Logghändelser för Drive

Visa användarens filaktivitet på Google Drive

Beroende på din Google Workspace-utgåva kan du ha åtkomst till verktyget för säkerhetsutredningar, som har mer avancerade funktioner. Till exempel kan avancerade administratörer identifiera, utvärdera och vidta åtgärder för problem med säkerhet och integritet. Läs mer

Som organisationens administratör kan du köra sökningar och vidta åtgärder för logghändelser för Drive. Du kan till exempel visa en lista över åtgärder för att se organisationens användaraktivitet på Drive. Logghändelser för Drive inkluderar innehåll som användarna skapar i Google Dokument, Kalkylark, Presentationer och andra appar i Google Workspace samt innehåll som användarna laddar upp till Drive, exempelvis PDF- och Microsoft Word-filer.

Activity API ger åtkomst till grundläggande rapportdata på programmatisk väg. Om din Google Workspace-utgåva har stöd för det kan du få åtkomst till avancerad Google Workspace-rapportdata med detnya API:et för rapportering.

Viktigt!

  • Alla aktiviteter på Drive loggas inte. En lista över vad som ingår i loggen finns på den här sidan i Loggade och ologgade händelser.
  • Mer information om när data blir tillgänglig och hur länge den lagras finns i Datalagring och fördröjning.
  • De flesta granskningshändelser i Drive loggas enbart för filer som ägs av användare med en utgåva som stöds.Undantagen är händelser som har öppnats med en webbadress, som loggas när användaren som startar ett Apps Script-skript med åtkomst till en webbadress finns i organisationen och har en version som stöds.
 

Söka efter logghändelser

Dina möjligheter att göra sökningar beror på din Google-utgåva, dina administrativa behörigheter och datakällan. Du kan köra en sökning på alla användare, oavsett Google Workspace-utgåva.

Gransknings- och utredningsverktyg

Om du vill söka efter logghändelser väljer du först en datakälla. Välj sedan ett eller flera villkor för sökningen.

  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. På administratörskonsolen öppnar du menyn följt av Rapporteringföljt avGranskning och utredningföljt avLogghändelser för Drive.
  3. Klicka på Lägg till ett filter och välj sedan ett attribut.
  4. Välj en operator i popup-fönstret följt av välj ett värdeföljt avklicka på Tillämpa.
    • (Valfritt) Upprepa det här steget om du vill skapa flera filter för sökningen.
    • (Valfritt) Om du vill lägga till en sökoperator väljer du AND eller OR ovanför Lägg till ett filter.
  5. Klicka på Sök.

    Obs! På fliken Filter kan du inkludera enkla parameter- och värdepar för att filtrera sökresultaten. Du kan även använda fliken Villkorsverktyg där filtren representeras som villkor med OCH/ELLER-operatorer.

Verktyg för säkerhetsundersökning
Utgåvor som stöds för den här funktionen: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity-premiumversion. Jämför utgåvor

Om du vill köra en sökning i verktyget för säkerhetsutredningar väljer du först en datakälla. Välj sedan ett eller flera villkor för sökningen. För varje villkor väljer du ett attribut, en operator och ett värde

  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. På administratörskonsolen går du till menyn följt av Säkerhetföljt avSäkerhetscenterföljt avUtredningsverktyg.
  3. Klicka på Datakälla och välj Drive-logghändelser.
  4. Klicka på Lägg till villkor.
    Tips! Du kan inkludera ett eller flera villkor i din sökning eller anpassa sökningen med kapslade frågor. Mer information finns i Anpassa sökningen med kapslade frågor.
  5. Klicka på Attributföljt av välj ett alternativ.
    En fullständig lista över attribut finns i avsnittet Attributbeskrivningar nedan.
  6. Välj en operator.
  7. Ange ett värde eller välj ett värde på rullgardinsmenyn.
  8. (Valfritt) Upprepa steg 4–7 om du vill lägga till fler sökvillkor.
  9. Klicka på Sök.
    Sökresultat i utredningsverktyget visas i en tabell längst ned på sidan.
  10. (Valfritt) Om du vill spara utredningen klickar du på Spara följt av ange titel och beskrivningföljt avklicka på Spara.

