Na stronie kontroli i analizy możesz przeprowadzać wyszukiwania związane ze zdarzeniami z dziennika administratora. Za pomocą tego dziennika możesz wyświetlić rejestr działań wykonanych w konsoli administracyjnej Google, takich jak dodanie konta użytkownika czy włączenie usługi Google Workspace przez administratora.
Pełną listę usług i działań, które możesz sprawdzić (takich jak Dysk Google czy aktywność użytkowników) znajdziesz w artykule Informacje o narzędziu do kontroli i analizy zagrożeń.
Przekazywanie danych zdarzenia z dziennika do Google Cloud
Możesz wyrazić zgodę na udostępnianie danych zdarzeń z dziennika usłudze Google Cloud. Jeśli włączysz udostępnianie, dane będą przekazywane usłudze Cloud Logging, w której możesz przeglądać logi i tworzyć dotyczące ich zapytania oraz decydować, jak chcesz kierować ruchem logów i jak je przechowywać.
Otwieranie strony kontroli i analizy zagrożeń
Uzyskiwanie dostępu do danych zdarzenia z dziennika administratora
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
-
W konsoli administracyjnej otwórz Menu Raportowanie Kontrola i analiza zagrożeń Zdarzenia z dziennika administratora.
Filtrowanie danych
- Otwórz dane zdarzenia z dziennika administratora w sposób opisany powyżej w sekcji Uzyskiwanie dostępu do danych zdarzenia z dziennika administratora.
- Kliknij Dodaj filtr, a następnie wybierz atrybut.
- W wyskakującym okienku wybierz operator wybierz wartość kliknij Zastosuj.
-
(Opcjonalnie) Aby utworzyć kilka filtrów wyszukiwania:
- Kliknij Dodaj filtr i powtórz krok 3.
- (Opcjonalnie) Aby dodać operator wyszukiwania, nad opcją Dodaj filtr wybierz ORAZ bądź LUB.
- Kliknij Szukaj.
Uwaga: na karcie Filtr możesz uwzględnić proste pary parametrów i wartości, aby przefiltrować wyniki wyszukiwania. Możesz też użyć karty narzędzia do definiowania warunków, gdzie filtry są mają postać warunków z operatorem ORAZ i LUB.
Opisy atrybutów
W przypadku tego źródła danych podczas wyszukiwania danych zdarzenia z dziennika możesz użyć tych atrybutów:
Atrybut | Opis |
---|---|
Działania* | Czynności wykonane przez administratora przy użyciu narzędzia do analizy zagrożeń lub reguły związanej z aktywnością. Szczegółowe informacje o czynnościach, które może wykonywać administrator, znajdziesz w artykule Podejmowanie działań na podstawie wyników wyszukiwania |
Użytkownik, który wykonał czynność |
Adres e-mail użytkownika, który wykonał czynność. Zamiast adresu e-mail możesz zobaczyć te opcje:
|
Nazwa grupy |
Nazwa grupy użytkownika, który wykonał czynność. Więcej informacji znajdziesz w artykule Filtrowanie wyników za pomocą grup dyskusyjnych Google. Aby dodać grupę do listy dozwolonych grup filtrowania:
|
Jednostka organizacyjna użytkownika, który wykonał czynność | Jednostka organizacyjna użytkownika, który wykonał czynność |
Dodatkowe informacje | Dodatkowe informacje kontekstowe dotyczące zdarzenia |
Data rozpoczęcia* | Użyj opcji Data rozpoczęcia i Data zakończenia, aby filtrować zdarzenia z wybranego okresu, takie jak zdarzenia dotyczące szczegółowych danych wykresu. Uwaga: aby wyszukać zdarzenia w zakresie dat, użyj atrybutu Data. |
Źródło danych* | Źródło danych w narzędziu do analizy zagrożeń lub źródło alertu w Centrum alertów |
Data | Data i godzina wystąpienia zdarzenia (według domyślnej strefy czasowej ustawionej w przeglądarce). |
Identyfikator urządzenia* | Identyfikator urządzenia, którego dotyczy zdarzenie kontroli. Jeśli np. administrator wyczyści urządzenie należące do firmy, w tym polu będzie widoczny identyfikator tego urządzenia |
Typ urządzenia | Typ urządzenia, którego dotyczy zdarzenie kontroli. Jeśli np. administrator wyczyści urządzenie należące do firmy, w tym polu będzie widoczny typ tego urządzenia |
Nazwa domeny | Domena, w której wykonano czynność |
Data zakończenia* | Użyj opcji Data rozpoczęcia i Data zakończenia, aby filtrować zdarzenia z wybranego okresu, takie jak zdarzenia dotyczące szczegółowych danych wykresu. Uwaga: aby wyszukać zdarzenia w zakresie dat, użyj atrybutu Data. |
Zdarzenie |
