Você pode usar a API Activity para acessar os dados básicos dos relatórios de modo programático. Se sua edição do Google Workspace for compatível, você poderá usar a nova API Reporting para acessar dados avançados de relatórios do Google Workspace.
Importante:
- Nem todas as atividades no Drive são registradas. Nesta página, veja uma lista do que está incluído no registro em Eventos registrados e não registrados.
- Veja mais detalhes sobre a data de disponibilização dos dados e o tempo de retenção em Períodos de atraso e retenção de dados.
- A maioria dos eventos de auditoria do Drive é registrada apenas para os arquivos de usuários com edições compatíveis. As exceções são eventos acessados pelo URL, que são registrados quando o usuário que inicia um script do Apps Script que acessa um URL está na sua organização e tem uma edição compatível.
Your access to log events
- Your ability to run a search depends on your Google edition, your administrative privileges, and the data source. You can run a search on all users, regardless of their Google Workspace edition.
- Your Workspace subscription provides access to the log events using either the Audit & investigation tool or the Security center.
- Premium Google Workspace editions (Enterprise Plus, Enterprise Standard, or Education Plus) provide access to the Security Center and the more advanced features of the security investigation tool. The investigation tool enables super admins to identify, triage, and take action on security and privacy issues. For details, see About the security investigation tool.
- All other Google Workspace editions can access the logs using the Audit and Investigation tool. For details, see About the audit and investigation page.
Encaminhar dados de eventos de registros para o Google Cloud
Você pode ativar o compartilhamento de dados de eventos de registros com o Google Cloud. Se você fizer isso, os dados vão ser encaminhados para o Cloud Logging, onde é possível consultar e ver os registros, além de controlar como eles são direcionados e armazenados.
Pesquisar eventos de registro
Audit and investigation tool
To run a search for log events, first choose a data source. Then choose one or more filters for your search.
-
-
No Admin Console, acesse "Menu" RelatóriosAuditoria e investigaçãoEventos de registro do administrador.
- Clique em Adicionar um filtro e selecione um atributo.
- Na janela pop-up, escolha um operador selecione um valor clique em Aplicar.
(Opcional) Se você quiser criar vários filtros para sua pesquisa, faça o seguinte:
- Clique em Adicionar um filtro e repita a etapa 3.
- (Opcional) Para adicionar um operador de pesquisa, acima de Adicionar um filtro, selecione AND ou OR.
- (Optional) To create multiple filters for your search, repeat this step.
- (Optional) To add a search operator, above Add a filter, select AND or OR
- Clique em Pesquisar.
-
Observação: na guia Filtrar, você pode incluir pares de valores e parâmetros simples para filtrar os resultados da pesquisa. Também é possível usar a guia Criador de condições, onde os filtros são representados como condições com operadores AND/OR.
Security investigation tool
Para pesquisar na ferramenta de investigação, primeiro clique em uma origem de dados. Em seguida, escolha uma ou mais condições para sua pesquisa. Para cada condição, selecione um atributo, um operador e um valor.
-
-
No Admin Console, acesse Menu SegurançaCentral de segurançaFerramenta de investigação.
- Click Data source and select Admin log events.
- Clique em Adicionar condição.
Dica: você pode incluir uma ou mais condições na pesquisa ou usar consultas aninhadas. Veja mais detalhes em Personalizar sua pesquisa com consultas aninhadas. - Clique em Atributoselecione uma opção.
Para ver uma lista com todos os atributos, acesse a seção Descrições de atributos abaixo. - Clique em Contémselecione um operador.
- Digite um valor ou selecione uma opção na lista suspensa.
- (Opcional) Para adicionar outras condições de pesquisa, repita as etapas 4 a 7.
- Clique em Pesquisar.
Os resultados da pesquisa na ferramenta de investigação são exibidos em uma tabela na parte de baixo da página. - (Opcional) Para salvar a investigação, clique em Salvar digite um título e uma descrição clique Salvar.
Observação:
- Na guia Criador de condições, os filtros são representados como condições com os operadores AND/OR. Também é possível usar a guia Filtrar para incluir pares simples de parâmetros e valores e filtrar os resultados da pesquisa.
- Quando você renomeia um usuário, não vê os resultados de consultas com o nome antigo. Por exemplo, se você renomear NomeAntigo@example.com para NovoNome@example.com, não vai ver resultados de eventos relacionados a NomeAntigo@example.com.
Descrições de atributos
Para essa origem de dados, você pode usar os seguintes atributos ao pesquisar dados de eventos de registro:
Observação:
- Nem todos os atributos da lista a seguir são informados para todos os eventos.