Obs!

  • På fliken Villkorsverktyg visas filter som villkor med OCH/ELLER-operatorer. Du kan även använda fliken Filter för att inkludera enkla parameter- och värdepar för att filtrera sökresultaten.
  • Om du har gett en användare ett nytt namn ser du inte sökresultat med användarens gamla namn. Om du exempelvis byter namn på GammaltNamn@exempel.com till NyttNamn@exempel.com ser du inga resultat för händelser som rör GammaltNamn@exempel.com.

Attributbeskrivningar

För denna datakälla kan du använda följande attribut när du söker efter logghändelsedata:

Obs!

  • Alla attribut i följande lista rapporteras inte för alla händelser.
  • Följande lista är inte fullständig och kan komma att ändras. Mer information om Drive-logghändelser finns i Aktivitetshändelser för Drive-granskning på webbplatsen för Google Workspace Admin SDK.
Attribut Beskrivning
Aktör E-postadressen för den användare som utförde åtgärden. Användare utanför domänen visas som anonyma, förutom när de kan visa eller redigera ett dokument som explicit delats med dem (som individ eller som del av en specifik grupp)
Grupp-id

Aktörens gruppnamn. Mer information finns i Filtrera resultat efter Google-grupp.

Så här lägger du till en grupp i godkännandelistan för filtreringsgrupper:

  1. Välj Aktörsgruppens namn.
  2. Klicka på Filtreringsgrupper.
    Sidan Filtreringsgrupper visas.
  3. Klicka på Lägg till grupper.
  4. Sök efter en grupp genom att ange de första tecknen i namnet eller e-postadressen. Markera gruppen som du vill ha.
  5. (Valfritt) Om du vill lägga till en annan grupp söker du efter och väljer gruppen.
  6. När du är klar med att välja grupper klickar du på Lägg till.
  7. (Valfritt) Om du vill ta bort en grupp klickar du på Ta bort grupp .
  8. Klicka på Spara.
Organisationsenhet för aktör Organisationsenheten som aktören tillhör.
API-metod För åtgärderna Ladda ned och Fick åtkomst till objektinnehåll som sker via en app från tredje part är det API-metoden som används av åtgärden. Exempel: drive.files.export.
App-id OAuth-klient-id för appen från tredje part som utförde åtgärden
Appens namn Appen som utförde åtgärden
Målgrupp Måldomän om granskningsloggen avser en synlighetsändring
Fakturerbar (Endast Essentials) Om användaråtgärden är en debiterbar aktivitet.
Datum

Datum och tid då händelsen inträffade (visas i webbläsarens standardtidszon)

Obs! De flesta händelser loggas när de är slutförda. Ibland kan det ta ett tag att logga stora uppladdningar.
Dokument-id

Den unika identifieraren för Drive-objekt som aktiviteten är kopplad till. Identifieraren lagras i filens webbadresslänk.

Obs! För händelser av typen Åtkomst till webbadress rapporteras dokument-id och andra filrelaterade fält, till exempel dokumenttyp och ägare, endast för vissa åtgärder. Mer information finns på den här sidan under Webbadress som använts.
Dokumenttyp Filformat som aktiviteten omfattar, exempelvis Google Dokument, Kalkylark, Presentationer, JPEG, PDF, PNG, MP4, Microsoft Word, Excel, PowerPoint, txt, HTML, MPEG-ljud, QuickTime-video, mapp eller delade enheter
Domän* Domänen där åtgärden skedde
Krypterad* Om filen är krypterad på klientsidan
Händelsenamn

Händelser som Visa, Byt namn, Skapa, Redigera, Skriv ut, Radera, Ladda upp och Ladda ned.

