Eventos de registro do Drive

Ver a atividade do arquivo do usuário no Google Drive

Dependendo da sua edição do Google Workspace, talvez você tenha acesso à ferramenta de investigação de segurança, que tem recursos mais avançados. Por exemplo, os superadministradores podem identificar, filtrar e resolver problemas de segurança e privacidade. Saiba mais

Como administrador da organização, você pode fazer pesquisas e realizar ações em eventos de registro do Drive. Por exemplo, é possível acessar um registro de ações para ver a atividade dos usuários da sua organização no Drive. Os eventos de registro do Drive incluem o conteúdo que os usuários criam nos apps Documentos, Planilhas, Apresentações e outros aplicativos do Google Workspace, além do que os usuários enviam para o Drive, como PDFs e arquivos do Microsoft Word.

Você pode usar a API Activity para acessar os dados básicos dos relatórios de modo programático. Se sua edição do Google Workspace for compatível, será possível utilizar a nova API Reports para ver dados avançados de relatórios do Google Workspace.

Importante:

  • Nem todas as atividades no Drive são registradas. Nesta página, veja uma lista do que está incluído no registro em Eventos registrados e não registrados.
  • Veja mais detalhes sobre a data de disponibilização dos dados e o tempo de retenção em Períodos de atraso e retenção de dados.
  • A maioria dos eventos de auditoria do Drive é registrada apenas para os arquivos de usuários com edições compatíveis. As exceções são eventos acessados pelo URL, que são registrados quando o usuário que inicia um script do Apps Script que acessa um URL está na sua organização e tem uma edição compatível.

Encaminhar dados de eventos de registros para o Google Cloud

Você pode ativar o compartilhamento de dados de eventos de registros com o Google Cloud. Se você fizer isso, os dados vão ser encaminhados para o Cloud Logging, onde é possível consultar e ver os registros, além de controlar como eles são direcionados e armazenados.

Pesquisar eventos de registro

A capacidade de realizar uma pesquisa depende da edição do Google Workspace, dos seus privilégios de administrador e da origem dos dados. Você pode fazer uma pesquisa com todos os usuários, seja qual for a edição do Google Workspace deles.

Ferramenta de investigação e auditoria

Para pesquisar eventos de registro, primeiro escolha uma origem de dados. Em seguida, selecione uma ou mais condições para sua pesquisa.

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Relatóriose depoisAuditoria e investigaçãoe depoisEventos de registro do Drive.
  3. Clique em Adicionar um filtro e selecione um atributo.
  4. Na janela pop-up, escolha um operador e depois selecione um valor e depois clique em Aplicar.
    • (Opcional) Para criar vários filtros para sua pesquisa, repita essa etapa.
    • (Opcional) Para adicionar um operador de pesquisa, acima de Adicionar um filtro, selecione AND ou OR.
    • (Opcional) Para criar vários filtros para sua pesquisa, repita esta etapa.
    • (Opcional) Para adicionar um operador de pesquisa, acima de Adicionar um filtro, selecione AND ou OR.
  5. Clique em Pesquisar.
  6. Observação: na guia Filtrar, você pode incluir pares de valores e parâmetros simples para filtrar os resultados da pesquisa. Também é possível usar a guia Criador de condições, onde os filtros são representados como condições com operadores AND/OR.

Ferramenta de investigação de segurança
Este recurso está disponível no Cloud Identity Premium Edition. Compare as edições

Para pesquisar na ferramenta de investigação de segurança, primeiro clique em uma origem de dados. Em seguida, escolha uma ou mais condições para sua pesquisa. Para cada condição, selecione um atributo, um operador e um valor

