Dependendo da sua edição do Google Workspace, talvez você tenha acesso à ferramenta de investigação de segurança, que tem recursos mais avançados. Por exemplo, os superadministradores podem identificar, filtrar e resolver problemas de segurança e privacidade. Saiba mais
Como administrador da organização, você pode fazer pesquisas e realizar ações em eventos de registro do Drive. Por exemplo, é possível acessar um registro de ações para ver a atividade dos usuários da sua organização no Drive. Os eventos de registro do Drive incluem o conteúdo que os usuários criam nos apps Documentos, Planilhas, Apresentações e outros aplicativos do Google Workspace, além do que os usuários enviam para o Drive, como PDFs e arquivos do Microsoft Word.Você pode usar a API Activity para acessar os dados básicos dos relatórios de modo programático. Se sua edição do Google Workspace for compatível, será possível utilizar a nova API Reports para ver dados avançados de relatórios do Google Workspace.
Importante:
- Nem todas as atividades no Drive são registradas. Nesta página, veja uma lista do que está incluído no registro em Eventos registrados e não registrados.
- Veja mais detalhes sobre a data de disponibilização dos dados e o tempo de retenção em Períodos de atraso e retenção de dados.
- A maioria dos eventos de auditoria do Drive é registrada apenas para os arquivos de usuários com edições compatíveis. As exceções são eventos acessados pelo URL, que são registrados quando o usuário que inicia um script do Apps Script que acessa um URL está na sua organização e tem uma edição compatível.
Encaminhar dados de eventos de registros para o Google Cloud
Você pode ativar o compartilhamento de dados de eventos de registros com o Google Cloud. Se você fizer isso, os dados vão ser encaminhados para o Cloud Logging, onde é possível consultar e ver os registros, além de controlar como eles são direcionados e armazenados.
Pesquisar eventos de registro
A capacidade de realizar uma pesquisa depende da edição do Google Workspace, dos seus privilégios de administrador e da origem dos dados. Você pode fazer uma pesquisa com todos os usuários, seja qual for a edição do Google Workspace deles.
Para pesquisar eventos de registro, primeiro escolha uma origem de dados. Em seguida, selecione uma ou mais condições para sua pesquisa.
-
-
No Admin Console, acesse Menu RelatóriosAuditoria e investigaçãoEventos de registro do Drive.
- Clique em Adicionar um filtro e selecione um atributo.
- Na janela pop-up, escolha um operador selecione um valor clique em Aplicar.
- (Opcional) Para criar vários filtros para sua pesquisa, repita essa etapa.
- (Opcional) Para adicionar um operador de pesquisa, acima de Adicionar um filtro, selecione AND ou OR.
- (Opcional) Para criar vários filtros para sua pesquisa, repita esta etapa.
- (Opcional) Para adicionar um operador de pesquisa, acima de Adicionar um filtro, selecione AND ou OR.
- Clique em Pesquisar.
-
Observação: na guia Filtrar, você pode incluir pares de valores e parâmetros simples para filtrar os resultados da pesquisa. Também é possível usar a guia Criador de condições, onde os filtros são representados como condições com operadores AND/OR.
Para pesquisar na ferramenta de investigação de segurança, primeiro clique em uma origem de dados. Em seguida, escolha uma ou mais condições para sua pesquisa. Para cada condição, selecione um atributo, um operador e um valor.
-
-
No Admin Console, acesse Menu SegurançaCentral de segurançaFerramenta de investigação.
- Clique em Origem de dados e selecione Eventos de registro do Drive.
- Clique em Adicionar condição.
Dica: você pode incluir uma ou mais condições na pesquisa ou usar consultas aninhadas. Veja mais detalhes em Personalizar sua pesquisa com consultas aninhadas. - Clique em Atributoselecione uma opção.
Para ver uma lista com todos os atributos, acesse a seção Descrições de atributos abaixo. - Selecione um operador.
- Digite um valor ou selecione uma opção na lista suspensa.
- (Opcional) Para adicionar outras condições de pesquisa, repita as etapas 4 a 7.
- Clique em Pesquisar.
Os resultados da pesquisa na ferramenta de investigação são exibidos em uma tabela na parte de baixo da página. - (Opcional) Para salvar a investigação, clique em Salvar digite um título e uma descrição clique Salvar.