De flesta åtgärder loggas direkt. Utskriftshändelser i visningsprogrammet för Drive kan dock försenas i 12 timmar eller mer från det att händelsen inträffar. Filer som automatiskt tas bort av Google Drive eller töms från papperskorgen loggas. Andra händelser, till exempel uppladdning av en fil, loggas när de är slutförda.
Identitetsstöld

Appen använde domänomfattande delegering för att göra en begäran för en användares räkning. Sant anger att händelsen utfördes för en användares räkning. Du kan granska Aktör för att hitta användarens e-postadress och App-id och Appnamn för att identifiera appen.

Läs mer om domänomfattande delegering.
IP-adress*

Adressen som användaren utförde aktiviteten från. Denna kan spegla användarens fysiska plats eller vara exempelvis en adress för en proxyserver eller ett virtuellt privat nätverk (VPN).

Inga IP-adresser loggas för händelser

  • som startats av användare utanför domänen
  • från tjänster där IP-adressen inte loggas i förfrågningarna
  • som har att göra med att byta namn på eller ta bort en delad enhet
Nytt värde för publiceringssynlighet Dokumentets nya synlighet
Nytt värde* Nytt värde för den ändrade inställningen
Id:n för nytt värde* Etikettfältets nya värde
Gammalt värde för publiceringssynlighet Tidigare synlighet för dokumentet om aktiviteten är en synlighetsändring
Gammalt värde* Gammalt värde för den ändrade inställningen
Id:n för gammalt värde* Gammalt värde för etikettfältet
Ägare

Användaren som äger filen.
Tidigare synlighet Dokumentets tidigare synlighet om synligheten har ändrats
Mottagare* Mottagarnas e-postadresser
Id för delad enhet Drive-id för den delade enhet som innehåller filen. Om filen inte finns på en delad enhet fylls inte fältet.
Mål Användare vars åtkomst har ändrats
Titel Titel på dokumentet
Synlighet Synlighet för Drive-objektet som aktiviteten är kopplad till
Ändrad synlighet Synlighet för Drive-objektet före aktiviteten
Besökare Ja, innebär att aktiviteten kommer från en användare som inte har Google. Nej, innebär att aktiviteten kommer från en Google-användare. Läs mer om att dela dokument med besökare.
* Det går inte att skapa rapporteringsregler med de här filtren. Läs mer om rapporteringsregler kontra aktivitetsregler.

Obs! Om du har gett en användare ett nytt namn ser du inte sökresultat med användarens gamla namn. Om du exempelvis byter namn på GammaltNamn@exempel.com till NyttNamn@exempel.com ser du inga resultat för händelser som rör GammaltNamn@exempel.com.

Visa filer som delas utanför en domän

Så här ser du filer som delas med användare utanför en domän:

Sidan Granskning och undersökning

  1. Öppna logghändelserna enligt beskrivningen ovan i Söka efter logghändelser.
  2. Klicka på Lägg till ett filterföljt avSynlighet och välj Delas externt.
  3. Klicka på Sök.

Om du stänger av extern delning och en användare delar en resurs med en grupp som tillåter externa användare markeras data som Delas externt i loggen, även om gruppen inte har externa användare. Externa användare i gruppen kan dock inte komma åt den delade resursen.

Verktyg för säkerhetsutredning

  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. På administratörskonsolen går du till menyn följt av Säkerhetföljt avSäkerhetscenterföljt avUtredningsverktyg.
  3. Klicka på Datakällaföljt avvälj Logghändelser för Drive.
  4. Klicka på Lägg till villkor.
  5. Klicka på Attributföljt av välj Synlighet.
  6. Klicka på Innehållerföljt av välj Är.
  7. Klicka på Synlighetföljt av välj Delas externt.
  8. Klicka på Sök.
    Sökresultat i utredningsverktyget visas i en tabell längst ned på sidan.

