Kuruluşunuzun yöneticisi olarak, kural günlüğü etkinliklerinde arama ve işlem yapabilirsiniz. Örneğin, kullanıcınızın hassas verileri paylaşma girişimlerini incelemek için eylemlerin kaydını görüntüleyebilirsiniz. Veri kaybını önleme (DLP) kural ihlali etkinlikleri tarafından tetiklenen etkinlikleri de inceleyebilirsiniz. Girişler genelde kullanıcının işlemi yapmasından bir saat kadar sonra günlüğe yansır.
Kural günlüğü etkinlikleri, Chrome Enterprise Premium threat and data protection ile ilişkili veri türleri de listelenir.
Your access to log events
- Your ability to run a search depends on your Google edition, your administrative privileges, and the data source. You can run a search on all users, regardless of their Google Workspace edition.
- Your Workspace subscription provides access to the log events using either the Audit & investigation tool or the Security center.
- Premium Google Workspace editions (Enterprise Plus, Enterprise Standard, or Education Plus) provide access to the Security Center and the more advanced features of the security investigation tool. The investigation tool enables super admins to identify, triage, and take action on security and privacy issues. For details, see About the security investigation tool.
- All other Google Workspace editions can access the logs using the Audit and Investigation tool. For details, see About the audit and investigation page.
Günlük etkinliği verilerini Google Cloud'a yönlendirme
Günlük etkinliği verilerini Google Cloud ile paylaşmayı seçebilirsiniz. Paylaşımı etkinleştirirseniz veriler Cloud Logging'e yönlendirilir. Burada günlükleri sorgulayabilir, görüntüleyebilir ve nasıl yönlendirip depolayacağınızı kontrol edebilirsiniz.
Günlük etkinlikleri için arama çalıştırma
Audit and investigation tool
To run a search for log events, first choose a data source. Then choose one or more filters for your search.
-
Google Yönetici konsolu hesabınızda oturum açın.
Yönetici hesabınızı (@gmail.com ile bitmeyen hesap) kullanarak oturum açın.
-
On the left, click Reporting
Audit and investigation
Rule log events.
- Filtre ekle'yi tıklayıp bir özellik seçin.
- Pop-up pencerede bir operatör seçin
bir değer seçin
Uygula'yı tıklayın.
(İsteğe bağlı) Aramanızla ilgili birden fazla filtre oluşturmak için:- Filtre ekle'yi tıklayın ve 3. adımı tekrarlayın.
- (İsteğe bağlı) Bir arama operatörü eklemek için Filtre ekle'nin üstünde bulunan VE veya VEYA seçeneğini belirleyin.
- (Optional) To create multiple filters for your search, repeat this step.
- (Optional) To add a search operator, above Add a filter, select AND or OR
- Ara'yı tıklayın.
-
Not: Filtre sekmesini kullanarak, arama sonuçlarını filtrelemek için basit parametre ve değer çiftleri ekleyebilirsiniz. Filtrelerin AND/OR operatörleriyle koşul olarak gösterildiği Koşul derleyici sekmesini de kullanabilirsiniz.
Security investigation tool
İnceleme aracında arama yapmak için önce bir veri kaynağı seçin. Ardından, aramanız için bir veya daha fazla koşul seçin. Her koşul için bir özellik, operatör ve değer seçin.
-
Google Yönetici konsolu hesabınızda oturum açın.
Yönetici hesabınızı (@gmail.com ile bitmeyen hesap) kullanarak oturum açın.
-
Yönetici konsolunda Menü
Güvenlik
Güvenlik merkezi
İnceleme aracı'na gidin.
- Click Data source and select Rule log events.
- Koşul Ekle'yi tıklayın.
İpucu: Aramanıza bir veya daha fazla koşul ekleyebilir ya da aramanızı iç içe yerleştirilmiş sorgular ile özelleştirebilirsiniz. Ayrıntılı bilgi için Aramanızı iç içe yerleştirilmiş sorgularla özelleştirme başlıklı makaleyi inceleyin. - Özellik'i tıklayın
bir seçenek belirleyin.
Özelliklerin tam listesi için aşağıdaki Özellik açıklamaları bölümüne göz atın. - İçerir'i tıklayın
bir operatör seçin.
- Bir değer girin veya açılır listeden bir değer seçin.