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisCentral de segurançae depoisFerramenta de investigação.
  3. Clique em Origem de dados e selecione Eventos de registro do Drive.
  4. Clique em Adicionar condição.
    Dica: você pode incluir uma ou mais condições na pesquisa ou usar consultas aninhadas. Veja mais detalhes em Personalizar sua pesquisa com consultas aninhadas.
  5. Clique em Atributoe depoisselecione uma opção.
    Para ver uma lista com todos os atributos, acesse a seção Descrições de atributos abaixo.
  6. Selecione um operador.
  7. Digite um valor ou selecione uma opção na lista suspensa.
  8. (Opcional) Para adicionar outras condições de pesquisa, repita as etapas 4 a 7.
  9. Clique em Pesquisar.
    Os resultados da pesquisa na ferramenta de investigação são exibidos em uma tabela na parte de baixo da página.
  10. (Opcional) Para salvar a investigação, clique em Salvare depois digite um título e uma descrição e depois clique Salvar.

Observação:

  • Na guia Criador de condições, os filtros são representados como condições com os operadores AND/OR. Também é possível usar a guia Filtrar para incluir pares simples de parâmetros e valores e filtrar os resultados da pesquisa.
  • Quando você renomeia um usuário, não vê os resultados de consultas com o nome antigo. Por exemplo, se você renomear NomeAntigo@example.com para NovoNome@example.com, não vai ver resultados de eventos relacionados a NomeAntigo@example.com.

Descrições de atributos

Para essa origem de dados, você pode usar os seguintes atributos ao pesquisar dados de eventos de registro:

Observação:

  • Nem todos os atributos da lista a seguir são informados para todos os eventos.
  • A lista a seguir não está completa e está sujeita a alterações. Confira mais detalhes sobre os eventos de registro do Drive em Eventos de atividade de auditoria do Drive no site do SDK Admin do Google Workspace.
Atributo Descrição
Ator Endereço de e-mail do usuário que executou a atividade. Os usuários externos ao domínio aparecem como anônimos, exceto quando visualizam ou editam um documento explicitamente compartilhado com eles, como indivíduos ou parte de um grupo específico.
ID do grupo

Nome do grupo do usuário Para mais informações, acesse Filtrar resultados por Grupo do Google.

Para adicionar um grupo à lista de permissões de grupos de filtragem:

  1. Selecione ID do grupo.
  2. Clique em Grupos filtrados.
    A página "Grupos filtrados" é exibida.
  3. Clique em Adicionar grupos.
  4. Digite os primeiros caracteres do nome ou endereço de e-mail de um grupo para pesquisá-lo. Selecione o grupo quando encontrá-lo.
  5. (Opcional) Para adicionar outro grupo, pesquise e selecione o grupo.
  6. Quando terminar de selecionar os grupos, clique em Adicionar.
  7. (Opcional) Para remover um grupo, clique em .
  8. Clique em Salvar.
Unidade organizacional do usuário Unidade organizacional do usuário
Método de API Para ações de download e conteúdo do item acessado que ocorrem em um app de terceiros, é o método de API usado pela ação. Por exemplo, drive.files.export.
ID do aplicativo ID do cliente OAuth do app de terceiros que executou a ação
Nome do app O app que executou a ação
Público-alvo Domínio de destino, caso o registro de auditoria seja de uma alteração de visibilidade
Faturável (Somente para a edição Essentials) Indica se a ação do usuário é uma atividade sujeita a cobrança.
Data

Data e hora do evento mostradas no fuso horário padrão do navegador.

Observação: a maioria dos eventos é registrada logo após a conclusão. Às vezes, registros grandes podem demorar um pouco para serem registrados.

ID do documento

Identificador exclusivo de item do Drive associado à atividade, conforme armazenado no link do URL do arquivo.

Observação: para eventos acessados pelo URL, o ID do documento e outros campos relacionados ao arquivo, como tipo e proprietário do documento, são informados somente para algumas ações. Confira mais detalhes nesta página em acessados pelo URL.

