Как посмотреть журналы Прозрачного доступа

Вы можете просматривать записи о действиях, выполненных пользователями организации, в журналах аудита G Suite. В журналы Прозрачного доступа заносится информация о действиях сотрудников Google при обращении к вашим данным.

В консоли администратора G Suite вы можете посмотреть отчет журнала Прозрачного доступа, который содержит следующие данные:
  • название ресурса и действие, которое с ним выполнялось;
  • дата действия;
  • причина действия, например номер запроса в службу поддержки от пользователя;
  • информация о сотруднике Google, выполнившем действие с данными, например местоположение его офиса.

Как создать отчет журнала Прозрачного доступа

Как открыть отчет журнала Прозрачного доступа

  1. Войдите в Консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. На главной странице консоли администратора выберите Отчеты.

    Если вы не видите этот раздел, нажмите Добавить элементы управления внизу страницы.

  3. В разделе Проверка выберите Прозрачный доступ.

Как настроить отчет и экспортировать его данные

Как уточнить данные отчета
В левой части страницы выберите один или несколько фильтров, например название продукта G Suite или диапазон дат. Если раздел "Фильтры" скрыт, нажмите на значок фильтр.

Как изменить тип отображаемых данных
Чтобы включить в отчет только нужные вам данные (например, даты или причины доступа), в правой верхней части страницы нажмите на значок Выбрать столбцы.

Как экспортировать данные журнала
Чтобы экспортировать данные журнала в формате CSV-файла или Google Таблиц, в правой верхней части страницы нажмите на значок Скачать.

Как проанализировать данные отчета журнала Прозрачного доступа

Описание полей журнала

Название поля отчета  Системное название поля Описание
Дата items:id:time Дата записи журнала.
Идентификатор журнала items:events:parameters:LOG_ID Уникальный идентификатор журнала.
Продукт G Suite items:events:parameters:GSUITE_PRODUCT_NAME Продукт G Suite клиента, к которому был выполнен доступ. Название указывается прописными буквами, например:
  • GMAIL
  • КАЛЕНДАРЬ
  • ДИСК
  • ТАБЛИЦЫ
  • ПРЕЗЕНТАЦИИ
Адрес основного офиса сотрудника items:events:parameters:ACTOR_HOME_OFFICE

Код страны, в которой расположен офис сотрудника Google, обратившегося к данным (по системе ISO 3166-1 alpha-2).

  • Если местоположение офиса недоступно, в записи будет указано "??".
  • Если сотрудник Google находится в стране с низкой плотностью населения, будет указан ее трехзначный идентификатор, например ASI, EUR, OCE, AFR, NAM, SAM или ANT.
Причины

items:events:parameters:JUSTIFICATIONS

Причины доступа, например: "Запрос в службу поддержки от клиента, номер запроса: 12345678".

Имя ресурса items:events:parameters:RESOURCE_NAME Название ресурса, к которому был получен доступ.
Электронная почта владельца items:events:parameters:OWNER_EMAIL Идентификатор электронной почты или групповой идентификатор клиента, которому принадлежит ресурс.

Причины доступа к данным

Причина Описание
CUSTOMER_INTIATED_SUPPORT Запрос в службу поддержки от клиента, например, может быть указан номер запроса.
GOOGLE_INITIATED_REVIEW Инициированный Google доступ в целях защиты безопасности, например от мошенничества, нарушений или для проверки соблюдения требований, включая следующие причины:
  • обеспечить безопасность и защиту аккаунтов и данных клиентов;
  • проверить, не коснулось ли данных событие, которое может повлиять на безопасность аккаунта, например установка вредоносного ПО;
  • проверить, работает ли клиент с сервисами Google в соответствии с Условиями использования Google;
  • расследовать жалобы других пользователей и клиентов или выявить нарушения;
  • проверить, используются ли сервисы Google в соответствии с юридическими требованиями, например законами о противодействии отмыванию денег.
GOOGLE_INITIATED_SERVICE Инициированный Google доступ для управления системой и устранения неполадок, например по следующим причинам:
  • резервное копирование и восстановление после перебоев и ошибок системы;
  • расследование для подтверждения того, что клиента не затрагивают предполагаемые неполадки с сервисом;
  • устранение технических неполадок, например сбой в работе хранилища или повреждение данных.
THIRD_PARTY_DATA_REQUEST Участие Google в юридическом запросе или судебном процессе, включая случаи, когда юридический процесс инициирован самим клиентом и для получения нужной информации требуется доступ к его данным.

Если компания Google не может уведомить вас о таком запросе или процессе по юридическим причинам, информация об обращении к данным может быть недоступна в журнале Прозрачного доступа.

Как интегрировать данные журнала прозрачного доступа со сторонними инструментами

Чтобы интегрировать журналы Прозрачного доступа с существующими инструментами управления сведениями и событиями, связанными с безопасностью (SIEM), воспользуйтесь Reports API. Подробнее о событиях журнала Прозрачного доступа

Как сделать запрос по записи журнала

Чтобы запросить информацию о доступе по определенной записи в журнале Прозрачного доступа, выполните следующие действия:

  1. Запишите идентификатор записи, по которой хотите запросить информацию.
  2. Войдите в Консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  3. На главной странице консоли администратора выберите Поддержка.

    Если значка "Поддержка" нет, нажмите Добавить элементы управления в нижней части страницы.

  4. Нажмите Связаться с нами.
  5. Предоставьте службе поддержки следующие данные:
    • сообщите идентификатор нужной записи;
    • укажите, что запрос касается записи из журнала Прозрачного доступа;
    • попросите сообщить информацию о доступе к данным.

 

Эта информация оказалась полезной?
Как можно улучшить эту статью?