События журнала Диска

Важно!

• Не все действия в Диске сохраняются в журнале. Вы можете ознакомиться со списком событий, которые регистрируются.
• Подробнее о сроках хранения данных и задержках…
• Большинство событий аудита Диска регистрируются только для файлов, принадлежащих пользователям с поддерживаемыми версиями. Исключение составляют события "Получен доступ к URL", которые регистрируются, если пользователь, запускающий скрипт Apps Script, который обращается к URL, находится в вашей организации и использует поддерживаемую версию.

Как пересылать данные о событиях в Google Cloud

Вы можете предоставить Google Cloud доступ к данным о событиях. В этом случае данные будут пересылаться в Cloud Logging, где можно просматривать журналы, выполнять по ним поиск, а также управлять их маршрутизацией и хранением.

Описания атрибутов

При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:

Примечания

• Для каждого события сообщается не обо всех атрибутах из списка ниже.
• Список ниже не является полным и может меняться. Больше о событиях журнала Диска можно узнать на сайте Google Workspace Admin SDK в статье о событиях аудита действий на Диске.

Какие события регистрируются

Удаление

Сведения об автоматическом удалении файлов Google Диском и очистке корзины записываются в журнал.

Копирование

Когда пользователь копирует файл, для нового файла регистрируются события Создание и Копирование, а для исходного – Источник скопирован.

Когда внешний пользователь копирует файл во внешнее расположение, в вашей организации не регистрируются события Создание и Копирование, потому что новый файл является внешним. Однако в ваших журналах для исходного файла фиксируется событие Источник скопирован, у которого параметр Тип копирования имеет значение Внешний. Чтобы отслеживать случаи, когда данные копируются из организации, вы можете просматривать события Источник скопирован с типом копирования Внешний.

Печать

События печати не записываются, если пользователь печатает файл в формате Google Документов, Таблиц, Презентаций, Рисунков или Форм.

Если при печати файлов пользователь использует приложение "Диск" для устройств Apple или Android, то событие Печать может быть зарегистрировано в журнале как Скачивание.

Скачивание

Большинство событий скачивания регистрируется, в том числе когда файлы копируются между Диском и локальным устройством с помощью приложения "Google Диск для компьютеров".

Некоторые действия просмотра регистрируются как скачивания:

• Предварительный просмотр файла в приложении "Диск" на мобильном устройстве регистрируется как событие Скачивание.
• Предварительный просмотр файла, например PDF, который нельзя открыть напрямую в Google Документах или другом приложении Google, регистрируется как событие Скачивание.

В журнале не регистрируются следующие действия:

• скачивание данных из Google Архиватора (ищите вместо этого события журнала Архиватора);
• скачивание данных в офлайн-кеш браузера;
• скачивание фотографий из Google Фото, их просмотр и синхронизация;
• отправка файлов Диска по электронной почте и скачивание этих документов через почтовый клиент получателя.

Доступ к содержимому объекта

Доступ к файлам от имени пользователей можно получить через приложение, использующее один из Google Workspace API, например Google Drive API или Google Sheets API. Эти действия регистрируются не как скачивание или просмотр, а как событие Доступ к содержимому объекта.Событие Gemini Доступ к содержимому объектазаписывается, только когда доступ не связан с открытием файла в веб-версии Диска.

Оно не регистрируется, когда пользователь просматривает или открывает файл в веб-версии Диска, приложении "Диск для компьютеров" или на Диске для мобильных устройств.

Вид

• Просмотр файлов с использованием параметров /htmlview, /embed, /revisions и других специальных URL теперь регистрируется как событие Просмотр.

Получен доступ к URL

События Получен доступ к URL регистрируются, когда скрипт Apps Script обращается к URL, в том числе если скрипт запускается с панели управления Apps Script, выполняется как дополнение или как пользовательская функция в Таблицах. Когда пользователь нажимает на ссылку в файле, событие Получен доступ к URL не регистрируется.

Регистрируемые атрибуты зависят от того, как был запущен скрипт и кто является его владельцем:

• Когда скрипт выполняется как пользовательская функция, идентификатор документа и другие связанные с документом атрибуты указывают на лист, на котором была вызвана функция.
• В других случаях эти атрибуты не регистрируются.
• Идентификатор скрипта регистрируется, если скрипт Apps Script принадлежит вашей организации.

URL для импорта в Таблицы

Вызов функции импорта в Таблицы, которая получает доступ к URL, регистрируется как событие URL для импорта в Таблицы. Событие регистрируется, когда пользователь открывает таблицу или когда ее содержимое изменяется при автоматическом обновлении.

