Jeśli jesteś administratorem w organizacji, na stronie kontroli i analizy zagrożeń możesz przeprowadzać wyszukiwania związane ze zdarzeniami w dzienniku OAuth. Za pomocą tego dziennika możesz wyświetlić rejestr czynności, aby sprawdzić, którzy użytkownicy korzystają w Twojej domenie z aplikacji internetowych lub mobilnych firm zewnętrznych. Jeśli na przykład użytkownik otworzy aplikację z Google Workspace Marketplace, w dzienniku zostaną zapisane nazwa aplikacji oraz informacje o osobie, która korzysta z tej aplikacji.
W dzienniku rejestrowane są też wszystkie przypadki upoważnienia aplikacji firmy zewnętrznej do uzyskania dostępu do danych konta Google, takich jak dane Kontaktów i Kalendarza czy pliki na Dysku (tylko w Google Workspace).
Pełną listę usług i działań, które możesz sprawdzić (takich jak Dysk Google czy aktywność użytkowników) znajdziesz w artykule Informacje o narzędziu do kontroli i analizy zagrożeń.
Forward log event data to Google Cloud
Supported editions for this feature: Enterprise Standard i Enterprise Plus; Education Standard i Education Plus, Voice Premier. Porównanie wersji
You can opt in to share the log event data with Google Cloud. If you turn on sharing, data is forwarded to Cloud Logging, where you can query and view your logs, and control how you route and store your logs.
Otwieranie strony kontroli i analizy zagrożeń
Uzyskiwanie dostępu do danych zdarzenia w dzienniku OAuth
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
- Po lewej stronie kliknij Raportowanie Kontrola i analiza zagrożeń Zdarzenia w dzienniku OAuth.
Filtrowanie danych
- Otwórz zdarzenia z dziennika w sposób opisany powyżej w sekcji Uzyskiwanie dostępu do danych zdarzenia w dzienniku OAuth.
- Kliknij Dodaj filtr, a następnie wybierz atrybut.
- W wyskakującym okienku wybierz operator wybierz wartość kliknij Zastosuj.
-
(Opcjonalnie) Aby utworzyć kilka filtrów wyszukiwania:
- Kliknij Dodaj filtr i powtórz krok 3.
- (Opcjonalnie) Aby dodać operator wyszukiwania, nad opcją Dodaj filtr wybierz ORAZ bądź LUB.
- Kliknij Szukaj.
Uwaga: na karcie Filtr możesz uwzględnić proste pary parametrów i wartości, aby przefiltrować wyniki wyszukiwania. Możesz też użyć karty narzędzia do definiowania warunków, gdzie filtry są mają postać warunków z operatorem ORAZ i LUB.
Opisy atrybutów
W przypadku tego źródła danych podczas wyszukiwania danych zdarzenia z dziennika możesz użyć tych atrybutów:
Atrybut | Opis |
---|---|
Nazwa grupy |
Nazwa grupy użytkownika, który wykonał czynność. Więcej informacji znajdziesz w artykule Filtrowanie wyników za pomocą grup dyskusyjnych Google. Aby dodać grupę do listy dozwolonych grup filtrowania:
|
Jednostka organizacyjna użytkownika, który wykonał czynność | Jednostka organizacyjna użytkownika, który wykonał czynność |
Metoda interfejsu API | Nazwa metody interfejsu API, który został wywołany za pomocą tokena OAuth |
Nazwa interfejsu API | Nazwa interfejsu API, który został wywołany za pomocą tokena OAuth |
Identyfikator aplikacji | Identyfikator klienta OAuth aplikacji, w przypadku której dostęp został autoryzowany lub unieważniony. |
Nazwa aplikacji | Aplikacja, dla której dostęp został przyznany lub unieważniony. |
Typ klienta | Typ klienta – na przykład Połączone urządzenie, Aplikacja natywna na urządzeniach z Androidem lub Aplikacja natywna na urządzeniach z iOS |
Data | Data i godzina wystąpienia zdarzenia (według domyślnej strefy czasowej ustawionej w przeglądarce) |
Zdarzenie |
Zarejestrowane zdarzenie, na przykład Wywołanie interfejsu API lub Przyznaj Uwaga: zdarzenia wywołań interfejsu API są dostępne tylko w tych usługach: Enterprise Plus, Education Plus, Enterprise Standard, Education Standard i Cloud Identity Premium. |
Adres IP | Adres IP użytkownika, którego dostęp został autoryzowany lub unieważniony. Adres IP może odzwierciedlać fizyczną lokalizację użytkownika lub wskazywać inne miejsce, na przykład serwer proxy lub adres sieci VPN. Uwaga: jeśli zdarzenie nie zostało wywołane bezpośrednio działaniem użytkownika (np. wygaśnięciem tokenu), możliwe, że adres IP nie zostanie zarejestrowany. |
Liczba bajtów odpowiedzi | Rozmiar odpowiedzi w bajtach |
Usługa* | Nazwa usługi Google, której przyznano token OAuth |
Zakres* | Zakresy, w przypadku których dostęp został autoryzowany lub unieważniony. |
Użytkownik | Użytkownik, któremu autoryzowano lub unieważniono dostęp |
Zarządzanie danymi zdarzenia z dziennika
Zarządzanie danymi w kolumnie wyników wyszukiwania
Możesz określić, które kolumny danych mają pojawiać się w wynikach wyszukiwania.
- W prawym górnym rogu tabeli wyników wyszukiwania kliknij Zarządzaj kolumnami .
- (Opcjonalnie) Aby usunąć bieżące kolumny, kliknij Usuń .
- (Opcjonalnie) Aby dodać kolumny, obok Dodaj nową kolumnę, kliknij strzałkę w dół i wybierz kolumnę danych.
Powtórz w razie potrzeby. - (Opcjonalnie) Aby zmienić kolejność kolumn, przeciągnij nazwy kolumn danych.
- Kliknij Zapisz.
Eksportowanie danych wyników wyszukiwania
- U góry tabeli wyników wyszukiwania kliknij Eksportuj wszystko.
- Wpisz nazwę kliknij Eksportuj.
Wyeksportowane dane wyświetlają się pod tabelą wyników wyszukiwania w sekcji wyników eksportowania. - Aby wyświetlić dane, kliknij nazwę eksportu.
Eksport otworzy się w Arkuszach Google.
tworzenie reguł raportowania.
Otwórz artykuł Tworzenie i wyświetlanie reguł raportowania oraz konfigurowanie alertów.
Kiedy i jak długo dane są dostępne?
Przeczytaj artykuł Czas przechowywania danych i opóźnienia.