Som organisationens administratör kan du använda sidan för granskning och utredning för att köra sökningar som är relaterade till regellogghändelser. Där kan du se en lista över åtgärder för att granska användarens försök att dela känsliga uppgifter. Du kan till exempel granska händelser som aktiveras av brott mot reglerna för dataförlust (DLP). Inlägg visas vanligen inom en timme efter det att användaråtgärden genomfördes.
Regellogghändelserna listar även datatyper för BeyondCorps hot- och dataskydd.
Om du vill ha en fullständig lista över tjänster och aktiviteter som du kan undersöka, exempelvis Google Drive eller användaraktivitet, kan du läsa Om gransknings- och utredningsverktyget.
Öppna sidan för granskning och utredning
Åtkomst till logghändelsedata för regel
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
-
På administratörskonsolen öppnar du menyn RapporteringGranskning och utredningRegellogghändelser.
Filtrera data
- Öppna logghändelserna enligt beskrivningen ovan i Åtkomst till logghändelsedata för regel.
- Klicka på Lägg till ett filter och välj sedan ett attribut.
- Välj en operator i popup-fönstret välj ett värdeklicka på Tillämpa.
-
(Valfritt) Så här skapar du flera filter för sökningen:
- Klicka på Lägg till ett filter och upprepa steg 3.
- (Valfritt) Om du vill lägga till en sökoperator väljer du AND eller OR ovanför Lägg till ett filter.
- Klicka på Sök.
Obs! På fliken Filter kan du inkludera enkla parameter- och värdepar för att filtrera sökresultaten. Du kan även använda fliken Villkorsverktyg där filtren representeras som villkor med OCH/ELLER-operatorer.
Attributbeskrivningar
För denna datakälla kan du använda följande attribut när du söker efter logghändelsedata:
Attribut | Beskrivning | ||||||||
---|---|---|---|---|---|---|---|---|---|
Åtkomstnivå | De åtkomstnivåer som har valts som regel för villkor för kontextkänslig åtkomst. Åtkomstnivåer gäller enbart för Chrome-data. Mer information finns i Skapa kontextkänsliga åtkomstnivåer. | ||||||||
Aktör | E-postadressen för den användare som utförde åtgärden. Värdet kan vara Anonym användare om händelserna är resultatet av en upprepad skanning. | ||||||||
Grupp-id |
Aktörens gruppnamn. Mer information finns i Filtrera resultat efter Google-grupp. Så här lägger du till en grupp i godkännandelistan för filtreringsgrupper:
|
||||||||
Organisationsenhet för aktör | Organisationsenheten som aktören tillhör. | ||||||||
Blockerade mottagare | Mottagarna som blockeras av den utlösta regeln | ||||||||
Villkorsstyrd åtgärd | En lista över åtgärder som kan utlösas vid användaråtkomsten, beroende på de kontextvillkor som har konfigurerats för regeln. | ||||||||
Konferens-id | Konferens-id för det möte som en åtgärd utfördes på som en del av regelutlösaren | ||||||||
Behållar-id | Id för den överordnade behållare som resursen tillhör | ||||||||
Behållartyp | Typ av överordnad behållare som resursen tillhör, till exempel Chattrum eller Gruppchatt, för chattmeddelanden eller chattbilagor | ||||||||
Datakälla | Appen för resursens ursprung | ||||||||
Datum | Datum och tid då händelsen inträffade | ||||||||
Detektor-id | Identifierare för en matchad detektor | ||||||||
Namn på detektor | Namn på en matchad detektor som administratörer har definierat | ||||||||
Enhets-id | Id för den enhet som åtgärden utlöstes på. Denna datatyp gäller Chrome Enterprise Premium threat and data protection. | ||||||||
Enhetstyp | Typ av enhet som refereras av enhets-id:t.Denna datatyp gäller Chrome Enterprise Premium threat and data protection. | ||||||||
Händelse | Den loggade händelseåtgärden.
* Delen Åtgärd slutförd i dessa händelsenamn fasas ut. |
||||||||
Har känsligt innehåll | För utlösta DLP-regler med känsligt innehåll som identifierats och loggats är värdet Sant. | ||||||||
Mottagare* | De som fick den delade resursen | ||||||||
Antal uteslutna mottagare* | Antalet resursmottagare som har utelämnats på grund av att gränsen har överskridits | ||||||||
Resurs-id | Objektet har ändrats. För DLP-regler:
|
||||||||
Resursägare | Användare som äger resursen som skannades och som en åtgärd har tillämpats på | ||||||||
Resursnamn | Namnet på resursen som har ändrats. För DLP, en dokumenttitel. | ||||||||
Resurstyp | För DLP är resursen Dokument. För DLP i Chat är resursen chattmeddelande eller chattbilaga. | ||||||||
Regel-id | Id för regeln som utlöstes | ||||||||
Regelnamn | Regelnamn som administratören angav när regeln skapades | ||||||||
Regeltyp | DLP är värdet för DLP-regler | ||||||||
Genomsökningstyp |
Värden:
|
||||||||
Allvarlighetsgrad | Allvarlighetsgraden som tilldelades regeln när den aktiverades | ||||||||
Inaktiverad åtgärd* | Åtgärder som har konfigurerats i regeln men undertryckts. En åtgärd undertrycks om en åtgärd med högre prioritet sker samtidigt och aktiveras. | ||||||||
Utlösare | Aktivitet som ledde till att en regel utlöstes | ||||||||
Utlöst åtgärd | Visar den åtgärd som utförts. Fältet är tomt om en regel endast för granskning har aktiverats. | ||||||||
Klient-IP för utlösare | IP-adress för den aktör som utlöste åtgärden | ||||||||
Aktivering via användarens e-post* | E-postadress för den aktör som utlöste åtgärden | ||||||||
Användaraktivitet | Åtgärden som användaren försökte som blockerades av en regel |
Hantera logghändelsedata
Hantera kolumndata för sökresultat
Du kan styra vilka datakolumner som visas i sökresultaten.
- Klicka på Hantera kolumner uppe till höger i sökresultattabellen.
- (Valfritt) Om du vill ta bort aktuella kolumner klickar du på Ta bort .
- (Valfritt) Om du vill lägga till kolumner klickar du på nedåtpilen bredvid Lägg till en ny kolumn och väljer datakolumnen.
Upprepa vid behov. - (Valfritt) Om du vill ändra ordningen på kolumnerna drar du datakolumnnamnen.
- Klicka på Spara.
Exportera sökresultatsdata
- Klicka på Exportera alla högst upp i sökresultattabellen.
- Ange ett namn klicka på Exportera.
Exporten visas nedanför sökresultattabellen under Exportera åtgärdsresultat. - Klicka på exportens namn om du vill visa informationen.
Exporten öppnas i Google Kalkylark.
Skapa rapporteringsregler
Öppna Skapa och hantera rapporteringsregler.
När och hur länge är data tillgänglig?
Öppna Datalagring och fördröjning.
Använda regellogghändelser för att undersöka överträdelser av DLP-regler
Som administratör kan du använda DLP-kodavsnitt för att undersöka om en DLP-regelöverträdelse är en verklig incident eller ett falskt positivt resultat. Mer information finns i Visa innehåll som utlöser DLP-regler (beta).