Аудит действий пользователей в Сейфе

Вы можете проверить действия пользователей Сейфа, выполнявшиеся как в сервисе вообще, так и в связи с определенными делам. Например, общий аудит действий в Сейфе позволит вам выяснить, кто из пользователей изменял правила хранения, а проверка выбранных дел – узнать, кто скачивал файлы экспорта из этих дел.

Общий аудит действий в Сейфе

  1. Войдите в аккаунт на сайте vault.google.com.
  2. Нажмите Отчеты.
  3. При необходимости выберите диапазон дат.
  4. Если вы хотите проверить действия определенных пользователей Сейфа, введите их адреса электронной почты. Чтобы проверить действия всех пользователей Сейфа, оставьте это поле пустым.
  5. Выберите типы действий, которые вы хотите проверить:
    • Для аудита всех действий нажмите Выбрать все.
    • Чтобы проверить только некоторые действия, установите флажок рядом с каждым из них.
  6. Нажмите Скачать CSV-файл, чтобы скачать файл с результатами аудита на устройство.
  7. Откройте CSV-файл в редакторе таблиц, например в Google Таблицах. Определения значений в CSV-файле приведены в разделе Содержание отчета об аудите.

Аудит действий по выбранному делу

  1. Войдите в аккаунт на сайте vault.google.com.
  2. Нажмите Дела.
  3. Выберите нужное дело в списке.
  4. Нажмите Аудит.
  5. При необходимости выберите диапазон дат.
  6. Если вы хотите проверить действия определенных пользователей Сейфа, введите их адреса электронной почты. Чтобы проверить действия всех пользователей Сейфа, оставьте это поле пустым.
  7. Выберите типы действий, которые вы хотите проверить:
    • Для аудита всех действий нажмите Выбрать все.
    • Чтобы проверить только некоторые действия, установите флажок рядом с каждым из них. Примечание. При выполнении аудита по выбранному делу вы не получите отчет о действиях, связанных с правилами хранения, поскольку управление этими правилами не относится к уровню отдельных дел.
  8. Нажмите Скачать CSV-файл, чтобы скачать файл с результатами аудита на устройство.
  9. Откройте CSV-файл в редакторе таблиц, например в Google Таблицах. Определения значений в CSV-файле приведены в разделе Содержание отчета об аудите.

Содержание отчета об аудите

Каждая строка файла содержит сведения об одном действии. Каждое действие описывается 11 значениями. Некоторые из них применяются только к определенным действиям и отсутствуют для остальных.

Развернуть все | Свернуть все

Epoch milliseconds (Время в миллисекундах с начала отсчета)

Время выполнения действия в миллисекундах с начала отсчета времени, то есть количество миллисекунд, прошедших с 00:00:00 UTC/GMT 1 января 1970 г. Это значение не нужно конвертировать, так как для каждого действия в категории "Дата" указывается время в привычном формате.

Date (Дата)

Время выполнения действия в удобном для восприятия формате: день недели, дата, часы, минуты и секунды. В качестве часового пояса всегда используется тихоокеанское время (UTC –07:00 или –08:00).

Action (Действие)

Выполненное действие. Возможные значения:

Действие Описание

ADD_COLLABORATOR_BEGIN

ADD_COLLABORATOR_END

Регистрируется при получении доступа к папке. Идентификатор папки отображается в категории "Папка". Адрес электронной почты пользователя, которому был предоставлен доступ к папке, фиксируется в значении Электронная почта.

ADD_LITIGATION_HOLD_BEGIN

ADD_LITIGATION_HOLD_END

Регистрируется при создании в папке запрета на удаление данных. Идентификатор папки записывается в значение "Папка". Адрес электронной почты пользователя, данные которого нельзя удалять, фиксируется в значении "Имя".

ADD_RETENTION_RULE_BEGIN

ADD_RETENTION_RULE_END

Регистрируется при создании специального правила хранения. Новому правилу присваивается уникальный идентификатор, регистрируемый в значении "Имя". Срок хранения фиксируется в формате "Period: days" ("Срок: … дней") в значении "Подробные сведения".

CLOSE_INVESTIGATION_BEGIN

CLOSE_INVESTIGATION_END

Регистрируется при закрытии папки. Идентификатор папки записывается в значение "Папка".

CREATE_EXPORT_BEGIN

CREATE_EXPORT_END

Использовалось в прошлой версии. Заменено на EXPORT. Включается в отчет для экспорта, запущенного в феврале 2014 года и раньше.

Регистрируется при экспорте документов, поиск которых выполнялся в папке. Название файла экспорта записывается в значение "Имя". Критерии поиска фиксируются в значении "Строка запроса".

CREATE_INVESTIGATION_BEGIN

CREATE_INVESTIGATION_END

Регистрируется при создании папки. Идентификатор папки записывается в значение "Папка", а название – в значение "Имя".

CREATE_SAVED_QUERY_BEGIN

CREATE_SAVE_QUERY_END

Регистрируется при сохранении поискового запроса в деле. Использованные критерии поиска записываются в значение "Строка запроса".

DELETE_RETENTION_RULE_BEGIN

DELETE_RETENTION_RULE_END

Регистрируется при каждом удалении специального правила хранения. Идентификатор такого правила записывается в значение "Имя".
DOWNLOAD_CROSS_MATTER_LITIGATION_HOLD_REPORT Регистрируется при загрузке списка запретов на удаление данных на вкладке "Запреты на удаление данных, действующие в домене", "Запреты на удаление для отдельных пользователей" и "Запреты на удаление данных для групп".
DOWNLOAD_PER_MATTER_LITIGATION_HOLD_REPORT Регистрируется при загрузке списка запретов на удаление в папке. Идентификатор папки записывается в значение "Папка".
EXPORT Регистрируется при выполнении экспорта данных. Название файла экспорта записывается в значение "Имя". Критерии поиска фиксируются в значении "Строка запроса".

