Залежно від версії Google Workspace ви можете мати доступ до інструмента "Аналіз безпеки", у якому доступні розширені функції. Наприклад, суперадміністратори можуть виявляти, сортувати й усувати проблеми з безпекою і конфіденційністю. Докладніше
Як адміністратор ви можете шукати події в журналі Диска й керувати ними. Наприклад, ви можете переглянути записи дій, щоб дізнатися, що робили користувачі вашої організації на Диску. Події в журналі Диска включають контент, який користувачі створюють у Google Документах, Таблицях, Презентаціях і інших додатках Google Workspace, а також контент, який вони завантажують на Диск (наприклад, файли у форматі PDF або Word).Щоб отримати доступ до даних основних звітів програмним способом, використовуйте Activity API. Якщо ваша версія Google Workspace підтримує цю функцію, ви можете отримати доступ до розширених даних звітів Google Workspace за допомогою нового інтерфейсу Reports API.
Важливо
- Не всі дії на Диску реєструються. Щоб дізнатися, які події реєструються в журналі, перегляньте розділ Зареєстровані й не зареєстровані події.
- Щоб дізнатися, коли дані стають доступними і як довго вони зберігаються, перегляньте цю статтю.
- Більшість подій аудиту на Диску реєструються лише для файлів, які належать користувачам підтримуваних версій. Винятками є події отримання доступу до URL-адреси, які реєструються, коли користувач, що запускає скрипт Apps Script (для отримання доступу до URL-адреси), належить до вашої організації і має підтримувану версію.
Як надсилати дані про події в журналі в Google Cloud
Ви можете надати Google Cloud доступ до даних про події. Якщо ввімкнути спільний доступ, дані передаватимуться в Cloud Logging, де ви зможете надсилати запити й переглядати журнали, а також керувати їх маршрутизацією і зберіганням.
Тип даних про події в журналі, які можна надсилати в Google Cloud, залежить від облікового запису Google Workspace, Cloud Identity або Essentials.
Як шукати події в журналі
Можливість виконання пошуку залежить від версії Google, прав адміністратора й джерела даних. Ви можете виконувати пошук усіх користувачів незалежно від їхньої версії Google Workspace.
Щоб знайти події в журналі, спершу виберіть джерело даних, а потім додайте принаймні один фільтр.
-
Відкрийте Консоль адміністратора Google.
Увійдіть за допомогою облікового запису адміністратора (не закінчується на @gmail.com).
-
У Консолі адміністратора натисніть значок
Звітність
Аудит і аналіз
- Натисніть Додати фільтр і виберіть атрибут.
- У спливаючому вікні виберіть оператор
- (Необов’язково) Щоб створити кілька фільтрів для пошукового запиту, виконайте цей крок потрібну кількість разів.
- (Необов’язково) Щоб додати оператор пошуку, над пунктом Додати фільтр виберіть І чи АБО.
- Натисніть Пошук.
Підказка. Щоб фільтрувати результати пошуку, на вкладці Фільтр можна включити прості пари параметрів і значень. Крім того, на вкладці Конструктор умов фільтри представлено як умови з операторами І/АБО.
Щоб виконати пошук в інструменті "Аналіз безпеки", спершу виберіть джерело даних. Потім виберіть принаймні одну умову для пошуку. Для кожної умови виберіть атрибут, оператор і значення.
-
Відкрийте Консоль адміністратора Google.
Увійдіть за допомогою облікового запису адміністратора (не закінчується на @gmail.com).
-
У Консолі адміністратора натисніть значок
Безпека
- Натисніть Джерело даних і виберіть Події в журналі Диска.
- Натисніть Додати умову.
Підказка. Ви можете вказати одну чи кілька умов у своєму пошуковому запиті або налаштувати пошук за допомогою вбудованих запитів. Щоб дізнатися більше, перегляньте цю статтю. - Натисніть Атрибут
Повний список атрибутів наведено в розділі Описи атрибутів (далі на цій сторінці). - Виберіть оператор.
- Введіть значення або виберіть значення зі списку.
- (Необов’язково) Щоб додати інші умови пошуку, повторіть кроки 4–7.
- Натисніть Пошук.
Результати пошуку в інструменті "Аналіз безпеки" можна переглянути в таблиці внизу сторінки. - Необов’язково: щоб зберегти аналіз, натисніть значок
Примітки
- На вкладці Конструктор умов фільтри представлено як умови з операторами "І/АБО". Щоб фільтрувати результати пошуку, на вкладці Фільтр можна включити прості пари параметрів і значень.