- A lista a seguir não está completa e está sujeita a alterações. Confira mais detalhes sobre os eventos de registro do Drive em Eventos de atividade de auditoria do Drive no site do SDK Admin do Google Workspace.
Atributo | Descrição |
---|---|
Ator | Endereço de e-mail do usuário que executou a atividade. Os usuários externos ao domínio aparecem como anônimos, exceto quando visualizam ou editam um documento explicitamente compartilhado com eles, como indivíduos ou parte de um grupo específico. |
ID do grupo |
Nome do grupo do usuário Para mais informações, acesse Filtrar resultados por Grupo do Google. Para adicionar um grupo à lista de permissões de grupos de filtragem:
|
Unidade organizacional do usuário | Unidade organizacional do usuário |
Método de API | Para ações de download e conteúdo do item acessado que ocorrem em um app de terceiros, é o método de API usado pela ação. Por exemplo, drive.files.export. |
ID do aplicativo | ID do cliente OAuth do app de terceiros que executou a ação |
Nome do app | O app que executou a ação |
Público-alvo | Domínio de destino, caso o registro de auditoria seja de uma alteração de visibilidade |
Faturável | (Somente para a edição Essentials) Indica se a ação do usuário é uma atividade sujeita a cobrança. |
Data |
Data e hora do evento mostradas no fuso horário padrão do navegador. Observação: a maioria dos eventos é registrada logo após a conclusão. Às vezes, registros grandes podem demorar um pouco para serem registrados. |
ID do documento |
Identificador exclusivo de item do Drive associado à atividade, conforme armazenado no link do URL do arquivo. Observação: para eventos acessados pelo URL, o ID do documento e outros campos relacionados ao arquivo, como tipo e proprietário do documento, são informados somente para algumas ações. Confira mais detalhes nesta página em acessados pelo URL. |
Tipo de documento | O formato de arquivo da atividade, como arquivos do Documentos, Planilhas, Apresentações Google, JPEG, PDF, PNG, MP4, Microsoft Word, Excel, PowerPoint, txt, HTML, áudio MPEG, vídeo QuickTime, pasta ou drives compartilhados |
Domínio* | O domínio em que a ação ocorreu |
Criptografado* | Se o arquivo está criptografado do lado do cliente |
Nome do evento |
Eventos iniciados pelo usuário, como Visualizar, Renomear, Criar, Editar, Imprimir, Excluir, Fazer upload e Fazer download. A maioria das ações é registrada imediatamente. Os eventos de impressão no Drive estão sujeitos a atrasos de 12 horas ou mais a partir da hora do evento. Os arquivos excluídos automaticamente pelo Google Drive ou esvaziados da lixeira são registrados. Outros eventos, como o upload de um arquivo, são registrados logo após a conclusão. |
Endereço IP* |
Endereço onde o usuário executou a atividade, que pode refletir a localização física do usuário, mas também pode ser o endereço de um servidor proxy ou de uma VPN (Rede privada virtual). Nenhum endereço IP é registrado para eventos:
|
Novo valor da visibilidade da publicação | Nova visibilidade do documento |
Novo valor* | Novo valor da configuração alterada |
Novos IDs de valor* | Novo valor do campo de marcador |
Valor antigo da visibilidade da publicação | Visibilidade antiga do documento se a atividade for uma mudança de visibilidade |
Valor antigo* | Valor antigo da configuração alterada |
Códigos de valor antigo* | Valor antigo do campo do marcador |
Proprietário |
Usuário que é o proprietário do arquivo |
Visibilidade anterior | Visibilidade anterior do documento, caso a visibilidade seja alterada |
Destinatários* | Endereços de e-mail dos destinatários |
Código do drive compartilhado | O ID do drive compartilhado que contém o arquivo. Se o arquivo não estiver em um drive compartilhado, esse campo não será preenchido. |
Alvo | Usuário que teve o acesso alterado |
Título | Título do documento |
Visibilidade | Visibilidade do item do Drive associado à atividade |
Alteração de visibilidade | Visibilidade do item do Drive antes da atividade |
Visitante | Sim indica que a atividade é de um usuário que não é do Google. Não indica que a atividade é de um usuário do Google. Saiba mais sobre como compartilhar arquivos com os visitantes. |
Observação: quando você renomeia um usuário, não vê os resultados de consultas com o nome antigo. Por exemplo, se você renomear NomeAntigo@example.com para NovoNome@example.com, não vai ver resultados de eventos relacionados a NomeAntigo@example.com.
