Залежно від версії Google Workspace ви можете мати доступ до інструмента "Аналіз безпеки", у якому доступні розширені функції. Наприклад, суперадміністратори можуть виявляти, сортувати й усувати проблеми з безпекою і конфіденційністю. Докладніше
Як надсилати дані про події в журналі в Google Cloud
Ви можете надати Google Cloud доступ до даних про події. Якщо ввімкнути спільний доступ, дані передаватимуться в Cloud Logging, де ви зможете надсилати запити й переглядати журнали, а також керувати їх маршрутизацією і зберіганням.
Тип даних про події в журналі, які можна надсилати в Google Cloud, залежить від облікового запису Google Workspace, Cloud Identity або Essentials.
Як шукати події в журналі Календаря
Можливість виконання пошуку залежить від версії Google, прав адміністратора й джерела даних. Ви можете виконувати пошук усіх користувачів незалежно від їхньої версії Google Workspace.
Аудит і інструмент "Аналіз безпеки"
Щоб знайти події в журналі, спершу виберіть джерело даних. Потім виберіть принаймні один фільтр.
-
Відкрийте Консоль адміністратора Google.
Увійдіть за допомогою облікового запису адміністратора (не закінчується на @gmail.com).
-
In the Admin console, go to Menu
Reporting
Audit and investigation
- Натисніть Додати фільтр і виберіть атрибут.
- У спливаючому вікні виберіть оператор
- (Необов’язково) Щоб створити кілька фільтрів для пошукового запиту, виконайте цей крок потрібну кількість разів.
- (Необов’язково) Щоб додати оператор пошуку, над пунктом Додати фільтр виберіть І чи АБО.
- (Необов’язково) Щоб створити кілька фільтрів для пошукового запиту, повторіть цей крок.
- (Необов’язково) Щоб додати оператор пошуку, над пунктом Додати фільтр виберіть І чи АБО.
- Натисніть Пошук.
-
Підказка. Щоб фільтрувати результати пошуку, на вкладці Фільтр можна включити прості пари параметрів і значень. Крім того, на вкладці Конструктор умов фільтри представлено як умови з операторами І/АБО.
Інструмент аналізу безпеки
Щоб виконати пошук в інструменті "Аналіз безпеки", спершу виберіть джерело даних. Потім виберіть принаймні одну умову для пошуку. Для кожної умови виберіть атрибут, оператор і значення.
-
Відкрийте Консоль адміністратора Google.
Увійдіть за допомогою облікового запису адміністратора (не закінчується на @gmail.com).
-
У Консолі адміністратора натисніть значок
Безпека
- Натисніть Джерело даних і виберіть Події в журналі Календаря.
- Натисніть Додати умову.
Підказка. Ви можете вказати одну чи кілька умов у своєму пошуковому запиті або налаштувати пошук за допомогою вбудованих запитів. Щоб дізнатися більше, перегляньте цю статтю. - Натисніть Атрибут
Повний список атрибутів наведено в розділі Описи атрибутів (далі на цій сторінці). - Виберіть оператор.
- Введіть значення або виберіть значення зі списку.
- (Необов’язково) Щоб додати інші умови пошуку, повторіть кроки 4–7.
- Натисніть Пошук.
Результати пошуку в інструменті "Аналіз безпеки" можна переглянути в таблиці внизу сторінки. - Необов’язково: щоб зберегти аналіз, натисніть значок
Примітки
- На вкладці Конструктор умов фільтри представлено як умови з операторами "І/АБО". Щоб фільтрувати результати пошуку, на вкладці Фільтр можна включити прості пари параметрів і значень.
- Якщо змінити ім’я користувача, пошук за його старим іменем не дасть результатів. Наприклад, якщо stareimia@example.com перейменувати на noveimia@example.com, у результатах пошуку не буде подій, пов’язаних із stareimia@example.com.