Observação:
- Na guia Criador de condições, os filtros são representados como condições com os operadores AND/OR. Também é possível usar a guia Filtrar para incluir pares simples de parâmetros e valores e filtrar os resultados da pesquisa.
- Quando você renomeia um usuário, não vê os resultados de consultas com o nome antigo. Por exemplo, se você renomear NomeAntigo@example.com para NovoNome@example.com, não vai ver resultados de eventos relacionados a NomeAntigo@example.com.
Descrições de atributos
Para essa origem de dados, você pode usar os seguintes atributos ao pesquisar dados de eventos de registro:
Observação:
- Nem todos os atributos da lista a seguir são informados para todos os eventos.
- A lista a seguir não está completa e está sujeita a alterações. Confira mais detalhes sobre os eventos de registro do Drive em Eventos de atividade de auditoria do Drive no site do SDK Admin do Google Workspace.
Atributo | Descrição |
---|---|
Ator | Endereço de e-mail do usuário que executou a atividade. Os usuários externos ao domínio aparecem como anônimos, exceto quando visualizam ou editam um documento explicitamente compartilhado com eles, como indivíduos ou parte de um grupo específico. |
ID do grupo |
Nome do grupo do usuário Para mais informações, acesse Filtrar resultados por Grupo do Google. Para adicionar um grupo à lista de permissões de grupos de filtragem:
|
Unidade organizacional do usuário | Unidade organizacional do usuário |
Método de API | Para ações de download e conteúdo do item acessado que ocorrem em um app de terceiros, é o método de API usado pela ação. Por exemplo, drive.files.export. |
ID do aplicativo | ID do cliente OAuth do app de terceiros que executou a ação |
Nome do app | O app que executou a ação |
Público-alvo | Domínio de destino, caso o registro de auditoria seja de uma alteração de visibilidade |
Faturável | (Somente para a edição Essentials) Indica se a ação do usuário é uma atividade sujeita a cobrança. |
Data |
Data e hora do evento mostradas no fuso horário padrão do navegador. Observação: a maioria dos eventos é registrada logo após a conclusão. Às vezes, registros grandes podem demorar um pouco para serem registrados. |
ID do documento |
Identificador exclusivo de item do Drive associado à atividade, conforme armazenado no link do URL do arquivo. Observação: para eventos acessados pelo URL, o ID do documento e outros campos relacionados ao arquivo, como tipo e proprietário do documento, são informados somente para algumas ações. Confira mais detalhes nesta página em acessados pelo URL. |
Tipo de documento | O formato de arquivo da atividade, como arquivos do Documentos, Planilhas, Apresentações Google, JPEG, PDF, PNG, MP4, Microsoft Word, Excel, PowerPoint, txt, HTML, áudio MPEG, vídeo QuickTime, pasta ou drives compartilhados |
Domínio* | O domínio em que a ação ocorreu |
Criptografado* | Se o arquivo está criptografado do lado do cliente |
Nome do evento |
Eventos iniciados pelo usuário, como Visualizar, Renomear, Criar, Editar, Imprimir, Excluir, Fazer upload e Fazer download. A maioria das ações é registrada imediatamente. Os eventos de impressão no Drive estão sujeitos a atrasos de 12 horas ou mais a partir da hora do evento. Os arquivos excluídos automaticamente pelo Google Drive ou esvaziados da lixeira são registrados. Outros eventos, como o upload de um arquivo, são registrados logo após a conclusão. |
Falsificação de identidade |
O aplicativo usou a delegação em todo o domínio para fazer uma solicitação em nome de um usuário. Verdadeiro indica que o evento foi realizado em nome de um usuário. É possível consultar Ator para encontrar o e-mail do usuário, o ID do app e o nome do app para identificar o aplicativo. Saiba mais sobre a delegação em todo o domínio. |
Endereço IP* |
Endereço onde o usuário executou a atividade, que pode refletir a localização física do usuário, mas também pode ser o endereço de um servidor proxy ou de uma VPN (Rede privada virtual). Nenhum endereço IP é registrado para eventos:
|
Novo valor da visibilidade da publicação | Nova visibilidade do documento |
Novo valor* | Novo valor da configuração alterada |
Novos IDs de valor* | Novo valor do campo de marcador |
Valor antigo da visibilidade da publicação | Visibilidade antiga do documento se a atividade for uma mudança de visibilidade |
Valor antigo* | Valor antigo da configuração alterada |
Códigos de valor antigo* | Valor antigo do campo do marcador |
Proprietário |
Usuário que é o proprietário do arquivo |
Visibilidade anterior | Visibilidade anterior do documento, caso a visibilidade seja alterada |
Destinatários* | Endereços de e-mail dos destinatários |
Código do drive compartilhado | O ID do drive compartilhado que contém o arquivo. Se o arquivo não estiver em um drive compartilhado, esse campo não será preenchido. |
Alvo | Usuário que teve o acesso alterado |
Título | Título do documento |
Visibilidade | Visibilidade do item do Drive associado à atividade |
Alteração de visibilidade | Visibilidade do item do Drive antes da atividade |
Visitante | Sim indica que a atividade é de um usuário que não é do Google. Não indica que a atividade é de um usuário do Google. Saiba mais sobre como compartilhar arquivos com os visitantes. |
Observação: se você tiver renomeado um usuário, não verá os resultados de consultas com o nome antigo. Por exemplo, se você renomear NomeAntigo@exemplo.com para NovoNome@exemplo.com, não vai ver resultados de eventos relacionados a NomeAntigo@exemplo.com.