Zarejestrowane zdarzenie, np. Zapytanie dotyczące analizy zagrożeń lub Utworzenie reguły związanej z aktywnością. Zdarzenia w sekcji Wartość zdarzenia są pogrupowane według typu, np. Ustawienia użytkownika lub Ustawienia domeny. Większość wartości zdarzeń nie wymaga wyjaśnienia. W sekcji Ustawienia domeny znajduje się na przykład wartość Dodanie aplikacji, która jest wartością wyszukiwania aplikacji dodanej do Twojej domeny. W polu wyszukiwania możesz wyszukiwać zdarzenia. Wskazówka: jeśli często używasz wybranych wartości zdarzeń, przypnij je u góry menu. |
Wersja Google Workspace* | Wersja Google Workspace administratora, który wykonał czynność |
Adres e-mail grupy |
Adres e-mail grupy dyskusyjnej Google, której dotyczy ta aktywność |
Adres IP | Adres IP powiązany z zarejestrowaną czynnością. Adres IP może odzwierciedlać fizyczną lokalizację użytkownika lub wskazywać inne miejsce, na przykład serwer proxy lub adres sieci VPN. |
Uzasadnienie* | Uzasadnienie podane przez administratora, jeśli do wykonania czynności wymagany był tekst uzasadnienia |
Identyfikator wiadomości* | Identyfikator wiadomości, której dotyczy zdarzenie kontroli |
Nowa wartość* | Nowa wartość ustawienia w przypadku aktualizacji |
Stara wartość* | Stara wartość ustawienia w przypadku aktualizacji |
Identyfikatory zasobów* | Identyfikatory co najmniej jednego zasobu, którego dotyczy zdarzenie kontroli |
Nazwa zasobu* | Nazwa zasobu, którego dotyczy zdarzenie kontroli |
Typ zasobu* | Typ zasobu, którego dotyczy zdarzenie kontroli |
Zapytanie | Zapytanie służące do pobierania lub przetwarzania danych. Może to być na przykład zapytanie użyte podczas wyszukiwania w narzędziu do analizy zagrożeń, tworzenia reguł związanych z aktywnością lub tworzenia zrzutów e-maili |
Nazwa ustawienia | Nazwa zaktualizowanego ustawienia |
Nazwa jednostki organizacyjnej, której dotyczy to ustawienie | Ustawienia w konsoli administracyjnej można ograniczyć do jednostki organizacyjnej. Gdy ustawienie jest zaktualizowane i ograniczone do jednostki organizacyjnej, w tym polu wyświetlana jest nazwa danej jednostki |
Użytkownik docelowy* | Docelowy adres e-mail w przypadku zdarzenia, np. docelowy adres e-mail podczas tworzenia monitora poczty e-mail lub adres e-mail weryfikatora podczas wykonywania działania zbiorczego w narzędziu do analizy zagrożeń |
Wszystkie objęte* | Łączna liczba jednostek, których dotyczy zdarzenie kontroli. Może to być na przykład liczba użytkowników przesłanych podczas zbiorczego przesyłania użytkowników do grupy, lub liczba czynności wywołanych w ramach reguły związanej z aktywnością. To pole jest kontekstowe i zależy od zdarzenia |
Wszystkie nieudane* | Łączna liczba nieudanych operacji. Może to być na przykład liczba użytkowników, których nie udało się przesłać podczas zbiorczego przesyłania użytkowników do grupy, lub liczba czynności, które nie powiodły się w ramach reguły związanej z aktywnością. To pole jest kontekstowe i zależy od zdarzenia |
Adres e-mail użytkownika | Adres e-mail użytkownika, który wykonał czynność |
Uwaga: jeśli zmienisz nazwę konta użytkownika, nie zobaczysz wyników zapytań ze starą nazwą konta użytkownika. Jeśli na przykład zmienisz nazwę konta stara_nazwa@example.com na nowa_nazwa@example.com, nie zobaczysz wyników dotyczących zdarzeń powiązanych z nazwą stara_nazwa@example.com.
Zarządzanie danymi zdarzenia z dziennika
Zarządzanie danymi w kolumnie wyników wyszukiwania
Możesz określić, które kolumny danych mają pojawiać się w wynikach wyszukiwania.
- W prawym górnym rogu tabeli wyników wyszukiwania kliknij Zarządzaj kolumnami .
- (Opcjonalnie) Aby usunąć bieżące kolumny, kliknij Usuń .
- (Opcjonalnie) Aby dodać kolumny, obok Dodaj nową kolumnę, kliknij strzałkę w dół i wybierz kolumnę danych.
Powtórz w razie potrzeby. - (Opcjonalnie) Aby zmienić kolejność kolumn, przeciągnij nazwy kolumn danych.
- Kliknij Zapisz.
Eksportowanie danych wyników wyszukiwania
- U góry tabeli wyników wyszukiwania kliknij Eksportuj wszystko.
- Wpisz nazwę kliknij Eksportuj.
Wyeksportowane dane wyświetlają się pod tabelą wyników wyszukiwania w sekcji wyników eksportowania. - Aby wyświetlić dane, kliknij nazwę eksportu.
Eksport otworzy się w Arkuszach Google.
tworzenie reguł raportowania.
Otwórz artykuł Tworzenie i wyświetlanie reguł raportowania oraz konfigurowanie alertów.
Kiedy i jak długo dane są dostępne?
Przeczytaj artykuł Czas przechowywania danych i opóźnienia.