События в журнале пользователя

Страница аудита и анализа: действия пользователей, связанные с входом
Страница журнала аудита заменена на новую страницу аудита и анализа. Подробнее об этом изменении рассказано в статье Расширенные возможности аудита и анализа.

На странице аудита и анализа вы можете искать события в журнале пользователя и отслеживать действия, которые пользователи совершают в своих аккаунтах, такие как изменение пароля, данных для восстановления доступа к аккаунту (номера телефона или адреса электронной почты) и статуса двухэтапной аутентификации. Вход из почтового клиента или небраузерного приложения регистрируется, только если это программный вход из сеанса, который считается подозрительным.

Примечания 

  • В рамках недавнего обновления источники данных Журнал аудита входа и Журнал аудита аккаунтов пользователей были объединены в источник под названием События журнала пользователя. Подробнее об изменениях рассказано в статье Что нового в Google Workspace: расширенные возможности аудита и анализа.
  • Если за последние шесть месяцев нет данных о событиях журнала пользователя, источник данных События журнала пользователя может не показываться в меню навигации слева.

Полный список сервисов и действий, которые вы можете проанализировать, например Google Диск и действия пользователей, приведен в статье Инструмент "Аудит и анализ".

Как пересылать данные о событиях в Google Cloud

Вы можете предоставить Google Cloud доступ к данным о событиях. В этом случае данные будут пересылаться в Cloud Logging, где можно просматривать журналы, выполнять по ним поиск, а также управлять их маршрутизацией и хранением.

Как открыть страницу аудита и анализа

Как перейти к данным о событиях журнала пользователя

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В левой части экрана выберите Отчетыа затемАудит и анализа затемСобытия журнала пользователя.

Как отфильтровать данные

  1. Перейдите к данным о событиях, как описано выше.
  2. Нажмите Добавить фильтр и выберите атрибут.
  3. Во всплывающем окне выберите оператора затемвыберите значениеа затемнажмите Применить.
  4. При необходимости вы можете создать несколько фильтров результатов поиска:
    1. Нажмите Добавить фильтр и повторите шаг 3.
    2. Если нужно добавить оператор поиска, над элементом Добавить фильтр выберите И или ИЛИ.
  5. Нажмите Поиск.

Примечание. С помощью вкладки Фильтр можно включить простые пары параметров и значений, чтобы отфильтровать результаты поиска. Кроме того, вы можете использовать вкладку Конструктор условий, на которой фильтры представлены в виде условий с операторами И/ИЛИ.

Описания атрибутов

При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:

Атрибут Описание
Название группы

Название группы, к которой относится исполнитель. Подробнее о том, как фильтровать результаты по группе Google

Чтобы добавить группу в белый список групп фильтрации:

  1. Выберите Название группы.
  2. Выберите Группы фильтрации.
    Откроется соответствующая страница.
  3. Нажмите Добавить группы.
  4. Найдите группу: начните вводить ее название или адрес электронной почты, а затем выберите нужный вариант из списка предложений.
  5. Если вы хотите добавить ещё одну группу, найдите и выберите ее.
  6. Когда группы будут выбраны, нажмите Добавить.
  7. Если вы хотите удалить группу, нажмите на значок "Удалить группу" рядом с ней.
  8. Нажмите Сохранить.
Организационное подразделение пользователя Организационное подразделение исполнителя.
Затронутый пользователь Адрес электронной почты затронутого пользователя.
Тип аутентификации* Тип аутентификации пользователя, например Пароль или Электронный ключ.
Дата Дата и время, когда произошло событие (указывается в часовом поясе, установленном в вашем браузере по умолчанию).
Домен* Домен, в котором было выполнено действие.
Адрес пересылки электронной почты Адрес электронной почты, на который нужно пересылать сообщения из Gmail.

Событие

Сведения о зарегистрированном действии, например Включение двухэтапной аутентификации или Подозрительные действия при входе в аккаунт.

Примечание. Даже если пользователь выполнил вход, используя тип авторизации, отличный от пароля Google (например, Exchange, Повторная аутентификация, SAML или Неизвестно), для события Выход будет указан тип авторизации Пароль Google.
IP-адрес IP-адрес, с которого пользователь выполнял вход. Обычно IP-адрес соответствует физическому местоположению пользователя, но это может быть и адрес прокси-сервера или виртуальной частной сети (VPN).
Второй компонент аутентификации* True – двухфакторная аутентификация использовалась.
False – двухфакторная аутентификация не использовалась.
Является подозрительным* True – подозрительная попытка входа, в противном случае – False. Только для события login_success.
Время входа Дата и время входа пользователя в систему.
Тип авторизации

Метод аутентификации, применявшийся при входе пользователя:

  • Exchange – аутентификация с обменом токенами, например при входе по протоколу OAuth. Это также может означать, что пользователь уже вошел в один сеанс до того, как вошел в другой, и эти два сеанса были объединены.
  • Пароль Google – вход в систему с помощью пароля Google. Эти сведения включают попытки входа в небезопасные приложения (если доступ к ним разрешен).
  • OIDC – аутентификация с помощью системы единого входа OpenID Connect (OIDC).
  • Повторная аутентификация – вход по запросу на повторную аутентификацию с помощью пароля.
  • SAML – вход с помощью системы единого входа на базе стандарта SAML.
  • Неизвестно – использовался неизвестный метод входа.
Пользователь Адрес электронной почты пользователя, совершившего действие.
*С помощью этих фильтров нельзя добавлять правила создания отчетов. Подробнее о различиях между правилами создания отчетов и правилами действий

Как настроить показ данных о событиях

Как управлять столбцами данных в результатах поиска

Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.

  1. В правой верхней части таблицы с результатами поиска нажмите на значок "Управление столбцами" .
  2. Чтобы удалить отображаемые столбцы, нажмите "Удалить" .
  3. Чтобы добавить столбцы, рядом с надписью Добавить столбец нажмите на стрелку вниз и выберите вариант из списка.
    При необходимости повторите действия.
  4. Чтобы изменить порядок столбцов, перетащите их названия.
  5. Нажмите Сохранить.

Как экспортировать результаты поиска

  1. В верхней части таблицы с результатами поиска нажмите Экспортировать все.
  2. Введите название а затем нажмите Экспорт.
    Экспортированные данные будут показаны под таблицей с результатами поиска в разделе Результаты выполнения действия "Экспорт".
  3. Чтобы увидеть данные, нажмите название экспорта.
    Данные откроются в Google Таблицах.

Как добавить новое правило создания отчетов

Информация приведена в статье Как создавать и настраивать правила оповещения.

Когда данные становятся доступны и как долго они хранятся?

Подробная информация приведена в статье Задержки при обновлении отчетов и сроки хранения данных.

Статьи по теме

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
7155552309667031487
true
Поиск по Справочному центру
true
true
true
false
false