На странице аудита и анализа вы можете искать события в журнале пользователя и отслеживать действия, которые пользователи совершают в своих аккаунтах, такие как изменение пароля, данных для восстановления доступа к аккаунту (номера телефона или адреса электронной почты) и статуса двухэтапной аутентификации. Вход из почтового клиента или небраузерного приложения регистрируется, только если это программный вход из сеанса, который считается подозрительным.
Примечания
- В рамках недавнего обновления источники данных Журнал аудита входа и Журнал аудита аккаунтов пользователей были объединены в источник под названием События журнала пользователя. Подробнее об изменениях рассказано в статье Что нового в Google Workspace: расширенные возможности аудита и анализа.
- Если за последние шесть месяцев нет данных о событиях журнала пользователя, источник данных События журнала пользователя может не показываться в меню навигации слева.
Полный список сервисов и действий, которые вы можете проанализировать, например Google Диск и действия пользователей, приведен в статье Инструмент "Аудит и анализ".
Как пересылать данные о событиях в Google Cloud
Вы можете предоставить Google Cloud доступ к данным о событиях. В этом случае данные будут пересылаться в Cloud Logging, где можно просматривать журналы, выполнять по ним поиск, а также управлять их маршрутизацией и хранением.
Как открыть страницу аудита и анализа
Как перейти к данным о событиях журнала пользователя
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
- В левой части экрана выберите ОтчетыАудит и анализСобытия журнала пользователя.
Как отфильтровать данные
- Перейдите к данным о событиях, как описано выше.
- Нажмите Добавить фильтр и выберите атрибут.
- Во всплывающем окне выберите операторвыберите значениенажмите Применить.
-
При необходимости вы можете создать несколько фильтров результатов поиска:
- Нажмите Добавить фильтр и повторите шаг 3.
- Если нужно добавить оператор поиска, над элементом Добавить фильтр выберите И или ИЛИ.
- Нажмите Поиск.
Примечание. С помощью вкладки Фильтр можно включить простые пары параметров и значений, чтобы отфильтровать результаты поиска. Кроме того, вы можете использовать вкладку Конструктор условий, на которой фильтры представлены в виде условий с операторами И/ИЛИ.
Описания атрибутов
При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:
Атрибут | Описание |
---|---|
Название группы |
Название группы, к которой относится исполнитель. Подробнее о том, как фильтровать результаты по группе Google… Чтобы добавить группу в белый список групп фильтрации:
|
Организационное подразделение пользователя | Организационное подразделение исполнителя. |
Затронутый пользователь | Адрес электронной почты затронутого пользователя. |
Тип аутентификации* | Тип аутентификации пользователя, например Пароль или Электронный ключ. |
Дата | Дата и время, когда произошло событие (указывается в часовом поясе, установленном в вашем браузере по умолчанию). |
Домен* | Домен, в котором было выполнено действие. |
Адрес пересылки электронной почты | Адрес электронной почты, на который нужно пересылать сообщения из Gmail. |
Событие |
Сведения о зарегистрированном действии, например Включение двухэтапной аутентификации или Подозрительные действия при входе в аккаунт. Примечание. Даже если пользователь выполнил вход, используя тип авторизации, отличный от пароля Google (например, Exchange, Повторная аутентификация, SAML или Неизвестно), для события Выход будет указан тип авторизации Пароль Google. |
IP-адрес | IP-адрес, с которого пользователь выполнял вход. Обычно IP-адрес соответствует физическому местоположению пользователя, но это может быть и адрес прокси-сервера или виртуальной частной сети (VPN). |
Второй компонент аутентификации* | True – двухфакторная аутентификация использовалась. False – двухфакторная аутентификация не использовалась. |
Является подозрительным* | True – подозрительная попытка входа, в противном случае – False. Только для события login_success. |
Время входа | Дата и время входа пользователя в систему. |
Тип авторизации |
Метод аутентификации, применявшийся при входе пользователя:
|
Пользователь | Адрес электронной почты пользователя, совершившего действие. |
Как настроить показ данных о событиях
Как управлять столбцами данных в результатах поиска
Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.
- В правой верхней части таблицы с результатами поиска нажмите на значок "Управление столбцами" .
- Чтобы удалить отображаемые столбцы, нажмите "Удалить" .
- Чтобы добавить столбцы, рядом с надписью Добавить столбец нажмите на стрелку вниз и выберите вариант из списка.
При необходимости повторите действия. - Чтобы изменить порядок столбцов, перетащите их названия.
- Нажмите Сохранить.
Как экспортировать результаты поиска
- В верхней части таблицы с результатами поиска нажмите Экспортировать все.
- Введите название нажмите Экспорт.
Экспортированные данные будут показаны под таблицей с результатами поиска в разделе Результаты выполнения действия "Экспорт". - Чтобы увидеть данные, нажмите название экспорта.
Данные откроются в Google Таблицах.
Как добавить новое правило создания отчетов
Информация приведена в статье Как создавать и настраивать правила оповещения.
Когда данные становятся доступны и как долго они хранятся?
Подробная информация приведена в статье Задержки при обновлении отчетов и сроки хранения данных.