Ver arquivos compartilhados fora de um domínio
Para ver os arquivos compartilhados com usuários fora de um domínio:
Página de auditoria e investigação
- Abra os eventos de registro conforme descrito acima em Abrir dados de eventos do registro do Drive.
- Clique em Adicionar um filtroVisibilidade e selecione Compartilhado externamente.
- Clique em Pesquisar.
Se você desativar o compartilhamento externo e um usuário compartilhar um recurso com um grupo que permita usuários externos, os dados serão marcados como Compartilhado externamente no registro, mesmo se o grupo não tiver usuários externos. No entanto, os usuários externos no grupo não têm acesso ao recurso compartilhado,
Ferramenta de investigação de segurança
-
-
No Admin Console, acesse Menu SegurançaCentral de segurançaFerramenta de investigação.
- Clique em Origem de dadosselecione Eventos de registro do Drive.
- Clique em Adicionar condição.
- Clique em Atributoselecione Visibilidade.
- Clique em Contémselecione É.
- Clique em Visibilidadeselecione Compartilhado externamente.
- Clique em Pesquisar.
Os resultados da pesquisa na ferramenta de investigação são exibidos em uma tabela na parte de baixo da página.
Se você desativar o compartilhamento externo e um usuário compartilhar um recurso com um grupo que permita usuários externos, os dados vão ser marcados como Compartilhado externamente no registro. No entanto, os usuários externos no grupo não têm acesso ao recurso compartilhado, e você verá isso mesmo que o grupo não tenha usuários externos.
Eventos registrados e não registrados
Excluir
Os arquivos excluídos automaticamente pelo Google Drive ou esvaziados da lixeira são registrados.
Copiar
Quando um arquivo é copiado, os eventos Criar e Copiar são registrados para o novo arquivo, e um evento Cópia da origem é registrado para o arquivo original.
Quando um usuário de fora da organização copia um arquivo para um local externo, a organização não registra os eventos Criar e Copiar porque o novo arquivo é externo. No entanto, seus registros têm o evento Source Copy no arquivo original com o Tipo de cópia definido como Externa. Para monitorar quando os dados são copiados da sua organização, analise os eventos de Cópia da origem com o tipo Externa.
Imprimir
Os eventos Imprimir não são registrados quando um usuário imprime um arquivo aberto nos formatos de arquivo do Google (Documentos, Planilhas, Apresentações, Desenhos e Formulários).
Ao imprimir arquivos com o app Drive em um dispositivo Apple iPhone e iPad ou Android, os eventos Imprimir podem ser registrados como eventos Fazer download.
Fazer o download
A maioria dos downloads é registrada, inclusive quando os arquivos são copiados entre o Drive e um dispositivo local usando o Google Drive para computador.
Algumas ações Visualizar são registradas como downloads:
- A visualização de um arquivo no app Drive em um dispositivo móvel é registrada como um evento Fazer download.
- A visualização de um arquivo, como um PDF, que não pode ser aberto diretamente no Documentos Google ou outro app do Google é registrado como um evento Fazer download .
Os downloads das seguintes origens não são registrados:
- Downloads do Google Takeout (pesquise eventos de registro do Takeout)
- Downloads para caches de navegador off-line
- Fotos sincronizadas, transferidas por download ou visualizadas com o Google Fotos
- Itens do Drive enviados por e-mail como anexos e acessados por download no cliente de e-mail do destinatário
Conteúdo do item acessado
Os arquivos podem ser acessados em nome dos usuários em um app que usa uma API Google Workspace, como a API Google Drive ou a API Google Sheets. Essas ações não são registradas como eventos de download ou visualização, apenas como conteúdo do item acessado.
Os eventos de acesso ao conteúdo do item não são registrados quando um arquivo é visualizado ou aberto por um usuário no Drive para Web, no Drive em dispositivos móveis ou no app Drive para computador.
Iniciar
- A visualização de arquivos usando /htmlview, /embed, /revisions e outros URLs especiais é registrada como um evento de visualização.
Acessado pelo URL
Eventos acessados pelo URL são registrados quando um script do Apps Scriptacessa um URL, inclusive quando o script é executado noPainel do Apps Script, executado como um Complemento ou executado como uma função personalizada no app Planilhas. Os eventos acessados pelo URL não são registrados quando um usuário clica em um link de um arquivo.
Os atributos relatados dependem de como o script foi executado e de quem é o proprietário:
- Quando um script é executado como uma função personalizada, o ID do documento e outros atributos relacionados ao documento refletem a planilha na qual a função foi chamada.
