Eventi dei log del dispositivo

Esaminare le attività sui dispositivi della tua organizzazione

A seconda della versione di Google Workspace che utilizzi, potresti avere accesso allo strumento di indagine sulla sicurezza, che offre funzionalità più avanzate. Ad esempio, i super amministratori possono identificare, assegnare una priorità e intervenire in caso di problemi di sicurezza e privacy. Scopri di più

In qualità di amministratore dell'organizzazione, puoi eseguire ricerche e intervenire sui problemi di sicurezza relativi agli eventi dei log del dispositivo. Puoi visualizzare un registro delle azioni su computer, dispositivi mobili e dispositivi per la smart home utilizzati per accedere ai dati della tua organizzazione. Ad esempio, puoi vedere quando un utente ha aggiunto il proprio account a un dispositivo o se la password di un dispositivo non rispetta i criteri che hai definito. Puoi anche impostare un avviso per ricevere una notifica quando si verifica un'attività.

Prima di iniziare

Per poter visualizzare tutti gli eventi di controllo per i dispositivi mobili, questi ultimi devono essere gestiti utilizzando la Gestione dispositivi mobili avanzata.
Per visualizzare le modifiche alle applicazioni sui dispositivi Android, devi attivare il Controllo applicazioni.
Non puoi visualizzare le attività dei dispositivi che sincronizzano i dati aziendali utilizzando Google Sync.
Se esegui il downgrade a una versione che non supporta il log di controllo, la raccolta dei dati sui nuovi eventi verrà interrotta. Tuttavia, i vecchi dati continueranno a essere disponibili per gli amministratori.

Inoltrare i dati sugli eventi dei log a Google Cloud

Puoi attivare la condivisione dei dati sugli eventi dei log con Google Cloud. Se attivi la condivisione, i dati vengono inoltrati a Cloud Logging, dove puoi eseguire query sui log, visualizzarli e controllarne le modalità di routing e di archiviazione.

Eseguire una ricerca di eventi dei log

La possibilità di eseguire ricerche dipende dalla versione di Google che utilizzi, dai tuoi privilegi amministrativi e dall'origine dati. Puoi eseguire una ricerca su tutti gli utenti, indipendentemente dalla versione di Google Workspace in uso.

Strumento di controllo e indagine

Per eseguire una ricerca degli eventi dei log, scegli innanzitutto un'origine dati. Poi scegli una o più condizioni per la ricerca.

Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
Nella Console di amministrazione, vai a Menu ReportControllo e indagineEventi del log dispositivo.
Fai clic su Aggiungi un filtro, quindi seleziona un attributo.
Nella finestra popup, seleziona un operatoreseleziona un valorefai clic su Applica.
- (Facoltativo) Per creare più filtri per la ricerca, ripeti questo passaggio.
- (Facoltativo) Per aggiungere un operatore di ricerca, sopra Aggiungi un filtro, seleziona AND oppure OR.
- (Facoltativo) Per creare più filtri per la ricerca, ripeti questo passaggio.
- (Facoltativo) Per aggiungere un operatore di ricerca, sopra Aggiungi un filtro, seleziona AND oppure OR.
Fai clic su Cerca.
Nota:utilizzando la scheda Filtro, puoi includere semplici coppie di parametri e valori per filtrare i risultati di ricerca. Puoi anche utilizzare la scheda Generatore di condizioni, in cui i filtri sono rappresentati come condizioni con gli operatori AND/OR.

Strumento di indagine sulla sicurezza

Questa funzionalità è disponibile con la versione Cloud Identity Premium. Confronta le versioni

Per eseguire una ricerca nello strumento di indagine sulla sicurezza, scegli innanzitutto un'origine dati. Poi scegli una o più condizioni per la ricerca. Per ogni condizione, scegli un attributo, un operatore e un valore.

Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
Nella Console di amministrazione, vai al Menu SicurezzaCentro sicurezzaStrumento di indagine.
Fai clic su Origine dati e seleziona Eventi dei log del dispositivo.
Fai clic su Aggiungi condizione.
Suggerimento: puoi includere una o più condizioni nella ricerca oppure personalizzarla con query nidificate. Per maggiori dettagli, vedi Personalizzare la ricerca con query nidificate.
Fai clic su Attributo seleziona un'opzione.
Per un elenco completo degli attributi, consulta la sezione Descrizioni degli attributi di seguito.
Seleziona un operatore
Inserisci un valore o selezionane uno dall'elenco a discesa.
(Facoltativo) Per aggiungere altre condizioni di ricerca, ripeti i passaggi da 4 a 7.
Fai clic su Cerca.
Nello strumento di indagine, i risultati di ricerca sono visualizzati in una tabella nella parte inferiore della pagina.
(Facoltativo) Per salvare la tua indagine, fai clic su Salva inserisci un titolo e una descrizionefai clic su Salva.

Nota:

Nella scheda Generatore di condizioni, i filtri sono rappresentati come condizioni con gli operatori AND/OR. Puoi anche utilizzare la scheda Filtro per includere semplici coppie di parametri e valori per filtrare i risultati della ricerca.
Se hai assegnato un nuovo nome a un utente, le query in cui è utilizzato il suo nome precedente non restituiranno risultati. Ad esempio, se rinomini NomePrecedente@example.com in NuovoNome@example.com, non verranno restituiti risultati per gli eventi correlati a NomePrecedente@example.com.

Descrizioni degli attributi

Per questa origine dati, puoi utilizzare i seguenti attributi durante la ricerca dei dati sugli eventi di log:

Attributo	Descrizione
Stato account	Indica se l'account è registrato o meno
Nome del gruppo dell'attore	Il nome del gruppo dell'attore. Per saperne di più, vedi Filtrare i risultati per gruppo Google. Per aggiungere un gruppo alla lista consentita dei gruppi filtro: Seleziona Nome del gruppo dell'attore. Fai clic su Gruppi filtro. Viene visualizzata la pagina Gruppi filtro. Fai clic su Aggiungi gruppi. Cerca un gruppo inserendo i primi caratteri del nome o dell'indirizzo email. Quando viene visualizzato il gruppo che stai cercando, selezionalo. (Facoltativo) Per aggiungere un altro gruppo, cercalo e selezionalo. Quando hai selezionato tutti i gruppi che ti interessano, fai clic su Aggiungi. (Facoltativo) Per rimuovere un gruppo, fai clic su Rimuovi gruppo . Fai clic su Salva.
Unità organizzativa che ha eseguito l'azione	Unità organizzativa dell'attore
ID applicazione	Identificatore per l'applicazione
Hash SHA-256 applicazione	Per gli eventi relativi alle app, l'hash SHA-256 del pacchetto dell'applicazione (solo Android)
Stato applicazione	Se l'applicazione è installata, disinstallata o aggiornata
Data	La data e l'ora dell'evento (nel fuso orario predefinito del browser)
Stato conformità dispositivo	Se il dispositivo è conforme ai criteri dell'organizzazione Un dispositivo viene contrassegnato come non conforme nei seguenti casi: Se viola un'impostazione della password o un criterio relativo alla crittografia già applicati Se sul dispositivo non è installata la versione più recente dell'app Device Policy Se non rispetta le impostazioni di sicurezza Se non dispone di un profilo di lavoro quando questo è previsto Se non si trova in modalità Proprietario del dispositivo quando questa è prevista Se è bloccato da un amministratore Se non esegue la sincronizzazione perché un amministratore l'ha disattivata Esempio: il dispositivo Nexus 6P non è conforme ai criteri configurati perché non rispetta il criterio relativo alle password.
Stato dispositivo compromesso	Indica se il dispositivo è stato compromesso. I dispositivi possono essere compromessi quando sono "rooted" o "jailbroken", ossia sottoposti a un processo che ne rimuove le restrizioni. I dispositivi compromessi possono rappresentare una potenziale minaccia per la sicurezza. Il sistema registra una voce ogni volta che il dispositivo di un utente viene compromesso o quando smette di esserlo. Esempio: il dispositivo Nexus 5 di nome utente è compromesso.
ID dispositivo	Identificatore del dispositivo su cui si è verificato l'evento.
Modello dispositivo	Il modello del dispositivo.
Proprietario del dispositivo	Il proprietario del dispositivo
Proprietà dispositivo	Se la proprietà del dispositivo è cambiata Ad esempio, se un dispositivo personale è stato modificato in dispositivo di proprietà dell'azienda dopo che i suoi dettagli sono stati importati nella Console di amministrazione. Questo controllo viene eseguito immediatamente dopo l'aggiunta di un dispositivo di proprietà dell'azienda alla Console di amministrazione. Se un dispositivo di proprietà dell'azienda viene eliminato dalla Console di amministrazione, il controllo ha luogo alla sincronizzazione successiva (dopo che il dispositivo è stato nuovamente registrato per la gestione). Esempio: la proprietà del dispositivo Nexus 5 di nome utente è ora assegnata all'azienda, con il nuovo ID dispositivo abcd1234.
Proprietà dispositivo	Informazioni sul dispositivo, ad esempio modello del dispositivo, numero di serie o indirizzo WiFi MAC
Impostazione dispositivo	L'utente ha modificato l'impostazione Opzioni sviluppatore, Origini sconosciute, Debug USB o Verifica app sul proprio dispositivo. Questo evento viene registrato alla successiva sincronizzazione del dispositivo. Esempio: Verifica app è stata modificata da Attiva a Non attiva da un utente su Nexus 6P.
Tipo di dispositivo	Il tipo di dispositivo su cui si è verificato l'evento, ad esempio Android o Apple iOS
Dominio*	Il dominio in cui si è verificata l'azione
Evento	L'azione evento registrata, ad esempio Aggiornamento sistema operativo dispositivo o Evento di sincronizzazione del dispositivo.
Tentativi password non riusciti*	Il numero di tentativi non riusciti eseguiti da un utente per sbloccare un dispositivo L'evento viene generato solo se vengono eseguiti più di cinque tentativi di sblocco di un dispositivo con esito negativo. Esempio: cinque tentativi non riusciti di sbloccare il dispositivo Nexus 7 dell'utente
ID fornitore iOS	Identificatore per il fornitore iOS
Nuovo ID dispositivo	Identificatore per il nuovo dispositivo
Proprietà sistema operativo	Informazioni sul sistema operativo, ad esempio Numero build, Versione sistema operativo o Patch di sicurezza
Privilegio di registrazione	Il ruolo dell'utente per un dispositivo, ad esempio Proprietario del dispositivo o Amministratore del dispositivo.
ID risorsa	Identificatore univoco del dispositivo
Numero di serie	Il numero di serie del dispositivo Per visualizzare il numero di serie dei computer: Installa l'estensione per la verifica degli endpoint. Per maggiori dettagli, vedi Passaggio 2: installa l'estensione per la verifica degli endpoint. Registra i dispositivi ChromeOS nella tua organizzazione. Per maggiori dettagli, vai a Registrare i dispositivi ChromeOS.
Email dell'utente	Indirizzo email dell'utente del dispositivo

* Non puoi creare regole di reporting con questi filtri. Scopri di più sul confronto tra le regole di reporting e le regole di attività.

Nota: se hai assegnato un nuovo nome a un utente, le query in cui è utilizzato il suo nome precedente non restituiranno risultati. Ad esempio, se rinomini NomePrecedente@example.com in NuovoNome@example.com, non verranno restituiti risultati per gli eventi correlati a NomePrecedente@example.com.

Gestire i dati sugli eventi dei log

Gestire i dati delle colonne dei risultati di ricerca

Puoi stabilire quali colonne di dati visualizzare nei risultati di ricerca.

Nell'angolo in alto a destra della tabella dei risultati di ricerca, fai clic su Gestisci colonne .
(Facoltativo) Per rimuovere le colonne attualmente visualizzate, fai clic su Rimuovi .
(Facoltativo) Per aggiungere colonne, fai clic sulla Freccia giù in corrispondenza di Aggiungi nuova colonna e seleziona la colonna di dati che ti interessa.
Ripeti questa operazione in base alle necessità.
(Facoltativo) Trascina i nomi delle colonne per modificarne l'ordine.
Fai clic su Salva.

Esportare i dati dei risultati di ricerca

Puoi esportare i risultati di ricerca in Fogli Google o in un file CSV.

