Журнал аудита администратора

Страница "Аудио и анализ": действия, выполненные в консоли администратора

Страница журнала аудита заменена на новую страницу аудита и анализа. Подробнее об этом изменении рассказано в статье Расширенные возможности аудита и анализа.

На странице "Аудит и анализ" можно выполнять поиск событий в журнале администратора, а также проверять записи о действиях, выполненных в консоли администратора Google (например, о случаях, когда администратор добавил пользователя или включил сервис Google Workspace).

Полный список сервисов и действий, которые вы можете проанализировать, например Google Диск и действия пользователей, приведен в статье Инструмент "Аудит и анализ".

Как пересылать данные о событиях в Google Cloud

Вы можете предоставить Google Cloud доступ к данным о событиях. В этом случае данные будут пересылаться в Cloud Logging, где можно просматривать журналы, выполнять по ним поиск, а также управлять их маршрутизацией и хранением.

Как открыть страницу "Аудит и анализ"

Просмотр данных в журнале аудита администратора

Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
В консоли администратора нажмите на значок меню ReportingАудит и анализЖурнал аудита администратора.

Фильтрация данных

Откройте журнал аудита администратора, следуя инструкциям из раздела Просмотр данных в журнале аудита администратора выше.
Нажмите Добавить фильтр и выберите атрибут.
Во всплывающем окне выберите операторвыберите значениенажмите Применить.
При необходимости вы можете создать несколько фильтров результатов поиска:
1. Нажмите Добавить фильтр и повторите шаг 3.
2. Если нужно добавить оператор поиска, над элементом Добавить фильтр выберите И или ИЛИ.
Нажмите Поиск.

Примечание. С помощью вкладки Фильтр можно включить простые пары параметров и значений, чтобы отфильтровать результаты поиска. Кроме того, вы можете использовать вкладку Конструктор условий, на которой фильтры представлены в виде условий с операторами И/ИЛИ.

Описания атрибутов

При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:

Атрибут	Описание
Действия*	Действия администратора, при которых он использовал инструмент "Анализ безопасности" или правило действий. Более подробные сведения о том, что он может в таких случаях предпринимать, вы найдете в статье Какие действия можно выполнять с результатами поиска.
Исполнитель	Адрес электронной почты пользователя, совершившего действие. Вместо такого адреса может быть указана следующая информация: Менеджер лицензий. Эта информация приводится в случае, если действие администратора привело к изменению лицензии пользователя. Сервисный аккаунт. Он будет указан, если действие выполнено администратором сервисного аккаунта. Анонимный пользователь. Указывается, если действие выполнено администратором сервисного аккаунта.
Название группы	Название группы, к которой относится исполнитель. Подробнее о том, как фильтровать результаты по группе Google… Чтобы добавить группу в белый список групп фильтрации: Выберите Название группы. Выберите Группы фильтрации. Откроется соответствующая страница. Нажмите Добавить группы. Найдите группу: начните вводить ее название или адрес электронной почты, а затем выберите нужный вариант из списка предложений. Если вы хотите добавить ещё одну группу, найдите и выберите ее. Когда группы будут выбраны, нажмите Добавить. Если вы хотите удалить группу, нажмите на значок "Удалить группу" рядом с ней. Нажмите Сохранить.
Организационное подразделение пользователя	Организационное подразделение, к которому относится исполнитель.
Дополнительная информация	Дополнительные данные, относящиеся к контексту события.
Дата начала*	Укажите дату начала и дату окончания, чтобы увидеть события, которые произошли в заданное время, например события "Детализированный анализ диаграммы". Примечание. Чтобы выполнить поиск событий в определенном диапазоне дат, используйте атрибут Дата.
Источник данных*	Источник данных в инструменте "Анализ безопасности" или источник оповещения в Центре оповещений.
Дата	Дата и время, когда произошло событие (указывается в часовом поясе, установленном в вашем браузере по умолчанию).
Идентификатор устройства*	Идентификатор устройства, затронутого этим событием аудита. Например, если администратор стирает данные с корпоративного устройства, то в этом поле сохраняется идентификатор устройства.
Тип устройства	Тип устройства, затронутого этим событием аудита. Например, если администратор стирает данные с корпоративного устройства, то в этом поле сохраняется тип устройства.
Доменное имя	Домен, в котором было выполнено действие.
Дата окончания*	Укажите дату начала и дату окончания, чтобы увидеть события, которые произошли в заданное время, например события "Детализированный анализ диаграммы". Примечание. Чтобы выполнить поиск событий в определенном диапазоне дат, используйте атрибут Дата.
Событие	Действие в зарегистрированном событии, например Запрос анализа или Создание правила активности. В разделе Значение события приведен список событий, объединенных в группы, например по категориям Настройки пользователя или Настройки домена. Большинство значений имеют понятные названия, разъясняющие их суть. Например, Добавление приложения в разделе Настройки домена – это значение, позволяющее найти приложение, которое было добавлено в ваш домен. Вы можете искать события при помощи окна поиска. Совет. Если вы часто используете некоторые значения событий, закрепите эти события в верхней части раскрывающегося меню.
Версия Google Workspace*	Версия Google Workspace для администратора, который выполняет действия и указан в атрибуте "Исполнитель".
Адрес электронной почты группы	Адрес электронной почты группы Google, затронутой этим действием.
IP-адрес	IP-адрес, с которого было совершено зарегистрированное действие. Обычно соответствует местоположению администратора, но это может быть и адрес прокси-сервера или виртуальной частной сети (VPN).
Причина*	Если для выполнения действия необходимо предоставить обоснование, то его текст составляется администратором.
Идентификатор сообщения*	Идентификатор сообщения электронного письма, затронутого событием аудита.
Новое значение*	Новое значение настройки в случае ее изменения.
Старое значение*	Старое значение измененной настройки.
Идентификаторы ресурса*	Идентификаторы одного или нескольких ресурсов, затронутых событием аудита.
Название ресурса*	Название ресурса, затронутого событием аудита.
Тип ресурса*	Тип ресурса, затронутого событием аудита.
Поисковый запрос	Запрос, который осуществляется для получения и обработки данных. Например, к этой категории относится запрос, который используется при поиске инструментом "Анализ безопасности", при создании правил активности или при создании пакета разгрузки памяти электронной почты.
Название настройки	Название измененной настройки.
Название организационного подразделения, к которому относится параметр	Настройки в консоли администратора можно ограничить организационным подразделением. Когда обновление настроек распространяется на организационное подразделение, в этом поле отображается название такого подразделения.
Адресат*	Электронный адрес пользователя, имеющего отношение к событию. Например, адрес, добавленный для отслеживания электронной почты, или адрес электронной почты проверяющего при выполнении массового действия в инструменте "Анализ безопасности".
Всего затронутых объектов*	Общее количество объектов, затронутых событием аудита. Например, это может быть количество пользователей, которые были загружены при массовой загрузке пользователей в группу, или количество действий, которые были запущены в рамках активации правила активности. Это поле является контекстным и зависит от события.
Всего сбоев*	Общее количество невыполненных операций. Например, это может быть количество пользователей, которых не удалось добавить при массовой загрузке пользователей в группу, или количество действий, которые не были выполнены в рамках активации правила активности. Это поле является контекстным и зависит от события.
Адрес электронной почты пользователя	Адрес электронной почты пользователя, совершившего действие.

*С помощью этих фильтров нельзя добавлять правила создания отчетов. Подробнее о различиях между правилами создания отчетов и правилами действий…

Примечание. Если пользователь был переименован, поиск по его прежнему имени не даст результатов. Например, если StaroeImya@example.com заменить на NovoeImya@example.com, в результатах поиска не будет событий, связанных с пользователем StaroeImya@example.com.

Как настроить показ данных о событиях

Как управлять столбцами данных в результатах поиска

Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.

В правой верхней части таблицы с результатами поиска нажмите на значок "Управление столбцами" .
Чтобы удалить отображаемые столбцы, нажмите "Удалить" .
Чтобы добавить столбцы, рядом с надписью Добавить столбец нажмите на стрелку вниз и выберите вариант из списка.
При необходимости повторите действия.
Чтобы изменить порядок столбцов, перетащите их названия.
Нажмите Сохранить.

Как экспортировать результаты поиска

В верхней части таблицы с результатами поиска нажмите Экспортировать все.
Введите название нажмите Экспорт.
Экспортированные данные будут показаны под таблицей с результатами поиска в разделе Результаты выполнения действия "Экспорт".
Чтобы увидеть данные, нажмите название экспорта.
Данные откроются в Google Таблицах.

Как добавить новое правило создания отчетов

Информация приведена в статье Как создавать и настраивать правила оповещения.

Когда данные становятся доступны и как долго они хранятся?

Подробная информация приведена в статье Задержки при обновлении отчетов и сроки хранения данных.

Статьи по теме

Эта информация оказалась полезной?

Как можно улучшить эту статью?