Peristiwa log OAuth

Meninjau permintaan akses data dan penggunaan aplikasi pihak ketiga

Bergantung pada edisi Google Workspace yang digunakan, Anda mungkin memiliki akses ke alat investigasi keamanan, yang memiliki lebih banyak fitur lanjutan. Misalnya, admin super dapat mengidentifikasi, menentukan prioritas, serta mengambil tindakan terhadap masalah keamanan dan privasi. Pelajari lebih lanjut

Sebagai administrator organisasi, Anda dapat menjalankan penelusuran dan mengambil tindakan pada peristiwa log OAuth. Misalnya, Anda dapat melihat data tindakan untuk meninjau pengguna yang menggunakan aplikasi seluler atau web pihak ketiga di domain Anda. Misalnya, saat pengguna membuka aplikasi Google Workspace Marketplace, log mencatat nama aplikasi dan orang yang menggunakannya.

Log ini juga mencatat setiap kali aplikasi pihak ketiga diizinkan untuk mengakses data Akun Google, seperti file Google Kontak, Kalender, dan Drive (khusus Google Workspace).

Meneruskan data peristiwa log ke Google Cloud

Anda dapat memilih untuk berbagi data peristiwa log dengan Google Cloud. Jika Anda mengizinkan berbagi, data akan diteruskan ke Cloud Logging, tempat Anda dapat menelusuri dan melihat log Anda, serta mengontrol cara Anda mengarahkan dan menyimpan log.

Menjalankan penelusuran untuk peristiwa log

Kemampuan Anda untuk menjalankan penelusuran bergantung pada edisi Google, hak istimewa administratif, dan sumber data Anda. Anda dapat menjalankan penelusuran pada semua pengguna, apa pun edisi Google Workspace mereka.

Alat investigasi dan audit

Alat investigasi keamanan

Edisi yang didukung untuk fitur ini: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premium. Bandingkan edisi

Untuk menjalankan penelusuran di alat investigasi keamanan, pertama-tama pilih sumber data. Kemudian, pilih satu atau beberapa kondisi untuk penelusuran Anda. Pilih atribut, operator, dan nilai untuk setiap kondisi.

Login ke Konsol Google Admin dengan akun administrator.
Jika tidak menggunakan akun administrator, Anda tidak dapat mengakses konsol Admin.
Buka Menu Keamanan > Pusat keamanan > Alat investigasi.
Memerlukan hak istimewa administrator Pusat keamanan.
Klik Sumber data, lalu pilih Peristiwa log OAuth.
Klik Tambahkan Kondisi.
Tips: Anda dapat menyertakan satu atau beberapa kondisi dalam penelusuran atau menyesuaikan penelusuran dengan kueri bertingkat. Untuk mengetahui detailnya, buka Menyesuaikan penelusuran dengan kueri bertingkat.
Klik Atributpilih salah satu opsi.
Untuk mengetahui daftar lengkap atribut, buka bagian Deskripsi atribut di bawah.
Pilih operator.
Masukkan nilai, atau pilih nilai dari menu drop-down.
(Opsional) Untuk menambahkan kondisi penelusuran lainnya, ulangi langkah 4–7.
Klik Telusuri.
Hasil penelusuran di alat investigasi ditampilkan dalam tabel di bagian bawah halaman.
(Opsional) Untuk menyimpan investigasi, klik Simpanmasukkan judul dan deskripsiklik Simpan.

Catatan:

Di tab Pembuat kondisi, filter ditampilkan sebagai kondisi dengan operator DAN/ATAU. Anda juga dapat menggunakan tab Filter untuk menyertakan pasangan nilai dan parameter sederhana untuk memfilter hasil penelusuran.
Jika Anda memberi pengguna nama baru, Anda tidak akan melihat hasil kueri dengan nama lama pengguna. Misalnya, jika Anda mengganti nama NamaLama@example.com ke NamaBaru@example.com, Anda tidak akan melihat hasil peristiwa yang terkait dengan NamaLama@example.com.

Deskripsi atribut

Untuk sumber data ini, Anda dapat menggunakan atribut berikut saat menelusuri data peristiwa log:

Atribut	Deskripsi
Nama grup pelaku	Nama grup pelaku. Untuk mengetahui informasi selengkapnya, buka Memfilter hasil menurut Google Grup. Untuk menambahkan grup ke daftar grup pemfilteran yang diizinkan: Pilih Nama grup pelaku. Klik Grup pemfilteran. Halaman Grup pemfilteran akan ditampilkan. Klik Tambahkan Grup. Telusuri grup dengan memasukkan beberapa karakter pertama dari nama atau alamat email grup. Jika melihat grup yang diinginkan, pilih grup tersebut. (Opsional) Untuk menambahkan grup lain, telusuri dan pilih grup tersebut. Setelah selesai memilih grup, klik Tambahkan. (Opsional) Untuk menghapus satu grup, klik Hapus grup . Klik Simpan.
Unit organisasi pelaku	Unit organisasi pelaku
Metode API	Nama metode API yang dipanggil menggunakan token OAuth
Nama API	Nama API yang dipanggil menggunakan token OAuth
ID aplikasi	Client ID OAuth aplikasi yang aksesnya telah diberi otorisasi atau dicabut
Nama aplikasi	Aplikasi yang aksesnya telah diberikan atau dicabut
Jenis klien	Jenis klien—misalnya, Perangkat terhubung, Android Asli, atau iOS Asli
Tanggal	Tanggal dan waktu peristiwa terjadi (ditampilkan dalam zona waktu default browser)
Peristiwa	Tindakan peristiwa yang dicatat dalam log, seperti panggilan API atau Mengizinkan Catatan: Acara panggilan API hanya tersedia untuk Enterprise Plus, Education Plus, Enterprise Standard, Education Standard, dan Cloud Identity Premium.
Alamat IP	Alamat IP pengguna yang diberi otorisasi atau dicabut aksesnya. Hal ini mungkin mencerminkan lokasi fisiknya, tetapi dapat juga berupa hal lain seperti server proxy atau alamat Virtual Private Network (VPN). Catatan: Jika peristiwa tidak dipicu secara langsung oleh tindakan pengguna (misalnya masa berlaku token habis), alamat IP mungkin tidak akan dicatat.
Jumlah byte respons	Ukuran respons dalam byte
Produk*	Nama produk Google yang token OAuth-nya telah diberikan
Cakupan*	Cakupan yang aksesnya telah diberi otorisasi atau dicabut
Pengguna	Pengguna yang aksesnya telah diberi otorisasi atau dicabut

* Anda tidak dapat membuat aturan pelaporan dengan filter tersebut. Pelajari lebih lanjut aturan pelaporan versus aturan aktivitas.

Catatan: Jika memberi pengguna nama baru, Anda tidak akan melihat hasil kueri dengan nama lamanya. Misalnya, jika Anda mengganti nama NamaLama@example.com ke NamaBaru@example.com, Anda tidak akan melihat hasil peristiwa yang terkait dengan NamaLama@example.com.