Eventi dei log amministrativi

Visualizzare l'attività dell'amministratore nella Console di amministrazione

A seconda della versione di Google Workspace che utilizzi, potresti avere accesso allo strumento di indagine sulla sicurezza, che offre funzionalità più avanzate. Ad esempio, i super amministratori possono identificare, assegnare una priorità e intervenire in caso di problemi di sicurezza e privacy. Scopri di più

In qualità di amministratore dell'organizzazione, puoi eseguire ricerche e intervenire sui problemi di sicurezza relativi agli eventi dei log amministrativi. Ad esempio, puoi visualizzare un record delle azioni eseguite nella Console di amministrazione Google, come quando un amministratore ha aggiunto un utente o ha attivato un servizio Google Workspace.

Inoltrare i dati sugli eventi dei log a Google Cloud

Puoi attivare la condivisione dei dati sugli eventi dei log con Google Cloud. Se attivi la condivisione, i dati vengono inoltrati a Cloud Logging, dove puoi eseguire query sui log, visualizzarli e controllarne le modalità di routing e di archiviazione.

Eseguire una ricerca di eventi dei log

La possibilità di eseguire ricerche dipende dalla versione di Google che utilizzi, dai tuoi privilegi amministrativi e dall'origine dati. Puoi eseguire una ricerca su tutti gli utenti, indipendentemente dalla versione di Google Workspace in uso.

Strumento di controllo e indagine

Per eseguire una ricerca degli eventi dei log, scegli innanzitutto un'origine dati. Poi scegli uno o più filtri per la ricerca.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai a Menu e poi Reporte poiControllo e indaginee poiEventi del log amministrativo.
  3. Fai clic su Aggiungi un filtro, quindi seleziona un attributo.
  4. Nella finestra popup, seleziona un operatoree poiseleziona un valoree poifai clic su Applica.
    • (Facoltativo) Per creare più filtri per la ricerca, ripeti questo passaggio.
    • (Facoltativo) Per aggiungere un operatore di ricerca, sopra Aggiungi un filtro, seleziona AND oppure OR.
    • (Facoltativo) Per creare più filtri per la ricerca, ripeti questo passaggio.
    • (Facoltativo) Per aggiungere un operatore di ricerca, sopra Aggiungi un filtro, seleziona AND oppure OR.
  5. Fai clic su Cerca.

  6. Nota:utilizzando la scheda Filtro, puoi includere semplici coppie di parametri e valori per filtrare i risultati di ricerca. Puoi anche utilizzare la scheda Generatore di condizioni, in cui i filtri sono rappresentati come condizioni con gli operatori AND/OR.

Strumento di indagine sulla sicurezza

Questa funzionalità è disponibile con la versione Cloud Identity Premium. Confronta le versioni 

Per eseguire una ricerca nello strumento di indagine sulla sicurezza, scegli innanzitutto un'origine dati. Poi scegli una o più condizioni per la ricerca. Per ogni condizione, scegli un attributo, un operatore e un valore

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai al Menu e poi Sicurezzae poiCentro sicurezzae poiStrumento di indagine.
  3. Fai clic su Origine dati e seleziona Eventi del log amministrativi.
  4. Fai clic su Aggiungi condizione.
    Suggerimento: puoi includere una o più condizioni nella ricerca oppure personalizzarla con query nidificate. Per maggiori dettagli, vedi Personalizzare la ricerca con query nidificate.
  5. Fai clic su Attributoe poi seleziona un'opzione.
    Per un elenco completo degli attributi, consulta la sezione Descrizioni degli attributi di seguito.
  6. Seleziona un operatore
  7. Inserisci un valore o selezionane uno dall'elenco a discesa.
  8. (Facoltativo) Per aggiungere altre condizioni di ricerca, ripeti i passaggi da 4 a 7.
  9. Fai clic su Cerca.
    Nello strumento di indagine, i risultati di ricerca sono visualizzati in una tabella nella parte inferiore della pagina.
  10. (Facoltativo) Per salvare la tua indagine, fai clic su Salvae poi inserisci un titolo e una descrizionee poifai clic su Salva.