- (İsteğe bağlı) Daha fazla arama koşulu eklemek için 4-7 arasındaki adımları tekrarlayın.
- Ara'yı tıklayın.
İnceleme aracındaki arama sonuçları sayfanın en altındaki bir tabloda görüntülenir. - (İsteğe bağlı) İncelemenizi kaydetmek için Kaydet
simgesini tıklayın
başlık ve açıklama girin
Kaydet'i tıklayın.
Not:
- Koşul derleyici sekmesinde filtreler, AND/OR operatörleri kullanılarak koşul olarak gösterilir. Arama sonuçlarını filtrelemek amacıyla basit parametre ve değer çiftleri dahil etmek için Filtre sekmesini de kullanabilirsiniz.
- Bir kullanıcıya yeni bir ad verdiyseniz sorgu sonuçlarında kullanıcının eski adını görmezsiniz. Örneğin, EskiAd@example.com adresini YeniAd@example.com olarak yeniden adlandırırsanız EskiAd@example.com ile ilgili etkinlikleri sonuçlarda görmezsiniz.
Özellik açıklamaları
Bu veri kaynağı için günlük etkinliği verilerinde arama yaparken aşağıdaki özellikleri kullanabilirsiniz:
Özellik | Açıklama | ||||||||
---|---|---|---|---|---|---|---|---|---|
Erişim düzeyi | Bu kuralın bağlama duyarlı erişim koşulları olarak seçilen erişim düzeyleri. Erişim düzeyleri yalnızca Chrome verileri için geçerlidir. Ayrıntılar için Bağlama duyarlı erişim düzeyleri oluşturma başlıklı makaleye bakın. | ||||||||
İşlemi gerçekleştiren | İşlemi gerçekleştiren kullanıcının e-posta adresi. Etkinlikler yeniden tarama işleminin sonucu olarak ortaya çıktıysa değer Anonim kullanıcı olarak gösterilebilir. | ||||||||
İşlemi gerçekleştiren grup adı |
İşlemi gerçekleştirenin grup adı. Daha fazla bilgi için Sonuçları Google Grubu'na göre filtreleme başlıklı makaleyi inceleyin. Filtreleme grupları izin verilenler listenize grup eklemek için:
|
||||||||
İşlemi gerçekleştiren kullanıcının kuruluş birimi | İşlemi gerçekleştirenin kuruluş birimi | ||||||||
Engellenen alıcılar | Tetiklenen kural tarafından engellenen alıcılar | ||||||||
Koşullu işlem | Kural için yapılandırılan bağlam koşullarına bağlı olarak kullanıcının erişim zamanında tetiklenebilecek işlemlerin listesi. | ||||||||
Konferans kimliği | Bu kural tetikleyici kapsamında işlem yapılan toplantının konferans kimliği | ||||||||
Kapsayıcı kimliği | Kaynağın ait olduğu üst kapsayıcının kimliği | ||||||||
Kapsayıcı türü | Kaynağın ait olduğu üst kapsayıcı türü (ör. sohbet mesajları veya sohbet ekleri için Chat alanı ya da grup sohbeti) | ||||||||
Veri kaynağı | Kaynağı oluşturan uygulama | ||||||||
Tarih | Etkinliğin gerçekleştiği tarih ve saat | ||||||||
Algılayıcı kimliği | Eşleşen algılayıcının tanımlayıcısı | ||||||||
Algılayıcı adı | Yöneticilerin tanımladığı, eşleşen bir algılayıcının adı | ||||||||
Cihaz kimliği | İşlemin tetiklendiği cihazın kimliği. Bu veri türü, Chrome Enterprise Premium threat and data protection için geçerlidir. | ||||||||
Cihaz türü | Cihaz kimliğinin belirttiği cihaz türü. Bu veri türü, Chrome Enterprise Premium threat and data protection için geçerlidir. | ||||||||
Etkinlik | Günlüğe kaydedilen etkinlik işlemi.
