Avisering

Duet AI heter nu Gemini for Google Workspace. Läs mer

Händelser i regellogg

Sidan Granskning och utredning: Granska användarnas försök att dela känslig data
Granskningsloggsidan har ersatts med en ny gransknings- och utredningssida. Mer information om den här ändringen finns i Förbättrad granskning och utredning: Nyheter i Google Workspace

Som organisationens administratör kan du använda sidan för granskning och utredning för att köra sökningar som är relaterade till regellogghändelser. Där kan du se en lista över åtgärder för att granska användarens försök att dela känsliga uppgifter. Du kan till exempel granska händelser som aktiveras av brott mot reglerna för dataförlust (DLP). Inlägg visas vanligen inom en timme efter det att användaråtgärden genomfördes.

Regellogghändelserna listar även datatyper för BeyondCorps hot- och dataskydd.

Om du vill ha en fullständig lista över tjänster och aktiviteter som du kan undersöka, exempelvis Google Drive eller användaraktivitet, kan du läsa Om gransknings- och utredningsverktyget.

Öppna sidan för granskning och utredning

Åtkomst till logghändelsedata för regel

  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. På administratörskonsolen öppnar du menyn följt av Rapporteringföljt avGranskning och utredningföljt avRegellogghändelser.

Filtrera data

  1. Öppna logghändelserna enligt beskrivningen ovan i Åtkomst till logghändelsedata för regel.
  2. Klicka på Lägg till ett filter och välj sedan ett attribut.
  3. Välj en operator i popup-fönstret följt av välj ett värdeföljt avklicka på Tillämpa.
  4. (Valfritt) Så här skapar du flera filter för sökningen:
    1. Klicka på Lägg till ett filter och upprepa steg 3.
    2. (Valfritt) Om du vill lägga till en sökoperator väljer du AND eller OR ovanför Lägg till ett filter.
  5. Klicka på Sök.

Obs! På fliken Filter kan du inkludera enkla parameter- och värdepar för att filtrera sökresultaten. Du kan även använda fliken Villkorsverktyg där filtren representeras som villkor med OCH/ELLER-operatorer.

Attributbeskrivningar

För denna datakälla kan du använda följande attribut när du söker efter logghändelsedata:

Attribut Beskrivning
Åtkomstnivå De åtkomstnivåer som har valts som regel för villkor för kontextkänslig åtkomst. Åtkomstnivåer gäller enbart för Chrome-data. Mer information finns i Skapa kontextkänsliga åtkomstnivåer.
Aktör E-postadressen för den användare som utförde åtgärden. Värdet kan vara Anonym användare om händelserna är resultatet av en upprepad skanning.
Grupp-id

Aktörens gruppnamn. Mer information finns i Filtrera resultat efter Google-grupp.

Så här lägger du till en grupp i godkännandelistan för filtreringsgrupper:

  1. Välj Aktörsgruppens namn.
  2. Klicka på Filtreringsgrupper.
    Sidan Filtreringsgrupper visas.
  3. Klicka på Lägg till grupper.
  4. Sök efter en grupp genom att ange de första tecknen i namnet eller e-postadressen. Markera gruppen som du vill ha.
  5. (Valfritt) Om du vill lägga till en annan grupp söker du efter och väljer gruppen.
  6. När du är klar med att välja grupper klickar du på Lägg till.
  7. (Valfritt) Om du vill ta bort en grupp klickar du på Ta bort grupp .
  8. Klicka på Spara.
Organisationsenhet för aktör Organisationsenheten som aktören tillhör.
Blockerade mottagare Mottagarna som blockeras av den utlösta regeln
Villkorsstyrd åtgärd En lista över åtgärder som kan utlösas vid användaråtkomsten, beroende på de kontextvillkor som har konfigurerats för regeln.
Konferens-id Konferens-id för det möte som en åtgärd utfördes på som en del av regelutlösaren
Behållar-id Id för den överordnade behållare som resursen tillhör
Behållartyp Typ av överordnad behållare som resursen tillhör, till exempel Chattrum eller Gruppchatt, för chattmeddelanden eller chattbilagor
Datakälla Appen för resursens ursprung
Datum Datum och tid då händelsen inträffade
Detektor-id Identifierare för en matchad detektor
Namn på detektor Namn på en matchad detektor som administratörer har definierat
Enhets-id Id för den enhet som åtgärden utlöstes på. Denna datatyp gäller Chrome Enterprise Premium threat and data protection.
Enhetstyp Typ av enhet som refereras av enhets-id:t.Denna datatyp gäller Chrome Enterprise Premium threat and data protection.
Händelse Den loggade händelseåtgärden. 
  • För DLP-regler loggas följande händelser: 
    Händelse Förklaring
    Åtgärden har slutförts, matchat innehåll* Drive-dokumentinnehåll flaggas av en DLP-regel.
    Åtgärden har slutförts, innehållet är omatchat* Drive-dokumentet är inte längre flaggat eftersom innehållet som ursprungligen aktiverade en DLP-regel inte längre finns.
    Åtkomst blockerad Nedladdning eller kopia av en Drive-fil blockerades av en DLP-regel.
     
