Logghändelser för Drive

Visa användarens filaktivitet på Google Drive
Som organisationens administratör kan du köra sökningar och vidta åtgärder för logghändelser för Drive. Du kan till exempel visa en lista över åtgärder för att se organisationens användaraktivitet i Drive. Logghändelser för Drive inkluderar innehåll som användarna skapar i Google Dokument, Kalkylark, Presentationer och andra appar i Google Workspace samt innehåll som användarna laddar upp till Drive, exempelvis PDF- och Microsoft Word-filer.

Activity API ger åtkomst till grundläggande rapportdata på programmatisk väg. Om din Google Workspace-utgåva har stöd för det kan du få åtkomst till avancerad Google Workspace-rapportdata med detnya API:et för rapportering.

Viktigt!

  • Alla aktiviteter på Drive loggas inte. En lista över vad som ingår i loggen finns på den här sidan i Loggade och ologgade händelser.
  • Mer information om när data blir tillgänglig och hur länge den lagras finns i Datalagring och fördröjning.
  • De flesta granskningshändelser i Drive loggas enbart för filer som ägs av användare med en utgåva som stöds.Undantagen är händelser som har öppnats med en webbadress, som loggas när användaren som startar ett Apps Script-skript med åtkomst till en webbadress finns i organisationen och har en version som stöds.

Your access to log events

  • Your ability to run a search depends on your Google edition, your administrative privileges, and the data source. You can run a search on all users, regardless of their Google Workspace edition.
  • Your Workspace subscription provides access to the log events using either the Audit & investigation tool or the Security center. 
    • Premium Google Workspace editions (Enterprise Plus, Enterprise Standard, or Education Plus) provide access to the Security Center and the more advanced features of the security investigation tool. The investigation tool enables super admins to identify, triage, and take action on security and privacy issues. For details, see About the security investigation tool.
    • All other Google Workspace editions can access the logs using the Audit and Investigation tool. For details, see About the audit and investigation page.

Vidarebefordra logghändelsedata till Google Cloud

Du kan välja att dela logghändelsedata med Google Cloud. Om du aktiverar delning vidarebefordras data till Cloud Logging där du kan söka i och se dina loggar samt kontrollera hur du dirigerar och lagrar dina loggar.

Söka efter logghändelser

Audit and investigation tool

To run a search for log events, first choose a data source. Then choose one or more filters for your search.

  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. På administratörskonsolen öppnar du menyn följt av Rapporteringföljt avGranskning och utredningföljt avAdministratörslogghändelser.
  3. Klicka på Lägg till ett filter och välj sedan ett attribut.
  4. Välj en operator i popup-fönstret följt av välj ett värdeföljt avklicka på Tillämpa.
    (Valfritt) Så här skapar du flera filter för sökningen:
    1. Klicka på Lägg till ett filter och upprepa steg 3.
    2. (Valfritt) Om du vill lägga till en sökoperator väljer du AND eller OR ovanför Lägg till ett filter.
    • (Optional) To create multiple filters for your search, repeat this step.
    • (Optional) To add a search operator, above Add a filter, select AND or OR
  5. Klicka på Sök.

  6. Obs! På fliken Filter kan du inkludera enkla parameter- och värdepar för att filtrera sökresultaten. Du kan även använda fliken Villkorsverktyg där filtren representeras som villkor med OCH/ELLER-operatorer.

Security investigation tool

Requires a premium-utgåva av Google Workspace (Enterprise Standard, Enterprise Plus eller Education Plus)

Om du vill köra en sökning i utredningsverktyget väljer du först en datakälla. Välj sedan ett eller flera villkor för sökningen. För varje villkor väljer du ett attribut, en operator och ett värde

  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. På administratörskonsolen går du till menyn följt av Säkerhetföljt avSäkerhetscenterföljt avUtredningsverktyg.
  3. Click Data source and select Admin log events.
  4. Klicka på Lägg till villkor.
    Tips! Du kan inkludera ett eller flera villkor i din sökning eller anpassa sökningen med kapslade frågor. Mer information finns i Anpassa sökningen med kapslade frågor.
  5. Klicka på Attributföljt av välj ett alternativ.
    En fullständig lista över attribut finns i avsnittet Attributbeskrivningar nedan.
  6. Klicka på Innehållerföljt avvälj en operator.
  7. Ange ett värde eller välj ett värde på rullgardinsmenyn.
  8. (Valfritt) Upprepa steg 4–7 om du vill lägga till fler sökvillkor.
  9. Klicka på Sök.
    Sökresultat i utredningsverktyget visas i en tabell längst ned på sidan.
  10. (Valfritt) Om du vill spara utredningen klickar du på Spara följt av ange titel och beskrivningföljt avklicka på Spara.

