Activity API ger åtkomst till grundläggande rapportdata på programmatisk väg. Om din Google Workspace-utgåva har stöd för det kan du få åtkomst till avancerad Google Workspace-rapportdata med detnya API:et för rapportering.
Viktigt!
- Alla aktiviteter på Drive loggas inte. En lista över vad som ingår i loggen finns på den här sidan i Loggade och ologgade händelser.
- Mer information om när data blir tillgänglig och hur länge den lagras finns i Datalagring och fördröjning.
- De flesta granskningshändelser i Drive loggas enbart för filer som ägs av användare med en utgåva som stöds.Undantagen är händelser som har öppnats med en webbadress, som loggas när användaren som startar ett Apps Script-skript med åtkomst till en webbadress finns i organisationen och har en version som stöds.
Your access to log events
- Your ability to run a search depends on your Google edition, your administrative privileges, and the data source. You can run a search on all users, regardless of their Google Workspace edition.
- Your Workspace subscription provides access to the log events using either the Audit & investigation tool or the Security center.
- Premium Google Workspace editions (Enterprise Plus, Enterprise Standard, or Education Plus) provide access to the Security Center and the more advanced features of the security investigation tool. The investigation tool enables super admins to identify, triage, and take action on security and privacy issues. For details, see About the security investigation tool.
- All other Google Workspace editions can access the logs using the Audit and Investigation tool. For details, see About the audit and investigation page.
Vidarebefordra logghändelsedata till Google Cloud
Du kan välja att dela logghändelsedata med Google Cloud. Om du aktiverar delning vidarebefordras data till Cloud Logging där du kan söka i och se dina loggar samt kontrollera hur du dirigerar och lagrar dina loggar.
Söka efter logghändelser
Audit and investigation tool
To run a search for log events, first choose a data source. Then choose one or more filters for your search.
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
-
På administratörskonsolen öppnar du menyn
Rapportering
Granskning och utredning
Administratörslogghändelser.
- Klicka på Lägg till ett filter och välj sedan ett attribut.
- Välj en operator i popup-fönstret
välj ett värde
klicka på Tillämpa.
(Valfritt) Så här skapar du flera filter för sökningen:- Klicka på Lägg till ett filter och upprepa steg 3.
- (Valfritt) Om du vill lägga till en sökoperator väljer du AND eller OR ovanför Lägg till ett filter.
- (Optional) To create multiple filters for your search, repeat this step.
- (Optional) To add a search operator, above Add a filter, select AND or OR
- Klicka på Sök.
-
Obs! På fliken Filter kan du inkludera enkla parameter- och värdepar för att filtrera sökresultaten. Du kan även använda fliken Villkorsverktyg där filtren representeras som villkor med OCH/ELLER-operatorer.
Security investigation tool
Om du vill köra en sökning i utredningsverktyget väljer du först en datakälla. Välj sedan ett eller flera villkor för sökningen. För varje villkor väljer du ett attribut, en operator och ett värde.
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
-
På administratörskonsolen går du till menyn
Säkerhet
Säkerhetscenter
Utredningsverktyg.
- Click Data source and select Admin log events.
- Klicka på Lägg till villkor.
Tips! Du kan inkludera ett eller flera villkor i din sökning eller anpassa sökningen med kapslade frågor. Mer information finns i Anpassa sökningen med kapslade frågor. - Klicka på Attribut
välj ett alternativ.
En fullständig lista över attribut finns i avsnittet Attributbeskrivningar nedan. - Klicka på Innehåller
välj en operator.
- Ange ett värde eller välj ett värde på rullgardinsmenyn.
- (Valfritt) Upprepa steg 4–7 om du vill lägga till fler sökvillkor.
- Klicka på Sök.
Sökresultat i utredningsverktyget visas i en tabell längst ned på sidan. - (Valfritt) Om du vill spara utredningen klickar du på Spara
ange titel och beskrivning
klicka på Spara.
Obs!
- På fliken Villkorsverktyg visas filter som villkor med OCH/ELLER-operatorer. Du kan även använda fliken Filter för att inkludera enkla parameter- och värdepar för att filtrera sökresultaten.
- Om du har gett en användare ett nytt namn ser du inte sökresultat med användarens gamla namn. Om du exempelvis byter namn på GammaltNamn@exempel.com till NyttNamn@exempel.com ser du inga resultat för händelser som rör GammaltNamn@exempel.com.
Attributbeskrivningar
För denna datakälla kan du använda följande attribut när du söker efter logghändelsedata:
Obs!
