События журнала устройств

Страница аудита и анализа: действия на устройствах организации

Эта функция доступна в версиях Business Plus, Enterprise, Education Standard и Education Plus, G Suite Business, Cloud Identity Premium. Сравнение версий

Страница журнала аудита заменена на новую страницу аудита и анализа. Подробнее об этом изменении рассказано в статье Что нового в Google Workspace: расширенные возможности аудита и анализа.

На странице аудита и анализа можно выполнять поиск по событиям в журнале устройств. Вы можете просматривать записи о действиях на компьютерах, мобильных устройствах и устройствах умного дома, которые используются для доступа к данным вашей организации. Например, можно увидеть, что пользователь добавил аккаунт на устройство или что пароль на устройстве не соответствует правилам в отношении паролей. Чтобы отслеживать события, настройте оповещения.

Полный список сервисов и действий, которые вы можете проанализировать, например Google Диск и действия пользователей, приведен на странице источников данных для аудита и анализа.

Как открыть страницу аудита и анализа

Подготовка

  • Чтобы в журнале были видны все события, для устройств должны быть включены расширенные функции управления устройствами.
  • Чтобы были видны изменения в приложениях на устройствах Android, вам нужно включить аудит приложений.
  • Нельзя просматривать действия для устройств, корпоративные данные на которых синхронизируются через Google Sync.
  • Если вы перейдете на версию, которая не поддерживает журнал аудита, этот журнал перестанет собирать данные о новых событиях. При этом старые данные останутся доступными для администраторов.

Как перейти к данным событий в журнале устройств

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В левой части экрана выберите Отчетыа затемАудит и анализа затемСобытия журнала устройства.

Как отфильтровать данные

  1. Откройте журнал событий устройств по инструкции выше.
  2. Нажмите Добавить фильтр и выберите атрибут.
  3. Во всплывающем окне выберите оператора затемвыберите значениеа затемнажмите Применить.
  4. При необходимости вы можете создать несколько фильтров результатов поиска:
    1. Нажмите Добавить фильтр и повторите шаг 3.
    2. Если нужно добавить оператор поиска, над элементом Добавить фильтр выберите И или ИЛИ.
  5. Нажмите Поиск.

Примечание. С помощью вкладки Фильтр можно включить простые пары параметров и значений, чтобы отфильтровать результаты поиска. Кроме того, вы можете использовать вкладку Конструктор условий, на которой фильтры представлены в виде условий с операторами И/ИЛИ.

Описания атрибутов

При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:

Атрибут Описание
Статус аккаунта Информация о том, зарегистрирован ли аккаунт.
Название группы Название группы, к которой относится исполнитель.
Организационное подразделение пользователя Организационное подразделение исполнителя.
Идентификатор приложения Идентификатор приложения.
Хеш SHA-256 приложения Хеш (SHA-256) пакета приложения для событий, связанных с приложением (только для устройств Android).
Статус приложения Информация о том, установлено, удалено или обновлено ли приложение.
Дата Дата и время, когда произошло событие (указывается в часовом поясе, установленном в вашем браузере по умолчанию).
Статус соответствия устройства

Информация о том, соответствует ли устройство правилам организации.

Устройство отмечается как несоответствующее, если:

Пример. Устройство Nexus 6P пользователя не соответствует заданным правилам, поскольку на нем нарушаются правила использования паролей.

Подверженность взлому

Сведения о том, взломано ли устройство. Устройство считается взломанным, если к нему был разрешен root-доступ или оно было незаконно разблокировано, то есть на нем были отключены установленные ограничения. Взлом устройства может указывать на потенциальную угрозу безопасности.

В случае взлома устройства или восстановления его защиты система добавляет соответствующую запись в журнал аудита.

Пример. Устройство Nexus 5 пользователя взломано.

Идентификатор устройства Идентификатор устройства, на котором было зарегистрировано событие.
Модель устройства Модель устройства.
Владелец устройства Владелец устройства.
Смена владельца устройства

Информация о том, изменен ли владелец устройства.

Например, личное устройство стало корпоративным после того, как данные о нем были импортированы в консоль администратора.

Аудит выполняется сразу после того, как корпоративное устройство добавляется в консоль администратора. Если оно удаляется из консоли, аудит проводится при следующей синхронизации (после повторной регистрации устройства для управления им).

Пример. Устройство Nexus 5 пользователя стало корпоративным и ему присвоен новый идентификатор abcd1234.

Свойство устройства Сведения об устройстве, например модель, серийный номер или MAC-адрес Wi-Fi
Параметр устройства

Пользователь изменил параметр "Режим разработчика", "Установка приложений из неизвестных источников", "Отладка по USB" или "Проверка приложений" на своем устройстве.

Событие регистрируется при следующей синхронизации устройства.

Пример. Параметр "Проверка приложений" на устройстве Nexus 6P пользователя был включен.

Тип устройства Тип устройства, на котором произошло событие (например, Android или Apple iOS).
Домен Домен, в котором было выполнено действие.
Событие Сведения о действии в зарегистрированном событии, например Обновление ОС устройства или Синхронизация устройства.
Неудачные попытки ввода пароля

Информация о том, сколько раз пользователь неудачно пытался ввести пароль для разблокировки устройства.

Событие регистрируется только после пятой неудачной попытки разблокировки.

Пример. Зафиксированы неудачные попытки ввода пароля (5) для разблокирования устройства Nexus 7 пользователя.

Идентификатор поставщика iOS Идентификатор поставщика iOS.
Новый идентификатор устройства Новый идентификатор устройства.
Свойство ОС Информация об ОС устройства, например номер сборки, версия или сведения об исправлении системы безопасности.
Права Роль пользователя устройства, например Владелец устройства или Администратор устройства.
Идентификатор ресурса Уникальный идентификатор устройства.
Серийный номер Серийный номер устройства.
Адрес электронной почты пользователя Адрес электронной почты пользователя устройства.

Как настроить показ данных о событиях

Как управлять столбцами данных в результатах поиска

Вы можете контролировать, какие столбцы данных отображаются в результатах поиска.

  1. В верхней правой части таблицы результатов поиска нажмите "Управлять столбцами" "".
  2. Чтобы удалить отображаемые столбцы, нажмите "Удалить" "".
  3. Чтобы добавить дополнительные столбцы, рядом с надписью Добавить столбец нажмите на стрелку вниз "" и выберите вариант из списка.
    При необходимости повторите действия.
  4. Чтобы изменить порядок столбцов, перетащите их названия.
  5. Нажмите Сохранить.

Как экспортировать результаты поиска

  1. В верхней части таблицы результатов поиска нажмите Экспортировать все.
  2. Введите названиеа затемнажмите Экспорт.
    Экспортированные данные будут показаны под таблицей результатов поиска в разделе Результаты выполнения действия "Экспорт".
  3. Чтобы увидеть данные, нажмите название экспорта.
    Данные откроются в Google Таблицах.

Как добавить новое правило создания отчетов

Информация приведена в статье Как работать с правилами создания отчетов и настраивать оповещения.

Когда данные становятся доступны и как долго они хранятся?

Подробная информация приведена в статье Сроки хранения данных и задержки.

Статьи по теме

 

 

Эта информация оказалась полезной?
Как можно улучшить эту статью?

Требуется помощь?

Войдите в свой аккаунт, чтобы мы могли предоставить вам дополнительные варианты поддержки и быстрее решить вашу проблему.

Поиск
Удалить поисковый запрос
Закрыть поиск
Приложения Google
Главное меню
Поиск по Справочному центру
false
false
true
73010
false
false