События из журналов SAML

Страница аудита и анализа: вход пользователей в приложения SAML
Страница журнала аудита заменена на новую страницу аудита и анализа. Подробнее об этом изменении рассказано в статье Расширенные возможности аудита и анализа.

На странице аудита и анализа можно выполнять поиск событий в журнале SAML. Вы можете просматривать записи о действиях пользователей и отслеживать удачные и неудачные попытки входа в приложения SAML. Обычно записи о действиях пользователей появляются в журнале в течение часа.

Полный список сервисов и действий, которые вы можете проанализировать, например Google Диск и действия пользователей, приведен в статье Инструмент "Аудит и анализ".

Forward log event data to Google Cloud

Эта функция доступна в версии Cloud Identity Premium. Сравнение версий 

You can opt in to share the log event data with Google Cloud. If you turn on sharing, data is forwarded to Cloud Logging, where you can query and view your logs, and control how you route and store your logs.

Как открыть страницу аудита и анализа

Получение доступа к данным о событиях в журнале SAML

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В левой части экрана выберите Отчетыа затемАудит и анализа затемСобытия из журналов SAML.

Фильтрация данных

  1. Откройте журнал SAML, как описано выше.
  2. Нажмите Добавить фильтр и выберите атрибут.
  3. Во всплывающем окне выберите оператора затемвыберите значениеа затемнажмите Применить.
  4. При необходимости вы можете создать несколько фильтров результатов поиска:
    1. Нажмите Добавить фильтр и повторите шаг 3.
    2. Если нужно добавить оператор поиска, над элементом Добавить фильтр выберите И или ИЛИ.
  5. Нажмите Поиск.

Примечание. С помощью вкладки Фильтр можно включить простые пары параметров и значений, чтобы отфильтровать результаты поиска. Кроме того, вы можете использовать вкладку Конструктор условий, на которой фильтры представлены в виде условий с операторами И/ИЛИ.

Описания атрибутов

При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:

Атрибут Описание
Исполнитель Адрес электронной почты пользователя, совершившего действие.
Название группы

Название группы, к которой относится исполнитель. Подробнее о том, как фильтровать результаты по группе Google

Чтобы добавить группу в белый список групп фильтрации:

  1. Выберите Название группы.
  2. Выберите Группы фильтрации.
    Откроется соответствующая страница.
  3. Нажмите Добавить группы.
  4. Найдите группу: начните вводить ее название или адрес электронной почты, а затем выберите нужный вариант из списка предложений.
  5. Если вы хотите добавить ещё одну группу, найдите и выберите ее.
  6. Когда группы будут выбраны, нажмите Добавить.
  7. Если вы хотите удалить группу, нажмите на значок "Удалить группу" рядом с ней.
  8. Нажмите Сохранить.
Организационное подразделение пользователя Организационное подразделение, к которому относится исполнитель.
Название приложения SAML-приложение, инициировавшее событие.
Дата Дата и время события в часовом поясе, по умолчанию установленном в браузере.
Событие Регистрируются события двух типов: удачные и неудачные попытки входа.
Тип ошибки Для неудачных попыток входа указывается тип ошибки. Подробная информация приведена в разделе Типы ошибок и способы их устранения.
Инициатор Поставщик, инициировавший событие. Это может быть поставщик идентификационной информации или поставщик услуг.
IP-адрес IP-адрес, с которого пользователь вошел в приложение SAML. Иногда он помогает узнать, где находится пользователь. Однако если это адрес прокси-сервера или виртуальной частной сети (VPN), определить по нему местоположение нельзя.
Статус ответа второго уровня Сведения о статусе (успешном или неуспешном выполнении) запроса SAML. Подробную информацию о кодах статуса можно найти в разделе 3.2.2.2 этого документа.
Статус ответа Сведения о статусе (успешном или неуспешном выполнении) запроса SAML. Подробную информацию о кодах статуса можно найти в разделе 3.2.2.2 этого документа.

Фильтрация данных по типу ошибки

  1. Откройте журнал SAML, как описано выше.
  2. Нажмите Добавить фильтра затемТип ошибки.
  3. В раскрывающемся списке выберите один из вариантов.
  4. Нажмите Применить.

Типы ошибок и способы их устранения

В событиях журнала регистрируются следующие типы ошибок:

Тип ошибки Способ устранения
Приложение не настроено Убедитесь, что в консоли администратора правильно заданы настройки для поставщика услуг (включая идентификатор объекта).
Приложение не включено для пользователя Убедитесь, что приложение включено для организации пользователя в консоли администратора (страница настроек приложения, раздел "Доступ пользователей").
Неверный запрос Запрос составлен неправильно, или указанный в нем URL ACS не совпадает со значением в консоли администратора. Проверьте URL ACS поставщика услуг.
Недопустимое сопоставление идентификатора названия Несоответствие значений параметра NAMEID, указанных в приложении и в консоли администратора в разделе настройки приложения. Проверьте, существует ли набор атрибутов, и измените сопоставление идентификатора NAMEID для этого приложения.
Недействительный идентификатор поставщика Убедитесь, что конфигурация на стороне поставщика услуг соответствует настройкам идентификатора приложения в консоли администратора. Убедитесь, что идентификатор поставщика услуг в URL запроса соответствует значению, указанному для приложения.
Сопоставление идентификатора названия недоступно Это означает, что не найден атрибут, сопоставленный идентификатору NAMEID. Проверьте, существует ли набор атрибутов, и измените сопоставление идентификатора NAMEID для этого приложения.
Ошибка пассивной аутентификации Пользователю не удалось войти в систему поставщика идентификационной информации. Снова войдите в систему поставщика идентификационной информации с помощью браузера.
Неизвестно Неизвестная причина.
Пользователь не авторизован Убедитесь, что приложение включено для организации или группы пользователя.

Как настроить показ данных о событиях

Как управлять столбцами данных в результатах поиска

Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.

  1. В правой верхней части таблицы с результатами поиска нажмите на значок "Управление столбцами" .
  2. Чтобы удалить отображаемые столбцы, нажмите "Удалить" .
  3. Чтобы добавить столбцы, рядом с надписью Добавить столбец нажмите на стрелку вниз и выберите вариант из списка.
    При необходимости повторите действия.
  4. Чтобы изменить порядок столбцов, перетащите их названия.
  5. Нажмите Сохранить.

Как экспортировать результаты поиска

  1. В верхней части таблицы с результатами поиска нажмите Экспортировать все.
  2. Введите название а затем нажмите Экспорт.
    Экспортированные данные будут показаны под таблицей с результатами поиска в разделе Результаты выполнения действия "Экспорт".
  3. Чтобы увидеть данные, нажмите название экспорта.
    Данные откроются в Google Таблицах.

Как добавить новое правило создания отчетов

Информация приведена в статье Как создавать и настраивать правила оповещения.

Когда данные становятся доступны и как долго они хранятся?

Подробная информация приведена в статье Задержки при обновлении отчетов и сроки хранения данных.

Статьи по теме

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
2298538956869969037
true
Поиск по Справочному центру
true
true
true
false
false