En función de la edición de Google Workspace que tengas, es posible que tengas acceso a la herramienta de investigación de seguridad, que tiene funciones más avanzadas. Por ejemplo, los superadministradores pueden identificar, clasificar y abordar problemas de seguridad y privacidad. Más información
Cuando se crea una fuente de datos extraída, se crea también un evento de exportación de esa fuente de datos.
Para ver registros de otros servicios y actividades, como Google Drive y la actividad de los usuarios, consulta la lista de eventos de registro.
Nota: La fuente de datos Eventos de registro de Looker Studio proporciona datos de los últimos 6 meses. Si quieres conservar datos del registro durante más tiempo, puedes exportarlos.
Reenviar datos de eventos de registro a Google Cloud
Puedes aceptar compartir los datos de eventos de registro con Google Cloud. Si lo haces, esos datos se envían a Cloud Logging, donde podrás consultar tus registros y controlar cómo se enrutan y almacenan.
Buscar eventos de registro
La posibilidad de hacer una búsqueda depende de la edición de Google, de los privilegios de administrador y de la fuente de datos. Puedes hacer una búsqueda con todos los usuarios, independientemente de su edición de Google Workspace.
Para buscar eventos de registro, primero debes elegir una fuente de datos. A continuación, elige uno o varios filtros para la búsqueda.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú InformesAuditoría e investigaciónEventos de registro de Looker Studio.
- Haz clic en Añadir un filtro y selecciona un atributo.
- En la ventana emergente, selecciona un operadorselecciona un valorhaz clic en Aplicar.
- (Opcional) Para crear varios filtros de búsqueda, repite este paso.
- (Opcional) Para añadir un operador de búsqueda, encima de Añadir un filtro, selecciona AND u OR.
- (Opcional) Para crear varios filtros de búsqueda, repite este paso.
- (Opcional) Para añadir un operador de búsqueda, encima de Añadir un filtro, selecciona AND u OR.
- Haz clic en Buscar.
-
Nota: En la pestaña Filtro, puedes incluir pares de parámetros y valores sencillos para filtrar los resultados de búsqueda. También puedes usar la pestaña Creador de condiciones, donde los filtros se representan como condiciones con los operadores AND/OR.
Para hacer una búsqueda en la herramienta de investigación de seguridad, primero debes elegir una fuente de datos. A continuación, elige una o varias condiciones para la búsqueda. Elige un atributo, un operador y un valor para cada condición.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú SeguridadCentro de SeguridadHerramienta de investigación.
- Haz clic en Fuente de datos y selecciona Eventos de registro de Looker Studio.
- Haz clic en Añadir condición.
Nota: Puedes incluir una o varias condiciones en tu búsqueda o personalizarla con consultas anidadas. Consulta más información en el artículo Personalizar la búsqueda con consultas anidadas. - Haz clic en Atributoselecciona una opción.
Para ver una lista completa de los atributos, consulta la sección Descripciones de atributos que aparece abajo. - Selecciona un operador.
- Introduce un valor o selecciona uno en la lista desplegable.
- (Opcional) Para añadir más condiciones de búsqueda, repite los pasos del 4 al 7.
- Haz clic en Buscar.
Los resultados de búsqueda de la herramienta de investigación se muestran en una tabla en la parte inferior de la página. - (Opcional) Para guardar la investigación, haz clic en Guardarintroduce un título y una descripciónhaz clic en Guardar.
Nota:
- En la pestaña Creador de condiciones, los filtros se representan como condiciones con los operadores AND/OR. En la pestaña Filtro también puedes incluir pares simples de parámetros y valores para filtrar los resultados de búsqueda.
- Si has asignado un nuevo nombre a un usuario, en la consulta no aparecerán los resultados correspondientes a su nombre antiguo. Por ejemplo, si has cambiado NombreAntiguo@example.com a NuevoNombre@example.com, no aparecerán resultados de eventos relacionados con NombreAntiguo@example.com.
