Эта функция доступна в версиях Frontline Standard, Business Plus, Enterprise Standard и Enterprise Plus, Education Standard, Education Plus и лицензия Endpoint Education, G Suite Business, Cloud Identity Premium. Сравнение версий
На странице аудита и анализа можно выполнять поиск по событиям в журнале устройств. Вы можете просматривать записи о действиях на компьютерах, мобильных устройствах и устройствах умного дома, которые используются для доступа к данным вашей организации. Например, можно увидеть, что пользователь добавил аккаунт на устройство или что пароль на устройстве не соответствует правилам в отношении паролей. Чтобы отслеживать события, настройте оповещения.
Полный список сервисов и действий, которые вы можете проанализировать, например Google Диск и действия пользователей, приведен в статье Инструмент "Аудит и анализ".
Как открыть страницу аудита и анализа
Подготовка
- Чтобы в журнале были видны все события, для устройств должны быть включены расширенные функции управления устройствами.
- Чтобы были видны изменения в приложениях на устройствах Android, вам нужно включить аудит приложений.
- Нельзя просматривать действия для устройств, корпоративные данные на которых синхронизируются через Google Sync.
- Если вы перейдете на версию, которая не поддерживает журнал аудита, этот журнал перестанет собирать данные о новых событиях. При этом старые данные останутся доступными для администраторов.
Как перейти к данным событий в журнале устройств
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
- В левой части экрана выберите Отчеты
Аудит и анализ
Как отфильтровать данные
- Откройте журнал событий устройств по инструкции выше.
- Нажмите Добавить фильтр и выберите атрибут.
- Во всплывающем окне выберите оператор
-
При необходимости вы можете создать несколько фильтров результатов поиска:
- Нажмите Добавить фильтр и повторите шаг 3.
- Если нужно добавить оператор поиска, над элементом Добавить фильтр выберите И или ИЛИ.
- Нажмите Поиск.
Примечание. С помощью вкладки Фильтр можно включить простые пары параметров и значений, чтобы отфильтровать результаты поиска. Кроме того, вы можете использовать вкладку Конструктор условий, на которой фильтры представлены в виде условий с операторами И/ИЛИ.
Описания атрибутов
При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:
| Атрибут | Описание |
|---|---|
| Статус аккаунта | Информация о том, зарегистрирован ли аккаунт. |
| Название группы |
Название группы, к которой относится исполнитель. Подробнее о том, как фильтровать результаты по группе Google… Чтобы добавить группу в белый список групп фильтрации:
|
| Организационное подразделение пользователя | Организационное подразделение, к которому относится исполнитель. |
| Идентификатор приложения | Идентификатор приложения. |
| Хеш SHA-256 приложения | Хеш (SHA-256) пакета приложения для событий, связанных с приложением (только для устройств Android). |
| Статус приложения | Информация о том, установлено, удалено или обновлено ли приложение. |
| Дата | Дата и время, когда произошло событие (указывается в часовом поясе, установленном в вашем браузере по умолчанию). |
| Статус соответствия устройства |
Соответствует ли устройство правилам организации. Устройство отмечается как несоответствующее, если:
Пример. Устройство Nexus 6P пользователя не соответствует заданным правилам, поскольку на нем нарушаются правила использования паролей. |
| Подверженность взлому |
Сведения о том, взломано ли устройство. Устройство считается взломанным, если к нему был разрешен root-доступ или оно было незаконно разблокировано, то есть на нем были отключены установленные ограничения. Взлом устройства может указывать на потенциальную угрозу безопасности. В случае взлома устройства или восстановления его защиты система добавляет соответствующую запись в журнал аудита. Пример. Устройство Nexus 5 пользователя взломано. |
| Идентификатор устройства | Идентификатор устройства, на котором было зарегистрировано событие. |
| Модель устройства | Модель устройства. |
| Владелец устройства | Владелец устройства. |
| Владелец устройства |
Информация о том, изменился ли владелец устройства. Например, личное устройство стало корпоративным после того, как данные о нем были импортированы в консоль администратора. Аудит выполняется сразу после того, как корпоративное устройство добавляется в консоль администратора. Если оно удаляется из консоли, аудит проводится при следующей синхронизации (после повторной регистрации устройства для управления им). Пример. Устройство Nexus 5 пользователя стало корпоративным и ему присвоен новый идентификатор abcd1234. |
| Свойство устройства | Сведения об устройстве, например модель, серийный номер или MAC-адрес Wi-Fi. |
| Параметр устройства |
Пользователь изменил параметр "Режим разработчика", "Установка приложений из неизвестных источников", "Отладка по USB" или "Проверка приложений" на своем устройстве. Событие регистрируется при следующей синхронизации устройства. Пример. Параметр "Проверка приложений" на устройстве Nexus 6P пользователя был включен. |
| Тип устройства | Тип устройства, на котором было зарегистрировано событие, например Android или Apple iOS. |
| Домен* | Домен, в котором было выполнено действие. |
| Событие | Сведения о действии в зарегистрированном событии, например Обновление ОС устройства или Синхронизация устройства. |
| Неудачные попытки ввода пароля* |
Информация о том, сколько раз пользователь неудачно пытался ввести пароль для разблокировки устройства. Событие регистрируется только после пятой неудачной попытки разблокировки. Пример. Зафиксированы неудачные попытки ввода пароля (5) для разблокирования устройства Nexus 7 пользователя. |
| Идентификатор поставщика iOS | Идентификатор поставщика iOS. |
| Новый идентификатор устройства | Новый идентификатор устройства. |
| Свойство ОС | Информация об ОС устройства, например номер сборки, версия или сведения об исправлении системы безопасности. |
| Права | Роль пользователя устройства, например Владелец устройства или Администратор устройства. |
| Идентификатор ресурса | Уникальный идентификатор устройства. |
| Серийный номер |
Серийный номер устройства. Чтобы посмотреть серийные номера компьютеров:
|
| Адрес электронной почты пользователя | Адрес электронной почты пользователя устройства. |
Как настроить показ данных о событиях
Как управлять столбцами данных в результатах поиска
Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.
- В правой верхней части таблицы с результатами поиска нажмите на значок "Управление столбцами"
.
- Чтобы удалить отображаемые столбцы, нажмите "Удалить"
.
- Чтобы добавить столбцы, рядом с надписью Добавить столбец нажмите на стрелку вниз
и выберите вариант из списка.
При необходимости повторите действия. - Чтобы изменить порядок столбцов, перетащите их названия.
- Нажмите Сохранить.
Как экспортировать результаты поиска
- В верхней части таблицы с результатами поиска нажмите Экспортировать все.
- Введите название
Экспортированные данные будут показаны под таблицей с результатами поиска в разделе Результаты выполнения действия "Экспорт". - Чтобы увидеть данные, нажмите название экспорта.
Данные откроются в Google Таблицах.
Как добавить новое правило создания отчетов
Информация приведена в статье Как создавать и настраивать правила оповещения.
Когда данные становятся доступны и как долго они хранятся?
Подробная информация приведена в статье Задержки при обновлении отчетов и сроки хранения данных.
Статьи по теме
