Eventi dei log utente

Esaminare le attività di accesso degli utenti

A seconda della versione di Google Workspace che utilizzi, potresti avere accesso allo strumento di indagine sulla sicurezza, che offre funzionalità più avanzate. Ad esempio, i super amministratori possono identificare, assegnare una priorità e intervenire in caso di problemi di sicurezza e privacy. Scopri di più

In qualità di amministratore della tua organizzazione, puoi eseguire ricerche e intervenire sugli eventi del log utente. Ad esempio, puoi controllare le azioni critiche eseguite dagli utenti nei propri account. Queste azioni includono modifiche di password, dettagli per il recupero dell'account (numeri di telefono, indirizzi email) e registrazioni per la verifica in due passaggi. Questo tipo di accesso non viene eseguito tramite un client di posta o un'applicazione non basata su browser, a meno che non si tratti di un accesso programmatico di una sessione considerata sospetta.

Nota: se non sono disponibili dati sugli eventi dei log utente degli ultimi sei mesi, l'opzione Eventi dei log utente potrebbe non comparire nel menu di navigazione a sinistra.

Inoltrare i dati sugli eventi dei log a Google Cloud

Puoi attivare la condivisione dei dati sugli eventi dei log con Google Cloud. Se attivi la condivisione, i dati vengono inoltrati a Cloud Logging, dove puoi eseguire query sui log, visualizzarli e controllarne le modalità di routing e di archiviazione.

Eseguire una ricerca di eventi dei log

La possibilità di eseguire ricerche dipende dalla versione di Google che utilizzi, dai tuoi privilegi amministrativi e dall'origine dati. Puoi eseguire una ricerca su tutti gli utenti, indipendentemente dalla versione di Google Workspace in uso.

Descrizioni degli attributi

Per questa origine dati, puoi utilizzare i seguenti attributi durante la ricerca dei dati sugli eventi di log:

Attributo Descrizione
Nome del gruppo dell'attore

Il nome del gruppo dell'attore. Per saperne di più, vedi Filtrare i risultati per gruppo Google.

Per aggiungere un gruppo alla lista consentita dei gruppi filtro:

  1. Seleziona Nome del gruppo dell'attore.
  2. Fai clic su Gruppi filtro.
    Viene visualizzata la pagina Gruppi filtro.
  3. Fai clic su Aggiungi gruppi.
  4. Cerca un gruppo inserendo i primi caratteri del nome o dell'indirizzo email. Quando viene visualizzato il gruppo che stai cercando, selezionalo.
  5. (Facoltativo) Per aggiungere un altro gruppo, cercalo e selezionalo.
  6. Quando hai selezionato tutti i gruppi che ti interessano, fai clic su Aggiungi.
  7. (Facoltativo) Per rimuovere un gruppo, fai clic su Rimuovi gruppo .
  8. Fai clic su Salva.
Unità organizzativa che ha eseguito l'azione Unità organizzativa dell'attore
Utente interessato Indirizzo email dell'utente interessato
Tipo di verifica*

Il tipo di verifica utilizzata per verificare l'utente, ad esempio Password o Token di sicurezza.

Nota: i tipi di verifica appena aggiunti, come Passkey, potrebbero causare incoerenze con il tipo di verifica esistente denominato Altro per i log di controllo creati prima del 30 settembre 2024.

Data La data e l'ora dell'evento (nel fuso orario predefinito del browser).
Dominio* Il dominio in cui si è verificata l'azione
Indirizzo di inoltro email L'indirizzo email a cui inoltrare i messaggi di Gmail.

Evento

Azione dell'evento registrata, ad esempio registrazione alla verifica in due passaggi o accesso sospetto

Nota: per l'evento Disconnessione, anche se l'utente ha eseguito l'accesso con tipi di accesso diversi da Password di Google, ad esempio Exchange, Riautenticazione, SAML o Sconosciuto, il tipo di accesso per gli eventi Disconnessione viene visualizzato come Password di Google.

Indirizzo IP L'indirizzo IP utilizzato dall'utente per l'accesso. Di solito, l'indirizzo corrisponde alla posizione fisica dell'utente, ma può anche corrispondere all'indirizzo di un server proxy o di una rete privata virtuale (VPN).
È il secondo fattore* True se l'utente ha eseguito l'accesso con l'autenticazione a due fattori.
Falso se l'utente non ha eseguito l'accesso con l'autenticazione a due fattori.
È sospetto* True se il tentativo di accesso è sospetto e riuscito, altrimenti False. Applicabile solo all'evento login_success.
Ora accesso Se un evento di accesso sospetto viene bloccato, questo campo mostra la data e l'ora in cui l'utente ha provato ad accedere.
Tipo di accesso

Metodo di autenticazione utilizzato dall'utente:

  • Scambio: l'utente è stato autenticato mediante scambio di token, ad esempio attraverso un accesso OAuth. Questa voce potrebbe anche indicare che l'utente aveva già eseguito l'accesso a una sessione e successivamente ha eseguito l'accesso a un'altra sessione, che è stata unita con la prima.
  • Password Google: l'utente ha utilizzato una password Google. Include gli accessi alle app meno sicure (se consentite).
  • OIDC: autenticazione tramite OpenID Connect (OIDC) Single Sign-On.
  • Riautenticazione: l'utente è stato autenticato con una richiesta di nuova autenticazione.
  • SAML: autenticazione tramite Single Sign-On con SAML (Security Assertion Markup Language).**
  • Sconosciuto: il metodo di autenticazione utilizzato dall'utente è sconosciuto.
Utente Indirizzo email dell'utente che ha eseguito l'azione.

* Non puoi creare regole di reporting con questi filtri. Scopri di più sul confronto tra le regole di reporting e le regole di attività.

** Nota per gli utenti SAML che utilizzano Profilo SSO per la tua organizzazione (versione precedente di SAML): se il tentativo di accesso SAML proviene da un dispositivo o indirizzo IP sconosciuto oppure se è presente un'analisi del rischio più elevata, un accesso non riuscito con il tipo Password di Google viene registrato nell'evento del log. Questo accade anche se l'accesso SAML è andato a buon fine, perché il sistema segnala il tentativo iniziale come sospetto. Questa voce del log relativa all'accesso non riuscito è quindi seguita da un evento di accesso SAML riuscito. Nella versione precedente di SAML vengono generate due sessioni di accesso per un singolo accesso SAML. La prima sessione, spesso irrilevante, viene esclusa solo se considerata non sospetta.

Nota: se hai assegnato un nuovo nome a un utente, le query in cui è utilizzato il suo nome precedente non restituiranno risultati. Ad esempio, se rinomini NomePrecedente@example.com in NuovoNome@example.com, non verranno restituiti risultati per gli eventi correlati a NomePrecedente@example.com.

Gestire i dati sugli eventi del log

Adottare azioni basate sui risultati di ricerca

Gestire le indagini

Versioni supportate per questa funzionalità: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Confronta la tua versione

È stato utile?

Come possiamo migliorare l'articolo?
true
Inizia oggi la tua prova gratuita di 14 giorni oggi

Email professionale, spazio di archiviazione online, calendari condivisi, riunioni video e altro ancora. Inizia oggi la prova gratuita di G Suite.

15473018296670723497
true
Cerca nel Centro assistenza
true
true
true
true
true
73010
Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
false
false
false