MODIFY_DEFAULT_RETENTION_PERIOD_BEGIN

MODIFY_DEFAULT_RETENTION_PERIOD_END

Регистрируется при каждом изменении правила хранения по умолчанию. Измененный срок хранения фиксируется в формате "Period: days" ("Срок: … дней") в значении "Подробные сведения".

REMOVE_COLLABORATOR_BEGIN

REMOVE_COLLABORATOR_END

Регистрируется при закрытии пользователю доступа к общей папке. Идентификатор папки записывается в значение "Папка". Адрес электронной почты пользователя, который потерял доступ к папке, фиксируется в значении Электронная почта.

REMOVE_LITIGATION_HOLD_BEGIN

REMOVE_LITIGATION_HOLD_END

Регистрируется при снятии запрета на удаление данных. Идентификатор папки записывается в значение "Папка". Адрес электронной почты пользователя, данные которого снова разрешено удалять, фиксируется в значении "Имя".
SEARCH Регистрируется при выполнении поиска в папке. Идентификатор папки записывается в значение "Папка". Критерии поиска фиксируются в значении "Строка запроса".

UPDATE_RETENTION_RULE_BEGIN

UPDATE_RETENTION_RULE_END

Регистрируется при изменении специального правила хранения. Идентификатор такого правила записывается в значение "Имя". Измененный срок хранения фиксируется в формате "Period: days" ("Срок: … дней") в значении "Подробные сведения".
VIEW_CROSS_MATTER_LITIGATION_HOLD_REPORT Регистрируется при выборе элемента Запреты для отдельных пользователей (просмотр пользователей, для которых действует запрет).
VIEW_CUSTODIAN_LITIGATION_HOLD_REPORT Регистрируется при выборе элемента Запреты на удаление данных, действующие в домене (просмотр организационных подразделений и пользователей, для которых действует запрет).
VIEW_DOCUMENT Регистрируется при просмотре документа. Уникальный идентификатор документа записывается в значение "Имя".
VIEW_INVESTIGATION Регистрируется при каждом открытии страниц "Поиск" или "Экспорт" в папке.
VIEW_MATTER_AUDIT_LOG Регистрируется при каждом выполнении аудиторской проверки в определенной папке. Идентификатор папки записывается в значение "Папка".
VIEW_PER_MATTER_LITIGATION_HOLD_REPORT Регистрируется при каждом просмотре запретов в папке. Идентификатор папки записывается в значение "Папка".
VIEW_RETENTION_POLICY Регистрируется при открытии страницы "Хранение".
VIEW_SYSTEM_AUDIT_LOG Регистрируется при каждом скачивании отчета об аудите.
User (Пользователь)

Адрес электронной почты пользователя Сейфа, совершившего действие, указанное в значении "Действие".

Matter (Папка)

Содержит уникальный идентификатор папки для действий, совершенных в определенной папке. Идентификатор папки присутствует в URL папки в Сейфе.

Name (Имя)

Данные, отображаемые в этом значении, зависят от действий, выполненных пользователем Сейфа.

  • Содержит уникальный идентификатор документа, если пользователь просмотрел документ (действие VIEW_DOCUMENT).

    Пример: ACD7onr49fP6DqvgAvIDhboAqqth9q7ekwGc0xpC3xjhpylzQvvQoNKmBKyE9NL1Qdww4eA2SQSc5mOF0JJ_bV_tkVFU3TWIdIrBYOiZLw0eBA9-xL7A-pc

  • Если пользователь добавил или удалил соавтора (действие ADD_COLLABORATOR_BEGIN/END или REMOVE_COLLABORATOR_BEGIN/END), содержит адрес электронной почты добавленного или удаленного пользователя.
  • Если пользователь создал экспорт в папке (действие CREATE_EXPORT_BEGIN/END), содержит название файла экспорта.
Email (Электронная почта)

Содержит адреса электронной почты соавторов, которые получили или потеряли доступ к папке (действие ADD_COLLABORATOR_BEGIN/END или REMOVE_COLLABORATOR_BEGIN/END).

Resource url (URL ресурса)

URL просмотренных пользователем документов (действие VIEW_DOCUMENT).

Query string (Строка запроса)

Параметры поиска, заданные для определенных поисковых запросов (действие SEARCH или SEARCH_COUNT).

Пример. query: "Project X" (запрос: "Проект X")

Organization (Организация)

Название организационного подразделения, к которому было применено действие (например, пользователь Сейфа создал правило хранения для конкретного отдела).

Details (Подробные сведения)

Срок хранения в днях, который пользователь задал для специального правила хранения. Запись выглядит так: "Period: days" ("Срок: … дней").

Срок хранения информации в журналах аудита

Пока ваша организация использует Сейф, ни компания Google, ни администраторы или пользователи Сейфа не могут полностью или частично удалить сведения о действиях в отчетах об аудите.

В случае прекращения использования Сейфа, данные аудита вашей организации будут удалены через 30 дней.

Эта информация оказалась полезной?
Как можно улучшить эту статью?
Поиск
Удалить поисковый запрос
Закрыть поиск
Приложения Google
Главное меню
Поиск по Справочному центру
true
96539
false
false