Na stronie kontroli i analizy zagrożeń możesz przeprowadzać wyszukiwania związane ze zdarzeniami w dzienniku użytkownika. Za pomocą tego dziennika możesz sprawdzać ważne działania wykonywane przez użytkowników na ich kontach. Należą do nich zmiany hasła, zmiany danych do odzyskiwania konta (numerów telefonów, adresów e-mail) oraz zmiany ustawienia weryfikacji dwuetapowej. W tym raporcie nie jest rejestrowane logowanie z klienta poczty e-mail ani z aplikacji działającej poza przeglądarką, chyba że jest to próba logowania programowego w ramach sesji, która została uznana za podejrzaną.
Uwaga:
- W ramach niedawnych zmian starsze wersje Dziennika kontrolnego logowania i Dziennika kontrolnego Konta użytkowników zostały połączone w źródło danych Zdarzenia w dzienniku użytkownika. Szczegółowe informacje znajdziesz w artykule Ulepszone funkcje kontroli i analizy.
- Jeśli nie ma danych dotyczących zdarzeń w dzienniku użytkownika z ostatnich 6 miesięcy, Zdarzenia w dzienniku użytkownika mogą nie być widoczne w menu nawigacyjnym po lewej stronie.
Pełną listę usług i działań, które możesz sprawdzić (takich jak Dysk Google czy aktywność użytkowników) znajdziesz w artykule Informacje o narzędziu do kontroli i analizy zagrożeń.
Przekazywanie danych zdarzenia z dziennika do Google Cloud
Możesz wyrazić zgodę na udostępnianie danych zdarzeń z dziennika usłudze Google Cloud. Jeśli włączysz udostępnianie, dane będą przekazywane usłudze Cloud Logging, w której możesz przeglądać logi i tworzyć dotyczące ich zapytania oraz decydować, jak chcesz kierować ruchem logów i jak je przechowywać.
Otwieranie strony kontroli i analizy zagrożeń
Uzyskiwanie dostępu do danych zdarzenia z dziennika użytkownika
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
- Po lewej stronie kliknij Raportowanie Kontrola i analiza zagrożeń Zdarzenia w dzienniku użytkownika.
Filtrowanie danych
- Otwórz zdarzenia z dziennika w sposób opisany powyżej w sekcji Uzyskiwanie dostępu do danych zdarzenia w dzienniku użytkownika.
- Kliknij Dodaj filtr, a następnie wybierz atrybut.
- W wyskakującym okienku wybierz operator wybierz wartość kliknij Zastosuj.
-
(Opcjonalnie) Aby utworzyć kilka filtrów wyszukiwania:
- Kliknij Dodaj filtr i powtórz krok 3.
- (Opcjonalnie) Aby dodać operator wyszukiwania, nad opcją Dodaj filtr wybierz ORAZ bądź LUB.
- Kliknij Szukaj.
Uwaga: na karcie Filtr możesz uwzględnić proste pary parametrów i wartości, aby przefiltrować wyniki wyszukiwania. Możesz też użyć karty narzędzia do definiowania warunków, gdzie filtry są mają postać warunków z operatorem ORAZ i LUB.
Opisy atrybutów
W przypadku tego źródła danych podczas wyszukiwania danych zdarzenia z dziennika możesz użyć tych atrybutów:
Atrybut | Opis |
---|---|
Nazwa grupy |
Nazwa grupy użytkownika, który wykonał czynność. Więcej informacji znajdziesz w artykule Filtrowanie wyników za pomocą grup dyskusyjnych Google. Aby dodać grupę do listy dozwolonych grup filtrowania:
|
Jednostka organizacyjna użytkownika, który wykonał czynność | Jednostka organizacyjna, do której należy dany użytkownik |
Nazwa użytkownika, u którego występuje problem | Adres e-mail użytkownika, u którego występuje problem |
Sposób weryfikacji tożsamości* | Wykorzystany sposób weryfikacji tożsamości użytkownika, np. Hasło lub Klucz bezpieczeństwa |
Data | Data i godzina wystąpienia zdarzenia (według domyślnej strefy czasowej ustawionej w przeglądarce). |
Domena* | Domena, w której wykonano czynność |
Adres do przekazywania e-maili dalej | Adres e-mail, na który mają być przekazywane wiadomości z Gmaila |
Zdarzenie |
Zarejestrowane zdarzenie, np. Rejestracja w systemie weryfikacji dwuetapowej lub Podejrzane logowanie Uwaga: w przypadku zdarzenia Wylogowanie, nawet jeśli użytkownik wybrał typ logowania inny niż hasło Google (np. Exchange, Reauth, SAML lub Nieznany), typ logowania w przypadku zdarzeń Wylogowanie jest wyświetlany jako Hasło Google. |
Adres IP | Adres IP, z którego użytkownik się zalogował (lub podjął próbę zalogowania). Zazwyczaj jest to adres wskazujący fizyczną lokalizację użytkownika, ale może to być również adres serwera proxy lub wirtualnej sieci prywatnej (VPN). |
Jest drugim składnikiem* | Prawda, jeśli użytkownik zalogował się przy użyciu uwierzytelniania dwuskładnikowego Fałsz, jeśli użytkownik nie zalogował się przy użyciu uwierzytelniania dwuskładnikowego |
Wzbudza podejrzenia* | Prawda, jeśli próba logowania była podejrzana. W przeciwnym razie fałsz. Dotyczy tylko zdarzenia login_success (pomyślne logowanie) |
Czas zalogowania | Data i godzina zalogowania się przez użytkownika |
Typ logowania |
Metoda uwierzytelniania, z której skorzystał użytkownik:
|
Użytkownik | Adres e-mail użytkownika, który wykonał aktywność. |
Zarządzanie danymi zdarzenia z dziennika
Zarządzanie danymi w kolumnie wyników wyszukiwania
Możesz określić, które kolumny danych mają pojawiać się w wynikach wyszukiwania.
- W prawym górnym rogu tabeli wyników wyszukiwania kliknij Zarządzaj kolumnami .
- (Opcjonalnie) Aby usunąć bieżące kolumny, kliknij Usuń .
- (Opcjonalnie) Aby dodać kolumny, obok Dodaj nową kolumnę, kliknij strzałkę w dół i wybierz kolumnę danych.
Powtórz w razie potrzeby. - (Opcjonalnie) Aby zmienić kolejność kolumn, przeciągnij nazwy kolumn danych.
- Kliknij Zapisz.
Eksportowanie danych wyników wyszukiwania
- U góry tabeli wyników wyszukiwania kliknij Eksportuj wszystko.
- Wpisz nazwę kliknij Eksportuj.
Wyeksportowane dane wyświetlają się pod tabelą wyników wyszukiwania w sekcji wyników eksportowania. - Aby wyświetlić dane, kliknij nazwę eksportu.
Eksport otworzy się w Arkuszach Google.
tworzenie reguł raportowania.
Otwórz artykuł Tworzenie i wyświetlanie reguł raportowania oraz konfigurowanie alertów.
Kiedy i jak długo dane są dostępne?
Przeczytaj artykuł Czas przechowywania danych i opóźnienia.