Du kan använda gransknings- och utredningssidan för att köra sökningar relaterade till Chrome-logghändelser. Där kan du se en lista över åtgärder för att spåra händelser som rör hanterade Chrome-webbläsare samt enheter med ChromeOS. Du kan till exempel se när ett osäkert webbplatsbesök har ägt rum.
Om du vill ha en fullständig lista över tjänster och aktiviteter som du kan undersöka, exempelvis Google Drive eller användaraktivitet, kan du läsa Om gransknings- och utredningsverktyget.
Innan du börjar
Visa alla Chrome-händelser:
- Webbläsaren måste hanteras av Chrome Browser Cloud Management, en ChromeOS-enhet som är registrerad i din organisation eller en användarprofil som hanteras i Chrome.
- Du måste konfigurera rapportering för säkerhetshändelser i Chrome. Mer information finns i Hantera rapportanslutare för Chrome Enterprise.
- Om du vill granska dataskyddshändelser i Chrome måste du konfigurera BeyondCorp Enterprise. Mer information finns i Skydda Chrome-användare med BeyondCorps hot- och dataskydd.
Öppna sidan för granskning och utredning
Åtkomst till händelseloggdata i Chrome
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
- På administratörskonsolen öppnar du menyn RapporteringGranskning och utredningLogghändelser för Chrome.
Filtrera data
- Öppna logghändelserna enligt beskrivningen ovan i Åtkomst till logghändelsedata för Chrome.
- Klicka på Lägg till ett filter och välj sedan ett attribut.
- Välj en operator i popup-fönstret välj ett värdeklicka på Tillämpa.
-
(Valfritt) Så här skapar du flera filter för sökningen:
- Klicka på Lägg till ett filter och upprepa steg 3.
- (Valfritt) Om du vill lägga till en sökoperator väljer du AND eller OR ovanför Lägg till ett filter.
- Klicka på Sök.
Obs! På fliken Filter kan du inkludera enkla parameter- och värdepar för att filtrera sökresultaten. Du kan även använda fliken Villkorsverktyg där filtren representeras som villkor med OCH/ELLER-operatorer.
Attributbeskrivningar
För denna datakälla kan du använda följande attribut när du söker efter logghändelsedata:
Attribut | Beskrivning |
---|---|
Grupp-id |
Aktörens gruppnamn. Mer information finns i Filtrera resultat efter Google-grupp. Så här lägger du till en grupp i godkännandelistan för filtreringsgrupper:
|
Organisationsenhet för aktör | Aktörens organisationsenhet. |
Appnamn | Namnet på tillägget från Chrome Web Store. |
Webbläsarversion | Numret som är tilldelats till versionen av Chrome, exempelvis 123.0.6312.59. |
Klienttyp |
Hanterad Chrome-yta där händelsen ägde rum.
|
Hash för innehåll | SHA256-hash för innehållet. |
Innehållsnamn | Namnet på innehållet som har laddats ned, till exempel ett filnamn. |
Innehållsstorlek* | Storleken på det nedladdade innehållet, i byte. |
Innehållstyp | Medietyp (MIME) för det innehåll som laddades ned, exempelvis text/html. |
Datum | Datum och tid då händelsen inträffade visas i webbläsarens standardtidszon. |
Enhetens namn | Enhetsnamnet. |
Enhetsplattform | Det operativsystem som webbläsaren körs i. |
Enhetsanvändare | Användarens namn som rapporterats av operativsystemet. |
Id för Directory API | Enhets-id som returneras av Directory API. |
Domän* | Domänen där åtgärden skedde. |
Åtgärdstyp för tillägg | Den typ av Chrome-tilläggsåtgärd som utlöser händelsen. Kan vara Installera, Avinstallera eller Uppdatera. |
Tilläggskälla | Källan som Chrome-tillägget installerades från. Kan vara Chrome Web Store, Externt eller Ospecificerat. |
Tilläggets version | Versionen av tillägget. |
Händelse | Den loggade händelseåtgärden, till exempel Oskannat innehåll, Osäkert webbplatsbesök eller Återanvändning av lösenord. |
Händelseorsak* | Detaljer om åtgärden, exempelvis Filen är lösenordsskyddad. |
Händelseresultat | Resultatet av händelsen baserat på de policyer och regler som har angetts Kan vara Överhoppad, Blockerad, Varnad, Tillåten eller Upptäckt. |
Profilanvändare | Användarnamnet för webbläsarprofilen i Chrome. |
Skannings-id | Skannings-id för den innehållsanalysskanning som utlöste händelsen. |
Flikens webbadress |
Webbadressen som fliken omdirigerar till när en fil laddas ned. Obs! Flikens webbadress och webbadress är identiska, med undantag för nedladdningar. |
Typ av utlösare | Användaråtgärden som utlöste händelsen, t.ex. Okänd, Sidan har skrivits ut, Filuppladdning, Filnedladdning eller Uppladdning av webbinnehåll. |
Aktivera användare | Användarnamnet som rör händelsen:
|
Webbadress | Den webbadress som skapade händelsen. |
Webbadresskategori | Innehållskategorin för webbadressen som genererade händelsen |
Användaragent | Detta är användaragentsträngen för webbläsaren som används för att komma åt innehållet. Exempelvis: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, som Gecko) Chrome/84.0.4140.0 Safari/537.36. |
Virtuellt enhets-id* | Enhetens id. Värdet är plattformsspecifikt. |
Filtrera data efter hot eller dataskyddshändelser
- Öppna logghändelserna enligt beskrivningen ovan i Åtkomst till logghändelsedata för Chrome.