- Якщо змінити ім’я користувача, пошук за його старим іменем не дасть результатів. Наприклад, якщо stareimia@example.com перейменувати на noveimia@example.com, у результатах пошуку не буде подій, пов’язаних із stareimia@example.com.
Опис атрибутів
Для цього джерела даних можна використовувати такі атрибути під час пошуку даних про події в журналі:
Примітки
- Не всі атрибути з наведеного нижче списку реєструються для всіх подій.
- Наведений нижче список неповний і може змінюватися. Щоб дізнатися більше про події в журналі Диска, перегляньте розділ Події аудиту на Диску на вебсайті Google Workspace Admin SDK.
| Атрибут | Опис |
|---|---|
| Виконавець | Електронна адреса користувача, який виконав дію. Користувачі з інших доменів відображаються як анонімні, крім випадків, коли вони переглядають або редагують документ, яким безпосередньо з ними поділилися (особисто або з групою, до якої вони входять). |
| Назва групи виконавця |
Назва групи виконавця Щоб дізнатися більше, перегляньте статтю Фільтрування результатів за групами Google. Щоб додати групу до списку дозволених, виконайте наведені нижче дії.
|
| Організаційний підрозділ виконавця | Організаційний підрозділ виконавця |
| Метод API | Для дій Завантаження й Отримано доступ до контенту об’єкта, які виконуються через сторонній додаток, використовується метод API, за допомогою якого відбулася ця дія. Наприклад, drive.files.export. |
| Ідентифікатор додатка | Ідентифікатор клієнта OAuth стороннього додатка, через який виконано дію |
| Назва додатка | Додаток, через який виконано дію |
| Аудиторія | Цільовий домен (якщо журнал аудиту стосується зміни видимості) |
| Підлягає оплаті | (Лише для версії Essentials) Указується, чи дія користувача платна |
| Дата |
Дата й час, коли відбулася подія (відображається згідно із часовим поясом, установленим за умовчанням для вашого домену) Примітка. Більшість подій реєструються після їх завершення. Іноді завантаження великих обсягів даних може зайняти деякий час. |
| Ідентифікатор документа |
Пов’язаний із дією унікальний ідентифікатор файлу на Диску, який указано в URL-адресі цього файлу. Примітка. Для подій Отримано доступ до URL-адреси ідентифікатор документа й інші поля, пов’язані з файлами (як-от тип документа й ім’я власника), реєструються лише для певних дій. Щоб дізнатися більше, перегляньте розділ Отримано доступ до URL-адреси на цій сторінці. |
| Тип документа | Формат файлу, з яким виконано дію, наприклад Google Документи, Таблиці, Презентації, JPEG, PDF, PNG, MP4, Microsoft Word, Excel, PowerPoint, txt, HTML, MPEG Audio, QuickTime відео, папка чи спільні диски. |
| Домен* | Домен, у якому відбулася дія |
| Зашифровано* | Указує, чи зашифровано файл на боці клієнта |
| Назва події |
Події, такі як Перегляд, Перейменування, Створення, Редагування, Друк, Видалення, Завантаження з пристрою і Завантаження на пристрій. Більшість дій реєструються відразу. Проте події Друк на Диску можуть з’являтися із затримкою на 12 і більше годин. Автоматичне видалення файлів із Google Диска або кошика також реєструється. Інші події, як-от завантаження файлу, реєструються відразу після завершення. |
| Видавання себе за іншу особу |
Додаток використав повноваження на рівні домену, щоб зробити запит від імені користувача. Значення Правда означає, що подія була виконана від імені користувача. Ви можете переглянути атрибути Виконавець, щоб знайти електронну адресу користувача, а також Ідентифікатор додатка й Назва додатка, щоб визначити додаток. Докладніше про надання повноважень на рівні домену. |
| IP-адреса* |
Адреса, з якої користувач виконав дію. Це може бути адреса фізичного місцезнаходження користувача, а також проксі-сервера чи віртуальної приватної мережі (VPN). Нижче наведено події, для яких IP-адреси не реєструються.