Obs!

  • På fliken Villkorsverktyg visas filter som villkor med OCH/ELLER-operatorer. Du kan även använda fliken Filter för att inkludera enkla parameter- och värdepar för att filtrera sökresultaten.
  • Om du har gett en användare ett nytt namn ser du inte sökresultat med användarens gamla namn. Om du exempelvis byter namn på GammaltNamn@exempel.com till NyttNamn@exempel.com ser du inga resultat för händelser som rör GammaltNamn@exempel.com.

Attributbeskrivningar

För denna datakälla kan du använda följande attribut när du söker efter logghändelsedata:

Obs!

  • Alla attribut i följande lista rapporteras inte för alla händelser.
  • Följande lista är inte fullständig och kan komma att ändras. Mer information om Drive-logghändelser finns i Aktivitetshändelser för Drive-granskning på webbplatsen för Google Workspace Admin SDK.
Attribut Beskrivning
Aktör E-postadressen för den användare som utförde åtgärden. Användare utanför domänen visas som anonyma, förutom när de kan visa eller redigera ett dokument som explicit delats med dem (som individ eller som del av en specifik grupp)
Grupp-id

Aktörens gruppnamn. Mer information finns i Filtrera resultat efter Google-grupp.

Så här lägger du till en grupp i godkännandelistan för filtreringsgrupper:

  1. Välj Aktörsgruppens namn.
  2. Klicka på Filtreringsgrupper.
    Sidan Filtreringsgrupper visas.
  3. Klicka på Lägg till grupper.
  4. Sök efter en grupp genom att ange de första tecknen i namnet eller e-postadressen. Markera gruppen som du vill ha.
  5. (Valfritt) Om du vill lägga till en annan grupp söker du efter och väljer gruppen.
  6. När du är klar med att välja grupper klickar du på Lägg till.
  7. (Valfritt) Om du vill ta bort en grupp klickar du på Ta bort grupp .
  8. Klicka på Spara.
Organisationsenhet för aktör Organisationsenheten som aktören tillhör.
API-metod För åtgärderna Ladda ned och Objektinnehåll har öppnats via en app från tredje part är detta den API-metod som används av åtgärden. Till exempel drive.files.export.
App-id OAuth-klient-id för den externa app som utförde åtgärden
Appens namn Appen som utförde åtgärden
Målgrupp Måldomän om granskningsloggen avser en synlighetsändring
Fakturerbar (Endast Essentials) Om användaråtgärden är en debiterbar aktivitet.
Datum

Datum och tid då händelsen inträffade (visas i webbläsarens standardtidszon)

Obs! De flesta händelser loggas när de är slutförda. Ibland kan det ta ett tag att logga stora uppladdningar.
Dokument-id

Den unika identifieraren för Drive-objekt som aktiviteten är kopplad till. Identifieraren lagras i filens webbadresslänk.

Obs! För händelser av typen Åtkomst till webbadress rapporteras dokument-id och andra filrelaterade fält, som dokumenttyp och ägare, endast för vissa åtgärder. Mer information finns under Åtkomst till webbadress på den här sidan.
Dokumenttyp Filformat som aktiviteten omfattar, exempelvis Google Dokument, Kalkylark, Presentationer, JPEG, PDF, PNG, MP4, Microsoft Word, Excel, PowerPoint, txt, HTML, MPEG-ljud, QuickTime-video, mapp eller delade enheter
Domän* Domänen där åtgärden skedde
Krypterad* Om filen är krypterad på klientsidan
Händelsenamn

Användarinitierade händelser som Visa, Byt namn, Skapa, Redigera, Skriv ut, Ta bort, Ladda upp och Ladda ned.