- Quando um script não é executado como uma função personalizada, os atributos relacionados ao documento não são informados.
- O ID do script será informado se o script do Apps Script pertencer à sua organização.
URL de importação das Planilhas
Chamar uma função de importação das Planilhas, que acessa um URL, é registrado como um evento URL de importação das Planilhas. Um evento é registrado quando o conteúdo da página é alterado por uma atualização automática ou quando um usuário abre a página.
Eventos que envolvem domínios externos
Alguns eventos envolvem usuários, pastas ou drives compartilhados fora da sua organização. Por exemplo, quando um usuário na sua organização compartilha um arquivo com um usuário externo. As duas organizações registram um evento quando ele muda a propriedade do item de uma organização para outra.
Exemplos de eventos registrados por ambas:
- Um item do Drive de um usuário na sua organização é passado para um drive compartilhado externo.
- Um item do Drive de um usuário fora da sua organização é passado para um drive compartilhado de propriedade da organização.
- Um usuário copia um arquivo para dentro ou para fora da sua organização. A organização de destino registra o nome do arquivo copiado, não o nome original do arquivo.
Exemplos de eventos registrados pela sua organização, mas não registrados pelo domínio externo:
- Um item do Drive de propriedade de um usuário na sua organização é compartilhado com um usuário externo.
- Um item do Drive de propriedade de um usuário na sua organização é compartilhado com um grupo que permite usuários externos, mesmo que nenhum usuário externo faça parte do grupo.
- Um usuário externo visualiza, edita, faz o download, imprime ou exclui um item do Drive de propriedade da sua organização.
- Um usuário externo faz upload de um arquivo em um drive compartilhado de propriedade da sua organização.
Os eventos registrados pelo domínio externo, mas não pela sua organização, são o contrário da seção anterior.
Usuários anônimos e externos
Para usuários anônimos (usuários que não fizeram login em uma Conta do Google), as edições são registradas, mas as visualizações e os downloads não.
As ações realizadas por usuários externos ao domínio são mostradas como anônimas, exceto quando o item é explicitamente compartilhado com elas (como um indivíduo ou parte de um grupo específico).
Os administradores podem restringir o acesso anônimo e externo definindo políticas de compartilhamento da organização ou de regras de confiabilidade.
Drive para computador
Quando os arquivos são copiados entre o Drive e um dispositivo local usando o Google Drive para computador, os eventos de download são registrados.
Gerenciar dados de eventos de registro
Gerenciar os dados da coluna de resultados da pesquisa
Você pode controlar quais colunas de dados aparecem nos resultados da pesquisa.
- No canto superior direito da tabela de resultados da pesquisa, clique em "Gerenciar colunas" .
- (Opcional) Para remover as colunas, clique em "Remover item" .
- (Opcional) Para adicionar colunas, ao lado de Adicionar nova coluna, clique na seta para baixo e selecione a coluna de dados.
Repita quantas vezes forem necessárias. - (Opcional) Arraste o nome das colunas se quiser mudar a ordem.
- Clique em Salvar.
Exportar dados do resultado da pesquisa
- Na parte de cima da tabela de resultados da pesquisa, clique em Exportar tudo.
- Digite um nome clique em Exportar.
A exportação aparece abaixo da tabela de resultados da pesquisa em Exportar resultados da ação. - Para ver os dados, clique no nome da exportação.
A exportação é aberta no Planilhas Google.
Criar regras de relatórios
Acesse Criar e gerenciar regras de relatórios.
Quando e por quanto tempo os dados ficam disponíveis?
Realizar ações com base nos resultados da pesquisa
Realizar ações com base nos resultados da pesquisa
Depois de fazer uma pesquisa na ferramenta de investigação, você pode realizar ações com base nos resultados. Por exemplo, você pode fazer uma pesquisa com base nos eventos de registro do Gmail e usar a ferramenta de investigação para excluir ou enviar mensagens para a quarentena ou para a caixa de entrada de outros usuários. Veja mais detalhes sobre as ações na ferramenta de investigação em Realizar ações com base nos resultados da pesquisa.
Criar regras de atividade e configurar alertas
Para prevenir, detectar e corrigir problemas de segurança de maneira eficiente, automatize as ações na ferramenta de investigação e configure alertas criando regras de atividade. Para configurar uma regra, defina as condições e especifique quais ações vão ser realizadas quando as condições forem atendidas. Veja mais detalhes e instruções em Criar e gerenciar regras de atividade.
