На странице "Аудит и анализ" можно выполнять поиск событий в журнале администратора, а также проверять записи о действиях, выполненных в консоли администратора Google (например, о случаях, когда администратор добавил пользователя или включил сервис Google Workspace).
Полный список сервисов и действий, которые вы можете проанализировать, например Google Диск и действия пользователей, приведен в статье Инструмент "Аудит и анализ".
Как пересылать данные о событиях в Google Cloud
Вы можете предоставить Google Cloud доступ к данным о событиях. В этом случае данные будут пересылаться в Cloud Logging, где можно просматривать журналы, выполнять по ним поиск, а также управлять их маршрутизацией и хранением.
Как открыть страницу "Аудит и анализ"
Просмотр данных в журнале аудита администратора
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню ReportingАудит и анализЖурнал аудита администратора.
Фильтрация данных
- Откройте журнал аудита администратора, следуя инструкциям из раздела Просмотр данных в журнале аудита администратора выше.
- Нажмите Добавить фильтр и выберите атрибут.
- Во всплывающем окне выберите операторвыберите значениенажмите Применить.
-
При необходимости вы можете создать несколько фильтров результатов поиска:
- Нажмите Добавить фильтр и повторите шаг 3.
- Если нужно добавить оператор поиска, над элементом Добавить фильтр выберите И или ИЛИ.
- Нажмите Поиск.
Примечание. С помощью вкладки Фильтр можно включить простые пары параметров и значений, чтобы отфильтровать результаты поиска. Кроме того, вы можете использовать вкладку Конструктор условий, на которой фильтры представлены в виде условий с операторами И/ИЛИ.
Описания атрибутов
При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:
Атрибут | Описание |
---|---|
Действия* | Действия администратора, при которых он использовал инструмент "Анализ безопасности" или правило действий. Более подробные сведения о том, что он может в таких случаях предпринимать, вы найдете в статье Какие действия можно выполнять с результатами поиска. |
Исполнитель |
Адрес электронной почты пользователя, совершившего действие. Вместо такого адреса может быть указана следующая информация:
|
Название группы |
Название группы, к которой относится исполнитель. Подробнее о том, как фильтровать результаты по группе Google… Чтобы добавить группу в белый список групп фильтрации:
|
Организационное подразделение пользователя | Организационное подразделение, к которому относится исполнитель. |
Дополнительная информация | Дополнительные данные, относящиеся к контексту события. |
Дата начала* | Укажите дату начала и дату окончания, чтобы увидеть события, которые произошли в заданное время, например события "Детализированный анализ диаграммы". Примечание. Чтобы выполнить поиск событий в определенном диапазоне дат, используйте атрибут Дата. |
Источник данных* | Источник данных в инструменте "Анализ безопасности" или источник оповещения в Центре оповещений. |
Дата | Дата и время, когда произошло событие (указывается в часовом поясе, установленном в вашем браузере по умолчанию). |
Идентификатор устройства* | Идентификатор устройства, затронутого этим событием аудита. Например, если администратор стирает данные с корпоративного устройства, то в этом поле сохраняется идентификатор устройства. |
Тип устройства | Тип устройства, затронутого этим событием аудита. Например, если администратор стирает данные с корпоративного устройства, то в этом поле сохраняется тип устройства. |
Доменное имя | Домен, в котором было выполнено действие. |
Дата окончания* | Укажите дату начала и дату окончания, чтобы увидеть события, которые произошли в заданное время, например события "Детализированный анализ диаграммы". Примечание. Чтобы выполнить поиск событий в определенном диапазоне дат, используйте атрибут Дата. |
Событие |
Действие в зарегистрированном событии, например Запрос анализа или Создание правила активности. В разделе Значение события приведен список событий, объединенных в группы, например по категориям Настройки пользователя или Настройки домена. Большинство значений имеют понятные названия, разъясняющие их суть. Например, Добавление приложения в разделе Настройки домена – это значение, позволяющее найти приложение, которое было добавлено в ваш домен. Вы можете искать события при помощи окна поиска. Совет. Если вы часто используете некоторые значения событий, закрепите эти события в верхней части раскрывающегося меню. |