De flesta åtgärder loggas direkt. Utskriftshändelser i visningsprogrammet för Drive kan dock försenas i 12 timmar eller mer från det att händelsen inträffar. Filer som automatiskt tas bort av Google Drive eller töms från papperskorgen loggas. Andra händelser, till exempel uppladdning av en fil, loggas när de är slutförda.
IP-adress*

Adressen som användaren utförde aktiviteten från. Denna kan spegla användarens fysiska plats eller vara exempelvis en adress för en proxyserver eller ett virtuellt privat nätverk (VPN).

Inga IP-adresser loggas för händelser

  • som startats av användare utanför domänen
  • från tjänster där IP-adressen inte loggas i förfrågningarna
  • som har att göra med att byta namn på eller ta bort en delad enhet
Nytt värde för publiceringssynlighet Dokumentets nya synlighet
Nytt värde* Nytt värde för den ändrade inställningen
Id:n för nytt värde* Etikettfältets nya värde
Gammalt värde för publiceringssynlighet Tidigare synlighet för dokumentet om aktiviteten är en synlighetsändring
Gammalt värde* Gammalt värde för den ändrade inställningen
Id:n för gammalt värde* Gammalt värde för etikettfältet
Ägare

Användaren som äger filen.
Tidigare synlighet Dokumentets tidigare synlighet om synligheten har ändrats
Mottagare* Mottagarnas e-postadresser
Id för delad enhet Drive-id för den delade enhet som innehåller filen. Om filen inte finns på en delad enhet fylls inte fältet i.
Mål Användare vars åtkomst har ändrats
Titel Titel på dokumentet
Synlighet Synlighet för Drive-objektet som aktiviteten är kopplad till
Ändrad synlighet Synlighet för Drive-objektet före aktiviteten
Besökare Ja, innebär att aktiviteten kommer från en användare som inte har Google. Nej, innebär att aktiviteten kommer från en Google-användare. Läs mer om att dela dokument med besökare.
* Det går inte att skapa rapporteringsregler med de här filtren. Läs mer om rapporteringsregler kontra aktivitetsregler.

Obs! Om du har gett en användare ett nytt namn ser du inte sökresultat med användarens gamla namn. Om du exempelvis byter namn på GammaltNamn@exempel.com till NyttNamn@exempel.com ser du inga resultat för händelser som rör GammaltNamn@exempel.com.

Visa filer som delas utanför en domän

Så här ser du filer som delas med användare utanför en domän:

Sidan Granskning och undersökning

  1. Öppna logghändelserna enligt beskrivningen ovan i Öppna logghändelsedata för Drive.
  2. Klicka på Lägg till ett filterföljt avSynlighet och välj Delas externt.
  3. Klicka på Sök.

Om du stänger av extern delning och en användare delar en resurs med en grupp som tillåter externa användare markeras data som Delas externt i loggen, även om gruppen inte har externa användare. Externa användare i gruppen kan dock inte komma åt den delade resursen.

Verktyg för säkerhetsutredning

  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. På administratörskonsolen går du till menyn följt av Säkerhetföljt avSäkerhetscenterföljt avUtredningsverktyg.
  3. Klicka på Datakällaföljt avvälj Logghändelser för Drive.
  4. Klicka på Lägg till villkor.
  5. Klicka på Attributföljt av välj Synlighet.
  6. Klicka på Innehållerföljt av välj Är.
  7. Klicka på Synlighetföljt av välj Delas externt.
  8. Klicka på Sök.
    Sökresultat i utredningsverktyget visas i en tabell längst ned på sidan.

Om du stänger av extern delning och en användare delar en resurs med en grupp som tillåter externa användare markeras data som Delas externt i loggen. Externa användare i gruppen kan dock inte komma åt den delade resursen. Du ser detta även om gruppen inte har några externa användare.

Loggade och ologgade händelser

Radera

Filer som automatiskt tas bort av Google Drive eller töms från papperskorgen loggas.

