Журнал событий Chrome

Страница аудита и анализа: просмотр событий Chrome в консоли администратора

Страница журнала аудита заменена на новую страницу аудита и анализа. Подробнее об этом изменении рассказано в статье Расширенные возможности аудита и анализа.

На странице аудита и анализа вы можете выполнять поиск событий в журнале Chrome и просматривать записи о действиях, связанных с управляемыми браузерами Chrome и устройствами ChromeOS. Например, можно посмотреть сведения о посещении небезопасных сайтов.

Полный список сервисов и действий, которые вы можете проанализировать, например Google Диск и действия пользователей, приведен в статье Инструмент "Аудит и анализ".

Подготовка

Чтобы все события Chrome были доступны администратору, необходимо выполнить некоторые действия.

Нужно настроить облачное управление браузером Chrome, запустить браузер на устройстве ChromeOS, зарегистрированном в организации, или использовать профиль пользователя, управляемый в браузере Chrome.
Необходимо настроить отчеты для событий безопасности в Chrome. Узнать, как это сделать, можно в статье Управление коннекторами Chrome Enterprise для создания отчетов.
Для просмотра событий, связанных с защитой данных Chrome, понадобится лицензия BeyondCorp Enterprise. Подробнее о том, как включить BeyondCorp Threat and Data Protection для пользователей Chrome…

Как открыть страницу аудита и анализа

Как открыть журнал событий Chrome

Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
В консоли администратора нажмите на значок меню Отчеты Аудит и анализСобытия журнала Chrome.

Как отфильтровать данные

Откройте журнал событий Chrome, как описано выше.
Нажмите Добавить фильтр и выберите атрибут.
Во всплывающем окне выберите операторвыберите значениенажмите Применить.
При необходимости вы можете создать несколько фильтров результатов поиска:
1. Нажмите Добавить фильтр и повторите шаг 3.
2. Если нужно добавить оператор поиска, над элементом Добавить фильтр выберите И или ИЛИ.
Нажмите Поиск.

Примечание. С помощью вкладки Фильтр можно включить простые пары параметров и значений, чтобы отфильтровать результаты поиска. Кроме того, вы можете использовать вкладку Конструктор условий, на которой фильтры представлены в виде условий с операторами И/ИЛИ.

Описания атрибутов

При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:

Атрибут	Описание
Название группы	Название группы, к которой относится исполнитель. Подробнее о том, как фильтровать результаты по группе Google… Чтобы добавить группу в белый список групп фильтрации: Выберите Название группы. Выберите Группы фильтрации. Откроется соответствующая страница. Нажмите Добавить группы. Найдите группу: начните вводить ее название или адрес электронной почты, а затем выберите нужный вариант из списка предложений. Если вы хотите добавить ещё одну группу, найдите и выберите ее. Когда группы будут выбраны, нажмите Добавить. Если вы хотите удалить группу, нажмите на значок "Удалить группу" рядом с ней. Нажмите Сохранить.
Организационное подразделение пользователя	Организационное подразделение, к которому относится исполнитель.
Название приложения	Название приложения или расширения из интернет-магазина Chrome.
Версия браузера	Номер, присвоенный версии браузера Chrome, например 123.0.6312.59.
Тип клиента	Управляемый профиль или аккаунт Chrome, в котором произошло событие. Неизвестно – тип клиента неизвестен. Браузер Chrome – для браузера включено облачное управление браузером Chrome. Профиль Chrome – для профиля включено облачное управление браузером Chrome. Устройство с ChromeOS – для устройства включено облачное управление браузером Chrome.
Хеш контента	Хеш SHA-256 контента.
Название контента	Название скачанного контента, например название файла.
Размер контента*	Размер скачанного контента в байтах.
Тип контента	MIME-тип скачанного контента, например text/html.
Дата	Дата и время, когда произошло событие (указывается в часовом поясе, установленном в вашем браузере по умолчанию).
Название устройства	Название устройства.
Платформа устройства	Операционная система, в которой работает браузер.
Пользователь устройства	Имя пользователя в ОС.
Идентификатор Directory API	Идентификатор устройства, полученный от Directory API.
Домен*	Домен, в котором было выполнено действие.
Тип действия с расширением	Тип действия с расширением Chrome, которое запускает событие. Возможные значения: Установлено, Удалено или Обновлено.
Источник расширения	Источник, из которого было установлено расширение Chrome. Возможные значения: Интернет-магазин Chrome, Внешний или Не указано.
Версия расширения	Версия расширения.
Событие	Сведения о зарегистрированном действии, например Не выполнено сканирование контента, Посещение небезопасного сайта или Повторное использование пароля.
Причина события*	Подробная информация о действии, например Файл защищен паролем.
Результат события	Результат события в соответствии с заданными правилами. Возможные значения: Проигнорировано, Заблокировано, Показано предупреждение, Доступ разрешен или Обнаружено.
Владелец профиля	Имя пользователя в профиле браузера Chrome.
Идентификатор сканирования	Идентификатор сканирования при анализе контента, которое привело к событию.
URL вкладки	URL перенаправления с вкладки при скачивании файла. Примечание. Значения URL вкладки и URL идентичны для всех процессов, кроме скачивания.
Тип триггера	Действие пользователя, вызвавшее событие. Примеры: Неизвестно, Печать страницы, Загрузка файла, Скачивание файла или Загрузка веб-контента.
Пользователь, инициировавший событие	Имя пользователя, связанного с событием: Повторное использование пароля – имя пользователя, которому принадлежит пароль. Сброс пароля – имя пользователя, у которого произошел сброс пароля.
URL	URL, связанный с событием.
Категория URL	Категория URL, связанного с событием.
Агент пользователя	Строка User-Agent браузера, который использовался для доступа к контенту, например: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4140.0 Safari/537.36.
Идентификатор виртуального устройства*	Идентификатор устройства. Значение зависит от платформы.

*С помощью этих фильтров нельзя добавлять правила создания отчетов. Подробнее о различиях между правилами создания отчетов и правилами действий…

Как отфильтровать данные по событиям, связанным с защитой от угроз и защитой данных

Откройте журнал событий Chrome, как описано выше.
Нажмите Добавить фильтрСобытие.
Выберите оператор.
В раскрывающемся списке выберите один из вариантов.
Нажмите Применить.

Описание событий, связанных с защитой от угроз в Chrome

Значение события	Описание	Поддержка коннектора для создания отчетов
События сбоя	Обнаружен сбой вкладки или браузера.	Поддерживается в браузере Chrome версии 112 и выше.
Установка расширения	Пользователь или администратор установил расширение браузера.	Поддерживается в браузере Chrome версии 110 и выше.
Перенос вредоносного ПО	Загруженный или скачанный пользователем контент идентифицирован как вредоносный, опасный или нежелательный.	Поддерживается в браузере Chrome версии 104 и выше.
События входа	Примечание. Эти события вносятся в отчет, только если включен Менеджер паролей. Пользователь вошел в домен по URL, который указан в настройках коннектора для создания отчетов. Событие можно увидеть в Центре безопасности Google. Неудачные попытки входа не вносятся в отчет.	Поддерживается в браузере Chrome версии 105 и выше.
Утечка пароля	Примечание. Эти события вносятся в отчет, только если включен Менеджер паролей. Если вход на какой-либо сайт выполняется с помощью пароля, то в случае утечки данных с этого сайта пользователь получает уведомление от Chrome о том, что возможен взлом аккаунта. Подробнее о том, как сменить ненадежные пароли в аккаунте Google… Кроме того, Chrome предлагает сменить ненадежный пароль везде, где он был использован. Для URL, заданных в консоли администратора, информация об утечке данных также появляется в Центре безопасности Google, если пароль сохранен в Менеджере паролей. Каждый URL представлен отдельной записью.	Поддерживается в браузере Chrome версии 105 и выше.
Изменение пароля	Пользователь выполнил сброс пароля для первого входа в аккаунт.	Поддерживается в браузере Chrome версии 104 и выше.
Повторное использование пароля	Пользователь ввел пароль на странице с адресом, не указанным в списке разрешенных URL.	Поддерживается в браузере Chrome версии 104 и выше.
Посещение небезопасного сайта	Посещенный пользователем URL считается мошенническим или вредоносным.	Поддерживается в браузере Chrome версии 104 и выше.