* Bu etkinlik adlarının "İşlem tamamlandı" bölümü kullanımdan kaldırılacak. |
||||||||
Hassas içeriğe sahip | Hassas içerik algılandığından günlüğe kaydedilen tetiklenmiş Veri Kaybını Önleme kuralları için değer True olarak gösterilir. | ||||||||
Alıcı* | Paylaşılan kaynağı alan kişiler | ||||||||
Çıkarılan alıcı sayısı* | Sınırı aştığı için çıkarılan kaynak alıcılarının sayısı | ||||||||
Kaynak kimliği | Üzerinde değişiklik yapılan nesne. Veri Kaybını Önleme kuralları için:
|
||||||||
Kaynak sahibi | Taranan ve üzerinde işlem uygulanan kaynağın sahibi olan kullanıcı | ||||||||
Kaynak başlığı | Üzerinde değişiklik yapılan kaynağın adı. Veri Kaybını Önleme için bu bir doküman başlığıdır. | ||||||||
Kaynak türü | Veri Kaybını Önleme için kaynak Doküman'dır. Chat Veri Kaybını Önleme özelliği için kaynak, Chat Mesajı veya Chat Eki'dir. | ||||||||
Kural kimliği | Tetiklenen kuralın kimliği | ||||||||
Kural adı | Kuralı oluştururken yönetici tarafından sağlanan kural adı | ||||||||
Kural türü | Veri Kaybını Önleme kurallarının değeri Veri Kaybını Önleme'dir | ||||||||
Tarama türü |
Değerler şu şekildedir:
|
||||||||
Önem derecesi | Tetiklendiğinde kurala atanan önem derecesi | ||||||||
Atlanan işlem* | Kural üzerinde yapılandırılan ancak atlanmış olan işlemler. Bir işlem, aynı anda daha yüksek öncelikli bir işlem gerçekleşir ve tetiklenirse atlanır. | ||||||||
Tetikleyici | Bir kuralın tetiklenmesine neden olan etkinlik | ||||||||
Tetiklenen işlem | Yapılan işlemi listeler. Yalnızca denetleme kuralı tetiklendiyse boştur. | ||||||||
Tetikleyici istemci IP'si | İşlemi tetikleyen kullanıcının IP adresi | ||||||||
Tetikleyen kullanıcı e-posta adresi* | İşlemi tetikleyen kullanıcının e-posta adresi | ||||||||
Kullanıcı işlemi | Kullanıcının yapmaya çalıştığı ve bir kural tarafından engellenen işlem |
Not: Bir kullanıcıya yeni bir ad verdiyseniz sorgu sonuçlarında kullanıcının eski adını görmezsiniz. Örneğin, EskiAd@example.com adresini YeniAd@example.com olarak yeniden adlandırırsanız EskiAd@example.com ile ilgili etkinlikleri sonuçlarda görmezsiniz.
Günlük etkinliği verilerini yönetme
Arama sonuçlarında sütun verilerini yönetme
Arama sonuçlarınızda gösterilecek veri sütunlarıyla ilgili ayarları yönetebilirsiniz.
- Arama sonuçları tablosunun sağ üst kısmında, sütunları yönet
simgesini tıklayın.
- (İsteğe bağlı) Mevcut sütunları kaldırmak için, kaldır simgesini
tıklayın.
- (İsteğe bağlı) Sütun eklemek için, Yeni sütun ekle'nin yanındaki aşağı oku
tıklayıp veri sütununu seçin.
Gerekiyorsa işlemi tekrarlayın. - (İsteğe bağlı) Sütunların sırasını değiştirmek için veri sütunu adlarını sürükleyin.
- Kaydet'i tıklayın.
Arama sonucu verilerini dışa aktarma
- Arama sonuçları tablosunun en üstünde Tümünü dışa aktar'ı tıklayın.
- Ad girin
Dışa aktar'ı tıklayın.
Dışa aktarılan öğe, arama sonuçları tablosunun altındaki İşlem sonuçlarını dışa aktar bölümünde görüntülenir. - Verileri görüntülemek için dışa aktarma işleminizin adını tıklayın.
Dışa aktarılan veriler, Google E-Tablolar'da açılır.
Raporlama kuralları oluşturma
Raporlama kuralları oluşturma ve yönetme başlıklı makaleyi inceleyin.
Veriler ne zaman erişime açılır ve ne kadar süreyle kullanılabilir?
Veri saklama ve gecikme süreleri başlıklı makaleyi inceleyin.
