Наразі ця сторінка недоступна вашою мовою. Ви можете вибрати іншу мову внизу екрана або миттєво перекласти будь-яку веб-сторінку потрібною мовою за допомогою вбудованої функції перекладу Google Chrome.

События журнала правил

Страница аудита и анализа: попытки пользователей передать конфиденциальную информацию
Страница журнала аудита заменена на новую страницу аудита и анализа. Подробнее об этом изменении рассказано в статье Расширенные возможности аудита и анализа.

На странице "Аудит и анализ" администратор организации может выполнять поиск по событиям в журнале правил, а также проверять записи о действиях, чтобы анализировать попытки пользователей передать конфиденциальную информацию. Например, можно посмотреть события, вызванные нарушением правил защиты от потери данных (DLP). Обычно записи о действиях пользователей появляются в журнале в течение часа.

В журнале правил также доступны различные типы данных, отслеживаемых инструментом BeyondCorp Threat and Data Protection.

Полный список сервисов и действий, которые вы можете проанализировать, например Google Диск и действия пользователей, приведен в статье Инструмент "Аудит и анализ".

Как открыть страницу аудита и анализа

Как перейти к данным событий в журнале правил

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Отчетыа затемАудит и анализа затемСобытия журнала правил.

Как отфильтровать данные

  1. Откройте журнал событий по инструкции выше.
  2. Нажмите Добавить фильтр и выберите атрибут.
  3. Во всплывающем окне выберите оператора затемвыберите значениеа затемнажмите Применить.
  4. При необходимости вы можете создать несколько фильтров результатов поиска:
    1. Нажмите Добавить фильтр и повторите шаг 3.
    2. Если нужно добавить оператор поиска, над элементом Добавить фильтр выберите И или ИЛИ.
  5. Нажмите Поиск.

Примечание. С помощью вкладки Фильтр можно включить простые пары параметров и значений, чтобы отфильтровать результаты поиска. Кроме того, вы можете использовать вкладку Конструктор условий, на которой фильтры представлены в виде условий с операторами И/ИЛИ.

Описания атрибутов

При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:

Атрибут Описание
Уровень доступа Уровни доступа, выбранные в качестве условий контекстно-зависимого доступа для этого правила. Уровни доступа распространяются только на данные Chrome. Подробнее о создании уровней контекстно-зависимого доступа
Исполнитель Адрес электронной почты пользователя, совершившего действие. Если событие произошло в результате повторного сканирования, может быть указано значение Анонимный пользователь.
Название группы

Название группы, к которой относится исполнитель. Подробнее о том, как фильтровать результаты по группе Google

Чтобы добавить группу в белый список групп фильтрации:

  1. Выберите Название группы.
  2. Выберите Группы фильтрации.
    Откроется соответствующая страница.
  3. Нажмите Добавить группы.
  4. Найдите группу: начните вводить ее название или адрес электронной почты, а затем выберите нужный вариант из списка предложений.
  5. Если вы хотите добавить ещё одну группу, найдите и выберите ее.
  6. Когда группы будут выбраны, нажмите Добавить.
  7. Если вы хотите удалить группу, нажмите на значок "Удалить группу" рядом с ней.
  8. Нажмите Сохранить.
Организационное подразделение пользователя Организационное подразделение, к которому относится исполнитель.
Заблокированные получатели Получатели, которые были заблокированы в результате срабатывания правила.
Условное действие Список действий, которые могут быть выполнены при доступе пользователя в зависимости от настроенных для правила контекстно-зависимых условий.
Идентификатор сеанса Идентификатор сеанса встречи, которая стала частью активации этого правила.
Идентификатор контейнера Идентификатор родительского контейнера, к которому принадлежит ресурс.
Тип контейнера Тип родительского контейнера, к которому принадлежит ресурс, например Чат-группа Google Chat или Групповой чат для сообщений и прикрепленных файлов в чате.
Источник данных Приложение, в котором был создан ресурс.
Дата Дата и время, когда произошло событие.
Идентификатор детектора Идентификатор соответствующего детектора.
Название детектора Название соответствующего детектора, заданного администраторами.
Идентификатор устройства Идентификатор устройства, на котором было активировано действие. Этот тип данных применяется к Chrome Enterprise Premium threat and data protection.
Тип устройства Тип устройства, соответствующий идентификатору устройства, на котором было активировано действие. Этот тип данных применяется к Chrome Enterprise Premium threat and data protection.
Событие Действие в зарегистрированном событии. 
  • Для правил DLP регистрируются указанные в таблице ниже события.
    Событие Описание
    Действие выполнено, контент совпал с условием правила* Контент документа на Диске отмечен правилом DLP.
    Действие выполнено, контент не совпал с условием правила* Документ на Диске не отмечен, поскольку контента, из-за которого изначально сработало правило DLP, уже нет.
    Доступ заблокирован Скачайте или скопируйте файл на Диске, который был заблокирован правилом DLP.
     