События, связанные с внешним доменом

Некоторые события связаны с пользователями, общими папками или общими дисками за пределами вашей организации, например если сотрудник организации делится файлом с внешним пользователем. Если при событии право собственности для объекта переходит от одной организации к другой, они обе регистрируют событие.

Примеры событий, которые регистрируют обе организации:

• Объект на Диске, принадлежащий сотруднику вашей организации, переносится на внешний общий диск.
• Объект на Диске, принадлежащий внешнему пользователю, переносится на общий диск, который принадлежит вашей организации.
• Пользователь копирует файл в организацию или из нее. Организация, которая получает файл, регистрирует название скопированного файла, а не исходное.

Примеры событий, которые регистрирует ваша организация, но не регистрирует внешний домен:

• К объекту на Диске, который принадлежит пользователю в вашей организации, получает доступ внешний пользователь.
• К объекту на Диске, который принадлежит пользователю в вашей организации, получает доступ группа, в которой разрешены внешние пользователи, даже если таких пользователей в ней нет.
• Внешний пользователь просматривает, редактирует, скачивает, печатает или удаляет объект на Диске, принадлежащий вашей организации.
• Внешний пользователь загружает файл на общий диск, принадлежащий вашей организации.

События, которые регистрирует внешний домен, но не ваша организация, являются обратными от указанных в списке выше.

Анонимные и внешние пользователи

Для анонимных пользователей (которые не вошли в аккаунт Google) регистрируются действия редактирования, но не просмотры и скачивания.

Действия, выполненные внешними пользователями, регистрируются как анонимные, за исключением случаев, когда к объекту был предоставлен доступ явным образом (как отдельному пользователю или участнику определенной группы).

Администратор может запретить анонимный и внешний доступ, настроив правила общего доступа для организации или правила доверия.

Диск для компьютеров

Когда файлы копируются между Диском и локальным устройством с помощью приложения "Google Диск для компьютеров", регистрируется действие Скачивание.

Как управлять столбцами данных в результатах поиска

Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.

1. В правой верхней части таблицы с результатами поиска нажмите на значок "Управление столбцами" .
2. Чтобы удалить отображаемые столбцы, нажмите "Удалить" .
3. Чтобы добавить столбцы, рядом с надписью Добавить столбец нажмите на стрелку вниз и выберите вариант из списка.
   При необходимости повторите действия.
4. Чтобы изменить порядок столбцов, перетащите их названия.
5. Нажмите Сохранить.

Как экспортировать результаты поиска

1. В верхней части таблицы с результатами поиска нажмите Экспортировать все.
2. Введите название нажмите Экспорт.
   Экспортированные данные будут показаны под таблицей с результатами поиска в разделе Результаты выполнения действия "Экспорт".
3. Чтобы увидеть данные, нажмите название экспорта.
   Данные откроются в Google Таблицах.

Как добавить новое правило создания отчетов

Информация приведена в статье Как создавать и настраивать правила оповещения.

Когда данные становятся доступны и как долго они хранятся?

Подробная информация приведена в статье Задержки при обновлении отчетов и сроки хранения данных.

Какие действия можно выполнить с результатами поиска

Результаты поиска, полученные с помощью инструмента "Анализ безопасности", можно использовать для разных целей. Например, сообщения, найденные при поиске по событиям журнала Gmail, можно удалять, отправлять в карантин или помещать в папки "Входящие" пользователей. Подробная информация о возможных действиях в инструменте "Анализ безопасности" приведена в статье Какие действия можно выполнять с результатами поиска.

Как создавать правила активности и настраивать оповещения

Чтобы эффективнее предотвращать, выявлять и исправлять проблемы с безопасностью, вы можете автоматизировать действия в инструменте "Анализ безопасности" и настроить оповещения с помощью правил активности. Для каждого правила нужно задать условия и указать, какие действия следует выполнять при соблюдении этих условий. Подробные сведения и инструкции приведены в статье Как создавать правила активности с использованием инструмента "Анализ безопасности".

Как управлять процессом анализа

 Requires a премиум-версии Google Workspace (Enterprise Standard, Enterprise Plus, or Education Plus)

Статьи по теме

• Как начать анализ на панели управления безопасностью
• Как создать специальную диаграмму на основе анализа
• Как начать анализ в Центре оповещений
• Анализ сообщений о вредоносных письмах
• Анализ доступа к файлам
• Как проанализировать данные из нескольких источников