Depending on your Google Workspace edition, you might have access to the security investigation tool, which has more advanced features. For example, super admins can identify, triage, and take action on security and privacy issues. Learn more
יצירה של מקור נתונים שחולץ גם גורמת ליצירה של אירוע ייצוא של מקור הנתונים שחולץ.
למידע על פעולות ושירותים אחרים, כמו Google Drive ופעילות משתמש, תוכלו לעיין ברשימה של אירועים ביומן.
הערה: מקור הנתונים ביומני האירועים של Looker Studio מספק נתונים מ-6 החודשים הקודמים. לשמירה לתקופה ארוכה יותר, אפשר לייצא את נתוני היומן.
הרצת חיפוש לאירועים ביומן
Your ability to run a search depends on your Google edition, your administrative privileges, and the data source. You can run a search on all users, regardless of their Google Workspace edition.
כדי להריץ חיפוש לאירועים ביומן, קודם צריך לבחור מקור נתונים ואחר כך לבחור מסנן אחד או יותר לחיפוש.
-
היכנסו אל מסוף Google Admin באמצעות חשבון אדמין.
אי אפשר לגשת למסוף אדמין בלי חשבון אדמין.
-
Go to Menu
Reporting > Audit and investigation > Looker Studio log events.
Requires having the Reports administrator privilege.
- לוחצים על הוספת מסנן ובוחרים מאפיין.
- בחלון הקופץ, בוחרים אופרטור
בוחרים ערך
- (אופציונלי) כדי ליצור כמה מסננים לחיפוש, חוזרים על השלב הזה.
- (אופציונלי) כדי להוסיף סימן או מילה למיקוד החיפוש, מעל הוספת מסנן, בוחרים באפשרות וגם או או.
- (אופציונלי) כדי ליצור כמה מסננים לחיפוש, חוזרים על השלב הזה.
- (אופציונלי) כדי להוסיף סימן או מילה למיקוד החיפוש, מעל הוספת מסנן, בוחרים באפשרות AND או OR.
- לוחצים על חיפוש.
-
הערה: בכרטיסייה מסנן אפשר לכלול צמדים פשוטים של פרמטרים וערכים כדי לסנן את תוצאות החיפוש. תוכלו גם להשתמש בכרטיסייה הגדרת תנאים, שבה המסננים מיוצגים כתנאים באמצעות אופרטורים מסוג AND/OR.
To run a search in the security investigation tool, first choose a data source. Then, choose one or more conditions for your search. For each condition, choose an attribute, an operator, and a value.
-
היכנסו אל מסוף Google Admin באמצעות חשבון אדמין.
אי אפשר לגשת למסוף אדמין בלי חשבון אדמין.
-
Go to Menu
Security > Security center > Investigation tool.
Requires having the Security center administrator privilege.
- לוחצים על מקור נתונים ובוחרים באפשרות אירועים ביומן של Looker Studio.
- Click Add Condition.
Tip: You can include one or more conditions in your search or customize your search with nested queries. For details, go to Customize your search with nested queries. - Click Attribute
For a complete list of attributes, go to the Attribute descriptions section (later on this page). - Select an operator.
- Enter a value or select a value from the list.
- (Optional) To add more search conditions, repeat steps 4–7.
- Click Search.
You can review the search results from the investigation tool in a table at the bottom of the page. - (Optional) To save your investigation, click Save
Notes
- In the Condition builder tab, filters are represented as conditions with AND/OR operators. You can also use the Filter tab to include simple parameter and value pairs to filter the search results.
- If you gave a user a new name, you will not see query results with the user's old name. For example, if you rename OldName@example.com to NewName@example.com, you will not see results for events related to OldName@example.com.