Tipo de documento O formato de arquivo da atividade, como arquivos do Documentos, Planilhas, Apresentações Google, JPEG, PDF, PNG, MP4, Microsoft Word, Excel, PowerPoint, txt, HTML, áudio MPEG, vídeo QuickTime, pasta ou drives compartilhados
Domínio* O domínio em que a ação ocorreu
Criptografado* Se o arquivo está criptografado do lado do cliente
Nome do evento

Eventos iniciados pelo usuário, como Visualizar, Renomear, Criar, EditarImprimir, Excluir, Fazer upload e Fazer download.

A maioria das ações é registrada imediatamente. Os eventos de impressão no Drive estão sujeitos a atrasos de 12 horas ou mais a partir da hora do evento. Os arquivos excluídos automaticamente pelo Google Drive ou esvaziados da lixeira são registrados. Outros eventos, como o upload de um arquivo, são registrados logo após a conclusão.

Falsificação de identidade

O aplicativo usou a delegação em todo o domínio para fazer uma solicitação em nome de um usuário. Verdadeiro indica que o evento foi realizado em nome de um usuário. É possível consultar Ator para encontrar o e-mail do usuário, o ID do app e o nome do app para identificar o aplicativo.

Saiba mais sobre a delegação em todo o domínio.
Endereço IP*

Endereço onde o usuário executou a atividade, que pode refletir a localização física do usuário, mas também pode ser o endereço de um servidor proxy ou de uma VPN (Rede privada virtual).

Nenhum endereço IP é registrado para eventos:

  • iniciados por usuários externos ao domínio;
  • de serviços que não registram o endereço IP nas solicitações;
  • relacionados à renomeação ou à exclusão de um drive compartilhado.
Novo valor da visibilidade da publicação Nova visibilidade do documento
Novo valor* Novo valor da configuração alterada
Novos IDs de valor* Novo valor do campo de marcador
Valor antigo da visibilidade da publicação Visibilidade antiga do documento se a atividade for uma mudança de visibilidade
Valor antigo* Valor antigo da configuração alterada
Códigos de valor antigo* Valor antigo do campo do marcador
Proprietário

Usuário que é o proprietário do arquivo

Visibilidade anterior Visibilidade anterior do documento, caso a visibilidade seja alterada
Destinatários* Endereços de e-mail dos destinatários
Código do drive compartilhado O ID do drive compartilhado que contém o arquivo. Se o arquivo não estiver em um drive compartilhado, esse campo não será preenchido.
Alvo Usuário que teve o acesso alterado
Título Título do documento
Visibilidade Visibilidade do item do Drive associado à atividade
Alteração de visibilidade Visibilidade do item do Drive antes da atividade
Visitante Sim indica que a atividade é de um usuário que não é do Google. Não indica que a atividade é de um usuário do Google. Saiba mais sobre como compartilhar arquivos com os visitantes.
* Não é possível criar regras de relatórios com esses filtros. Saiba mais sobre as diferenças entre regras de relatórios e de atividade.

Observação: se você tiver renomeado um usuário, não verá os resultados de consultas com o nome antigo. Por exemplo, se você renomear NomeAntigo@exemplo.com para NovoNome@exemplo.com, não vai ver resultados de eventos relacionados a NomeAntigo@exemplo.com.

Ver arquivos compartilhados fora de um domínio

Para ver os arquivos compartilhados com usuários fora de um domínio:

Página de auditoria e investigação

  1. Conforme descrito acima, clique em Acessar dados de eventos de registro do Drive.
  2. Clique em Adicionar um filtroe depoisVisibilidade e selecione Compartilhado externamente.
  3. Clique em Pesquisar.

Se você desativar o compartilhamento externo e um usuário compartilhar um recurso com um grupo que permita usuários externos, os dados serão marcados como Compartilhado externamente no registro, mesmo que o grupo não tenha usuários externos. No entanto, os usuários externos no grupo não terão acesso ao recurso compartilhado.