- Klicka på Lägg till ett filter Händelse.
- Välj operator.
- Välj ett alternativ på rullgardinsmenyn.
- Klicka på Verkställ.
Händelsebeskrivningar för hot i Chrome
Händelsevärde | Beskrivning | Stöd för rapporteringsanslutare |
---|---|---|
Kraschhändelser | En krasch, antingen för en flik eller webbläsaren, har identifierats. | Stöds i webbläsaren Chrome version 112 och senare |
Installera tillägg | Ett webbläsartillägg har installerats, antingen via en användaråtgärd eller av administratören. | Stöds i webbläsaren Chrome version 110 och senare |
Överföring av skadlig programvara | Innehållet som har laddats upp eller ned av användaren betraktas som skadligt, farligt eller oönskat. | Stöds i webbläsaren Chrome version 104 och senare |
Inloggningshändelser |
Obs! Du måste aktivera Lösenordshantering för att händelsen ska rapporteras. En slutförd användarinloggning på en domän med webbadressen som anges i inställningarna för rapporteringsanslutaren. Du kan se händelsen i Googles säkerhetscenter. Misslyckade inloggningar rapporteras inte. |
Stöds i webbläsaren Chrome version 105 och senare |
Lösenordsläcka |
Obs! Du måste aktivera Lösenordshantering för att händelsen ska rapporteras. När en användare anger sitt användarnamn och lösenord på en webbplats varnas hen i Chrome om hen har utsatts för dataintrång på en webbplats eller i en app. Mer information finns i Ändra osäkra lösenord på Google-kontot. Chrome föreslår även att användaren ändrar dem överallt där de används. För de angivna webbadresserna i administratörskonsolen visas överträdelsen också i fönstret Googles säkerhetscenter om lösenordet har sparats i Lösenordshantering. Varje webbadress visas som en separat post. |
Stöds i webbläsaren Chrome version 105 och senare |
Lösenordet har ändrats |
Användaren återställer sitt lösenord för det första inloggade användarkontot. |
Stöds i webbläsaren Chrome version 104 och senare |
återanvändning av lösenord | Användaren har angett ett lösenord i en webbadress som inte finns med på listan över tillåtna webbadresser för företagsinloggning. | Stöds i webbläsaren Chrome version 104 och senare |
Osäkert webbplatsbesök | Webbadressen som användaren besöker anses vara bedräglig eller skadlig. | Stöds i webbläsaren Chrome version 104 och senare |
Händelsebeskrivningar för Chrome Data Protection
Dataskyddshändelser i Chrome är enbart tillgängliga för kunder som har köpt BeyondCorp Enterprise.
Mer information om BeyondCorp och hur du konfigurerar det finns i Skydda Chrome-användare med BeyondCorp Threat and Data Protection.
Händelsevärde | Beskrivning | Stöd för rapporteringsanslutare |
---|---|---|
Innehållsöverföring | Innehållet har laddats upp, laddats ned eller skrivits ut från Chrome och skickats för genomsökning efter skadlig programvara eller känslig data |
Stöds i webbläsaren Chrome version 104 och senare Kräver BeyondCorp Enterprise |
Oskannat innehåll | Det finns flera skäl till att en fil inte skannas, däribland
|
Stöds i webbläsaren Chrome version 104 och senare Kräver BeyondCorp Enterprise |
Överföring av känsliga uppgifter | Innehållet som laddas upp, laddas ned, skrivs ut eller klistras in av användaren anses innehålla känsliga uppgifter, vilket identifieras av regler för dataskydd. |
Stöds i webbläsaren Chrome version 104 och senare Kräver BeyondCorp Enterprise |
Webbadressfiltrering | Användaren försökte få åtkomst till en webbadress som matchade en dataskyddsregel som angetts av administratören |
Stöds i webbläsaren Chrome version 113 och senare Kräver BeyondCorp Enterprise |
Beskrivningar av ChromeOS-säkerhetshändelser
- För hanterade gästsessioner, kiosker eller ej kopplade användarsessioner samlas användarnas e-postadresser inte in. Mer information om användaranknytning finns i Förstå användaranknytning.