Om du stänger av extern delning och en användare delar en resurs med en grupp som tillåter externa användare markeras data som Delas externt i loggen. Externa användare i gruppen kan dock inte komma åt den delade resursen. Du ser detta även om gruppen inte har några externa användare.

Loggade och ologgade händelser

Radera

Filer som automatiskt tas bort av Google Drive eller töms från papperskorgen loggas.

Kopiera

När en fil kopieras loggas händelserna Skapa och Kopiera för den nya filen och händelsen Källkopia loggas för originalfilen.

När en användare utanför organisationen kopierar en fil till en extern plats loggar organisationen inte händelserna Skapa och Kopiera eftersom den nya filen är extern. I loggarna finns dock händelsen Källkopia för den ursprungliga filen med Kopieringstyp Extern. Om du vill övervaka när data kopieras ut ur organisationen kan du granska händelser av typen Källkopia med kopieringstypen Extern.

Skriv ut

Utskriftshändelser registreras inte när en användare skriver ut en fil som har öppnats i Google-format (Dokument, Kalkylark, Presentationer, Teckningar och Formulär).

När du skriver ut filer med Drive-appen från en Apple iPhone, Apple iPad eller Android-enhet kan utskriftshändelser loggas som nedladdningshändelser.

Ladda ned

De flesta nedladdningar loggas, inklusive när filer kopieras mellan Drive och en lokal enhet med Google Drive för datorn.

Vissa visningsåtgärder loggas som nedladdningar:

  • Förhandsgranskning av en fil i Drive-appen på en mobil enhet loggas som en nedladdningshändelse.
  • Förhandsgranskning av en fil, till exempel en PDF-fil, som inte kan öppnas direkt i Google Dokument eller en annan Google-app loggas som nedladdningshändelse.

Nedladdningar från följande källor loggas inte:

  • Google Takeout-nedladdningar (sök efter Takeout-logghändelser i stället)
  • Hämtningar till offline-cacheminnen för webbläsare
  • Foton som synkroniseras till, hämtas från eller visas i Google Foto
  • Drive-objekt som skickas via e-post som bilagor och laddas ned via mottagarens e-postklient

Objektinnehållet har synkroniserats

Händelser för synkroniserat objektinnehåll loggas i följande fall och är tillgängliga för aktivitet efter den 1 juli 2024:

  • En fil synkroniseras från Drive till en lokal enhet med Google Drive för datorn. Dessa loggas även som nedladdningshändelser.
  • En fil synkroniseras med en enhet för offlineåtkomst, inklusive pågående synkroniseringar med onlineversionen. Synkroniserade objektinnehåll i Drive-mobilappen (Android och iOS) loggas även som Ladda ned händelser .

Objektinnehållet har öppnats

Filer kan fås åtkomst till på användarnas vägnar via en app som använder ett Google Workspace API, till exempel Google Drive API eller Google Kalkylark API. Dessa åtgärder loggas inte som händelser av typen Nedladdning eller Visa, utan endast som Artikelinnehåll har lästs. Geminis händelser för åtkomst till varuinnehåll loggas enbart när filinnehållet öppnas utanför en användares öppna fil i Drive för webben.

Händelser för åtkomst till objektinnehåll loggas inte när en fil visas eller öppnas av en användare i Drive för webben, Drive på mobila enheter eller Drive för datorn-appen.

Visa

  • Visning av filer med /htmlview, /embed, /revisions och andra specialwebbadresser loggas nu som visningshändelser.

Webbadressen har öppnats

Webbadressen har öppnats-händelser loggas när ett Apps Script-skript kommer åt en webbadress, inklusive när skriptet körs från Apps Script-översikt, körs somTillägg eller körs som en anpassad funktion i Kalkylark. Händelserna Webbadressen har använts loggas inte när en användare klickar på en länk i en fil.