|
| Нове значення видимості публікації | Нове налаштування видимості документа |
| Нове значення* | Нове значення зміненого налаштування |
| Ідентифікатори нових значень* | Нове значення поля мітки |
| Попереднє значення видимості публікації | Попереднє налаштування видимості документа (якщо його змінено) |
| Попереднє значення* | Попереднє значення зміненого налаштування |
| Ідентифікатори попередніх значень* | Попереднє значення поля мітки |
| Власник |
Користувач, якому належить файл. |
| Попереднє налаштування видимості | Попереднє налаштування видимості документа (якщо його змінено) |
| Одержувачі* | Електронні адреси одержувачів |
| Ідентифікатор спільного диска | Ідентифікатор спільного диска, на якому розміщено файл. Якщо файл міститься не на спільному диску, це поле не заповнюється. |
| Ціль | Користувач, чий доступ змінено |
| Назва | Назва документа |
| Видимість | Видимість файлу на Диску, пов’язаного з діями |
| Змінення налаштувань видимості | Видимість файлу на Диску до виконаної дії |
| Відвідувач | Так означає, що дію виконав користувач без облікового запису Google. Ні означає, що дію виконав користувач Google. Докладніше про те, як надавати відвідувачам доступ до документів. |
Примітка. Якщо змінити ім’я користувача, пошук за його старим іменем не дасть результатів. Наприклад, якщо stareimia@example.com перейменувати на noveimia@example.com, у результатах пошуку не буде подій, пов’язаних із stareimia@example.com.
Як переглядати файли, до яких надано доступ за межами домену
Щоб переглянути файли, до яких мають доступ користувачі за межами домену, виконайте наведені нижче дії.
Сторінка "Аудит і аналіз"
- Перейдіть до даних про події в журналі, як описано вище.
- Натисніть Додати фільтр
- Натисніть Пошук.
Якщо ви вимкнете доступ за межами домену, але користувач вашої організації надасть доступ до ресурсу групі, у яку можна додавати зовнішніх користувачів, у журналі все одно відображатиметься позначка Надано доступ за межами домену (навіть якщо в цій групі немає зовнішніх користувачів). Проте зовнішні користувачі в групі не матимуть доступу до спільного ресурсу.
Інструмент аналізу безпеки
-
Відкрийте Консоль адміністратора Google.
Увійдіть за допомогою облікового запису адміністратора (не закінчується на @gmail.com).
-
У Консолі адміністратора натисніть значок
- Натисніть Джерело даних
- Натисніть Додати умову.
- Натисніть Атрибут
- Натисніть Містить
- Натисніть Видимість
- Натисніть Пошук.
Результати пошуку в інструменті "Аналіз безпеки" можна переглянути в таблиці внизу сторінки.
Якщо ви вимкнете доступ за межами домену, але користувач вашої організації надасть доступ до ресурсу групі, у яку можна додавати зовнішніх користувачів, у журналі все одно відображатиметься позначка Надано доступ за межами домену. Проте зовнішні користувачі в групі не матимуть доступу до спільного ресурсу. Це повідомлення з’явиться, навіть якщо в групі немає зовнішніх користувачів.
Зареєстровані й незареєстровані події
Видалення
Автоматичне видалення файлів із Google Диска або кошика також реєструється.
Копіювання
Коли файл копіюється, для нового файлу реєструються події Створити й Копіювати, а для вихідного – Копіювати оригінальний файл.
Коли користувач, який не належить до вашої організації, копіює файл у зовнішній ресурс, ваша організація не реєструє події Створити й Копіювати, оскільки новий файл є зовнішнім. Однак у вихідному файлі ваших журналів відображатиметься подія Копія вихідного документа, а для параметра Тип копії буде зазначено Зовнішній. Щоб відстежувати випадки, коли дані копіюються зовнішніми користувачами, перегляньте події Копія вихідного документа з типом Зовнішній.
Друк
Події Друк не реєструються, коли користувач друкує файл, відкритий у форматі Google (Документи, Таблиці, Презентації, Малюнки й Форми).
Якщо файли було роздруковано за допомогою додатка Диск на пристроях Apple (iPhone чи iPad) або Android, події Друк можуть реєструватися як Завантаження.
Завантаження
Більшість завантажень реєструються, зокрема коли файли копіюються з Диска на локальний пристрій за допомогою Google Диска для комп’ютера.
Деякі події Перегляд реєструються як завантаження, наприклад:
- перегляд файлу в додатку Диск на мобільному пристрої реєструється як подія Завантаження;
- перегляд файлу, наприклад у форматі PDF, який не можна відкрити безпосередньо в Google Документах або іншому додатку Google, реєструється як подія Завантаження.
Не реєструються події завантаження з таких джерел:
- завантаження через Google Takeout (замість цього шукайте події в журналі Takeout);
- завантаження в офлайн-кеш вебпереглядача;
- фотографії, синхронізовані з Google Фото, завантажені із цього сервісу або переглянуті за допомогою нього;
- файли з Диска, надіслані як вкладені електронною поштою, завантажені за допомогою поштового клієнта одержувача.
Контент об’єкта синхронізовано
Події синхронізації контенту об’єктів реєструються в наведених нижче випадках і доступні для дій після 1 липня 2024 року.