Опис атрибутів
Для цього джерела даних можна використовувати такі атрибути під час пошуку даних про події в журналі:
| Атрибут | Опис |
|---|---|
| Рівень доступу |
Рівень доступу до календаря або події (тобто, що можуть бачити інші користувачі). Введіть одне з наведених нижче значень.
|
| Виконавець | Електронна адреса користувача, який виконав дію. |
| Назва групи виконавця |
Назва групи виконавця Щоб дізнатися більше, перегляньте статтю Фільтрування результатів за групами Google. Щоб додати групу до списку дозволених, виконайте наведені нижче дії.
|
| Організаційний підрозділ виконавця | Організаційний підрозділ виконавця. |
| Тип API | API, за допомогою якого виконано зареєстровану дію. Нижче наведено доступні варіанти.
|
| Назва розкладу зустрічей | Назва розкладу зустрічей. |
| Ідентифікатор календаря | Ідентифікатор календаря, у якому відбулася зареєстрована дія (наприклад, календар, у якому створено подію, або календар, на який користувачі можуть підписатися). Зазвичай для цього атрибута вказується електронна адреса користувача, як-от imiakorystuvacha@example.com. |
| Шифрування на боці клієнта | Указує, чи зашифровано подію в календарі на боці клієнта. |
| Дата | Дата й час, коли відбулася подія (відображається згідно із часовим поясом, установленим за умовчанням для вашого домену). |
| Подія | Зареєстрована подія, наприклад Подію видалено, Назву календаря змінено або Гостя події вилучено. |
| Час завершення події* | Час, коли подія завершилася. |
| Ідентифікатор події | Ідентифікатор події в календарі. |
| Час початку події* | Час, коли подія почалася. |
| Назва події | Назва події в календарі. |
| Статус відповіді гостя | Відповідь гостя на запрошення в календарі (наприклад, Прийнято, Відхилено або Можливо). |
| Код помилки сумісності | Код помилки, пов’язаний із невдалим запитом. Атрибут доступний, лише якщо ввімкнено інструмент Взаємодія календарів. |
| IP-адреса | IP-адреса, пов’язана із зареєстрованою дією. Зазвичай відображає фізичне місцезнаходження користувача, але може бути проксі-сервером або адресою віртуальної приватної мережі (VPN). |
| Нове значення* | Нове значення атрибута. Наприклад, введіть назву або опис нового календаря чи місцеположення. |
| Ідентифікатор сповіщення | Ідентифікатор сповіщення електронною поштою. |
| Спосіб сповіщення | Спосіб, за допомогою якого надіслано сповіщення. Виберіть одне з наведених нижче значень.
|
| Тип сповіщення | Тип налаштованого сповіщення, наприклад Надано доступ до календаря, Скасована подія або Нова подія. |
| Колишня назва події | Попередня назва події (якщо назву події в календарі було змінено). |
| Ідентифікатор календаря організатора | Ідентифікатор календаря організатора цієї події. |
| Регулярна | Подія в календарі є регулярною. |
| URL-адреса віддаленого сервера Exchange* | URL-адреса кінцевої точки вебсервісів Exchange (EWS). Атрибут доступний, лише якщо ввімкнено інструмент Взаємодія календарів. |
| Час завершення запитаного періоду* | Якщо зареєстрована дія пов’язана з певним періодом, це поле містить дані про час його завершення. Наприклад, час, коли завершується подання запитів на доступність в інструменті Взаємодія календарів. |
| Час початку запитаного періоду* | Якщо зареєстрована дія пов’язана з певним періодом, це поле містить дані про час його початку. Наприклад, час, коли починається подання запитів на доступність в інструменті Взаємодія календарів. |
| Ідентифікатор календаря підписника | Ідентифікатор календаря користувача, який підписався на календар. |
| Ціль* | Це може бути електронна адреса гостя, адреса користувача, якому надано доступ, або змінена електронна адреса одержувача. |
| Агент користувача | Програмне забезпечення агента користувача, пов’язане з подією в календарі. |
Як керувати даними про події в журналі
Як керувати стовпцями даних у результатах пошуку
Ви можете вибрати, які стовпці даних показуватимуться в результатах пошуку.
- У верхньому правому куті таблиці з результатами пошуку натисніть значок
.
- (Необов’язково) Щоб вилучити поточні стовпці, натисніть значок
.