Vilka attribut som rapporteras beror på hur skriptet kördes och vem som äger det:

  • När ett skript körs som en anpassad funktion återspeglar dokument-id:t och andra dokumentrelaterade attribut det arbetsblad som funktionen anropades i.
  • När ett skript inte körs som en anpassad funktion rapporteras inte dokumentrelaterade attribut.
  • Skript-id rapporteras om Apps Script-skriptet ägs av organisationen.

Webbadress för import av kalkylark

När en importfunktion i Kalkylark anropas och får åtkomst till en webbadress loggas det som ett import-webbadress för Kalkylark-händelse. En händelse loggas när innehållet i arbetsbladet ändras genom en automatisk uppdatering eller när en användare öppnar arbetsbladet.

Händelser med externa domäner

Vissa händelser innefattar användare, delade mappar eller delade enheter utanför organisationen, till exempel när en användare i organisationen delar en fil med en extern användare. Båda organisationerna loggar en händelse när ägarskapet för objektet ändras från en organisation till en annan.

Exempel på händelser som loggas av båda:

  • Ett Drive-objekt som ägs av en användare i organisationen flyttas till en extern delad enhet.
  • Ett Drive-objekt som ägs av en användare utanför organisationen flyttas till en delad enhet som ägs av organisationen.
  • En användare kopierar en fil till eller från organisationen. Den mottagande organisationen loggar den kopierade filens namn, inte det ursprungliga filnamnet.

Exempel på händelser som loggas av organisationen men inte av den externa domänen:

  • Ett Drive-objekt som ägs av en användare i organisationen delas med en extern användare.
  • Ett Drive-objekt som ägs av en användare i organisationen delas med en grupp som tillåter externa användare, även om inga externa användare finns i gruppen.
  • En extern användare visar, redigerar, laddar ned, skriver ut eller tar bort ett Drive-objekt som ägs av organisationen.
  • En extern användare laddar upp en fil till en delad enhet som ägs av organisationen.

Händelser som loggas av den externa domänen men inte av organisationen är det omvända av föregående avsnitt.

Anonyma och externa användare

För anonyma användare (användare som inte är inloggade på ett Google-konto) loggas redigeringar men inte visningar och nedladdningar. 

Åtgärder som utförs av användare utanför domänen visas som anonyma förutom när objektet uttryckligen delas med dem (som individ eller som del av en viss grupp). 

Anonym och extern åtkomst kan begränsas av administratörer genom att ange policyer för organisationsdelning eller förtroenderegler.

Drive för datorn

När filer kopieras mellan Drive och en lokal enhet med Google Drive för datorn loggas händelserna Ladda ned och Synkroniserat objektinnehåll.

Hantera logghändelsedata

Hantera kolumndata för sökresultat

Du kan styra vilka datakolumner som visas i sökresultaten.

  1. Klicka på Hantera kolumner uppe till höger i sökresultattabellen.
  2. (Valfritt) Om du vill ta bort aktuella kolumner klickar du på Ta bort .
  3. (Valfritt) Om du vill lägga till kolumner klickar du på nedåtpilen bredvid Lägg till en ny kolumn och väljer datakolumnen.
    Upprepa vid behov.
  4. (Valfritt) Om du vill ändra ordningen på kolumnerna drar du datakolumnnamnen.
  5. Klicka på Spara.

Exportera sökresultatsdata

Du kan exportera sökresultat till Google Kalkylark eller till en CSV-fil.

  1. Klicka på Exportera alla högst upp i sökresultattabellen.
  2. Ange ett namn följt av klicka på Exportera.
    Exporten visas nedanför sökresultattabellen under Exportera åtgärdsresultat.
  3. Klicka på exportens namn om du vill visa informationen.
    Exporten öppnas i Google Kalkylark.