- Файл синхронізується з Диска на локальний пристрій за допомогою Google Диска для комп’ютера. Ці дії також реєструються як події Завантаження.
- Файл синхронізується з пристроєм для доступу в режимі офлайн. Враховується також постійна синхронізація з онлайн-версією. Події синхронізації контенту об’єктів із мобільним додатком Диск (для Android та iOS) можуть реєструватися як події Завантаження.
Отримано доступ до контенту об’єкта
Доступ до файлів можна отримати від імені користувачів через додаток, який використовує Google Workspace API, наприклад Google Drive API або Google Sheets API. Ці дії реєструються не як події Завантаження або Перегляд, а лише як Отримано доступ до контенту об’єкта. Події Gemini Отримано доступ до контенту об’єкта реєструються, лише якщо доступ до контенту здійснюється з-за меж файлу користувача, відкритого у вебверсії Диска.
Події отримання доступу до контенту не реєструються, коли користувач переглядає або відкриває файл у вебверсії Диска, додатку на мобільному пристрої або додатку Диск для комп’ютера.
Перегляд
- Перегляд файлів за допомогою /htmlview, /embed, /revisions тощо спеціальних URL-адрес реєструється як події Перегляд.
Отримати доступ до URL-адреси
Події Отримано доступ до URL-адреси реєструються, коли скрипт Apps Script отримує доступ до URL-адреси, зокрема коли він запускається з інформаційної панелі Apps Script, виконується як Доповнення або як спеціальна функція в Таблицях. Події Отримано доступ до URL-адреси не реєструються, коли користувач натискає посилання у файлі.
Атрибути, які відображаються у звітах, залежать від того, як було виконано скрипт і кому він належить.
- Якщо скрипт виконується як спеціальна функція, в ідентифікаторі документа й інших пов’язаних із документом атрибутах зазначено таблицю, до якої вона застосовувалася.
- Якщо скрипт не запускається як спеціальна функція, атрибути, пов’язані з документом, не надаються.
- Якщо скрипт Apps Script належить вашій організації, у звіті відображатиметься його ідентифікатор.
URL-адреса для імпорту в Таблиці
Виклик Функція імпорту в Таблиці, який надає доступ до URL-адреси, реєструється як подія URL-адреса для імпорту в Таблиці. Подія реєструється, коли вміст таблиці автоматично оновлюється або коли користувач її відкриває.
Події, пов’язані із зовнішніми доменами
Деякі події стосуються користувачів, спільних папок або спільних дисків за межами вашої організації (наприклад, коли хтось із вашої організації ділиться файлом із зовнішнім користувачем). Коли право власності на об’єкт змінюється, обидві організації реєструють подію.
Нижче наведено приклади подій, які реєструються обома організаціями.
- Файл на Диску, який належить користувачу з вашої організації, переміщується на зовнішній спільний диск.
- Файл на Диску, який належить зовнішньому користувачу, переміщується на спільний диск вашої організації.
- Користувач копіює файл у вашу організацію або за її межі. Організація-одержувач реєструє назву скопійованого файлу, а не оригінального.
Нижче наведено приклади подій, які реєструються вашою організацією, але не реєструються в зовнішньому домені.
- Користувач із вашої організації надає доступ до файлу на Диску зовнішньому користувачу.
- Доступ до файлу на Диску, який належить користувачу з вашої організації, надано групі, у яку можна додавати зовнішніх користувачів (навіть якщо зараз таких учасників там немає).
- Зовнішній користувач переглядає, редагує, завантажує, друкує або видаляє файл на Диску, який належить вашій організації.
- Зовнішній користувач завантажує файл на спільний диск, який належить вашій організації.
Події, "дзеркальні" до перелічених у розділі вище (наприклад, зовнішній користувач надає доступ до файлу на Диску користувачу вашої організації), реєструються зовнішнім доменом, але не вашою організацією.
Анонімні й зовнішні користувачі
Для анонімних користувачів (користувачів, які не ввійшли в обліковий запис Google) реєструються зміни, але не перегляди й завантаження.
Дії, виконані користувачами за межами домену, відображаються як анонімні, крім випадків, коли їм надано доступ до файлу (як окремій особі чи учаснику певної групи).
Адміністратори можуть обмежити доступ для анонімних і зовнішніх користувачів, налаштувавши правила спільного доступу для організації або Правила довіри.
Диск для комп’ютера
Коли файли копіюються між Диском і локальним пристроєм через Google Диск для комп’ютера, реєструються події Завантаження й Контент об’єкта синхронізовано.