Ferramenta de investigação de segurança

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Segurançae depoisCentral de segurançae depoisFerramenta de investigação.
  3. Clique em Origem de dadose depoise selecione Eventos de registro do Drive.
  4. Clique em Adicionar condição.
  5. Clique em Atributoe depoise selecione Visibilidade.
  6. Clique em Contéme depoise selecione É.
  7. Clique em Visibilidadee depoise selecione Compartilhado externamente.
  8. Clique em Pesquisar.
    Os resultados da pesquisa na ferramenta de investigação são exibidos em uma tabela na parte de baixo da página.

Se você desativar o compartilhamento externo e um usuário compartilhar um recurso com um grupo que permita usuários externos, os dados serão marcados como Compartilhado externamente no registro. No entanto, os usuários externos no grupo não terão acesso ao recurso compartilhado, e você verá isso mesmo que o grupo não tenha usuários externos.

Eventos registrados e não registrados

Excluir

Os arquivos excluídos automaticamente pelo Google Drive ou esvaziados da lixeira são registrados.

Copiar

Quando um arquivo é copiado, os eventos Criar e Copiar são registrados para o novo arquivo, e um evento Cópia da origem é registrado para o arquivo original.

Quando um usuário de fora da organização copia um arquivo para um local externo, a organização não registra os eventos Criar e Copiar porque o novo arquivo é externo. No entanto, seus registros têm o evento Source Copy no arquivo original com o Tipo de cópia definido como Externa. Para monitorar quando os dados são copiados da sua organização, analise os eventos de Cópia da origem com o tipo Externa.

Imprimir

Os eventos Imprimir não são registrados quando um usuário imprime um arquivo aberto nos formatos de arquivo do Google (Documentos, Planilhas, Apresentações, Desenhos e Formulários).

Ao imprimir arquivos com o app Drive em um dispositivo Apple iPhone e iPad ou Android, os eventos Imprimir podem ser registrados como eventos Fazer download.

Fazer o download

A maioria dos downloads é registrada, inclusive quando os arquivos são copiados entre o Drive e um dispositivo local usando o Google Drive para computador.

Algumas ações Visualizar são registradas como downloads:

  • A visualização de um arquivo no app Drive em um dispositivo móvel é registrada como um evento Fazer download.
  • A visualização de um arquivo, como um PDF, que não pode ser aberto diretamente no Documentos Google ou outro app do Google é registrado como um evento Fazer download .

Os downloads das seguintes origens não são registrados:

  • Downloads do Google Takeout (pesquise eventos de registro do Takeout)
  • Downloads para caches de navegador off-line
  • Fotos sincronizadas, transferidas por download ou visualizadas com o Google Fotos
  • Itens do Drive enviados por e-mail como anexos e acessados por download no cliente de e-mail do destinatário

Conteúdo do item sincronizado

Os eventos de conteúdo sincronizado do item são registrados nos casos a seguir e ficam disponíveis para atividades após 1º de julho de 2024:

  • Um arquivo é sincronizado do Drive para um dispositivo local usando o Google Drive para computador. Eles também são registrados como eventos de download.
  • Um arquivo é sincronizado com um dispositivo para acesso off-line, incluindo sincronizações contínuas com a versão on-line. Os eventos de conteúdo do item sincronizado com o app Drive para dispositivos móveis (Android e iOS) podem ser registrados como eventos de Download .

Conteúdo do item acessado

Os arquivos podem ser acessados em nome dos usuários em um app que usa uma API Google Workspace, como a API Google Drive ou a API Google Sheets. Essas ações não são registradas como eventos de download ou visualização, apenas como conteúdo do item acessado.Os eventos Conteúdo do item acessado do Gemini são registrados apenas quando o conteúdo é acessado fora do arquivo aberto de um usuário no Drive para Web.

Os eventos de acesso ao conteúdo do item não são registrados quando um arquivo é visualizado ou aberto por um usuário no Drive para Web, no Drive em dispositivos móveis ou no app Drive para computador.