- Alla attribut i följande lista rapporteras inte för alla händelser.
- Följande lista är inte fullständig och kan komma att ändras. Mer information om Drive-logghändelser finns i Aktivitetshändelser för Drive-granskning på webbplatsen för Google Workspace Admin SDK.
Attribut | Beskrivning |
---|---|
Aktör | E-postadressen för den användare som utförde åtgärden. Användare utanför domänen visas som anonyma, förutom när de kan visa eller redigera ett dokument som explicit delats med dem (som individ eller som del av en specifik grupp) |
Grupp-id |
Aktörens gruppnamn. Mer information finns i Filtrera resultat efter Google-grupp. Så här lägger du till en grupp i godkännandelistan för filtreringsgrupper:
|
Organisationsenhet för aktör | Organisationsenheten som aktören tillhör. |
API-metod | För åtgärderna Ladda ned och Objektinnehåll har öppnats via en app från tredje part är detta den API-metod som används av åtgärden. Till exempel drive.files.export. |
App-id | OAuth-klient-id för den externa app som utförde åtgärden |
Appens namn | Appen som utförde åtgärden |
Målgrupp | Måldomän om granskningsloggen avser en synlighetsändring |
Fakturerbar | (Endast Essentials) Om användaråtgärden är en debiterbar aktivitet. |
Datum |
Datum och tid då händelsen inträffade (visas i webbläsarens standardtidszon) Obs! De flesta händelser loggas när de är slutförda. Ibland kan det ta ett tag att logga stora uppladdningar. |
Dokument-id |
Den unika identifieraren för Drive-objekt som aktiviteten är kopplad till. Identifieraren lagras i filens webbadresslänk. Obs! För händelser av typen Åtkomst till webbadress rapporteras dokument-id och andra filrelaterade fält, som dokumenttyp och ägare, endast för vissa åtgärder. Mer information finns under Åtkomst till webbadress på den här sidan. |
Dokumenttyp | Filformat som aktiviteten omfattar, exempelvis Google Dokument, Kalkylark, Presentationer, JPEG, PDF, PNG, MP4, Microsoft Word, Excel, PowerPoint, txt, HTML, MPEG-ljud, QuickTime-video, mapp eller delade enheter |
Domän* | Domänen där åtgärden skedde |
Krypterad* | Om filen är krypterad på klientsidan |
Händelsenamn |
Användarinitierade händelser som Visa, Byt namn, Skapa, Redigera, Skriv ut, Ta bort, Ladda upp och Ladda ned. De flesta åtgärder loggas direkt. Utskriftshändelser i visningsprogrammet för Drive kan dock försenas i 12 timmar eller mer från det att händelsen inträffar. Filer som automatiskt tas bort av Google Drive eller töms från papperskorgen loggas. Andra händelser, till exempel uppladdning av en fil, loggas när de är slutförda. |
IP-adress* |
Adressen som användaren utförde aktiviteten från. Denna kan spegla användarens fysiska plats eller vara exempelvis en adress för en proxyserver eller ett virtuellt privat nätverk (VPN). Inga IP-adresser loggas för händelser
|
Nytt värde för publiceringssynlighet | Dokumentets nya synlighet |
Nytt värde* | Nytt värde för den ändrade inställningen |
Id:n för nytt värde* | Etikettfältets nya värde |
Gammalt värde för publiceringssynlighet | Tidigare synlighet för dokumentet om aktiviteten är en synlighetsändring |
Gammalt värde* | Gammalt värde för den ändrade inställningen |
Id:n för gammalt värde* | Gammalt värde för etikettfältet |
Ägare |
Användaren som äger filen. |
Tidigare synlighet | Dokumentets tidigare synlighet om synligheten har ändrats |
Mottagare* | Mottagarnas e-postadresser |
Id för delad enhet | Drive-id för den delade enhet som innehåller filen. Om filen inte finns på en delad enhet fylls inte fältet i. |
Mål | Användare vars åtkomst har ändrats |
Titel | Titel på dokumentet |
Synlighet | Synlighet för Drive-objektet som aktiviteten är kopplad till |
Ändrad synlighet | Synlighet för Drive-objektet före aktiviteten |
Besökare | Ja, innebär att aktiviteten kommer från en användare som inte har Google. Nej, innebär att aktiviteten kommer från en Google-användare. Läs mer om att dela dokument med besökare. |
Obs! Om du har gett en användare ett nytt namn ser du inte sökresultat med användarens gamla namn. Om du exempelvis byter namn på GammaltNamn@exempel.com till NyttNamn@exempel.com ser du inga resultat för händelser som rör GammaltNamn@exempel.com.