Як керувати даними про події в журналі
Як керувати стовпцями даних у результатах пошуку
Ви можете вибрати, які стовпці даних показуватимуться в результатах пошуку.
- У верхньому правому куті таблиці з результатами пошуку натисніть значок
.
- (Необов’язково) Щоб вилучити поточні стовпці, натисніть значок
.
- (Необов’язково) Щоб додати стовпці, поруч з опцією Додати новий стовпець натисніть значок
і виберіть стовпець даних.
За потреби виконайте ці кроки ще раз. - (Необов’язково) Щоб змінити порядок стовпців, перетягніть назви стовпців даних.
- Натисніть Зберегти.
Як експортувати дані результатів пошуку
Результати пошуку можна експортувати в Google Таблиці або файл CSV.
- Угорі таблиці з результатами пошуку натисніть Експортувати все.
- Введіть назву
Експорт даних відображається під таблицею з результатами пошуку Результати експорту дій. - Щоб переглянути дані, натисніть назву експорту.
Після цього відкриється сервіс Google Таблиці.
На експорт накладаються різні обмеження.
- Усього можна експортувати не більше ніж 100 000 рядків (за винятком пошукових запитів у Gmail, які мають обмеження до 10 000 рядків).
- Ця функція підтримується в таких версіях: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus і Cloud Identity Premium. Порівняти свою версію з іншими
Якщо ви користуєтесь інструментом аналізу безпеки, загальна кількість результатів експорту обмежується 30 мільйонами рядків (за винятком пошукових запитів у Gmail, які мають обмеження до 10 000 рядків).
Щоб дізнатися більше, перегляньте статтю про те, як експортувати результати пошуку.
Коли дані стануть доступними й на який строк
Які дії можна виконувати на основі результатів пошуку
- Ви можете налаштувати сповіщення на основі даних про події в журналі за допомогою правил звітування. Вказівки можна переглянути в цій статті.
- Ця функція підтримується в таких версіях: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus і Cloud Identity Premium. Порівняти свою версію з іншими
Щоб ефективніше виявляти й усувати проблеми з безпекою, а також запобігати їм, ви можете автоматизувати дії в інструменті "Аналіз безпеки", створивши правила для дій. Щоб налаштувати правило, задайте для нього умови, а потім укажіть, які дії слід виконувати за їх дотримання. Детальну інформацію і вказівки можна переглянути в цій статті.
Ця функція підтримується в таких версіях: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus і Cloud Identity Premium. Порівняти свою версію з іншими
Результати пошуку, отримані за допомогою інструмента "Аналіз безпеки", можна використовувати для різних цілей. Наприклад, ви можете виконати пошук на основі подій у журналі Gmail, а потім за допомогою інструмента видалити певні повідомлення, перемістити їх у карантин або надіслати користувачам у папки "Вхідні". Щоб дізнатися більше про дії, які можна виконувати на основі результатів пошуку, перегляньте цю статтю.
Як керувати аналізами
Ця функція підтримується в таких версіях: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus і Cloud Identity Premium. Порівняти свою версію з іншими
Як переглянути список результатів аналізівЩоб переглянути список результатів аналізів, які належать вам або до яких вам надали доступ, натисніть значок . Цей список містить назви, описи й імена власників результатів аналізів, а також дату їх останньої зміни.
На сторінці зі списком можна виконувати дії з будь-якими аналізами, які вам належать (наприклад, видаляти їх). Поставте прапорець біля потрібного аналізу й натисніть Дії.
Примітка. Нещодавно збережені результати аналізів можна переглянути безпосередньо над їх списком у розділі Швидкий доступ.
Увійдіть у систему як суперадміністратор і натисніть значок . У цьому меню можна виконати наведені нижче дії.
- Змінити часовий пояс для аналізів. Часовий пояс застосовується до умов і результатів пошуку.
- Увімкнути чи вимкнути параметр Запит на перевірку. Щоб дізнатися більше про перевірку масових дій, перегляньте цю статтю.
- Увімкнути чи вимкнути параметр Перегляд контенту. Завдяки цьому налаштуванню адміністратори з відповідними правами матимуть змогу переглядати контент.
- Увімкнути чи вимкнути параметр Увімкніть обґрунтування дії.
Вказівки й докладні відомості про налаштування параметрів для проведення аналізів наведено в цій статті.
Щоб зберегти критерії пошуку або поділитися ними з іншими користувачами, ви можете створити аналіз, зберегти його результати, а потім копіювати чи видалити його або поділитися ним з іншими.
Дізнатися більше про зазначені вище дії ви можете в цій статті.