Версия Google Workspace* | Версия Google Workspace для администратора, который выполняет действия и указан в атрибуте "Исполнитель". |
Адрес электронной почты группы |
Адрес электронной почты группы Google, затронутой этим действием. |
IP-адрес | IP-адрес, с которого было совершено зарегистрированное действие. Обычно соответствует местоположению администратора, но это может быть и адрес прокси-сервера или виртуальной частной сети (VPN). |
Причина* | Если для выполнения действия необходимо предоставить обоснование, то его текст составляется администратором. |
Идентификатор сообщения* | Идентификатор сообщения электронного письма, затронутого событием аудита. |
Новое значение* | Новое значение настройки в случае ее изменения. |
Старое значение* | Старое значение измененной настройки. |
Идентификаторы ресурса* | Идентификаторы одного или нескольких ресурсов, затронутых событием аудита. |
Название ресурса* | Название ресурса, затронутого событием аудита. |
Тип ресурса* | Тип ресурса, затронутого событием аудита. |
Поисковый запрос | Запрос, который осуществляется для получения и обработки данных. Например, к этой категории относится запрос, который используется при поиске инструментом "Анализ безопасности", при создании правил активности или при создании пакета разгрузки памяти электронной почты. |
Название настройки | Название измененной настройки. |
Название организационного подразделения, к которому относится параметр | Настройки в консоли администратора можно ограничить организационным подразделением. Когда обновление настроек распространяется на организационное подразделение, в этом поле отображается название такого подразделения. |
Адресат* | Электронный адрес пользователя, имеющего отношение к событию. Например, адрес, добавленный для отслеживания электронной почты, или адрес электронной почты проверяющего при выполнении массового действия в инструменте "Анализ безопасности". |
Всего затронутых объектов* | Общее количество объектов, затронутых событием аудита. Например, это может быть количество пользователей, которые были загружены при массовой загрузке пользователей в группу, или количество действий, которые были запущены в рамках активации правила активности. Это поле является контекстным и зависит от события. |
Всего сбоев* | Общее количество невыполненных операций. Например, это может быть количество пользователей, которых не удалось добавить при массовой загрузке пользователей в группу, или количество действий, которые не были выполнены в рамках активации правила активности. Это поле является контекстным и зависит от события. |
Адрес электронной почты пользователя | Адрес электронной почты пользователя, совершившего действие. |
Примечание. Если пользователь был переименован, поиск по его прежнему имени не даст результатов. Например, если StaroeImya@example.com заменить на NovoeImya@example.com, в результатах поиска не будет событий, связанных с пользователем StaroeImya@example.com.
Как настроить показ данных о событиях
Как управлять столбцами данных в результатах поиска
Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.
- В правой верхней части таблицы с результатами поиска нажмите на значок "Управление столбцами" .
- Чтобы удалить отображаемые столбцы, нажмите "Удалить" .
- Чтобы добавить столбцы, рядом с надписью Добавить столбец нажмите на стрелку вниз и выберите вариант из списка.
При необходимости повторите действия. - Чтобы изменить порядок столбцов, перетащите их названия.
- Нажмите Сохранить.
Как экспортировать результаты поиска
- В верхней части таблицы с результатами поиска нажмите Экспортировать все.
- Введите название нажмите Экспорт.
Экспортированные данные будут показаны под таблицей с результатами поиска в разделе Результаты выполнения действия "Экспорт". - Чтобы увидеть данные, нажмите название экспорта.
Данные откроются в Google Таблицах.
Как добавить новое правило создания отчетов
Информация приведена в статье Как создавать и настраивать правила оповещения.
Когда данные становятся доступны и как долго они хранятся?
Подробная информация приведена в статье Задержки при обновлении отчетов и сроки хранения данных.