Arama sonuçlarına göre işlem yapma
Arama sonuçlarına göre işlem yapma
İnceleme aracında bir arama yaptıktan sonra, arama sonuçlarınıza göre işlem gerçekleştirebilirsiniz. Örneğin, Gmail günlük etkinliklerine dayalı bir arama yapabilir ve ardından belirli iletileri silmek veya karantinaya ya da kullanıcıların gelen kutularına göndermek için inceleme aracını kullanabilirsiniz. İnceleme aracında gerçekleştirilebilecek işlemler hakkında daha ayrıntılı bilgi için Arama sonuçlarına göre işlem yapma başlıklı makaleye bakın.
Etkinlik kuralı ve uyarı ayarlama
Güvenlik sorunlarının etkili bir şekilde önlenmesine, algılanmasına ve düzeltilmesine yardımcı olmak için inceleme aracında işlemleri otomatik hale getirebilir ve etkinlik kuralları belirleyerek uyarı oluşturabilirsiniz. Bir kural oluşturmak için kuralın koşullarını ve koşullar karşılandığında yapılacak işlemleri belirleyin. Ayrıntılar ve talimatlar için Etkinlik kuralları oluşturma ve yönetme konulu makaleyi inceleyin.
İncelemelerinizi yönetme
İnceleme listenizi görüntülemeSahibi olduğunuz ve sizinle paylaşılan incelemelerin listesini görüntülemek için incelemeleri göster simgesini tıklayın. İnceleme listesinde incelemelerin adları, açıklamaları, sahipleri ve son değiştirilme tarihleri bulunur.
Bu listeden, sahibi olduğunuz incelemeler üzerinde işlem yapabilirsiniz. Örneğin, bir incelemeyi silebilirsiniz. İncelemenin kutusunu işaretleyin ve İşlemler'i tıklayın.
Not: İnceleme listenizin hemen üstündeki Hızlı erişim bölümünde, son zamanlarda kaydedilen incelemeleri görebilirsiniz.
Süper yöneticiler, ayarlar simgesini tıklayarak aşağıdakileri yapabilir:
- İncelemelerin saat dilimini değiştirme. Saat dilimi, arama koşul ve sonuçları için geçerlidir.
- İncelemeci gerektir seçeneğini etkinleştirme veya devre dışı bırakma. Bu konuyla ilgili ayrıntıları görmek isterseniz Toplu işlemler için incelemecileri zorunlu kılma başlıklı makaleyi inceleyin.
- İçeriği görüntüle seçeneğini etkinleştirme veya devre dışı bırakma. Bu ayar, uygun ayrıcalıklara sahip yöneticilerin içeriği görüntülemesine olanak tanır.
- İşlem gerekçesini etkinleştir seçeneğini etkinleştirme veya devre dışı bırakma.
Bu konuyla ilgili talimatları ve ayrıntıları görmek isterseniz İncelemeleriniz için ayarları yapılandırma başlıklı makaleye göz atın.
Arama sonuçlarınızda hangi veri sütunlarının gösterileceğini denetleyebilirsiniz.
- Arama sonuçları tablosunun sağ üstünde sütunları yönet
simgesini tıklayın.
- (İsteğe bağlı) Mevcut sütunları kaldırmak için öğeyi kaldır
simgesini tıklayın.
- (İsteğe bağlı) Sütun eklemek için Yeni sütun ekle'nin yanındaki aşağı oku
tıklayın ve veri sütununu seçin.
Bu işlemi gerektiği kadar tekrarlayın. - (İsteğe bağlı) Sütunların sırasını değiştirmek için sütun adını sürükleyin.
- Kaydet'i tıklayın.
- Arama sonuçları tablosunun en üstünde Tümünü dışa aktar'ı tıklayın.
- Bir ad girin
Dışa aktar'ı tıklayın.
Dışa aktarma işlemi, arama sonuçları tablosunun İşlem sonuçlarını dışa aktarma bölümünde görüntülenir. - Verileri görüntülemek için dışa aktarma işleminizin adını tıklayın.
Dışa aktarılan veriler, Google E-Tablolar'da açılır.