Gerenciar suas investigações
Ver a lista de investigaçõesPara ver uma lista das suas investigações e das compartilhadas com você, clique em Ver investigações. A lista de investigações inclui os nomes, as descrições e os proprietários das investigações, além da data da última modificação.
Nessa lista, você pode realizar ações em qualquer uma das suas investigações, como excluir uma investigação. Marque a caixa ao lado de uma investigação e clique em Ações.
Observação: logo acima da lista de investigações, em Acesso rápido, você pode ver as investigações salvas recentemente.
Como superadministrador, clique em Configurações para:
- alterar o fuso horário do seu evento (aplicável às condições e aos resultados da pesquisa);
- ativar ou desativar a opção Solicitar avaliador (mais detalhes em Solicitar avaliadores para ações em massa);
- ativar ou desativar a opção Ver conteúdo (disponível para os administradores com os privilégios apropriados);
- ativar ou desativar a opção Ativar justificativa da ação.
Veja mais detalhes e instruções em Configurar suas investigações.
Você pode controlar quais colunas de dados aparecem nos resultados da pesquisa.
- No canto superior direito da tabela de resultados da pesquisa, clique em Gerenciar colunas .
- (Opcional) Para remover as colunas, clique em Remover item.
- (Opcional) Para adicionar colunas, ao lado de "Adicionar nova coluna", clique na seta para baixoe selecione a coluna de dados.
Repita quantas vezes forem necessárias. - (Opcional) Você pode arrastar o nome das colunas para mudar a ordem.
- Clique em Salvar.
- Na parte de cima da tabela de resultados da pesquisa, clique em Exportar tudo.
- Digite um nomeclique em Exportar.
A exportação aparece abaixo da tabela de resultados da pesquisa em Exportar resultados da ação. - Para ver os dados, clique no nome da exportação.
A exportação é aberta no Planilhas Google.
Observe o seguinte ao ver os resultados da pesquisa exportados:
- Quando você clica no botão Exportar tudo, na parte de cima da tabela, um arquivo do Planilhas Google com os resultados da pesquisa é criado na sua pasta "Meu Drive". Dependendo do tamanho dos resultados, o processo de exportação pode levar algum tempo, e vários arquivos do Planilhas Google podem ser criados. Os resultados da exportação são limitados a 30 milhões de linhas (exceto para pesquisas de mensagens do Gmail, que são limitadas a 1,25 milhão de linhas).
- Enquanto a exportação está em andamento, os arquivos do Planilhas Google são criados com um nome temporário, por exemplo, TMP-1-<título>. Se várias planilhas do Google forem criadas, os arquivos adicionais serão chamados TMP-2-<título>, TMP-3 <título> e assim por diante. Quando a exportação é concluída, os arquivos são renomeados automaticamente como <título> [1 de N], <título> [2 de N] etc. Se apenas um arquivo do Planilhas Google tiver os dados exportados, ele será renomeado como <título>.
- As permissões de compartilhamento dos arquivos com os resultados da pesquisa exportados são determinadas pela configuração do seu domínio. Por exemplo, se os arquivos criados forem compartilhados com todos os funcionários da empresa por padrão, eles também poderão ver os dados exportados.
Para salvar seus critérios de pesquisa ou compartilhar essas informações com outras pessoas, crie e salve uma investigação. Em seguida, compartilhe, duplique ou exclua a investigação.
Veja mais detalhes em Salvar, compartilhar, excluir e duplicar investigações.
Para saber mais sobre as origens de dados, acesse Períodos de atraso e retenção de dados.
Gerenciar suas investigações
Requires a Edição premium do Google Workspace (Enterprise Standard, Enterprise Plus ou Education Plus)
View your list of investigationsTo view a list of the investigations that you own and that were shared with you, click View investigations. The investigation list includes the names, descriptions, and owners of the investigations, and the date last modified.
From this list, you can take action on any investigations that you own—for example, to delete an investigation. Check the box for an investigation, and then click Actions.
Note: Directly above your list of investigations, under Quick access, you can view recently saved investigations.
As a super administrator, click Settings to :
- Change the time zone for your investigations. The time zone applies to search conditions and results.
- Turn on or off Require reviewer. For more details, go to Require reviewers for bulk actions.
- Turn on or off View content. This setting allows admins with the appropriate privileges to view content.
- Turn on or off Enable action justification.
For instructions and details, go to Configure settings for your investigations.
To save your search criteria or share it with others, you can create and save an investigation, and then share, duplicate, or delete it.
For details, go to Save, share, delete, and duplicate investigations.