Visa filer som delas utanför en domän
Så här ser du filer som delas med användare utanför en domän:
Sidan Granskning och undersökning
- Öppna logghändelserna enligt beskrivningen ovan i Öppna logghändelsedata för Drive.
- Klicka på Lägg till ett filter
Synlighet och välj Delas externt.
- Klicka på Sök.
Om du stänger av extern delning och en användare delar en resurs med en grupp som tillåter externa användare markeras data som Delas externt i loggen, även om gruppen inte har externa användare. Externa användare i gruppen kan dock inte komma åt den delade resursen.
Verktyg för säkerhetsutredning
-
Logga in på Googles administratörskonsol.
Logga in med ditt administratörskonto (slutar inte på @gmail.com).
-
På administratörskonsolen går du till menyn
Säkerhet
Säkerhetscenter
Utredningsverktyg.
- Klicka på Datakälla
välj Logghändelser för Drive.
- Klicka på Lägg till villkor.
- Klicka på Attribut
välj Synlighet.
- Klicka på Innehåller
välj Är.
- Klicka på Synlighet
välj Delas externt.
- Klicka på Sök.
Sökresultat i utredningsverktyget visas i en tabell längst ned på sidan.
Om du stänger av extern delning och en användare delar en resurs med en grupp som tillåter externa användare markeras data som Delas externt i loggen. Externa användare i gruppen kan dock inte komma åt den delade resursen. Du ser detta även om gruppen inte har några externa användare.
Loggade och ologgade händelser
Radera
Filer som automatiskt tas bort av Google Drive eller töms från papperskorgen loggas.
Kopiera
När en fil kopieras loggas händelserna Skapa och Kopiera för den nya filen och händelsen Källkopia loggas för originalfilen.
När en användare utanför organisationen kopierar en fil till en extern plats, loggar inte organisationen händelserna Skapa och Kopiera eftersom den nya filen är extern. Dina loggar innehåller dock händelsen Källtext för originalfilen med kopieringstypen Extern. Om du vill övervaka när data kopieras från organisationen kan du granska händelser av typen Källtext med kopieringstypen Extern.
Skriv ut
Utskriftshändelser registreras inte när en användare skriver ut en fil som har öppnats i Google-format (Dokument, Kalkylark, Presentationer, Teckningar och Formulär).
När du skriver ut filer med Drive-appen från en Apple iPhone, Apple iPad eller Android-enhet kan utskriftshändelser loggas som nedladdningshändelser.
Ladda ned
De flesta nedladdningar loggas, inklusive när filer kopieras mellan Drive och en lokal enhet med Google Drive för datorn.
Vissa visningsåtgärder loggas som nedladdningar:
- Förhandsgranskning av en fil i Drive-appen på en mobil enhet loggas som en nedladdningshändelse.
- Förhandsgranskning av en fil, till exempel en PDF-fil, som inte kan öppnas direkt i Google Dokument eller en annan Google-app loggas som nedladdningshändelse.
Nedladdningar från följande källor loggas inte:
- Google Takeout-nedladdningar (sök efter Takeout-logghändelser i stället)
- Hämtningar till offline-cacheminnen för webbläsare
- Foton som synkroniseras till, hämtas från eller visas i Google Foto
- Drive-objekt som skickas via e-post som bilagor och laddas ned via mottagarens e-postklient
Objektinnehållet har öppnats
Det går att få åtkomst till filer åt användarna via en app som använder ett Google Workspace API, till exempel Google Drive API eller Google Kalkylark API. Dessa åtgärder loggas inte som Ladda ned eller Visa, bara som Objektinnehåll har öppnats.
Åtkomsthändelser för objekt loggas inte när en fil visas eller öppnas av en användare i Drive för webben, Drive på mobilen eller i Drive för datorn-appen.
Visa
- Visning av filer med /htmlview, /embed, /revisions och andra specialwebbadresser loggas nu som visningshändelser.
Webbadressen har öppnats
Webbadressen har öppnats-händelser loggas när ett Apps Script-skript kommer åt en webbadress, inklusive när skriptet körs från Apps Script-översikt, körs somTillägg eller körs som en anpassad funktion i Kalkylark. Händelser med webbadress som nåtts loggas inte när en användare klickar på en länk i en fil.
Vilka attribut som rapporteras beror på hur skriptet kördes och vem som äger det:
- När ett skript körs som en anpassad funktion återspeglar dokument-id:t och andra dokumentrelaterade attribut arbetsbladet som funktionen anropades i.