Dışa aktarılan arama sonuçlarını görüntülerken aşağıdakilere dikkat edin:
- Tablonun en üstündeki Tümünü dışa aktar'ı tıklamanızın ardından, Drive'ım klasörünüzde arama sonuçlarını içeren bir Google E-tablosu oluşturulur. Sonuçların büyüklüğüne bağlı olarak, dışa aktarma işlemi biraz zaman alabilir ve birden çok Google E-tablosu oluşturulabilir. Dışa aktarma işlemi sonucunda oluşan sonuç satırlarının toplam sayısı Gmail aramalarında 1,25 milyonla, diğer aramalarda 30 milyonla sınırlıdır.
- Dışa aktarma devam ederken, Google E-tablolar geçici bir adla (TMP-1-<title> gibi) oluşturulur. Birden fazla Google E-Tablosu oluşturulduysa, ek dosyalar TMP-2<title>, TMP-3-<title> şeklinde adlandırılır. Dışa aktarma işlemi tamamlandığında, dosyalar otomatik olarak şu şekilde yeniden adlandırılır: <title> [1/N], <title> [2/N] vb. Dışa aktarılan veriler yalnızca tek bir Google E-tablosunda yer alıyorsa, dosya <title> olarak yeniden adlandırılır.
- Dışa aktarılan arama sonuçlarını içeren dosyalar için paylaşım izinleri, alan adı yapılandırmanıza göre düzenlenir. Örneğin, oluşturulan dosyalar varsayılan olarak şirketteki herkesle paylaşılacaksa, dışa aktarılan veriler de bu düzeyde görünür olacaktır.
Arama ölçütlerinizi kaydetmek veya başkalarıyla paylaşmak için bir inceleme oluşturup kaydedebilirsiniz. Ardından, bu incelemeyi paylaşabilir, kopyalayabilir veya silebilirsiniz.
Ayrıntılar için İncelemeleri kaydetme, paylaşma, silme ve çoğaltma konulu makaleyi inceleyin.
Veri kaynakları hakkında daha fazla bilgi edinmek için Veri saklama ve gecikme süreleri başlıklı makaleyi inceleyin.
İncelemelerinizi yönetme
Requires a Premium Google Workspace sürümü (Enterprise Standard, Enterprise Plus veya Education Plus)
View your list of investigationsTo view a list of the investigations that you own and that were shared with you, click View investigations. The investigation list includes the names, descriptions, and owners of the investigations, and the date last modified.
From this list, you can take action on any investigations that you own—for example, to delete an investigation. Check the box for an investigation, and then click Actions.
Note: Directly above your list of investigations, under Quick access, you can view recently saved investigations.
As a super administrator, click Settings to :
- Change the time zone for your investigations. The time zone applies to search conditions and results.
- Turn on or off Require reviewer. For more details, go to Require reviewers for bulk actions.
- Turn on or off View content. This setting allows admins with the appropriate privileges to view content.
- Turn on or off Enable action justification.
For instructions and details, go to Configure settings for your investigations.
To save your search criteria or share it with others, you can create and save an investigation, and then share, duplicate, or delete it.
For details, go to Save, share, delete, and duplicate investigations.
Kural günlüğü etkinliklerini kullanarak Chat mesajlarını inceleme
Premium Google Workspace sürümü (Enterprise Standard, Enterprise Plus veya Education Plus) gerektirir
Yönetici olarak, hassas içerik sızıntılarını izlemek ve önlemek üzere Chat için bir veri koruma kuralı oluşturabilirsiniz. Ardından, alanınız dışında gönderilen mesajlar ve dosyalar da dahil olmak üzere kuruluşunuzdaki Chat etkinliğini izlemek için güvenlik incelemesi aracını kullanabilirsiniz. Ayrıntılar için Kuruluşunuzun verilerini korumak için Chat mesajlarını inceleme başlıklı makaleye bakın.
Veri Kaybını Önleme kural ihlallerini incelemek için Kural günlüğü etkinliklerini kullanma
Premium Google Workspace sürümü (Enterprise Standard, Enterprise Plus veya Education Plus) gerektirir
Yönetici olarak, bir Veri Kaybını Önleme kuralı ihlalinin gerçek bir olay mı yoksa gerçek olmayan bir hatayı saptama durumu mu olduğunu araştırmak için Veri Kaybını Önleme snippet'lerini kullanabilirsiniz. Ayrıntılar için Veri kaybını önleme kurallarını tetikleyen içeriği görüntüleme bölümüne gidin.