Événements de journaux Vault

Outil de sécurité et d'investigation

Éditions compatibles avec cette fonctionnalité : Frontline Standard ; Business Plus ; Enterprise Standard et Enterprise Plus ; Education Fundamentals, Education Standard, Teaching and Learning Upgrade et Education Plus ; Enterprise Essentials et Enterprise Essentials Plus ; G Suite Business. Comparer votre édition

La page de l'outil de sécurité et d'investigation vous permet de rechercher des problèmes de sécurité liés aux événements de journaux Vault et de prendre les mesures adéquates. Vous pouvez consulter un récapitulatif des actions effectuées dans la console Vault, par exemple quels utilisateurs ont modifié les règles de conservation ou téléchargé des fichiers d'exportation.

Depuis le 4 décembre 2023, les journaux d'audit Vault sont transférés de la console Vault vers la console d'administration Google Workspace. Du 4 décembre 2023 au 2 janvier 2024, le journal d'audit Vault est disponible dans Vault et dans la console d'administration. Après le 2 janvier 2024, le journal d'audit Vault ne sera disponible que dans la console d'administration.

Sur cette page

Effectuer une recherche dans la console d'administration

Pour lancer une recherche dans l'outil d'investigation, choisissez d'abord une source de données. Choisissez ensuite une ou plusieurs conditions pour votre recherche. Pour chaque condition, sélectionnez un attribut, un opérateur et une valeur

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis  Sécurité puis Centre de sécurité puis Outil d'investigation.
  3. Cliquez sur Source de données et sélectionnez Événements de journaux Vault.
  4. Cliquez sur Ajouter une condition.
    Conseil : Vous pouvez inclure une ou plusieurs conditions dans votre recherche ou la personnaliser avec des requêtes imbriquées. Pour en savoir plus, consultez Personnaliser votre recherche avec des requêtes imbriquées.
  5. Cliquez sur Attributpuissélectionnez une option.
    Pour obtenir la liste complète des attributs, consultez Descriptions des attributs ci-dessous.
  6. Cliquez sur Contientpuissélectionnez un opérateur.
  7. Saisissez une valeur ou sélectionnez-en une dans la liste déroulante.
  8. (Facultatif) Pour ajouter d'autres critères de recherche, répétez les étapes 4 à 7.
  9. Cliquez sur Rechercher.
    Les résultats de la recherche dans l'outil d'investigation sont affichés dans un tableau en bas de la page.
  10. (Facultatif) Pour enregistrer votre enquête, cliquez sur Enregistrer puissaisissez un titre et une descriptionpuiscliquez sur Enregistrer.

Remarque :

  • Dans l'onglet Générateur de conditions, les filtres sont représentés par des conditions avec des opérateurs AND/OR. L'onglet Filtre vous permet d'inclure des paires de paramètres et de valeurs simples afin de filtrer les résultats de la recherche.
  • Si vous avez donné un nouveau nom à un utilisateur, vous n'obtiendez aucun résultat si vous lancez des requêtes avec son ancien nom. Par exemple, si vous changez AncienNom@exemple.com en NouveauNom@exemple.com, vous n'obtiendrez aucun résultat pour des événements liés à AncienNom@exemple.com.

Effectuer une recherche dans la console Vault

Ouvrir la section  |  Tout réduire et revenir en haut de la page

Rechercher des événements de journaux Vault
  1. Connectez-vous à vault.google.com.
  2. Cliquez sur Rapports.
  3. (Facultatif) Sélectionnez une plage de dates.
  4. (Facultatif) Saisissez les adresses e-mail des utilisateurs Vault dont vous souhaitez auditer les actions. Pour auditer les actions de tous les utilisateurs Vault, laissez ce champ vide.
  5. Sélectionnez les types d'actions que vous souhaitez auditer dans Vault :
    • Pour auditer toutes les actions, cliquez sur Sélectionner tout.
    • Pour auditer seulement certaines actions, cochez les cases correspondantes.
  6. Cliquez sur Télécharger au format CSV.

    Un fichier CSV contenant des informations d'audit est téléchargé sur votre ordinateur. 

  7. Ouvrez le fichier CSV dans un tableur tel que Google Sheets. Pour connaître la définition des valeurs du fichier CSV, consultez Description des attributs (plus loin sur cette page).
Auditer l'activité en rapport avec un litige
  1. Connectez-vous à vault.google.com.
  2. Cliquez sur Litiges.
  3. Dans la liste des litiges, cliquez sur celui que vous souhaitez auditer.
  4. Cliquez sur Audit.

    Remarque: Pour afficher les journaux d'audit du litige dans la console d'administration Google, cliquez sur Essayez maintenant. L'ID du litige que vous avez sélectionné est chargé automatiquement dans l'outil de sécurité et d'investigation. Vous pouvez également copier l'ID du litige dans l'URL:
    Matter ID location in a URL

  5. (Facultatif) Sélectionnez une plage de dates.
  6. (Facultatif) Saisissez les adresses e-mail des utilisateurs Vault dont vous souhaitez auditer les actions. Pour auditer les actions de tous les utilisateurs Vault, laissez ce champ vide.
  7. Sélectionnez les types d'actions que vous souhaitez auditer dans Vault :
    • Pour auditer toutes les actions, cliquez sur Sélectionner tout.
    • Pour auditer seulement certaines actions, cochez les cases correspondantes. Remarque : Aucune action liée à une règle de conservation n'est consignée pour les audits en rapport avec un litige, car ces règles sont gérées en dehors des litiges.
  8. Cliquez sur Télécharger au format CSV.