  • В случае изменения ярлыка Диска указывается значение Ярлык применен, Значение поля изменено или Ярлык удален.
  • Когда правила доверия блокируют предоставление доступа к файлам на Диске, указывается значение Общий доступ заблокирован.
  • Когда правила доверия блокируют доступ к файлам на Диске (просмотр, скачивание или копирование), указывается значение Доступ заблокирован.

*Фрагмент "Действие выполнено" в названиях этих событий в будущем будет удален.
Содержит конфиденциальные данные Для активированных правил DLP с обнаруженными и зарегистрированными конфиденциальными данными значение равно Истина.
Получатель* Пользователи, получившие доступ к ресурсу.
Число пропущенных получателей* Число получателей, пропущенных из-за превышения ограничения.
Идентификатор ресурса Объект, который был изменен. Для правил DLP:
  • Если запись относится к Google Диску, нажмите на идентификатор ресурса, чтобы посмотреть измененный документ на Диске.
  • Если запись относится к Google Chat, нажмите на идентификатор ресурса, чтобы открыть подробные сведения о чате. Помните, что у некоторых данных чатов есть срок хранения, поэтому не все сведения могут быть доступны.
Владелец ресурса Владелец просканированного ресурса, с которым было выполнено действие.
Название ресурса Название ресурса, который был изменен. Для правил DLP это название документа.
Тип ресурса Для правил DLP ресурсом является документ, а для DLP в Chat – сообщение или прикрепленный файл в чате.
Идентификатор правила Идентификатор активированного правила.
Название правила Название, которое администратор задал правилу при его создании.
Тип правила Для правил DLP указывается значение DLP.
Тип сканирования

Возможны следующие значения:

  • Непрерывное сканирование Диска (при изменении правила);
  • Онлайн-сканирование (при изменении документа);
  • Сканировать контент Chat перед отправкой (при отправке сообщения Chat).
Степень серьезности Степень серьезности нарушенного правила.
Заблокированное действие* Предусмотренные правилом действия, которые были заблокированы. Действие может быть заблокировано, если в момент его выполнения активируется другое действие с более высоким приоритетом.
Триггер Действие, которое привело к активации правила.
Действие при активации правила Список выполненных действий. Значение отсутствует при срабатывании правила, предусматривающего только проверку.
IP-адрес клиента, инициировавшего событие IP-адрес исполнителя, который активировал событие.
Адрес электронной почты пользователя, инициировавшего событие* Адрес электронной почты исполнителя, который активировал событие.
Действие пользователя Действие, которое пытался выполнить пользователь, заблокировано правилом.
*С помощью этих фильтров нельзя добавлять правила создания отчетов. Подробнее о различиях между правилами создания отчетов и правилами действий

Как настроить показ данных о событиях

Как управлять столбцами данных в результатах поиска

Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.

  1. В правой верхней части таблицы с результатами поиска нажмите на значок "Управление столбцами" .
  2. Чтобы удалить отображаемые столбцы, нажмите "Удалить" .
  3. Чтобы добавить столбцы, рядом с надписью Добавить столбец нажмите на стрелку вниз и выберите вариант из списка.
    При необходимости повторите действия.
  4. Чтобы изменить порядок столбцов, перетащите их названия.
  5. Нажмите Сохранить.

Как экспортировать результаты поиска

  1. В верхней части таблицы с результатами поиска нажмите Экспортировать все.
  2. Введите название а затем нажмите Экспорт.
    Экспортированные данные будут показаны под таблицей с результатами поиска в разделе Результаты выполнения действия "Экспорт".
  3. Чтобы увидеть данные, нажмите название экспорта.
    Данные откроются в Google Таблицах.

Как добавить новое правило создания отчетов

Информация приведена в статье Как создавать и настраивать правила оповещения.

Когда данные становятся доступны и как долго они хранятся?

Подробная информация приведена в статье Задержки при обновлении отчетов и сроки хранения данных.

Как использовать журнал аудита правил для выявления нарушений правил DLP

Администраторы могут смотреть в журнале аудита правил фрагменты контента, чтобы определять, действительно ли были нарушены правила DLP или произошло ложное срабатывание. Подробнее о том, как посмотреть контент, который активировал правила DLP (бета)

Статьи по теме

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
9830484816168593636
true
Поиск по Справочному центру
true
true
true
false
false