beror på händelsen. |
Totalt antal misslyckade* | Totalt antal misslyckade åtgärder. Till exempel antalet användare som inte kunde laddas upp vid massuppladdning av användare till en grupp eller antalet åtgärder som misslyckades som en del av en aktivitetsregelutlösare. Det här är ett sammanhangsfält som beror på händelsen. |
Användarens e-post | E-postadressen till användaren som utförde åtgärden |
Obs! Om du har gett en användare ett nytt namn ser du inte sökresultat med användarens gamla namn. Om du exempelvis byter namn på GammaltNamn@exempel.com till NyttNamn@exempel.com ser du inga resultat för händelser som rör GammaltNamn@exempel.com.
Hantera logghändelsedata
Hantera kolumndata för sökresultat
Du kan styra vilka datakolumner som visas i sökresultaten.
- Klicka på Hantera kolumner uppe till höger i sökresultattabellen.
- (Valfritt) Om du vill ta bort aktuella kolumner klickar du på Ta bort .
- (Valfritt) Om du vill lägga till kolumner klickar du på nedåtpilen bredvid Lägg till en ny kolumn och väljer datakolumnen.
Upprepa vid behov. - (Valfritt) Om du vill ändra ordningen på kolumnerna drar du datakolumnnamnen.
- Klicka på Spara.
Exportera sökresultatsdata
- Klicka på Exportera alla högst upp i sökresultattabellen.
- Ange ett namn klicka på Exportera.
Exporten visas nedanför sökresultattabellen under Exportera åtgärdsresultat. - Klicka på exportens namn om du vill visa informationen.
Exporten öppnas i Google Kalkylark.
Skapa rapporteringsregler
Öppna Skapa och hantera rapporteringsregler.
När och hur länge är data tillgänglig?
Öppna Datalagring och fördröjning.