תיאורי מאפיינים
כשמחפשים נתוני אירועים ביומן, אפשר להשתמש במאפיינים הבאים במקור הנתונים הזה:
| Attribute | Description |
|---|---|
| Actor | Email address of the user who performed the action |
| Actor group name |
שם הקבוצה של השחקן. מידע נוסף זמין במאמר סינון תוצאות לפי קבוצת Google. כדי להוסיף קבוצה לרשימת ההיתרים של קבוצות הסינון:
|
| Actor organizational unit | Organizational unit of the actor |
| Asset ID | ID of the asset where the logged action happened |
| Asset name | The name of the asset that was viewed or changed |
| Asset type | The type of asset where the logged action happened |
| Connector type | The type of connector used to fetch data for a data source asset |
| Current value |
If settings are changed, this field shows the current value of the settings—for example, Can edit, Can view, Private, Public on the web, or Current team workspace ID. Note: This attribute will replace New value. |
| Data export type | The type or format of the data export in Looker Studio. Enter one of the following values:
|
| Date | Date and time of the event (displayed in your browser's default time zone) |
| Distribution content ID | The ID of the schedule or alert |
| Distribution content name | The name of the schedule or alert |
| Distribution content owner email | The email address for the owner of the schedule or alert. The schedule owner is its most recent editor. The alert owner is the alert creator. |
| Distribution content type | The type of content being distributed like schedule or alert |
| Embedded in report ID | ID of the report where the data source is embedded |
| Event | The logged event action, such as Create, Data Export, or Restore |
| IP address | Internet Protocol (IP) address associated with the logged action. Usually reflects the user's physical location, but could be a proxy server or a virtual private network (VPN) address. |
| New value | If settings are changed, this field shows the new value of the settings—for example, Can edit, Can view, Private, or Public on the web. |
| Old value | If settings are changed, this field shows is the old value of the settings—for example, Can edit, Can view, Private, or Public on the web. |
| Owner | The owner of the asset |
| Parent Workspace ID | The team workspace for the asset. |
| Previous Value |
If settings are changed, this field shows the previous value of the settings—for example, Can edit, Can view, Private, Public on the web, or Current team workspace ID. Note: This attribute will replace Old value. |
| Prior visibility | Visibility of the Looker Studio asset before the activity |
| Project ID | The Google Cloud project ID that is associated with the Gemini in Looker enablement. |
| Setting name | The name of the Gemini in Looker setting. Select one of the following values:
|
| Target | When changing user access, this field captures the target users or groups that this access change applies to |
| Target domain | If link visibility is changed, this field captures the domains that have access to the link. For example, enter the domain for your organization if the link is shared within your domain, or enter all if the link has public access. |
| Visibility | Visibility of the Looker Studio asset associated with the activity |
הערה: אם נתתם למשתמש שם חדש, לא יוצגו תוצאות של שאילתות עם השם הישן שלו. לדוגמה, אם שיניתם את השם OldName@example.com לשם NewName@example.com, לא תראו תוצאות של אירועים שקשורים ל-OldName@example.com.
ייצוא נתוני אירועים ביומן של Looker Studio ל-BigQuery
אם יש לכם אישור, תוכלו לייצא נתוני אירועים ביומן Looker Studio ל-Google BigQuery. כדי לבצע ייצוא, צריך:
מידע נוסף על יומני דיווח ו-BigQuery
הגדרה של התראות באימייל
אפשר להגדיר התראות כדי לעקוב בקלות אחרי פעילויות ספציפיות ב-Looker Studio. לדוגמה, תוכלו לקבל התראה בכל פעם שמשתמש יוצר או מוחק דוח.
- פותחים את האירועים ביומן כמו שמתואר למעלה בקטע פתיחה של נתוני אירועים ביומן של Looker Studio.
- לוחצים על הוספת מסנן.
- מזינים או בוחרים קריטריונים למסננים ולוחצים על יצירת התראה.
- נותנים שם להתראה.
- (אופציונלי) כדי לשלוח את ההתראה לכל הסופר-אדמינים, בקטע נמענים לוחצים על הפעלה.
- מזינים את כתובות האימייל של מי שרוצים שתישלח להם התראה.
- לוחצים על יצירה.
בקטע התראות אימייל לאדמינים יש הסבר על עריכה של התראות מותאמת אישית.
ניהול נתוני האירועים ביומן
ניהול עמודות הנתונים של תוצאות החיפוש
אתם יכולים לקבוע אילו עמודות נתונים יופיעו בתוצאות החיפוש.