- (Необов’язково) Щоб додати стовпці, поруч з опцією Додати новий стовпець натисніть значок
і виберіть стовпець даних.
За потреби виконайте ці кроки ще раз. - (Необов’язково) Щоб змінити порядок стовпців, перетягніть назви стовпців даних.
- Натисніть Зберегти.
Як експортувати дані результатів пошуку
Результати пошуку можна експортувати в Google Таблиці або файл CSV.
- Угорі таблиці з результатами пошуку натисніть Експортувати все.
- Введіть назву
Експорт даних відображається під таблицею з результатами пошуку Результати експорту дій. - Щоб переглянути дані, натисніть назву експорту.
Після цього відкриється сервіс Google Таблиці.
На експорт накладаються різні обмеження.
- Усього можна експортувати не більше ніж 100 000 рядків (за винятком пошукових запитів у Gmail, які мають обмеження до 10 000 рядків).
- Ця функція підтримується в таких версіях: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus і Cloud Identity Premium. Compare your edition
Якщо ви користуєтесь інструментом аналізу безпеки, загальна кількість результатів експорту обмежується 30 мільйонами рядків (за винятком пошукових запитів у Gmail, які мають обмеження до 10 000 рядків).
Щоб дізнатися більше, перегляньте статтю про те, як експортувати результати пошуку.
Коли дані стануть доступними й на який строк
Які дії можна виконувати на основі результатів пошуку
- Ви можете налаштувати сповіщення на основі даних про події в журналі за допомогою правил звітування. Вказівки можна переглянути в цій статті.
- Ця функція підтримується в таких версіях: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus і Cloud Identity Premium. Compare your edition
Щоб ефективніше виявляти й усувати проблеми з безпекою, а також запобігати їм, ви можете автоматизувати дії в інструменті "Аналіз безпеки", створивши правила для дій. Щоб налаштувати правило, задайте для нього умови, а потім укажіть, які дії слід виконувати за їх дотримання. Детальну інформацію і вказівки можна переглянути в цій статті.
Ця функція підтримується в таких версіях: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus і Cloud Identity Premium. Compare your edition
Результати пошуку, отримані за допомогою інструмента "Аналіз безпеки", можна використовувати для різних цілей. Наприклад, ви можете виконати пошук на основі подій у журналі Gmail, а потім за допомогою інструмента видалити певні повідомлення, перемістити їх у карантин або надіслати користувачам у папки "Вхідні". Щоб дізнатися більше про дії, які можна виконувати на основі результатів пошуку, перегляньте цю статтю.
Як керувати дослідженнями
Ця функція підтримується в таких версіях: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus і Cloud Identity Premium. Compare your edition
Як переглянути список результатів аналізівЩоб переглянути список результатів аналізів, які належать вам або до яких вам надали доступ, натисніть значок . Цей список містить назви, описи й імена власників результатів аналізів, а також дату їх останньої зміни.
На сторінці зі списком можна виконувати дії з будь-якими аналізами, які вам належать (наприклад, видаляти їх). Поставте прапорець біля потрібного аналізу й натисніть Дії.
Примітка. Нещодавно збережені результати аналізів можна переглянути безпосередньо над їх списком у розділі Швидкий доступ.
Увійдіть у систему як суперадміністратор і натисніть значок . У цьому меню можна виконати наведені нижче дії.
- Змінити часовий пояс для аналізів. Часовий пояс застосовується до умов і результатів пошуку.
- Увімкнути чи вимкнути параметр Запит на перевірку. Щоб дізнатися більше про перевірку масових дій, перегляньте цю статтю.
- Увімкнути чи вимкнути параметр Перегляд контенту. Завдяки цьому налаштуванню адміністратори з відповідними правами матимуть змогу переглядати контент.
- Увімкнути чи вимкнути параметр Увімкніть обґрунтування дії.
Вказівки й докладні відомості про налаштування параметрів для проведення аналізів наведено в цій статті.
Щоб зберегти критерії пошуку або поділитися ними з іншими користувачами, ви можете створити аналіз, зберегти його результати, а потім копіювати чи видалити його або поділитися ним з іншими.
Дізнатися більше про зазначені вище дії ви можете в цій статті.