  • När en Drive-etikett ändras är värdet Tillämpad etikett, Fältvärdet har ändrats eller Etiketten har tagits bort.
  • När förtroenderegler blockerar delning av Drive-filer är värdet Delning blockerad.
  • När förtroenderegler blockerar åtkomst till Drive-filer (visa, ladda ned eller kopiera) är värdet Åtkomst blockerad.

* Delen Åtgärd slutförd i dessa händelsenamn fasas ut.
Har känsligt innehåll För utlösta DLP-regler med känsligt innehåll som identifierats och loggats är värdet Sant.
Mottagare* De som fick den delade resursen
Antal uteslutna mottagare* Antalet resursmottagare som har utelämnats på grund av att gränsen har överskridits
Resurs-id Objektet har ändrats. För DLP-regler:
  • För poster som rör Google Drive klickar du på Resurs-id för att visa det Drive-dokument som har ändrats.
  • För poster som rör Google Chat klickar du på resurs-id:t för att se information om en Chat-konversation. Observera att viss Chat-data kan löpa ut. Därför är inte all information alltid tillgänglig.
Resursägare Användare som äger resursen som skannades och som en åtgärd har tillämpats på
Resursnamn Namnet på resursen som har ändrats. För DLP, en dokumenttitel.
Resurstyp För DLP är resursen Dokument. För DLP i Chat är resursen chattmeddelande eller chattbilaga.
Regel-id Id för regeln som utlöstes
Regelnamn Regelnamn som administratören angav när regeln skapades
Regeltyp DLP är värdet för DLP-regler
Genomsökningstyp

Värden:

  • Kontinuerlig sökning i Drive (när en regel ändras)
  • Onlineskanning (när ett dokument ändras)
  • Chat söker igenom innehåll före sändning (när ett chattmeddelande skickas)
Allvarlighetsgrad Allvarlighetsgraden som tilldelades regeln när den aktiverades
Inaktiverad åtgärd* Åtgärder som har konfigurerats i regeln men undertryckts. En åtgärd undertrycks om en åtgärd med högre prioritet sker samtidigt och aktiveras.
Utlösare Aktivitet som ledde till att en regel utlöstes
Utlöst åtgärd Visar den åtgärd som utförts. Fältet är tomt om en regel endast för granskning har aktiverats.
Klient-IP för utlösare IP-adress för den aktör som utlöste åtgärden
Aktivering via användarens e-post* E-postadress för den aktör som utlöste åtgärden
Användaraktivitet Åtgärden som användaren försökte som blockerades av en regel
* Det går inte att skapa rapporteringsregler med de här filtren. Läs mer om rapporteringsregler kontra aktivitetsregler.

Hantera logghändelsedata

Hantera kolumndata för sökresultat

Du kan styra vilka datakolumner som visas i sökresultaten.

  1. Klicka på Hantera kolumner uppe till höger i sökresultattabellen.
  2. (Valfritt) Om du vill ta bort aktuella kolumner klickar du på Ta bort .
  3. (Valfritt) Om du vill lägga till kolumner klickar du på nedåtpilen bredvid Lägg till en ny kolumn och väljer datakolumnen.
    Upprepa vid behov.
  4. (Valfritt) Om du vill ändra ordningen på kolumnerna drar du datakolumnnamnen.
  5. Klicka på Spara.

Exportera sökresultatsdata

  1. Klicka på Exportera alla högst upp i sökresultattabellen.
  2. Ange ett namn följt av klicka på Exportera.
    Exporten visas nedanför sökresultattabellen under Exportera åtgärdsresultat.
  3. Klicka på exportens namn om du vill visa informationen.
    Exporten öppnas i Google Kalkylark.

Skapa rapporteringsregler

Öppna Skapa och hantera rapporteringsregler.

När och hur länge är data tillgänglig?

Öppna Datalagring och fördröjning.

Använda regellogghändelser för att undersöka överträdelser av DLP-regler

Som administratör kan du använda DLP-kodavsnitt för att undersöka om en DLP-regelöverträdelse är en verklig incident eller ett falskt positivt resultat. Mer information finns i Visa innehåll som utlöser DLP-regler (beta).

Relaterade ämnen

Var det här till hjälp?

Hur kan vi förbättra den?

Behöver du mer hjälp?

Testa detta härnäst:

Gör ett inlägg i hjälpforumet Få svar från communityn
Kontakta oss Berätta mer så hjälper vi dig
true
Testa kostnadsfritt i 14 dagar

E-post för arbetet, onlinelagring, delade kalendrar, videomöten med mera. Påbörja din kostnadsfria provperiod på G Suite i dag.

Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
12204577743747039077
true
Sök i hjälpcentret
true
true
true
true
true
73010
false
false