Como entender auditorias

As auditorias do Google Vault fornecem detalhes sobre ações executadas pelos usuários do Google Vault durante um período de tempo especificado. Os usuários são as pessoas que têm privilégios para fazer login no Google Vault e executar ações, por exemplo, definir regras de retenção ou pesquisar casos. Saiba mais sobre os privilégios do Google Vault.

Você pode executar e exportar auditorias do Google Vault como arquivos CSV. Esses arquivos podem ser visualizados em qualquer visualizador de planilhas, incluindo o Editor de planilhas do Google.

Como executar um relatório de auditoria do Google Vault

  1. No Vault, acesse Relatórios > Auditoria.
  2. Em Selecionar intervalo de datas, inclua as datas de início e término da auditoria.
  3. Em Selecionar usuários do Google Vault, inclua os usuários para os quais deseja fazer a auditoria. Os usuários do Google Vault digitados têm privilégios do Google Vault, e você está fazendo a auditoria das ações que eles executaram no Google Vault, por exemplo, se eles definiram regras de retenção, pesquisaram casos, modificaram retenções ou executaram qualquer outra ação administrativa.
  4. Em Selecionar tipos de ação, marque as caixas ao lado das ações para as quais deseja auditar informações.
  5. Clique em Fazer download de CSV. Será feito o download de um arquivo CSV que contém informações de auditoria no seu computador.

Conteúdo das auditorias

O conteúdo do arquivo CSV depende dos tipos de ação que você selecionou quando executou a auditoria. Por exemplo, talvez você tenha selecionado Política de retenção porque deseja fazer a auditoria das ações de um usuário do Google Vault relacionadas à retenção, por exemplo, quais regras de retenção um usuário do Vault criou ou modificou.

Cada linha de uma auditoria é referente a uma ação. Cada ação consiste em 11 categorias de informações: Segundos do período, Data, Ação, Usuário, Caso, Nome, E-mail, URL do recurso, String da consulta, Organização e Detalhes. Veja a seguir uma descrição dessas categorias.

Segundos de período

Esta categoria indica a hora na qual uma ação ocorreu em segundos de período, ou seja, o número de segundos decorridos desde 1 de janeiro de 1970 (meia-noite no horário UTC/GMT). Você não precisa fazer conversões de segundos de período, pois cada ação também é registrada com uma hora que pode ser lida por humanos na categoria "Data".

Data

Esta categoria indica a hora na qual a ação ocorreu em uma notação que pode ser lida por humanos. A categoria inclui o dia da semana, a data, a hora, o minuto e o segundo. O fuso horário é sempre o Horário do Pacífico (–0700 ou –0800).

Ação

Esta categoria indica uma ação ocorrida. Esta tabela inclui as várias ações e o que elas indicam:

Ação como identificada na auditoria Descrição
VIEW_SYSTEM_AUDIT_LOG Registrado sempre que alguém faz o download de uma auditoria.
VIEW_MATTER_AUDIT_LOG Registrado sempre que alguém executa uma auditoria em um caso específico. O código do caso é registrado na categoria "Caso".
VIEW_RETENTION_POLICY Registrado sempre que alguém acessa a página "Retenção".

MODIFY_DEFAULT_RETENTION_PERIOD_BEGIN

MODIFY_DEFAULT_RETENTION_PERIOD_END

Registrado sempre que alguém modifica a regra de retenção padrão. O período de retenção recém-modificado é registrado como "Período: nº de dias" na categoria "Detalhes".

ADD_RETENTION_RULE_BEGIN

ADD_RETENTION_RULE_END

Registrado sempre que um usuário cria uma nova regra de retenção. A nova regra recebe um código exclusivo, que é registrado na categoria "Nome". O período de retenção é registrado como "Período: nº de dias" na categoria "Detalhes".

UPDATE_RETENTION_RULE_BEGIN

UPDATE_RETENTION_RULE_END

Registrado sempre que alguém modifica uma regra de retenção personalizada. O código da regra de retenção personalizada é registrado na categoria "Nome". O período de retenção recém-modificado é registrado como "Período: nº de dias" na categoria "Detalhes".

DELETE_RETENTION_RULE_BEGIN

DELETE_RETENTION_RULE_END

Registrado sempre que alguém exclui uma regra de retenção. O código da regra de retenção personalizada é registrado na categoria "Nome".

CREATE_INVESTIGATION_BEGIN

CREATE_INVESTIGATION_END

Registrado sempre que alguém cria um novo caso. O código do caso é registrado na categoria "Caso". O nome do caso é registrado na categoria "Nome".
VIEW_CUSTODIAN_LITIGATION_HOLD_REPORT Registrado sempre que alguém clica em Retenções do domínio para ver retenções do domínio ou dos usuários.
VIEW_PER_MATTER_LITIGATION_HOLD_REPORT Registrado sempre que alguém visualiza retenções dentro de um caso. O código do caso é registrado na categoria "Caso".
VIEW_CROSS_MATTER_LITIGATION_HOLD_REPORT Registrado sempre que alguém clica em Retenções de usuários para ver quais usuários estão em retenção.
VIEW_INVESTIGATION Registrado sempre que alguém visualiza as páginas "Pesquisar" ou "Exportar" em um caso.