Nella parte superiore della tabella dei risultati di ricerca, fai clic su Esporta tutto.
Inserisci un nome fai clic su Esporta.
L'esportazione viene visualizzata al di sotto della tabella dei risultati di ricerca, in Risultati dell'azione Esporta.
Per visualizzare i dati, fai clic sul nome dell'esportazione.
L'esportazione si apre in Fogli Google.

I limiti di esportazione possono variare:

I risultati totali dell'esportazione sono limitati a 100.000 righe (ad eccezione delle ricerche di messaggi Gmail, limitate a 10.000 righe).
Questa funzionalità è disponibile con la versione Cloud Identity Premium. Confronta le versioni
Se utilizzi lo strumento di indagine sulla sicurezza, i risultati totali dell'esportazione sono limitati a 30 milioni di righe (ad eccezione delle ricerche di messaggi Gmail, limitate a 10.000 righe).

Per saperne di più, consulta Esportare i risultati di ricerca.

Quando sono disponibili i dati? Per quanto tempo?

Vai a Conservazione dei dati e tempi di attesa.

Intervenire in funzione dei risultati di ricerca

Creare regole di attività e configurare avvisi

Puoi configurare avvisi in base ai dati sugli eventi dei log utilizzando le regole di reporting. Per le istruzioni, vedi Creare e gestire le regole di reporting.
Questa funzionalità è disponibile con la versione Cloud Identity Premium. Confronta le versioni
Per contribuire a prevenire, rilevare e risolvere in modo efficiente i problemi di sicurezza, puoi creare regole di attività per automatizzare azioni nello strumento di indagine sulla sicurezza e configurare avvisi. Per configurare una regola, imposta le sue condizioni e specifica quali azioni eseguire quando quelle condizioni sono soddisfatte. Per maggiori dettagli e istruzioni, vedi Creare e gestire le regole di attività.

Adottare azioni basate sui risultati di ricerca

Questa funzionalità è disponibile con la versione Cloud Identity Premium. Confronta le versioni

Dopo aver eseguito una ricerca nello strumento di indagine sulla sicurezza, puoi operare sui relativi risultati. Ad esempio, puoi eseguire una ricerca basata sugli eventi del log di Gmail e quindi utilizzare lo strumento per eliminare messaggi specifici, metterli in quarantena o inviarli nella Posta in arrivo degli utenti. Per maggiori dettagli, vai a Adottare azioni basate sui risultati di ricerca.

Gestire le indagini

Questa funzionalità è disponibile con la versione Cloud Identity Premium. Confronta le versioni

Visualizzare il proprio elenco di indagini

Per visualizzare un elenco delle indagini di tua proprietà e di quelle che sono state condivise con te, fai clic su Visualizza indagini . L'elenco delle indagini ne include i nomi, le descrizioni e i proprietari, nonché la data dell'ultima modifica.

Da questo elenco puoi eseguire azioni sulle indagini di tua proprietà, ad esempio eliminare un'indagine. Seleziona la casella in corrispondenza di un'indagine, quindi fai clic su Azioni.

Nota: nella sezione Accesso rapido al di sopra dell'elenco delle indagini, puoi visualizzare le indagini salvate di recente.

Configurare le impostazioni per le indagini

Come super amministratore, puoi fare clic su Impostazioni per:

Modificare il fuso orario per le indagini. Il fuso orario si applica alle condizioni e ai risultati di ricerca.
Attivare o disattivare l'opzione Richiedi revisore. Per maggiori dettagli, vedi Richiedere revisori per azioni collettive.
Attivare o disattivare l'opzione Visualizza i contenuti. Questa impostazione consente agli amministratori con i privilegi appropriati di visualizzare i contenuti.
Attivare o disattivare l'opzione Abilita motivazione azione.

Per istruzioni e dettagli, vedi Configurare le impostazioni per le indagini.

Per condividere una ricerca con altri utenti o salvarne i criteri, puoi creare e salvare un'indagine e, successivamente, condividerla, duplicarla o eliminarla.

Per informazioni dettagliate, vedi Salvare, condividere, eliminare e duplicare le indagini.

Argomenti correlati al Centro sicurezza

È stato utile?

Come possiamo migliorare l'articolo?