- När ett skript inte körs som en anpassad funktion rapporteras inte dokumentrelaterade attribut.
- Skript-id rapporteras om Apps Script-skriptet ägs av din organisation.
Webbadress för import av kalkylark
Anropet till en funktion för import av kalkylark som har åtkomst till en webbadress loggas som en webbadress för import av kalkylark. En händelse loggas när innehållet i arbetsbladet ändras av en automatisk uppdatering eller när en användare öppnar arbetsbladet.
Händelser med externa domäner
Vissa händelser omfattar användare, delade mappar eller delade enheter utanför organisationen, till exempel när en användare i organisationen delar en fil med en extern användare. Båda organisationerna loggar en händelse när det ändrar ägarskapet för objektet från en organisation till en annan.
Exempel på händelser som loggats av båda:
- Ett Drive-objekt som ägs av en användare i organisationen flyttas till en extern delad enhet.
- Ett Drive-objekt som ägs av en användare utanför organisationen flyttas till en delad enhet som ägs av organisationen.
- En användare kopierar en fil till eller ut ur organisationen. Den mottagande organisationen loggar den kopierade filens namn, inte det ursprungliga filnamnet.
Exempel på händelser som har loggats av din organisation men som inte har loggats av den externa domänen:
- Ett Drive-objekt som ägs av en användare i din organisation delas med en extern användare.
- Ett Drive-objekt som ägs av en användare i organisationen delas med en grupp som tillåter externa användare, även om inga externa användare ingår i gruppen.
- En extern användare visar, redigerar, laddar ned, skriver ut eller tar bort ett Drive-objekt som ägs av organisationen.
- En extern användare laddar upp en fil till en delad enhet som ägs av organisationen.
Händelser som har loggats av den externa domänen men inte av din organisation räknas mot det föregående avsnittet.
Anonyma och externa användare
För anonyma användare (användare som inte är inloggade på ett Google-konto) loggas redigeringar men inte visningar och nedladdningar.
Åtgärder som utförs av användare utanför domänen visas som anonyma förutom när objektet uttryckligen delas med dem (som individ eller som del av en specifik grupp).
Anonym och extern åtkomst kan begränsas av administratörer genom att ställa in delningspolicyer för organisationer eller policyer för förtroenderegler.
Drive för datorn
När filer kopieras mellan Drive och en lokal enhet med Google Drive för datorn loggas händelser för nedladdning.
Hantera logghändelsedata
Hantera kolumndata för sökresultat
Du kan styra vilka datakolumner som visas i sökresultaten.
- Klicka på Hantera kolumner
uppe till höger i sökresultattabellen.
- (Valfritt) Om du vill ta bort aktuella kolumner klickar du på Ta bort
.
- (Valfritt) Om du vill lägga till kolumner klickar du på nedåtpilen
bredvid Lägg till en ny kolumn och väljer datakolumnen.
Upprepa vid behov. - (Valfritt) Om du vill ändra ordningen på kolumnerna drar du datakolumnnamnen.
- Klicka på Spara.
Exportera sökresultatsdata
- Klicka på Exportera alla högst upp i sökresultattabellen.
- Ange ett namn
klicka på Exportera.
Exporten visas nedanför sökresultattabellen under Exportera åtgärdsresultat. - Klicka på exportens namn om du vill visa informationen.
Exporten öppnas i Google Kalkylark.
Skapa rapporteringsregler
Öppna Skapa och hantera rapporteringsregler.
När och hur länge är data tillgänglig?
Öppna Datalagring och fördröjning.
Vidta åtgärder baserat på sökresultat.
Vidta åtgärder baserat på sökresultat
När du har gjort en sökning i utredningsverktyget kan du agera på sökresultaten. Du kan till exempel köra en sökning baserat på logghändelser i Gmail och använda utredningsverktyget för att radera specifika meddelanden, sätta meddelanden i karantän eller skicka meddelanden till användarnas inkorgar. Läs mer om åtgärder i utredningsverktyget i Vidta åtgärder baserat på sökresultat.
Skapa aktivitetsregler och konfigurera varningar
Förebygg, identifiera och åtgärda säkerhetsproblem effektivt genom att automatisera åtgärder i utredningsverktyget och konfigurera varningar genom att skapa aktivitetsregler. Konfigurera en regel, ange villkor för regeln och ange vilka åtgärder som ska utföras när villkoren är uppfyllda. Mer information och instruktioner finns i Skapa och hantera aktivitetsregler.