Kopiera

När en fil kopieras loggas händelserna Skapa och Kopiera för den nya filen och händelsen Källkopia loggas för originalfilen.

När en användare utanför organisationen kopierar en fil till en extern plats, loggar inte organisationen händelserna Skapa och Kopiera eftersom den nya filen är extern. Dina loggar innehåller dock händelsen Källtext för originalfilen med kopieringstypen Extern. Om du vill övervaka när data kopieras från organisationen kan du granska händelser av typen Källtext med kopieringstypen Extern.

Skriv ut

Utskriftshändelser registreras inte när en användare skriver ut en fil som har öppnats i Google-format (Dokument, Kalkylark, Presentationer, Teckningar och Formulär).

När du skriver ut filer med Drive-appen från en Apple iPhone, Apple iPad eller Android-enhet kan utskriftshändelser loggas som nedladdningshändelser.

Ladda ned

De flesta nedladdningar loggas, inklusive när filer kopieras mellan Drive och en lokal enhet med Google Drive för datorn.

Vissa visningsåtgärder loggas som nedladdningar:

  • Förhandsgranskning av en fil i Drive-appen på en mobil enhet loggas som en nedladdningshändelse.
  • Förhandsgranskning av en fil, till exempel en PDF-fil, som inte kan öppnas direkt i Google Dokument eller en annan Google-app loggas som nedladdningshändelse.

Nedladdningar från följande källor loggas inte:

  • Google Takeout-nedladdningar (sök efter Takeout-logghändelser i stället)
  • Hämtningar till offline-cacheminnen för webbläsare
  • Foton som synkroniseras till, hämtas från eller visas i Google Foto
  • Drive-objekt som skickas via e-post som bilagor och laddas ned via mottagarens e-postklient

Objektinnehållet har öppnats

Det går att få åtkomst till filer åt användarna via en app som använder ett Google Workspace API, till exempel Google Drive API eller Google Kalkylark API. Dessa åtgärder loggas inte som Ladda ned eller Visa, bara som Objektinnehåll har öppnats.

Åtkomsthändelser för objekt loggas inte när en fil visas eller öppnas av en användare i Drive för webben, Drive på mobilen eller i Drive för datorn-appen.

Visa

  • Visning av filer med /htmlview, /embed, /revisions och andra specialwebbadresser loggas nu som visningshändelser.

Webbadressen har öppnats

Webbadressen har öppnats-händelser loggas när ett Apps Script-skript kommer åt en webbadress, inklusive när skriptet körs från Apps Script-översikt, körs somTillägg eller körs som en anpassad funktion i Kalkylark. Händelser med webbadress som nåtts loggas inte när en användare klickar på en länk i en fil.

Vilka attribut som rapporteras beror på hur skriptet kördes och vem som äger det:

  • När ett skript körs som en anpassad funktion återspeglar dokument-id:t och andra dokumentrelaterade attribut arbetsbladet som funktionen anropades i.
  • När ett skript inte körs som en anpassad funktion rapporteras inte dokumentrelaterade attribut.
  • Skript-id rapporteras om Apps Script-skriptet ägs av din organisation.

Webbadress för import av kalkylark

Anropet till en funktion för import av kalkylark som har åtkomst till en webbadress loggas som en webbadress för import av kalkylark. En händelse loggas när innehållet i arbetsbladet ändras av en automatisk uppdatering eller när en användare öppnar arbetsbladet.

Händelser med externa domäner

Vissa händelser omfattar användare, delade mappar eller delade enheter utanför organisationen, till exempel när en användare i organisationen delar en fil med en extern användare. Båda organisationerna loggar en händelse när det ändrar ägarskapet för objektet från en organisation till en annan.

Exempel på händelser som loggats av båda:

  • Ett Drive-objekt som ägs av en användare i organisationen flyttas till en extern delad enhet.
  • Ett Drive-objekt som ägs av en användare utanför organisationen flyttas till en delad enhet som ägs av organisationen.
  • En användare kopierar en fil till eller ut ur organisationen. Den mottagande organisationen loggar den kopierade filens namn, inte det ursprungliga filnamnet.