Nota:

  • Nella scheda Generatore di condizioni, i filtri sono rappresentati come condizioni con gli operatori AND/OR. Puoi anche utilizzare la scheda Filtro per includere semplici coppie di parametri e valori per filtrare i risultati della ricerca.
  • Se hai assegnato un nuovo nome a un utente, le query in cui è utilizzato il suo nome precedente non restituiranno risultati. Ad esempio, se rinomini NomePrecedente@example.com in NuovoNome@example.com, non verranno restituiti risultati per gli eventi correlati a NomePrecedente@example.com.

Descrizioni degli attributi

Per questa origine dati, puoi utilizzare i seguenti attributi durante la ricerca dei dati sugli eventi di log:

Attributo Descrizione
Azioni* Azioni intraprese dall'amministratore tramite lo strumento di indagine sulla sicurezza o una regola di attività. Per maggiori dettagli sulle azioni che un amministratore può eseguire, vedi Adottare azioni basate sui risultati della ricerca
Attore

Indirizzo email dell'utente che ha eseguito l'azione. Invece di un indirizzo email, potresti vedere: 

  • Gestore licenze, se l'azione di un amministratore attiva una modifica alla licenza di un utente
  • Account di servizio, se l'azione è stata eseguita dall'amministratore di un account di servizio
  • Anonimo, se l'azione è stata eseguita dall'amministratore di un account di servizio
Nome del gruppo dell'attore

Il nome del gruppo dell'attore. Per saperne di più, vedi Filtrare i risultati per gruppo Google.

Per aggiungere un gruppo alla lista consentita dei gruppi filtro:

  1. Seleziona Nome del gruppo dell'attore.
  2. Fai clic su Gruppi filtro.
    Viene visualizzata la pagina Gruppi filtro.
  3. Fai clic su Aggiungi gruppi.
  4. Cerca un gruppo inserendo i primi caratteri del nome o dell'indirizzo email. Quando viene visualizzato il gruppo che stai cercando, selezionalo.
  5. (Facoltativo) Per aggiungere un altro gruppo, cercalo e selezionalo.
  6. Quando hai selezionato tutti i gruppi che ti interessano, fai clic su Aggiungi.
  7. (Facoltativo) Per rimuovere un gruppo, fai clic su Rimuovi gruppo .
  8. Fai clic su Salva.
Unità organizzativa che ha eseguito l'azione Unità organizzativa dell'attore
Informazioni aggiuntive Ulteriori informazioni contestuali per l'evento
Data di inizio* Utilizza Data di inizio e Data di fine per filtrare gli eventi che includono un intervallo di date di inizio e di fine specifico, come gli eventi Visualizzazione dettagliata di un grafico. Nota: per cercare gli eventi in un intervallo di date, utilizza l'attributo Data.
Origine dati* Origine dati nello strumento di indagine oppure origine avviso nel Centro avvisi.
Data La data e l'ora dell'evento (nel fuso orario predefinito del browser).
ID dispositivo* ID del dispositivo interessato da questo evento di controllo. Ad esempio, se un amministratore cancella i dati da un dispositivo di proprietà dell'azienda, questo campo acquisisce l'ID dispositivo
Tipo di dispositivo Tipo di dispositivo interessato da questo evento di controllo. Ad esempio, se un amministratore cancella i dati da un dispositivo di proprietà dell'azienda, questo campo acquisisce il tipo di dispositivo
Nome di dominio Il dominio in cui si è verificata l'azione
Data di fine* Utilizza Data di inizio e Data di fine per filtrare gli eventi che includono un intervallo di date di inizio e di fine specifico, come gli eventi Visualizzazione dettagliata di un grafico. Nota: per cercare gli eventi in un intervallo di date, utilizza l'attributo Data.
Evento

Azione dell'evento inserito nel log, ad esempio Query di indagine o Creazione regola attività

In Valore evento, gli eventi sono raggruppati per tipo, ad esempio Impostazioni utente o Impostazioni dominio. La maggior parte dei valori evento non richiede spiegazioni. Ad esempio, Aggiunta applicazione in Impostazioni dominio è un valore di ricerca per un'applicazione che è stata aggiunta al tuo dominio. Puoi cercare eventi nella casella di ricerca.