Ver

  • A visualização de arquivos usando /htmlview, /embed, /revisions e outros URLs especiais é registrada como um evento de visualização.

Acessado pelo URL

Eventos acessados pelo URL são registrados quando um script do Apps Scriptacessa um URL, inclusive quando o script é executado noPainel do Apps Script, executado como um Complemento ou executado como uma função personalizada no app Planilhas. Os eventos acessados pelo URL não são registrados quando um usuário clica em um link de um arquivo.

Os atributos relatados dependem de como o script foi executado e de quem é o proprietário:

  • Quando um script é executado como uma função personalizada, o ID do documento e outros atributos relacionados ao documento refletem a planilha na qual a função foi chamada.
  • Quando um script não é executado como uma função personalizada, os atributos relacionados ao documento não são informados.
  • O ID do script será informado se o script do Apps Script pertencer à sua organização.

URL de importação das Planilhas

Chamar uma função de importação das Planilhas, que acessa um URL, é registrado como um evento URL de importação das Planilhas. Um evento é registrado quando o conteúdo da página é alterado por uma atualização automática ou quando um usuário abre a página.

Eventos que envolvem domínios externos

Alguns eventos envolvem usuários, pastas ou drives compartilhados fora da sua organização. Por exemplo, quando um usuário na sua organização compartilha um arquivo com um usuário externo. As duas organizações registram um evento quando ele muda a propriedade do item de uma organização para outra.

Exemplos de eventos registrados por ambas:

  • Um item do Drive de um usuário na sua organização é passado para um drive compartilhado externo.
  • Um item do Drive de um usuário fora da sua organização é passado para um drive compartilhado de propriedade da organização.
  • Um usuário copia um arquivo para dentro ou para fora da sua organização. A organização de destino registra o nome do arquivo copiado, não o nome original do arquivo.

Exemplos de eventos registrados pela sua organização, mas não registrados pelo domínio externo:

  • Um item do Drive de propriedade de um usuário na sua organização é compartilhado com um usuário externo.
  • Um item do Drive de propriedade de um usuário na sua organização é compartilhado com um grupo que permite usuários externos, mesmo que nenhum usuário externo faça parte do grupo.
  • Um usuário externo visualiza, edita, faz o download, imprime ou exclui um item do Drive de propriedade da sua organização.
  • Um usuário externo faz upload de um arquivo em um drive compartilhado de propriedade da sua organização.

Os eventos registrados pelo domínio externo, mas não pela sua organização, são o contrário da seção anterior.

Usuários anônimos e externos

Para usuários anônimos (usuários que não fizeram login em uma Conta do Google), as edições são registradas, mas as visualizações e os downloads não. 

As ações realizadas por usuários externos ao domínio são mostradas como anônimas, exceto quando o item é explicitamente compartilhado com elas (como um indivíduo ou parte de um grupo específico). 

Os administradores podem restringir o acesso anônimo e externo definindo políticas de compartilhamento da organização ou de regras de confiabilidade.

Drive para computador

Quando os arquivos são copiados entre o Drive e um dispositivo local usando o Google Drive para computador, os eventos de download são registrados.

Gerenciar dados de eventos de registro

Gerenciar os dados da coluna de resultados da pesquisa

Você pode controlar quais colunas de dados aparecem nos resultados da pesquisa.

  1. No canto superior direito da tabela de resultados da pesquisa, clique em "Gerenciar colunas" .
  2. (Opcional) Para remover as colunas, clique em "Remover item" .
  3. (Opcional) Para adicionar colunas, ao lado de Adicionar nova coluna, clique na seta para baixo  e selecione a coluna de dados.
    Repita quantas vezes forem necessárias.
  4. (Opcional) Arraste o nome das colunas se quiser mudar a ordem.
  5. Clique em Salvar.