Ver arquivos compartilhados fora de um domínio
Para ver os arquivos compartilhados com usuários fora de um domínio:
Página de auditoria e investigação
- Conforme descrito acima, clique em Acessar dados de eventos de registro do Drive.
- Clique em Adicionar um filtroVisibilidade e selecione Compartilhado externamente.
- Clique em Pesquisar.
Se você desativar o compartilhamento externo e um usuário compartilhar um recurso com um grupo que permita usuários externos, os dados serão marcados como Compartilhado externamente no registro, mesmo que o grupo não tenha usuários externos. No entanto, os usuários externos no grupo não terão acesso ao recurso compartilhado.
Ferramenta de investigação de segurança
-
-
No Admin Console, acesse Menu SegurançaCentral de segurançaFerramenta de investigação.
- Clique em Origem de dadose selecione Eventos de registro do Drive.
- Clique em Adicionar condição.
- Clique em Atributoe selecione Visibilidade.
- Clique em Contéme selecione É.
- Clique em Visibilidadee selecione Compartilhado externamente.
- Clique em Pesquisar.
Os resultados da pesquisa na ferramenta de investigação são exibidos em uma tabela na parte de baixo da página.
Se você desativar o compartilhamento externo e um usuário compartilhar um recurso com um grupo que permita usuários externos, os dados serão marcados como Compartilhado externamente no registro. No entanto, os usuários externos no grupo não terão acesso ao recurso compartilhado, e você verá isso mesmo que o grupo não tenha usuários externos.
Eventos registrados e não registrados
Excluir
Os arquivos excluídos automaticamente pelo Google Drive ou esvaziados da lixeira são registrados.
Copiar
Quando um arquivo é copiado, os eventos Criar e Copiar são registrados para o novo arquivo, e um evento Cópia da origem é registrado para o arquivo original.
Quando um usuário de fora da organização copia um arquivo para um local externo, a organização não registra os eventos Criar e Copiar porque o novo arquivo é externo. No entanto, seus registros têm o evento Source Copy no arquivo original com o Tipo de cópia definido como Externa. Para monitorar quando os dados são copiados da sua organização, analise os eventos de Cópia da origem com o tipo Externa.
Imprimir
Os eventos Imprimir não são registrados quando um usuário imprime um arquivo aberto nos formatos de arquivo do Google (Documentos, Planilhas, Apresentações, Desenhos e Formulários).
Ao imprimir arquivos com o app Drive em um dispositivo Apple iPhone e iPad ou Android, os eventos Imprimir podem ser registrados como eventos Fazer download.
Fazer o download
A maioria dos downloads é registrada, inclusive quando os arquivos são copiados entre o Drive e um dispositivo local usando o Google Drive para computador.
Algumas ações Visualizar são registradas como downloads:
- A visualização de um arquivo no app Drive em um dispositivo móvel é registrada como um evento Fazer download.
- A visualização de um arquivo, como um PDF, que não pode ser aberto diretamente no Documentos Google ou outro app do Google é registrado como um evento Fazer download .