Suggerimento: se ci sono valori evento che utilizzi spesso, fissali nella parte superiore del menu a discesa. 
Versione di Google Workspace* Versione di Google Workspace per l'amministratore (attore) che ha eseguito l'azione

Indirizzo email del gruppo

 Email del gruppo Google interessato da questa attività
Indirizzo IP Indirizzo IP (Internet Protocol) associato all'azione inserita nel log. Si tratta di solito della posizione fisica dell'utente, ma potrebbe anche corrispondere a un server proxy o a un indirizzo VPN (Virtual Private Network, rete privata virtuale).
Motivazione* Spiegazione fornita dall'amministratore, se per l'azione è richiesto un testo di motivazione
ID messaggio* ID del messaggio email interessato da questo evento di controllo
Nuovo valore* Nuovo valore dell'impostazione, se è stata aggiornata
Valore precedente* Valore precedente dell'impostazione, se è stata aggiornata
ID risorsa* ID di una o più risorse interessate dall'evento di controllo
Nome della risorsa* Nome della risorsa interessata dall'evento di controllo
Tipo di risorsa* Tipo di risorsa interessata dall'evento di controllo
Query di ricerca Query utilizzata per recuperare o elaborare i dati. Ad esempio la query utilizzata nella ricerca dello strumento di indagine durante la creazione di regole di attività o del dump dell'email.
Nome impostazione Nome dell'impostazione aggiornata
Impostazione nome unità organizzativa Le impostazioni nella Console di amministrazione possono avere un'unità organizzativa come ambito. Quando un'impostazione viene aggiornata e il suo ambito è un'unità organizzativa, in questo campo viene mostrato il nome dell'unità organizzativa.
Destinazione* Indirizzo email di destinazione dell'evento. Ad esempio l'indirizzo email di destinazione durante la creazione di un monitoraggio email o l'indirizzo email del verificatore quando viene eseguita un'azione collettiva nello strumento di indagine.
Totale interessate* Numero totale di entità interessate dall'evento di controllo. Ad esempio, il numero di utenti che sono stati caricati durante il caricamento collettivo in un gruppo oppure il numero di azioni che sono state attivate dal trigger di una regola di attività. Si tratta di un campo contestuale che dipende dall'evento.
Totale non riuscite* Numero totale di operazioni non riuscite. Ad esempio, il numero di utenti che non è stato possibile eseguire il caricamento durante il caricamento collettivo in un gruppo oppure il numero di azioni che non sono riuscite in seguito all'attivazione di una regola di attività. Si tratta di un campo contestuale che dipende dall'evento.
Email dell'utente Email dell'utente che ha eseguito l'azione
* Non puoi creare regole di reporting con questi filtri. Scopri di più sul confronto tra le regole di reporting e le regole di attività.

Nota: se hai assegnato un nuovo nome a un utente, le query in cui è utilizzato il suo nome precedente non restituiranno risultati. Ad esempio, se rinomini NomePrecedente@example.com in NuovoNome@example.com, non verranno restituiti risultati per gli eventi correlati a NomePrecedente@example.com.

Gestire i dati sugli eventi del log

Gestire i dati delle colonne dei risultati di ricerca

Puoi stabilire quali colonne di dati visualizzare nei risultati di ricerca.

  1. Nell'angolo in alto a destra della tabella dei risultati di ricerca, fai clic su Gestisci colonne .
  2. (Facoltativo) Per rimuovere le colonne attualmente visualizzate, fai clic su Rimuovi .
  3. (Facoltativo) Per aggiungere colonne, fai clic sulla Freccia giù  in corrispondenza di Aggiungi nuova colonna e seleziona la colonna di dati che ti interessa.
    Ripeti questa operazione in base alle necessità.
  4. (Facoltativo) Trascina i nomi delle colonne per modificarne l'ordine.
  5. Fai clic su Salva.

Esportare i dati dei risultati di ricerca

Puoi esportare i risultati di ricerca in Fogli Google o in un file CSV.

  1. Nella parte superiore della tabella dei risultati di ricerca, fai clic su Esporta tutto.
  2. Inserisci un nome e poi fai clic su Esporta.
    L'esportazione viene visualizzata al di sotto della tabella dei risultati di ricerca, in Risultati dell'azione Esporta.
  3. Per visualizzare i dati, fai clic sul nome dell'esportazione.
    L'esportazione si apre in Fogli Google.