Descripciones de atributos
En esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro:
Atributo | Descripción |
---|---|
Actor | La dirección de correo electrónico del usuario que realizó la acción. |
Nombre del grupo actor |
El nombre del grupo del actor. Para obtener más información, consulta la sección Filtrar resultados por grupo de Google. Para añadir un grupo a la lista de grupos de filtrado permitidos, sigue estos pasos:
|
Unidad organizativa del actor | Unidad organizativa del actor |
ID de recurso | ID del recurso en el que se produjo la acción registrada |
Nombre del recurso | Nombre del recurso que se ha visto o modificado |
Tipo de recurso | Tipo de recurso en el que se produjo la acción registrada |
Tipo de conector | Tipo de conector utilizado para obtener información de un recurso de una fuente de datos |
Valor actual |
Si se cambian los ajustes, en este campo se muestra el valor actual de los ajustes; por ejemplo, Puede editar, Puede ver, Privado, Público en la Web o ID de espacio de trabajo del equipo actual. Nota: Este atributo sustituirá al valor Nuevo. |
Tipo de exportación de datos | Muestra el tipo o el formato de la exportación de datos en Looker Studio. Introduce uno de los siguientes valores:
|
Fecha | Fecha y hora en las que se ha producido el evento (se muestran en la zona horaria predeterminada de tu navegador) |
ID del contenido de distribución | ID de la programación o la alerta |
Nombre del contenido de distribución | Nombre de la programación o la alerta |
Correo del propietario del contenido de distribución | La dirección de correo electrónico del propietario de la programación o la alerta. El propietario de la programación es el editor más reciente. La persona propietaria de la alerta es quien la ha creado. |
Tipo de contenido de distribución | Tipo de contenido que se distribuye, como una programación o una alerta |
Insertado en el ID del informe | ID del informe en el que se inserta la fuente de datos |
Evento | La acción del evento registrado; por ejemplo, Crear, Exportación de datos o Restaurar |
Dirección IP | La dirección de protocolo de Internet (IP) asociada con la acción registrada. Suele reflejar la ubicación física del usuario, pero también puede ser la dirección de un servidor proxy o de una red privada virtual (VPN). |
Valor nuevo | Si se cambia la configuración, este campo muestra el nuevo valor de la configuración; por ejemplo, Puede editar, Puede ver, Privado o Público en la Web |
Valor anterior | Si se cambia la configuración, este campo muestra el valor anterior de la configuración; por ejemplo, Puede editar, Puede ver, Privado o Público en la Web |
Propietario | Propietario del recurso |
ID del espacio de trabajo superior | El espacio de trabajo en grupo del recurso. |
Valor anterior |
Si se cambia la configuración, en este campo se muestra el valor anterior de los ajustes; por ejemplo, Puede editar, Puede ver, Privado, Público en la Web o ID de espacio de trabajo del equipo actual. Nota: Este atributo sustituirá al valor Antiguo. |
Visibilidad anterior | Visibilidad del recurso Looker Studio antes de la actividad. |
ID de proyecto | El ID de proyecto de Google Cloud asociado a la habilitación de Gemini en Looker. |
Nombre del ajuste | Nombre del ajuste de Gemini en Looker. Selecciona uno de los siguientes valores:
|
Objetivo | Cuando se cambia el acceso de los usuarios, este campo muestra los usuarios o grupos de destino a los que se aplica este cambio de acceso |
Dominio objetivo | Si se cambia la visibilidad de un enlace, este campo muestra los dominios que tienen acceso al enlace. Por ejemplo, introduce el dominio de tu organización si el enlace se comparte dentro de tu dominio o introduce "Todos" si el enlace es de acceso público. |
Visibilidad | Visibilidad del recurso Looker Studio asociado a la actividad. |
Nota: Si has asignado un nuevo nombre a un usuario, en la consulta no aparecerán los resultados correspondientes a su nombre antiguo. Por ejemplo, si has cambiado NombreAntiguo@example.com a NuevoNombre@example.com, no aparecerán resultados de eventos relacionados con NombreAntiguo@example.com.
Exportar datos de eventos de registro de Looker Studio a BigQuery
Si tienes permiso, puedes exportar datos de eventos de registro de Looker Studio a Google BigQuery. Para exportar datos, debes seguir estos pasos:
- Configurar un proyecto de BigQuery para los registros de informes
- Configurar registros de BigQuery en la consola de administración
Más información sobre los registros de informes y BigQuery
Configurar alertas por correo electrónico
Puedes configurar alertas para controlar fácilmente la actividad concreta de Looker Studio. Por ejemplo, puedes recibir una alerta cada vez que alguien cree o elimine un informe.
- Abre los eventos de registro tal como se indica arriba, en el apartado Acceder a datos de eventos de registro de Looker Studio.
- Haz clic en Añadir un filtro.
- Introduce o selecciona los criterios del filtro y haz clic en Crear alerta.
- Ponle nombre.
- (Opcional) Para enviar la alerta a todos los superadministradores, en Destinatarios, haz clic en Activar.
- Introduce las direcciones de correo electrónico de los destinatarios de la alerta.
- Haz clic en Crear.
Para editar alertas personalizadas, consulta el artículo sobre las alertas por correo electrónico enviadas a administradores.
Gestionar datos de eventos de registro
Gestionar datos de columnas de resultados de búsqueda
Puedes controlar qué columnas de datos quieres que aparezcan en los resultados de búsqueda.
- En la parte superior derecha de la tabla de resultados de búsqueda, haz clic en Gestionar columnas .