Exportgränserna varierar:

  • De totala resultaten av exporten begränsas till 100 000 rader (förutom sökningar i Gmail-meddelanden, som är begränsade till 10 000 rader).
  • Utgåvor som stöds för den här funktionen: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity-premiumversion. Jämför utgåvor

    Om du har verktyget för säkerhetsutredningar begränsas de totala resultaten av exporten till 30 miljoner rader (förutom för Gmail-meddelandesökningar, som är begränsade till 10 000 rader).

Mer information finns i Exportera sökresultat.

När och hur länge är data tillgänglig?

Vidta åtgärder baserat på sökresultat.

Skapa aktivitetsregler och konfigurera varningar
  • Du kan ställa in varningar baserat på logghändelsedata med hjälp av rapporteringsregler. Anvisningar finns i Skapa och hantera aktivitetsregler.
  • Utgåvor som stöds för den här funktionen: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity-premiumversion. Jämför utgåvor

    Förebygg, identifiera och åtgärda säkerhetsproblem effektivt genom att automatisera åtgärder i verktyget för säkerhetsutredningar och konfigurera varningar genom att skapa aktivitetsregler. Konfigurera en regel, ange villkor för regeln och ange vilka åtgärder som ska utföras när villkoren är uppfyllda. Mer information och instruktioner finns i Skapa och hantera aktivitetsregler.

Vidta åtgärder baserat på sökresultat

Utgåvor som stöds för den här funktionen: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity-premiumversion. Jämför utgåvor

När du har gjort en sökning i verktyget för säkerhetsutredningar kan du agera på sökresultaten. Du kan till exempel köra en sökning baserat på logghändelser i Gmail och använda verktyget för att radera specifika meddelanden, sätta meddelanden i karantän eller skicka meddelanden till användarnas inkorgar. Mer information finns i Vidta åtgärder baserat på sökresultat.

Hantera dina utredningar

Utgåvor som stöds för den här funktionen: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity-premiumversion. Jämför utgåvor

Visa listan över utredningar

Visa en lista över utredningar som du äger och som har delats med dig genom att klicka på Visa utredningar . Utredningslistan innehåller utredningarnas namn, beskrivningar och ägare samt det datum då de senast ändrades. 

I den här listan kan du vidta åtgärder för utredningar du äger. Du kan till exempel radera en utredning. Markera kryssrutan för en utredning och klicka sedan på Åtgärder.

Obs! Direkt ovanför listan över utredningar kan du under Snabbåtkomst se de undersökningar som nyligen har sparats.

Gör inställningar för dina undersökningar

Som avancerad administratör klickar du på Inställningar för att göra följande:

  • Ändra tidszon för dina undersökningar. Tidszonen tillämpas på sökvillkoren och resultaten.
  • Aktivera eller inaktivera Kräv granskare. Mer information finns i Kräv granskare för massåtgärder.
  • Aktivera eller inaktivera Visa innehåll. Med den här inställningen kan administratörer med relevant behörighet visa innehåll.
  • Slå på eller av Aktivera åtgärdsanpassning.

Anvisningar och detaljer finns i Konfigurera inställningar för undersökningar.

Dela, radera och duplicera undersökningar

Om du vill spara dina sökkriterier eller dela dem med andra kan du skapa och spara en utredning och sedan dela, duplicera eller radera den.

Mer information finns i Spara, dela, radera och duplicera utredningar.

Relaterade ämnen för säkerhetscentret

Var det här till hjälp?

Hur kan vi förbättra den?

Behöver du mer hjälp?

Testa detta härnäst:

Gör ett inlägg i hjälpforumet Få svar från communityn
Kontakta oss Berätta mer så hjälper vi dig
true
Testa kostnadsfritt i 14 dagar

E-post för arbetet, onlinelagring, delade kalendrar, videomöten med mera. Påbörja din kostnadsfria provperiod på G Suite i dag.

Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
15338870669514431553
true
Sök i hjälpcentret
true
true
true
true
true
73010
false
false