I limiti di esportazione possono variare:

  • I risultati totali dell'esportazione sono limitati a 100.000 righe (ad eccezione delle ricerche di messaggi Gmail, limitate a 10.000 righe).
  • Questa funzionalità è disponibile con la versione Cloud Identity Premium. Confronta le versioni 

    Se utilizzi lo strumento di indagine sulla sicurezza, i risultati totali dell'esportazione sono limitati a 30 milioni di righe (ad eccezione delle ricerche di messaggi Gmail, limitate a 10.000 righe).

Per saperne di più, consulta Esportare i risultati di ricerca.

Quando sono disponibili i dati? Per quanto tempo?

Adottare azioni basate sui risultati di ricerca

Creare regole di attività e configurare avvisi
  • Puoi configurare avvisi in base ai dati sugli eventi dei log utilizzando le regole di reporting. Per le istruzioni, vedi Creare e gestire le regole di reporting.
  • Questa funzionalità è disponibile con la versione Cloud Identity Premium. Confronta le versioni 

    Per contribuire a prevenire, rilevare e risolvere in modo efficiente i problemi di sicurezza, puoi creare regole di attività per automatizzare azioni nello strumento di indagine sulla sicurezza e configurare avvisi. Per configurare una regola, imposta le sue condizioni e specifica quali azioni eseguire quando quelle condizioni sono soddisfatte. Per maggiori dettagli e istruzioni, vedi Creare e gestire le regole di attività.

Adottare azioni basate sui risultati di ricerca

Questa funzionalità è disponibile con la versione Cloud Identity Premium. Confronta le versioni 

Dopo aver eseguito una ricerca nello strumento di indagine sulla sicurezza, puoi operare sui relativi risultati. Ad esempio, puoi eseguire una ricerca basata sugli eventi del log di Gmail e quindi utilizzare lo strumento per eliminare messaggi specifici, metterli in quarantena o inviarli nella Posta in arrivo degli utenti. Per maggiori dettagli, vai a Adottare azioni basate sui risultati di ricerca.

Gestire le indagini

Questa funzionalità è disponibile con la versione Cloud Identity Premium. Confronta le versioni 

Visualizzare il proprio elenco di indagini

Per visualizzare un elenco delle indagini di tua proprietà e di quelle che sono state condivise con te, fai clic su Visualizza indagini . L'elenco delle indagini ne include i nomi, le descrizioni e i proprietari, nonché la data dell'ultima modifica. 

Da questo elenco puoi eseguire azioni sulle indagini di tua proprietà, ad esempio eliminare un'indagine. Seleziona la casella in corrispondenza di un'indagine, quindi fai clic su Azioni.

Nota: nella sezione Accesso rapido al di sopra dell'elenco delle indagini, puoi visualizzare le indagini salvate di recente.

Configurare le impostazioni per le indagini

Come super amministratore, puoi fare clic su Impostazioni per:

  • Modificare il fuso orario per le indagini. Il fuso orario si applica alle condizioni e ai risultati di ricerca.
  • Attivare o disattivare l'opzione Richiedi revisore. Per maggiori dettagli, vedi Richiedere revisori per azioni collettive.
  • Attivare o disattivare l'opzione Visualizza i contenuti. Questa impostazione consente agli amministratori con i privilegi appropriati di visualizzare i contenuti.
  • Attivare o disattivare l'opzione Abilita motivazione azione.

Per istruzioni e dettagli, vedi Configurare le impostazioni per le indagini.

Condividere, eliminare e duplicare le indagini

Per condividere una ricerca con altri utenti o salvarne i criteri, puoi creare e salvare un'indagine e, successivamente, condividerla, duplicarla o eliminarla.

Per informazioni dettagliate, vedi Salvare, condividere, eliminare e duplicare le indagini.

Argomenti correlati al Centro sicurezza

È stato utile?

Come possiamo migliorare l'articolo?
true
Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
1742703993411065319
true
Cerca nel Centro assistenza
true
true
true
false
false