Hantera dina utredningar
Visa listan över utredningarVisa en lista över utredningar som du äger och som har delats med dig genom att klicka på Visa utredningar . Utredningslistan innehåller utredningarnas namn, beskrivningar och ägare samt det datum då de senast ändrades.
I den här listan kan du vidta åtgärder för utredningar du äger. Du kan till exempel radera en utredning. Markera kryssrutan för en utredning och klicka sedan på Åtgärder.
Obs! Direkt ovanför listan över utredningar kan du under Snabbåtkomst se de undersökningar som nyligen har sparats.
Som avancerad administratör klickar du på Inställningar för att göra följande:
- Ändra tidszon för dina undersökningar. Tidszonen tillämpas på sökvillkoren och resultaten.
- Aktivera eller inaktivera Kräv granskare. Mer information finns i Kräv granskare för massåtgärder.
- Aktivera eller inaktivera Visa innehåll. Med den här inställningen kan administratörer med relevant behörighet visa innehåll.
- Slå på eller av Aktivera åtgärdsanpassning.
Anvisningar och detaljer finns i Konfigurera inställningar för undersökningar.
Du kan styra vilka datakolumner som visas i sökresultaten.
- Klicka på Hantera kolumner
uppe till höger i sökresultattabellen.
- (Valfritt) Om du vill ta bort aktuella kolumner klickar du på Ta bort objekt
.
- (Valfritt) Om du vill lägga till kolumner klickar du på nedåtpilen
bredvid Lägg till ny kolumn och väljer datakolumnen.
Upprepa vid behov. - (Valfritt) Om du vill ändra ordningen på kolumnerna drar du kolumnnamnet.
- Klicka på Spara.
- Klicka på Exportera alla högst upp i sökresultattabellen.
- Ange ett namn
klicka på Exportera.
Exporten visas nedanför sökresultattabellen under Exportera åtgärdsresultat. - Klicka på exportens namn om du vill visa informationen.
Exporten öppnas i Google Kalkylark.
Följ de här riktlinjerna när du visar exporterade sökresultat:
- När du har klickat på knappen Exportera alla högst upp i tabellen skapas ett Google-kalkylark med sökresultaten i mappen Min enhet. Beroende på resultatens storlek kan exportprocessen ta lite tid och flera Google-kalkylark kan skapas. Gränsen för exporterade resultat är 30 miljoner rader (förutom när det gäller sökningar i Gmail-meddelanden, som begränsas till 1,25 miljoner rader).
- Medan exportprocessen pågår skapas Google-kalkylarken med tillfälliga namn, till exempel TMP-1-<titel>. Om flera Google-kalkylark skapas får de ytterligare filerna namn som TMP-2-<titel>, TMP-3-<titel> och så vidare. När exportprocessen är klar ändras filnamnen automatiskt till: <titel> [1 av N], <titel> [2 av N] och så vidare. Om du bara har ett Google-kalkylark med exporterad data får filen namnet <titel>.
- Delningsbehörigheterna för filer med de exporterade sökresultaten följer konfigurationen på domänen. Om standardinställningen till exempel är att alla filer som skapas delas med alla på företaget får även filerna med exporterad data den här synligheten.
Om du vill spara dina sökkriterier eller dela dem med andra kan du skapa och spara en utredning och sedan dela, duplicera eller radera den.
Mer information finns i Spara, dela, radera och duplicera utredningar.
Läs mer om datakällor i Datalagring och fördröjningar.
Hantera dina utredningar
Requires a premium-utgåva av Google Workspace (Enterprise Standard, Enterprise Plus eller Education Plus)
View your list of investigationsTo view a list of the investigations that you own and that were shared with you, click View investigations. The investigation list includes the names, descriptions, and owners of the investigations, and the date last modified.
From this list, you can take action on any investigations that you own—for example, to delete an investigation. Check the box for an investigation, and then click Actions.
Note: Directly above your list of investigations, under Quick access, you can view recently saved investigations.
As a super administrator, click Settings to :
- Change the time zone for your investigations. The time zone applies to search conditions and results.
- Turn on or off Require reviewer. For more details, go to Require reviewers for bulk actions.
- Turn on or off View content. This setting allows admins with the appropriate privileges to view content.
- Turn on or off Enable action justification.
For instructions and details, go to Configure settings for your investigations.
To save your search criteria or share it with others, you can create and save an investigation, and then share, duplicate, or delete it.
For details, go to Save, share, delete, and duplicate investigations.