- För att samla in data för dessa händelser måste du aktivera all rapportering eller de specifika alternativen som beskrivs nedan. Mer information finns i Ange ChromeOS-enhetspolicyer > Rapportera enhetstelemetri, Ange ChromeOS-enhetspolicyer > Rapportera information om enhetens operativsystem och Ange Chrome-policyer för användare eller webbläsare > Rapportering av datakontroll.
Händelsevärde | Beskrivning | Stöd för rapporteringsanslutare | Obligatorisk policy |
---|---|---|---|
ChromeOS-inloggningsfel | Användaren kunde inte logga in på sin ChromeOS-enhet. | Stöds | Rapportera enhetstelemetriStatus för inloggning/utloggning |
ChromeOS-inloggning lyckades | Användaren har loggat in på sin ChromeOS-enhet. | Stöds | |
ChromeOS-utloggning | Användaren har loggat ut från sin ChromeOS-enhet. | Stöds | |
En användare har lagts till i ChromeOS | Ett användarkonto har lagts till på en ChromeOS-enhet. | Stöds | |
En användare har tagits bort från ChromeOS | Ett användarkonto har tagits bort från en ChromeOS-enhet. | Stöds | |
ChromeOS: lås har aktiverats | Skärmen på en ChromeOS-enhet har låsts. | Stöds inte | |
ChromeOS: lås har inaktiverats | Skärmen på en ChromeOS-enhet har låsts upp. | Stöds inte | |
ChromeOS: upplåsningsfel | Det gick inte att låsa upp en ChromeOS-enhet. | Stöds inte | |
Ändring av ChromeOS-enhetens startläge |
Startläget för en ChromeOS-enhet har ändrats till utvecklarläge eller verifierat läge.
|
Stöds inte | Rapportera information om enhetens operativsystemStartläge för operativsystem |
ChromeOS USB-enheten har lagts till |
En USB-enhet har lagts till på en ChromeOS-enhet. Den här händelsen rapporteras endast för anknutna användare. |
Stöds | Rapportera information om enhetens operativsystemStatus för USB-kringutrustning |
ChromeOS USB-enheten har tagits bort | En USB-enhet har tagits bort från en ChromeOS-enhet. Den här händelsen rapporteras endast för anknutna användare. | Stöds | |
Statusen för ChromeOS USB | En anknuten användare som loggar in på enheten rapporterar alla befintliga USB-anslutningar. | Stöds | |
ChromeOS CRD-värden har startat | En kopplad användare har startat en värdsession för Chrome Report Desktop (CRD) på en hanterad enhet. | Stöds | Rapportera information om enhetens operativsystemCRD-sessioner |
ChromeOS CRD-klienten har anslutit |
En användare som är ansluten till CRD-sessionen (Chrome Report Desktop). |
Stöds | |
ChromeOS CRD-klienten har kopplat från | En användare har kopplats bort från sessionen i Chrome Report Desktop (CRD). | Stöds | |
ChromeOS CRD-värden har stoppat | En kopplad användare har stoppat en värdsession för Chrome Report Desktop (CRD) på en hanterad enhet. | Stöds | |
ChromeOS har återställts | En ChromeOS-enhet har återställt ett operativsystem. | Stöds inte | Rapportera information om enhetens operativsystemRapportera status för OS-uppdatering |
ChromeOS-versionen har uppdaterats | En användare har uppdaterat en ChromeOS-enhet till målversionen av ChromeOS. | Stöds inte | |
Uppdatering av ChromeOS-version misslyckades | Det gick inte att uppdatera en ChromeOS-enhet till målversionen av ChromeOS. | Stöds inte | |
Powerwash för ChromeOS-enhet har initierats | En ChromeOS-enhet initierade en powerwash. | Stöds inte | |
Dataåtkomstkontroll | En användare har utlöst ChromeOS-datakontrollregler som tillämpas av administratören. | Stöds | Rapportering av datakontroll |
Hantera logghändelsedata
Hantera kolumndata för sökresultat
Du kan styra vilka datakolumner som visas i sökresultaten.
- Klicka på Hantera kolumner uppe till höger i sökresultattabellen.
- (Valfritt) Om du vill ta bort aktuella kolumner klickar du på Ta bort .
- (Valfritt) Om du vill lägga till kolumner klickar du på nedåtpilen bredvid Lägg till en ny kolumn och väljer datakolumnen.
Upprepa vid behov. - (Valfritt) Om du vill ändra ordningen på kolumnerna drar du datakolumnnamnen.
- Klicka på Spara.
Exportera sökresultatsdata
- Klicka på Exportera alla högst upp i sökresultattabellen.
- Ange ett namn klicka på Exportera.
Exporten visas nedanför sökresultattabellen under Exportera åtgärdsresultat. - Klicka på exportens namn om du vill visa informationen.
Exporten öppnas i Google Kalkylark.
Skapa rapporteringsregler
Öppna Skapa och hantera rapporteringsregler.
När och hur länge är data tillgänglig?
Öppna Datalagring och fördröjning.