- בפינה השמאלית העליונה של טבלת תוצאות החיפוש, לוחצים על הסמל לניהול העמודות
.
- (אופציונלי) כדי להסיר עמודות שמוצגות כרגע, לוחצים על סמל ההסרה
.
- (אופציונלי) כדי להוסיף עמודות, לצד הוספת עמודה חדשה לוחצים על החץ למטה
ובוחרים את עמודת הנתונים.
חוזרים על הפעולה לפי הצורך. - (אופציונלי) כדי לשנות את סדר העמודות, גוררים את השמות של עמודות הנתונים.
- לוחצים על שמירה.
ייצוא נתונים של תוצאות חיפוש
אתם יכולים לייצא את תוצאות החיפוש ל-Google Sheets או לקובץ CSV.
- בחלק העליון של טבלת תוצאות החיפוש, לוחצים על ייצוא של הכול.
- מזינים שם
קובץ הייצוא מוצג מתחת לטבלת תוצאות החיפוש בקטע ייצוא התוצאות של פעולה. - כדי להציג את הנתונים, לוחצים על שם הייצוא.
קובץ הייצוא נפתח ב-Google Sheets.
מגבלות הנתונים שאפשר לייצא משתנות לפי:
- מספר השורות הכולל של התוצאות שאתם יכולים לייצא מוגבל ל-100,000 שורות (למעט חיפושים של הודעות ב-Gmail, שמספר השורות שלהם מוגבל ל-10,000).
- Supported editions for this feature: Frontline Standard; Enterprise Standard and Enterprise Plus; Education Standard and Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. השוואה בין מהדורות
אם אתם משתמשים בכלי לחקירת אבטחה, אתם יכולים לייצא עד 30 מיליון שורות של תוצאות סה"כ (למעט חיפושים של הודעות ב-Gmail, שמוגבלים ל-10,000 שורות).
למידע נוסף על ייצוא תוצאות חיפוש
מתי הנתונים נעשים זמינים ולמשך כמה זמן הם נשמרים?
טיפול באירועים על סמך תוצאות החיפוש
- You can set up alerts based on log event data using reporting rules. For instructions, see Create and manage reporting rules.
- Supported editions for this feature: Frontline Standard; Enterprise Standard and Enterprise Plus; Education Standard and Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. השוואה בין מהדורות
To help prevent, detect, and remediate security issues efficiently, you can automate actions in the security investigation tool and set up alerts by creating activity rules. To set up a rule, set up conditions for the rule, and then specify what actions to perform when the conditions are met. For details and instructions, see Create and manage activity rules.
Supported editions for this feature: Frontline Standard; Enterprise Standard and Enterprise Plus; Education Standard and Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. השוואה בין מהדורות
After you run a search in the security investigation tool, you can act on your search results. For example, you can run a search based on Gmail log events and then use the tool to delete specific messages, send messages to quarantine, or send messages to users' inboxes. For more details, go to Take action based on search results.
ניהול החקירות
Supported editions for this feature: Frontline Standard; Enterprise Standard and Enterprise Plus; Education Standard and Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. השוואה בין מהדורות
View your list of investigationsTo view a list of the investigations that you own and that were shared with you, click View investigations . The investigation list includes the names, descriptions, and owners of the investigations, and the date last modified.
From this list, you can take action on any investigations that you own—for example, to delete an investigation. Check the box for an investigation and then click Actions.
Note: Directly above your list of investigations, under Quick access, you can view recently saved investigations.
As a super administrator, click Settings to:
- Change the time zone for your investigations. The time zone applies to search conditions and results.
- Turn on or off Require reviewer. For more details, go to Require reviewers for bulk actions.
- Turn on or off View content. This setting allows admins with the appropriate privileges to view content.
- Turn on or off Enable action justification.
For instructions and details, go to Configure settings for your investigations.
To save your search criteria or share it with others, you can create and save an investigation, and then share, duplicate, or delete it.
For details, go to Save, share, delete, and duplicate investigations.