Os downloads das seguintes origens não são registrados:
- Downloads do Google Takeout (pesquise eventos de registro do Takeout)
- Downloads para caches de navegador off-line
- Fotos sincronizadas, transferidas por download ou visualizadas com o Google Fotos
- Itens do Drive enviados por e-mail como anexos e acessados por download no cliente de e-mail do destinatário
Conteúdo do item sincronizado
Os eventos de conteúdo sincronizado do item são registrados nos casos a seguir e ficam disponíveis para atividades após 1º de julho de 2024:
- Um arquivo é sincronizado do Drive para um dispositivo local usando o Google Drive para computador. Eles também são registrados como eventos de download.
- Um arquivo é sincronizado com um dispositivo para acesso off-line, incluindo sincronizações contínuas com a versão on-line. Os eventos de conteúdo do item sincronizado com o app Drive para dispositivos móveis (Android e iOS) podem ser registrados como eventos de Download .
Conteúdo do item acessado
Os arquivos podem ser acessados em nome dos usuários em um app que usa uma API Google Workspace, como a API Google Drive ou a API Google Sheets. Essas ações não são registradas como eventos de download ou visualização, apenas como conteúdo do item acessado.Os eventos Conteúdo do item acessado do Gemini são registrados apenas quando o conteúdo é acessado fora do arquivo aberto de um usuário no Drive para Web.
Os eventos de acesso ao conteúdo do item não são registrados quando um arquivo é visualizado ou aberto por um usuário no Drive para Web, no Drive em dispositivos móveis ou no app Drive para computador.
Ver
- A visualização de arquivos usando /htmlview, /embed, /revisions e outros URLs especiais é registrada como um evento de visualização.
Acessado pelo URL
Eventos acessados pelo URL são registrados quando um script do Apps Scriptacessa um URL, inclusive quando o script é executado noPainel do Apps Script, executado como um Complemento ou executado como uma função personalizada no app Planilhas. Os eventos acessados pelo URL não são registrados quando um usuário clica em um link de um arquivo.
Os atributos relatados dependem de como o script foi executado e de quem é o proprietário:
- Quando um script é executado como uma função personalizada, o ID do documento e outros atributos relacionados ao documento refletem a planilha na qual a função foi chamada.
- Quando um script não é executado como uma função personalizada, os atributos relacionados ao documento não são informados.
- O ID do script será informado se o script do Apps Script pertencer à sua organização.
URL de importação das Planilhas
Chamar uma função de importação das Planilhas, que acessa um URL, é registrado como um evento URL de importação das Planilhas. Um evento é registrado quando o conteúdo da página é alterado por uma atualização automática ou quando um usuário abre a página.
Eventos que envolvem domínios externos
Alguns eventos envolvem usuários, pastas ou drives compartilhados fora da sua organização. Por exemplo, quando um usuário na sua organização compartilha um arquivo com um usuário externo. As duas organizações registram um evento quando ele muda a propriedade do item de uma organização para outra.
Exemplos de eventos registrados por ambas:
- Um item do Drive de um usuário na sua organização é passado para um drive compartilhado externo.
- Um item do Drive de um usuário fora da sua organização é passado para um drive compartilhado de propriedade da organização.
- Um usuário copia um arquivo para dentro ou para fora da sua organização. A organização de destino registra o nome do arquivo copiado, não o nome original do arquivo.
Exemplos de eventos registrados pela sua organização, mas não registrados pelo domínio externo:
- Um item do Drive de propriedade de um usuário na sua organização é compartilhado com um usuário externo.
- Um item do Drive de propriedade de um usuário na sua organização é compartilhado com um grupo que permite usuários externos, mesmo que nenhum usuário externo faça parte do grupo.
- Um usuário externo visualiza, edita, faz o download, imprime ou exclui um item do Drive de propriedade da sua organização.
- Um usuário externo faz upload de um arquivo em um drive compartilhado de propriedade da sua organização.
Os eventos registrados pelo domínio externo, mas não pela sua organização, são o contrário da seção anterior.
Usuários anônimos e externos
Para usuários anônimos (usuários que não fizeram login em uma Conta do Google), as edições são registradas, mas as visualizações e os downloads não.
As ações realizadas por usuários externos ao domínio são mostradas como anônimas, exceto quando o item é explicitamente compartilhado com elas (como um indivíduo ou parte de um grupo específico).
Os administradores podem restringir o acesso anônimo e externo definindo políticas de compartilhamento da organização ou de regras de confiabilidade.