Описание событий, связанных с защитой данных в Chrome

Сведения о событиях, связанных с защитой данных Chrome, доступны только пользователям с лицензией BeyondCorp Enterprise.

Подробнее о том, как включить BeyondCorp Threat and Data Protection для пользователей Chrome…

Значение события	Описание	Поддержка коннектора для создания отчетов
Перенос контента	Контент был загружен, скачан или напечатан с использованием Chrome и отправлен на проверку на наличие конфиденциальной информации и вредоносного ПО.	Поддерживается в браузере Chrome версии 104 и выше. Требуется лицензия BeyondCorp Enterprise.
Не выполнено сканирование контента	Сканирование файла может не выполняться по различным причинам. Например: файл защищен паролем; файл слишком большой; сбой сканирования DLP; сбой сканирования на вредоносное ПО; тип файла не поддерживается при сканировании на вредоносное ПО; сервис недоступен.	Поддерживается в браузере Chrome версии 104 и выше. Требуется лицензия BeyondCorp Enterprise.
Перенос конфиденциальных данных	Скачанный, загруженный, вставленный или напечатанный пользователем контент считается конфиденциальным согласно правилам защиты данных.	Поддерживается в браузере Chrome версии 104 и выше. Требуется лицензия BeyondCorp Enterprise.
Фильтрация URL	Пользователь пытается получить доступ к URL, который совпадает с условием правила защиты данных, заданным администратором.	Поддерживается в браузере Chrome версии 113 и более поздних. Требуется лицензия BeyondCorp Enterprise.

Важно! В журнал событий, связанных с защитой данных Chrome, записываются попытки загрузки контента, а не завершенные загрузки. Загрузка может не завершиться из-за сбоев сервера, ошибок сети, отмены ее пользователем или сайтов, которые не поддерживают загрузку файлов или папок.

Описание событий безопасности, связанных с ChromeOS

В управляемых гостевых сеансах, сеансах в режиме киоска и сеансах пользователей из другой организации данные об адресах электронной почты не собираются. Подробнее об аффилированных пользователях…
Чтобы собирать данные о таких событиях, необходимо включить все функции для создания отчетов или специальные функции, указанные ниже. Подробную информацию можно найти в разделах Отправка отчетов с данными телеметрии устройств, Отправка отчетов об операционной системе устройств и Создание отчетов об управлении данными.

Значение события	Описание	Поддержка коннектора для создания отчетов	Необходимое правило
Сбой при входе в аккаунт на устройстве с ChromeOS	Пользователю не удалось войти в аккаунт на устройстве с ChromeOS.	Поддерживается	"Отправка отчетов с данными телеметрии устройствСтатус входа и выхода"
Вход в аккаунт на устройстве с ChromeOS	Пользователь вошел в аккаунт на устройстве с ChromeOS.	Поддерживается
Выход из аккаунта на устройстве с ChromeOS	Пользователь вышел из аккаунта на устройстве с ChromeOS.	Поддерживается
Аккаунт пользователя добавлен на устройство с ChromeOS	Аккаунт пользователя добавлен на устройство с ChromeOS.	Поддерживается
Аккаунт пользователя удален с устройства с ChromeOS	Аккаунт пользователя удален с устройства с ChromeOS.	Поддерживается
Блокировка ChromeOS	Экран устройства с ChromeOS заблокирован.	Не поддерживается
Разблокировка ChromeOS	Экран устройства с ChromeOS разблокирован.	Не поддерживается
Неудачная разблокировка ChromeOS	Произошла неудачная попытка разблокировать устройство с ChromeOS.	Не поддерживается