Exportar dados do resultado da pesquisa

Você pode exportar os resultados da pesquisa para o app Planilhas Google ou um arquivo CSV.

  1. Na parte de cima da tabela de resultados da pesquisa, clique em Exportar tudo.
  2. Digite um nome e depois clique em Exportar.
    A exportação aparece abaixo da tabela de resultados da pesquisa em Exportar resultados da ação.
  3. Para ver os dados, clique no nome da exportação.
    A exportação é aberta no Planilhas Google.

Os limites de exportação variam:

  • O total de resultados da exportação é limitado a 100.000 linhas, exceto para pesquisas de mensagens do Gmail, que são limitadas a 10.000 linhas.
  • Este recurso está disponível no Cloud Identity Premium Edition. Compare as edições

    Se você tiver a ferramenta de investigação de segurança, os resultados da exportação serão limitados a 30 milhões de linhas, exceto para pesquisas de mensagens do Gmail, que são limitadas a 10.000 linhas.

Para mais informações, consulte Exportar resultados da pesquisa.

Quando e por quanto tempo os dados ficam disponíveis?

Realizar ações com base nos resultados da pesquisa

Criar regras de atividade e configurar alertas
  • É possível configurar alertas com base nos dados de eventos de registro usando as regras de relatórios. Consulte instruções em Criar e gerenciar regras do relatório.
  • Este recurso está disponível no Cloud Identity Premium Edition. Compare as edições

    Para prevenir, detectar e corrigir problemas de segurança de maneira eficiente, automatize as ações na ferramenta de investigação de segurança e configure alertas criando regras de atividade. Para configurar uma regra, defina as condições e especifique quais ações vão ser realizadas quando as condições forem atendidas. Veja mais detalhes e instruções em Criar e gerenciar regras de atividade.

Tomar medidas com base nos resultados da pesquisa

Este recurso está disponível no Cloud Identity Premium Edition. Compare as edições

Depois de fazer uma pesquisa na ferramenta de investigação de segurança, você pode realizar ações com base nos resultados. Por exemplo, você pode fazer uma pesquisa com base nos eventos de registro do Gmail e usar a ferramenta para excluir ou enviar mensagens para a quarentena ou para a caixa de entrada de outros usuários. Confira mais detalhes em Realizar ações com base nos resultados da pesquisa.

Gerenciar suas investigações

Este recurso está disponível no Cloud Identity Premium Edition. Compare as edições

Ver a lista de investigações

Para ver uma lista das suas investigações e das compartilhadas com você, clique em Ver investigações. A lista de investigações inclui os nomes, as descrições e os proprietários das investigações, além da data da última modificação. 

Nessa lista, você pode realizar ações em qualquer uma das suas investigações, como excluir uma investigação. Marque a caixa ao lado de uma investigação e clique em Ações.

Observação: logo acima da lista de investigações, em Acesso rápido, você pode ver as investigações salvas recentemente.

Configurar suas investigações

Como superadministrador, clique em Configurações para:

  • alterar o fuso horário do seu evento (aplicável às condições e aos resultados da pesquisa);
  • ativar ou desativar a opção Solicitar avaliador (mais detalhes em Solicitar avaliadores para ações em massa);
  • ativar ou desativar a opção Ver conteúdo (disponível para os administradores com os privilégios apropriados);
  • ativar ou desativar a opção Ativar justificativa da ação.

Veja mais detalhes e instruções em Configurar suas investigações.

Compartilhar, excluir e duplicar investigações

Para salvar seus critérios de pesquisa ou compartilhar essas informações com outras pessoas, crie e salve uma investigação. Em seguida, compartilhe, duplique ou exclua a investigação.

Veja mais detalhes em Salvar, compartilhar, excluir e duplicar investigações.

Isso foi útil?

Como podemos melhorá-lo?
Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
13214073402509856561
true
Pesquisar na Central de Ajuda
true
true
true
false
false