Drive para computador
Quando os arquivos são copiados entre o Drive e um dispositivo local usando o Google Drive para computador, os eventos de download são registrados.
Gerenciar dados de eventos de registro
Gerenciar os dados da coluna de resultados da pesquisa
Você pode controlar quais colunas de dados aparecem nos resultados da pesquisa.
- No canto superior direito da tabela de resultados da pesquisa, clique em "Gerenciar colunas" .
- (Opcional) Para remover as colunas, clique em "Remover item" .
- (Opcional) Para adicionar colunas, ao lado de Adicionar nova coluna, clique na seta para baixo e selecione a coluna de dados.
Repita quantas vezes forem necessárias. - (Opcional) Arraste o nome das colunas se quiser mudar a ordem.
- Clique em Salvar.
Exportar dados do resultado da pesquisa
Você pode exportar os resultados da pesquisa para o app Planilhas Google ou um arquivo CSV.
- Na parte de cima da tabela de resultados da pesquisa, clique em Exportar tudo.
- Digite um nome clique em Exportar.
A exportação aparece abaixo da tabela de resultados da pesquisa em Exportar resultados da ação. - Para ver os dados, clique no nome da exportação.
A exportação é aberta no Planilhas Google.
Os limites de exportação variam:
- O total de resultados da exportação é limitado a 100.000 linhas, exceto para pesquisas de mensagens do Gmail, que são limitadas a 10.000 linhas.
- Este recurso está disponível no Cloud Identity Premium Edition. Compare as edições
Se você tiver a ferramenta de investigação de segurança, os resultados da exportação serão limitados a 30 milhões de linhas, exceto para pesquisas de mensagens do Gmail, que são limitadas a 10.000 linhas.
Para mais informações, consulte Exportar resultados da pesquisa.
Quando e por quanto tempo os dados ficam disponíveis?
Realizar ações com base nos resultados da pesquisa
- É possível configurar alertas com base nos dados de eventos de registro usando as regras de relatórios. Consulte instruções em Criar e gerenciar regras do relatório.
- Este recurso está disponível no Cloud Identity Premium Edition. Compare as edições
Para prevenir, detectar e corrigir problemas de segurança de maneira eficiente, automatize as ações na ferramenta de investigação de segurança e configure alertas criando regras de atividade. Para configurar uma regra, defina as condições e especifique quais ações vão ser realizadas quando as condições forem atendidas. Veja mais detalhes e instruções em Criar e gerenciar regras de atividade.
Este recurso está disponível no Cloud Identity Premium Edition. Compare as edições
Depois de fazer uma pesquisa na ferramenta de investigação de segurança, você pode realizar ações com base nos resultados. Por exemplo, você pode fazer uma pesquisa com base nos eventos de registro do Gmail e usar a ferramenta para excluir ou enviar mensagens para a quarentena ou para a caixa de entrada de outros usuários. Confira mais detalhes em Realizar ações com base nos resultados da pesquisa.
Gerenciar suas investigações
Este recurso está disponível no Cloud Identity Premium Edition. Compare as edições
Ver a lista de investigaçõesPara ver uma lista das suas investigações e das compartilhadas com você, clique em Ver investigações. A lista de investigações inclui os nomes, as descrições e os proprietários das investigações, além da data da última modificação.
Nessa lista, você pode realizar ações em qualquer uma das suas investigações, como excluir uma investigação. Marque a caixa ao lado de uma investigação e clique em Ações.
Observação: logo acima da lista de investigações, em Acesso rápido, você pode ver as investigações salvas recentemente.
Como superadministrador, clique em Configurações para:
- alterar o fuso horário do seu evento (aplicável às condições e aos resultados da pesquisa);
- ativar ou desativar a opção Solicitar avaliador (mais detalhes em Solicitar avaliadores para ações em massa);
- ativar ou desativar a opção Ver conteúdo (disponível para os administradores com os privilégios apropriados);
- ativar ou desativar a opção Ativar justificativa da ação.
Veja mais detalhes e instruções em Configurar suas investigações.
Para salvar seus critérios de pesquisa ou compartilhar essas informações com outras pessoas, crie e salve uma investigação. Em seguida, compartilhe, duplique ou exclua a investigação.
Veja mais detalhes em Salvar, compartilhar, excluir e duplicar investigações.