Exempel på händelser som har loggats av din organisation men som inte har loggats av den externa domänen:

  • Ett Drive-objekt som ägs av en användare i din organisation delas med en extern användare.
  • Ett Drive-objekt som ägs av en användare i organisationen delas med en grupp som tillåter externa användare, även om inga externa användare ingår i gruppen.
  • En extern användare visar, redigerar, laddar ned, skriver ut eller tar bort ett Drive-objekt som ägs av organisationen.
  • En extern användare laddar upp en fil till en delad enhet som ägs av organisationen.

Händelser som har loggats av den externa domänen men inte av din organisation räknas mot det föregående avsnittet.

Anonyma och externa användare

För anonyma användare (användare som inte är inloggade på ett Google-konto) loggas redigeringar men inte visningar och nedladdningar. 

Åtgärder som utförs av användare utanför domänen visas som anonyma förutom när objektet uttryckligen delas med dem (som individ eller som del av en specifik grupp). 

Anonym och extern åtkomst kan begränsas av administratörer genom att ställa in delningspolicyer för organisationer eller policyer för förtroenderegler.

Drive för datorn

När filer kopieras mellan Drive och en lokal enhet med Google Drive för datorn loggas händelser för nedladdning.

Hantera logghändelsedata

Hantera kolumndata för sökresultat

Du kan styra vilka datakolumner som visas i sökresultaten.

  1. Klicka på Hantera kolumner uppe till höger i sökresultattabellen.
  2. (Valfritt) Om du vill ta bort aktuella kolumner klickar du på Ta bort .
  3. (Valfritt) Om du vill lägga till kolumner klickar du på nedåtpilen bredvid Lägg till en ny kolumn och väljer datakolumnen.
    Upprepa vid behov.
  4. (Valfritt) Om du vill ändra ordningen på kolumnerna drar du datakolumnnamnen.
  5. Klicka på Spara.

Exportera sökresultatsdata

  1. Klicka på Exportera alla högst upp i sökresultattabellen.
  2. Ange ett namn följt av klicka på Exportera.
    Exporten visas nedanför sökresultattabellen under Exportera åtgärdsresultat.
  3. Klicka på exportens namn om du vill visa informationen.
    Exporten öppnas i Google Kalkylark.

Skapa rapporteringsregler

Öppna Skapa och hantera rapporteringsregler.

När och hur länge är data tillgänglig?

Öppna Datalagring och fördröjning.

Vidta åtgärder baserat på sökresultat.

Vidta åtgärder baserat på sökresultat

När du har gjort en sökning i utredningsverktyget kan du agera på sökresultaten. Du kan till exempel köra en sökning baserat på logghändelser i Gmail och använda utredningsverktyget för att radera specifika meddelanden, sätta meddelanden i karantän eller skicka meddelanden till användarnas inkorgar. Läs mer om åtgärder i utredningsverktyget i Vidta åtgärder baserat på sökresultat.

Skapa aktivitetsregler och konfigurera varningar

Förebygg, identifiera och åtgärda säkerhetsproblem effektivt genom att automatisera åtgärder i utredningsverktyget och konfigurera varningar genom att skapa aktivitetsregler. Konfigurera en regel, ange villkor för regeln och ange vilka åtgärder som ska utföras när villkoren är uppfyllda. Mer information och instruktioner finns i Skapa och hantera aktivitetsregler.

Hantera dina utredningar

Visa listan över utredningar

Visa en lista över utredningar som du äger och som har delats med dig genom att klicka på Visa utredningar . Utredningslistan innehåller utredningarnas namn, beskrivningar och ägare samt det datum då de senast ändrades. 

I den här listan kan du vidta åtgärder för utredningar du äger. Du kan till exempel radera en utredning. Markera kryssrutan för en utredning och klicka sedan på Åtgärder.

Obs! Direkt ovanför listan över utredningar kan du under Snabbåtkomst se de undersökningar som nyligen har sparats.

Gör inställningar för dina undersökningar

Som avancerad administratör klickar du på Inställningar för att göra följande:

  • Ändra tidszon för dina undersökningar. Tidszonen tillämpas på sökvillkoren och resultaten.
  • Aktivera eller inaktivera Kräv granskare. Mer information finns i Kräv granskare för massåtgärder.
  • Aktivera eller inaktivera Visa innehåll. Med den här inställningen kan administratörer med relevant behörighet visa innehåll.
  • Slå på eller av Aktivera åtgärdsanpassning.