Изменение режима загрузки для устройства с ChromeOS	Режим загрузки устройства с ChromeOS был изменен на режим разработчика или проверки. Чтобы это событие было внесено в отчет, устройства должны быть зарегистрированы в управляемом домене до и после изменения режима загрузки.	Не поддерживается	"Отправка отчетов об операционной системе устройствРежим загрузки ОС"
USB-устройство с ChromeOS добавлено	USB-устройство добавлено на устройство с ChromeOS. Событие указывается в отчете только для аффилированных пользователей.	Поддерживается	"Отправка отчетов об операционной системе устройствСтатус периферийного USB-устройства"
USB-устройство с ChromeOS удалено	USB-устройство удалено с устройства с ChromeOS. Событие указывается в отчете только для аффилированных пользователей.	Поддерживается
Статус USB-устройства с ChromeOS изменился	При входе аффилированного пользователя в аккаунт на устройстве в отчет добавляются все существующие USB-подключения.	Поддерживается
Хост CRD ChromeOS запущен	Аффилированный пользователь запустил хост Chrome Report Desktop (CRD) на управляемом устройстве.	Поддерживается	"Отправка отчетов об операционной системе устройствСеансы CRD"
Клиент CRD ChromeOS подключен	Пользователь подключил сеанс Chrome Report Desktop (CRD).	Поддерживается
Клиент CRD ChromeOS отключен	Пользователь отключил сеанс Chrome Report Desktop (CRD).	Поддерживается
Хост CRD ChromeOS остановлен	Аффилированный пользователь остановил хост Chrome Report Desktop (CRD) на управляемом устройстве.	Поддерживается
Успешный откат ChromeOS	На устройстве с ChromeOS выполнен откат версии операционной системы.	Не поддерживается	Отправка отчетов об операционной системе устройствСообщать о состоянии обновления ОС
Версия ChromeOS обновлена	Пользователь обновил устройство с ChromeOS до целевой версии.	Не поддерживается
Сбой при обновлении версии ChromeOS	Не удалось обновить устройство с ChromeOS до целевой версии.	Не поддерживается
Восстановление заводских настроек устройства с ChromeOS запущено	На устройстве с ChromeOS запущен процесс восстановления заводских настроек.	Не поддерживается
Контроль доступа к данным	Пользователь активировал правила контроля данных ChromeOS, примененные администратором.	Поддерживается	Создание отчетов об управлении данными

Как настроить показ данных о событиях

Как управлять столбцами данных в результатах поиска

Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.

В правой верхней части таблицы с результатами поиска нажмите на значок "Управление столбцами" .
Чтобы удалить отображаемые столбцы, нажмите "Удалить" .
Чтобы добавить столбцы, рядом с надписью Добавить столбец нажмите на стрелку вниз и выберите вариант из списка.
При необходимости повторите действия.
Чтобы изменить порядок столбцов, перетащите их названия.
Нажмите Сохранить.

Как экспортировать результаты поиска

В верхней части таблицы с результатами поиска нажмите Экспортировать все.
Введите название нажмите Экспорт.
Экспортированные данные будут показаны под таблицей с результатами поиска в разделе Результаты выполнения действия "Экспорт".
Чтобы увидеть данные, нажмите название экспорта.
Данные откроются в Google Таблицах.

Как добавить новое правило создания отчетов

Информация приведена в статье Как создавать и настраивать правила оповещения.

Когда данные становятся доступны и как долго они хранятся?

Подробная информация приведена в статье Задержки при обновлении отчетов и сроки хранения данных.

Статьи по теме

Эта информация оказалась полезной?

Как можно улучшить эту статью?