ADD_COLLABORATOR_BEGIN

ADD_COLLABORATOR_END

Registrado sempre que alguém compartilha um caso específico com outros usuários. O código do caso é registrado na categoria "Caso". O endereço de e-mail do usuário com o qual o caso foi compartilhado é registrado na categoria "E-mail" .

REMOVE_COLLABORATOR_BEGIN

REMOVE_COLLABORATOR_END

Registrado sempre que alguém remove outro usuário de um caso compartilhado. O código do caso é registrado na categoria "Caso". O endereço de e-mail do usuário com o qual o caso deixou de ser compartilhado é registrado na categoria "E-mail".

ADD_LITIGATION_HOLD_BEGIN

ADD_LITIGATION_HOLD_END

Registrado sempre que alguém cria uma nova retenção em um caso. O código do caso é registrado na categoria "Caso". O endereço de e-mail do usuário cujo conteúdo está retido é registrado na categoria "Nome".

REMOVE_LITIGATION_HOLD_BEGIN

REMOVE_LITIGATION_HOLD_END

Registrado sempre que alguém remove uma retenção em uma conta. O código do caso é registrado na categoria "Caso". O endereço de e-mail do usuário cujo conteúdo não está mais retido é registrado na categoria "Nome".
SEARCH Registrado quando alguém pesquisa um caso. O código do caso é registrado na categoria "Caso". Os critérios de pesquisa são registrados na categoria "String da consulta".

CREATE_SAVED_QUERY_BEGIN

CREATE_SAVE_QUERY_END

Registrado quando alguém salva uma consulta de pesquisa em um caso. Os critérios de pesquisa usados são registrados na categoria "Pesquisa da consulta".
VIEW_DOCUMENT Registrado quando alguém visualiza um documento. Um código exclusivo para esse documento é registrado na categoria "Nome".
VIEW_DOCUMENT_INFORMATION Registrado com VIEW_DOCUMENT. Os termos de pesquisa usados para localizar o documento são registrados na categoria "String da consulta".

CREATE_EXPORT_BEGIN

CREATE_EXPORT_END

Registrado quando um usuário exporta documentos que foram pesquisados em um caso. O nome do arquivo exportado é registrado na categoria "Nome". Os critérios de pesquisa são registrados na categoria "String da consulta".

CLOSE_INVESTIGATION_BEGIN

CLOSE_INVESTIGATION_END

Registrado quando alguém fecha um caso. O código do caso é registrado na categoria "Caso".
Usuário

Esta categoria contém o endereço de e-mail do usuário do Google Vault que executou a ação identificada na categoria "Ação".

Caso

Quando o usuário do Google Vault interage com um caso, um código exclusivo para o caso é exibido nesta categoria. Esse código aparece no URL do Google Vault para o caso.

Nome

As informações nesta categoria dependem das ações executadas pelo usuário do Google Vault:

  • Se a ação envolver a visualização de um documento (VIEW_DOCUMENT ou VIEW_DOCUMENT_INFORMATION), a categoria "Nome" terá o código exclusivo desse documento.

    Exemplo: ACD7onr49fP6DqvgAvIDhboAqqth9q7ekwGc0xpC3xjhpylzQvvQoNKmBKyE9NL1Qdww4eA2SQSc5mOF0JJ_bV_tkVFU3TWIdIrBYOiZLw0eBA9-xL7A-pc

  • Se a ação envolver a adição ou a remoção de um colaborador (ADD_COLLABORATOR_BEGIN/END ou REMOVE_COLLABORATOR_BEGIN/END), a categoria "Nome" terá o endereço de e-mail do usuário que foi adicionado ou removido.
  • Se a ação envolver a exportação de documentos de um caso (CREATE_EXPORT_BEGIN/END), a categoria "Nome" terá o nome do arquivo exportado.
E-mail

A categoria "E-mail" contém o endereço de e-mail de um colaborador que foi adicionado a um caso ou removido de um caso, o que é visto com as ações ADD_COLLABORATOR_BEGIN/END ou REMOVE_COLLABORATOR_BEGIN/END.

URL do recurso

A categoria "URL do recurso" contém o URL de qualquer documento visualizado pelo usuário, o que pode ser visto com as ações VIEW_DOCUMENT ou VIEW_DOCUMENT_INFORMATION.

String da consulta

Esta categoria contém os parâmetros de pesquisa que um usuário digitou para uma pesquisa específica.

Examplo: consulta: "( Projeto X )"

Organização

Esta categoria contém o nome da unidade organizacional no seu domínio à qual a ação se aplica, por exemplo, se o usuário do Google Vault criou uma regra de retenção que se aplica a uma unidade organizacional específica.

Detalhes

Esta categoria contém o período de tempo em dias especificado por um usuário para uma regra de retenção personalizada. O período é indicado como "Período: nº de dias".

Por quanto tempo as ações ficam registradas em auditorias

As ações registradas em auditorias não podem ser excluídas ou truncadas pelo Google nem por qualquer administrador do Google Vault enquanto sua empresa continuar usando o Google Vault.

Se sua organização rescindir o serviço do Google Vault, os dados da auditoria serão excluídos após aproximadamente 30 dias.

Isso foi útil?
Como podemos melhorá-lo?