Anvisningar och detaljer finns i Konfigurera inställningar för undersökningar.

Hantera kolumner i sökresultaten

Du kan styra vilka datakolumner som visas i sökresultaten. 

  1. Klicka på Hantera kolumner uppe till höger i sökresultattabellen.
  2. (Valfritt) Om du vill ta bort aktuella kolumner klickar du på Ta bort objekt .
  3. (Valfritt) Om du vill lägga till kolumner klickar du på nedåtpilen bredvid Lägg till ny kolumn och väljer datakolumnen.
    Upprepa vid behov.
  4. (Valfritt) Om du vill ändra ordningen på kolumnerna drar du kolumnnamnet.
  5. Klicka på Spara.
Exportera data från sökresultat
  1. Klicka på Exportera alla högst upp i sökresultattabellen.
  2. Ange ett namn följt av klicka på Exportera.
    Exporten visas nedanför sökresultattabellen under Exportera åtgärdsresultat.
  3. Klicka på exportens namn om du vill visa informationen.
    Exporten öppnas i Google Kalkylark.

Följ de här riktlinjerna när du visar exporterade sökresultat:

  • När du har klickat på knappen Exportera alla högst upp i tabellen skapas ett Google-kalkylark med sökresultaten i mappen Min enhet. Beroende på resultatens storlek kan exportprocessen ta lite tid och flera Google-kalkylark kan skapas. Gränsen för exporterade resultat är 30 miljoner rader (förutom när det gäller sökningar i Gmail-meddelanden, som begränsas till 1,25 miljoner rader).
  • Medan exportprocessen pågår skapas Google-kalkylarken med tillfälliga namn, till exempel TMP-1-<titel>. Om flera Google-kalkylark skapas får de ytterligare filerna namn som TMP-2-<titel>, TMP-3-<titel> och så vidare. När exportprocessen är klar ändras filnamnen automatiskt till: <titel> [1 av N], <titel> [2 av N] och så vidare. Om du bara har ett Google-kalkylark med exporterad data får filen namnet <titel>.
  • Delningsbehörigheterna för filer med de exporterade sökresultaten följer konfigurationen på domänen. Om standardinställningen till exempel är att alla filer som skapas delas med alla på företaget får även filerna med exporterad data den här synligheten. 
Dela, radera och duplicera undersökningar

Om du vill spara dina sökkriterier eller dela dem med andra kan du skapa och spara en utredning och sedan dela, duplicera eller radera den.

Mer information finns i Spara, dela, radera och duplicera utredningar.

När och hur länge är data tillgänglig?

Läs mer om datakällor i Datalagring och fördröjningar.

Hantera dina utredningar

 Requires a premium-utgåva av Google Workspace (Enterprise Standard, Enterprise Plus eller Education Plus)

View your list of investigations

To view a list of the investigations that you own and that were shared with you, click View investigations. The investigation list includes the names, descriptions, and owners of the investigations, and the date last modified. 

From this list, you can take action on any investigations that you own—for example, to delete an investigation. Check the box for an investigation, and then click Actions.

Note: Directly above your list of investigations, under Quick access, you can view recently saved investigations.

Configure settings for your investigations

As a super administrator, click Settings to :

  • Change the time zone for your investigations. The time zone applies to search conditions and results.
  • Turn on or off Require reviewer. For more details, go to Require reviewers for bulk actions.
  • Turn on or off View content. This setting allows admins with the appropriate privileges to view content.
  • Turn on or off Enable action justification.

For instructions and details, go to Configure settings for your investigations.

Share, delete, and duplicate investigations

To save your search criteria or share it with others, you can create and save an investigation, and then share, duplicate, or delete it.

For details, go to Save, share, delete, and duplicate investigations.

Relaterade ämnen

Var det här till hjälp?

Hur kan vi förbättra den?
true
Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
5314674619426845939
true
Sök i hjälpcentret
true
true
true
false
false