    Un fichier CSV contenant des informations d'audit est téléchargé sur votre ordinateur. 

  9. Ouvrez le fichier CSV dans un tableur tel que Google Sheets. Pour connaître la définition des valeurs du fichier CSV, consultez Description des attributs (plus loin sur cette page).

Descriptions des attributs

Pour cette source de données, vous pouvez utiliser les attributs suivants lorsque vous recherchez des données d'événements de journaux :

Attribut Description
Acteur Adresse e-mail de l'utilisateur ayant réalisé l'action.
Informations supplémentaires Contient des détails supplémentaires sur la charge utile, tels que la durée et les conditions de conservation
Date Date et heure auxquelles l'événement s'est produit (affichées dans le fuseau horaire par défaut de votre navigateur).
Événement Action d'événement consignée, telle que Afficher l'investigation, Afficher le document externe ou Début de l'ajout d'un collaborateur.
ID du litige

ID du litige. Cet ID n'est pas disponible pour tous les événements, mais pour ceux liés à un litige.
Nom de l'unité organisationnelle Nom de l'unité organisationnelle concernée par l'action
Requête

Paramètres de recherche saisis par l'utilisateur pour une recherche spécifique
Nom de la ressource Nom de la ressource associée à l'action, tel que le nom de l'obligation de conservation ou le nom de la requête enregistrée
URL de la ressource URL d'un document consulté par l'utilisateur
Utilisateur cible

Adresse e-mail de l'utilisateur concerné (par exemple, celui d'un utilisateur soumis à une obligation de conservation)

Gérer vos enquêtes

Ouvrir la section  |  Tout réduire et revenir en haut de la page

Afficher la liste d'enquêtes

Pour afficher la liste des enquêtes dont vous êtes le propriétaire et qui ont été partagées avec vous, cliquez sur Afficher les investigations . La liste des enquêtes inclut leurs noms, leurs descriptions et leurs propriétaires, ainsi que la date de la dernière modification.

Cette liste vous permet d'intervenir sur les enquêtes que vous possédez, par exemple pour en supprimer une. Cochez la case correspondant à une enquête, puis cliquez sur Actions.

Remarque : Juste au-dessus de votre liste d'enquêtes, sous Accès rapide, vous pouvez afficher les enquêtes récemment enregistrées.

Configurer les paramètres de vos enquêtes

En tant que super-administrateur, cliquez sur Paramètres  pour effectuer les actions suivantes :

  • Modifier le fuseau horaire de votre événement. Le fuseau horaire s'applique aux conditions de recherche et aux résultats.
  • Activer ou désactiver l'option Exiger une validation. Pour en savoir plus, consultez Exiger une validation pour les actions groupées.
  • Activer ou désactiver Afficher le contenu. Ce paramètre permet aux administrateurs disposant des droits d'accès appropriés d'afficher le contenu.
  • Activer ou désactiver l'option Activer la justification des actions.

Pour en savoir plus et obtenir des instructions, consultez Configurer les paramètres de vos enquêtes.

Gérer les colonnes dans vos résultats de recherche

Vous pouvez contrôler l'affichage des colonnes de données dans les résultats de recherche.

  1. En haut à droite du tableau des résultats de recherche, cliquez sur Gérer les colonnes .
  2. (Facultatif) Pour supprimer les colonnes actuelles, cliquez sur Supprimer l'élément .
  3. (Facultatif) Pour ajouter des colonnes, à côté de "Ajouter une colonne", cliquez sur la flèche vers le bas , puis sélectionnez la colonne de données.
    Répétez l'opération autant de fois que nécessaire.
  4. (Facultatif) Pour modifier l'ordre des colonnes, faites glisser leur nom.
  5. Cliquez sur Enregistrer.
Exporter des données à partir des résultats de recherche

Vous pouvez exporter les résultats d'une recherche dans l'outil d'investigation vers Google Sheets ou un fichier CSV. Pour savoir comment procéder, consultez Exporter les résultats de recherche.

Partager, supprimer et dupliquer des enquêtes

Pour enregistrer vos critères de recherche ou les partager avec d'autres utilisateurs, vous pouvez créer et enregistrer une enquête, puis la partager, la dupliquer ou la supprimer.

Pour en savoir plus, consultez Enregistrer et partager des enquêtes.

Quand et pendant combien de temps les données sont-elles disponibles ?

Pour en savoir plus sur les sources de données, consultez Conservation des données et temps de latence.

Articles associés

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
true
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
2447789788690157566
true
Rechercher dans le centre d'aide
true
true
true
true
true
96539
false
false