En función de la edición de Google Workspace que tengas, es posible que tengas acceso a la herramienta de investigación de seguridad, que tiene funciones más avanzadas. Por ejemplo, los superadministradores pueden identificar, clasificar y abordar problemas de seguridad y privacidad. Más información
Reenviar datos de eventos de registro a Google Cloud
Puedes aceptar compartir los datos de eventos de registro con Google Cloud. Si lo haces, esos datos se envían a Cloud Logging, donde podrás consultar tus registros y controlar cómo se enrutan y almacenan.
Buscar eventos de registro
La posibilidad de hacer una búsqueda depende de la edición de Google, de los privilegios de administrador y de la fuente de datos. Puedes hacer una búsqueda con todos los usuarios, independientemente de su edición de Google Workspace.
Descripciones de atributos
En esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro:
Atributo | Descripción |
---|---|
Acciones* | Las acciones que ha llevado a cabo el administrador en la herramienta de investigación de seguridad o en una regla de actividad. Para obtener más información sobre las acciones que puede realizar un administrador, consulta el artículo Tomar medidas en función de los resultados de búsqueda. |
Actor |
La dirección de correo electrónico del usuario que ha realizado la acción. En lugar de una dirección de correo, es posible que veas lo siguiente:
|
Nombre del grupo actor |
El nombre del grupo del actor. Para obtener más información, consulta la sección Filtrar resultados por grupo de Google. Para añadir un grupo a la lista de grupos de filtrado permitidos, sigue estos pasos:
|
Unidad organizativa del actor | Unidad organizativa del actor |
Información adicional | Información de contexto adicional sobre el evento |
Fecha de comienzo* | Utiliza la fecha de comienzo y la fecha de finalización para filtrar los eventos que se producen en un intervalo de fechas, como los eventos de Desglose de gráficos. Nota: Para buscar eventos en un periodo determinado, usa el atributo Fecha. |
Fuente de datos* | La fuente de datos de la herramienta de investigación o la fuente de alertas del Centro de alertas |
Fecha | Fecha y hora en las que se ha producido el evento (se muestran en la zona horaria predeterminada de tu navegador) |
ID de dispositivo* | El ID del dispositivo afectado por este evento de auditoría. Por ejemplo, si un administrador borra los datos de un dispositivo propiedad de la empresa, en este campo se muestra el ID de dispositivo. |
Tipo de dispositivo | El tipo de dispositivo afectado por este evento de auditoría. Por ejemplo, si un administrador borra los datos de un dispositivo propiedad de la empresa, en este campo se muestra el tipo de dispositivo. |
Nombre del dominio | El dominio en el que se ha producido la acción |
Fecha de finalización* | Utiliza la fecha de comienzo y la fecha de finalización para filtrar los eventos que se producen en un intervalo de fechas, como los eventos de Desglose de gráficos. Nota: Para buscar eventos en un periodo determinado, usa el atributo Fecha. |
Evento |
La acción del evento registrado; por ejemplo, Consulta de investigación o Creación de regla de actividad. En Valor del evento, los eventos se agrupan por tipo; por ejemplo, Configuración de usuario o Configuración del dominio. La mayoría de los valores de eventos son suficientemente explícitos. Por ejemplo, Añadir aplicación (en Configuración del dominio) es un valor de búsqueda de una aplicación que se ha añadido a tu dominio. Puedes buscar eventos en el cuadro de búsqueda. Consejo: Si tienes valores de eventos que utilizas con frecuencia, fíjalos en la parte superior del menú desplegable. |
Edición de Google Workspace* | Edición de Google Workspace del administrador (actor) que ha realizado la acción |
Correo electrónico del grupo |
Correo del grupo de Google afectado por esta actividad |
Dirección IP | La dirección de protocolo de Internet (IP) asociada con la acción registrada. Suele reflejar la ubicación física del usuario, pero también puede ser la dirección de un servidor proxy o de una red privada virtual (VPN). |
Justificación* | La explicación proporcionada por el administrador, si la acción requería un texto justificativo |
ID de mensaje* | El ID del mensaje de correo afectado por este evento de auditoría |
Valor nuevo* | Nuevo valor del ajuste si se ha actualizado |
Valor anterior* | Valor anterior del ajuste si se ha actualizado |
IDs de recurso* | Los IDs de uno o varios recursos afectados por el evento de auditoría |
Resource name (Nombre de recurso)* | Nombre del recurso afectado por el evento de auditoría |
Tipo de recurso* | Tipo de recurso afectado por el evento de auditoría |
Consulta de búsqueda | Consulta que se utiliza para obtener o procesar datos. Por ejemplo, la consulta utilizada al hacer una búsqueda en la herramienta de investigación, al crear reglas de actividad o al volcar correos. |
Categoría de ajuste | Categoría del ajuste actualizado |
Nombre del ajuste | Nombre del ajuste actualizado |
Nombre de la unidad organizativa del ajuste | Los ajustes de la consola de administración se pueden aplicar al ámbito de una unidad organizativa. Cuando se actualiza un ajuste y se aplica al ámbito de una unidad organizativa, en este campo se muestra el nombre de la unidad organizativa. |
Objetivo* | La dirección de correo objetivo del evento. Por ejemplo, la dirección de correo de destino cuando se crea un monitor de correo o la dirección de correo del verificador cuando se realiza una acción en bloque en la herramienta de investigación. |
Elementos afectados* | Número total de entidades afectadas por el evento de auditoría. Por ejemplo, el número de usuarios que se han subido en bloque a un grupo o el número de acciones que ha activado una regla de actividad. Se trata de un campo contextual que depende del evento. |
Elementos fallidos* | Número total de operaciones fallidas. Por ejemplo, el número de usuarios que no han podido completar una subida en bloque de usuarios a un grupo o el número de acciones que no se han podido realizar como parte de un activador de regla de actividad. Se trata de un campo contextual que depende del evento. |
Correo electrónico del usuario | El correo del usuario que ha realizado la acción |
Nota: Si has asignado un nuevo nombre a un usuario, en la consulta no aparecerán los resultados correspondientes a su nombre antiguo. Por ejemplo, si has cambiado NombreAntiguo@example.com a NuevoNombre@example.com, no aparecerán resultados de eventos relacionados con NombreAntiguo@example.com.
Gestionar datos de eventos de registro
Gestionar datos de columnas de resultados de búsqueda
Exportar datos de resultados de búsqueda
¿Cuándo están disponibles los datos y durante cuánto tiempo?
Tomar medidas en función de los resultados de búsqueda
Gestionar tus investigaciones
Temas relacionados con el Centro de seguridad
- Iniciar investigaciones basadas en un gráfico del panel de control
- Crear gráficos personalizados basados en investigaciones
- Iniciar investigaciones desde el Centro de alertas
- Investigar informes de correos electrónicos maliciosos
- Investigar el uso compartido de archivos
- Investigar a usuarios a través de varias fuentes de datos