- (Opcional) Para quitar columnas, haz clic en Quitar .
- (Opcional) Para añadir columnas, junto a Añadir nueva columna, haz clic en la flecha hacia abajo y selecciona la columna de datos.
Repite el proceso tantas veces como sea necesario. - (Opcional) Para cambiar el orden de las columnas, arrastra los nombres de las columnas de datos.
- Haz clic en Guardar.
Exportar datos de resultados de búsqueda
Puedes exportar los resultados de búsqueda a Hojas de cálculo de Google o a un archivo CSV.
- En la parte superior de la tabla de resultados de búsqueda, haz clic en Exportar todo.
- Introduce un nombre haz clic en Exportar.
La exportación se muestra debajo de la tabla de resultados de búsqueda, en Resultados de la acción Exportar. - Para ver los datos, haz clic en el nombre de tu exportación.
La exportación se abrirá en Hojas de cálculo de Google.
Los límites de exportación varían:
- Los resultados totales de la exportación están limitados a 100.000 de filas, excepto las búsquedas de mensajes de Gmail, que están limitadas a 10.000 de filas.
- Esta función está disponible en Cloud Identity Premium Edition. Comparar ediciones
Si utilizas la herramienta de investigación de seguridad, los resultados totales de la exportación se limitan a 30 millones de filas (excepto en el caso de las búsquedas de mensajes de Gmail, que tienen un límite de 10.000 filas).
Para obtener más información, consulta el artículo Exportar resultados de búsqueda.
¿Cuándo están disponibles los datos y durante cuánto tiempo?
Tomar medidas en función de los resultados de búsqueda
- Puedes configurar alertas basadas en datos de eventos de registro mediante reglas de informes. Para obtener instrucciones, consulta el artículo Crear y gestionar reglas de notificación.
- Esta función está disponible en Cloud Identity Premium Edition. Comparar ediciones
Crea reglas de actividad para automatizar acciones en la herramienta de investigación de seguridad y configurar alarmas, y así prevenir, detectar y solucionar problemas de seguridad de un modo más eficiente. Para crear una regla, configura sus condiciones y, a continuación, especifica qué acciones deben realizarse cuando esas condiciones se cumplan. Para obtener más detalles e instrucciones, consulta el artículo Crear y gestionar reglas de actividad.
Esta función está disponible en Cloud Identity Premium Edition. Comparar ediciones
Después de hacer una búsqueda en la herramienta de investigación de seguridad, puedes tomar medidas con respecto a los resultados. Por ejemplo, puedes hacer una búsqueda por eventos de registro de Gmail y luego usar la herramienta para eliminar mensajes específicos, enviar mensajes a cuarentena o enviarlos a las bandejas de entrada de los usuarios. Consulta más información en el artículo Tomar medidas en función de los resultados de búsqueda.
Gestionar tus investigaciones
Esta función está disponible en Cloud Identity Premium Edition. Comparar ediciones
Ver la lista de investigacionesPara ver tus propias investigaciones y las que se han compartido contigo, haz clic en Ver investigaciones. La lista de investigaciones contiene los nombres, las descripciones y los propietarios de las investigaciones, así como la fecha de la modificación más reciente.
En esta lista, puedes actuar sobre cualquiera de tus investigaciones, por ejemplo, para eliminar una de ellas. Marca la casilla de una investigación y haz clic en Acciones.
Nota: Justo encima de la lista de investigaciones, en Acceso rápido, puedes ver las investigaciones que se han guardado recientemente.
Como superadministrador, haz clic en Configuración para hacer lo siguiente:
- Cambiar la zona horaria de tus investigaciones. La zona horaria se aplica a las condiciones y a los resultados de búsqueda.
- Activar o desactivar la opción Exigir revisor. Consulta más información en el artículo Exigir revisores en acciones en bloque.
- Activar o desactivar la opción Ver contenido. Esta opción permite que los administradores que tengan el privilegio adecuado vean el contenido de correos.
- Activar o desactivar la opción Habilitar justificación de acciones.
Para obtener instrucciones y más información, consulta el artículo Configurar los ajustes de las investigaciones.
Para guardar tus criterios de búsqueda o compartirlos con otros usuarios, puedes crear y guardar una investigación y, a continuación, compartirla, duplicarla o eliminarla.
Para obtener más información, consulta el artículo Guardar, compartir, eliminar y duplicar investigaciones.
Temas relacionados
Temas relacionados con el Centro de seguridad
- Iniciar investigaciones basadas en un gráfico del panel de control
- Crear gráficos personalizados basados en investigaciones
- Iniciar investigaciones desde el Centro de alertas
- Investigar informes de correos electrónicos maliciosos
- Investigar el uso compartido de archivos
- Investigar a usuarios a través de varias fuentes de datos