Вы можете проверить действия пользователей Сейфа, выполнявшиеся как в сервисе вообще, так и в связи с определенными делам. Например, общий аудит действий в Сейфе позволит вам выяснить, кто из пользователей изменял правила хранения, а проверка выбранных дел – узнать, кто скачивал файлы экспорта из этих дел.
Общий аудит действий в Сейфе
- Войдите в аккаунт на сайте vault.google.com.
- Нажмите Отчеты.
- При необходимости выберите диапазон дат.
- Если вы хотите проверить действия определенных пользователей Сейфа, введите их адреса электронной почты. Чтобы проверить действия всех пользователей Сейфа, оставьте это поле пустым.
- Выберите типы действий, которые вы хотите проверить:
- Для аудита всех действий нажмите Выбрать все.
- Чтобы проверить только некоторые действия, установите флажок рядом с каждым из них.
- Нажмите Скачать CSV-файл, чтобы скачать файл с результатами аудита на устройство.
- Откройте CSV-файл в редакторе таблиц, например в Google Таблицах. Определения значений в CSV-файле приведены в разделе Содержание отчета об аудите.
Аудит действий по выбранному делу
- Войдите в аккаунт на сайте vault.google.com.
- Нажмите Дела.
- Выберите нужное дело в списке.
- Нажмите Аудит.
- При необходимости выберите диапазон дат.
- Если вы хотите проверить действия определенных пользователей Сейфа, введите их адреса электронной почты. Чтобы проверить действия всех пользователей Сейфа, оставьте это поле пустым.
- Выберите типы действий, которые вы хотите проверить:
- Для аудита всех действий нажмите Выбрать все.
- Чтобы проверить только некоторые действия, установите флажок рядом с каждым из них. Примечание. При выполнении аудита по выбранному делу вы не получите отчет о действиях, связанных с правилами хранения, поскольку управление этими правилами не относится к уровню отдельных дел.
- Нажмите Скачать CSV-файл, чтобы скачать файл с результатами аудита на устройство.
- Откройте CSV-файл в редакторе таблиц, например в Google Таблицах. Определения значений в CSV-файле приведены в разделе Содержание отчета об аудите.
Содержание отчета об аудите
Каждая строка файла содержит сведения об одном действии. Каждое действие описывается 11 значениями. Некоторые из них применяются только к определенным действиям и отсутствуют для остальных.
Epoch milliseconds (Время в миллисекундах с начала отсчета)Время выполнения действия в миллисекундах с начала отсчета времени, то есть количество миллисекунд, прошедших с 00:00:00 UTC/GMT 1 января 1970 г. Это значение не нужно конвертировать, так как для каждого действия в категории "Дата" указывается время в привычном формате.
Время выполнения действия в удобном для восприятия формате: день недели, дата, часы, минуты и секунды. В качестве часового пояса всегда используется тихоокеанское время (UTC –07:00 или –08:00).
Выполненное действие. Возможные значения:
| Действие | Описание |
|---|---|
|
ADD_COLLABORATOR_BEGIN ADD_COLLABORATOR_END |
Регистрируется при получении доступа к папке. Идентификатор папки отображается в категории "Папка". Адрес электронной почты пользователя, которому был предоставлен доступ к папке, фиксируется в значении Электронная почта. |
|
ADD_LITIGATION_HOLD_BEGIN ADD_LITIGATION_HOLD_END |
Регистрируется при создании в папке запрета на удаление данных. Идентификатор папки записывается в значение "Папка". Адрес электронной почты пользователя, данные которого нельзя удалять, фиксируется в значении "Имя". |
|
ADD_RETENTION_RULE_BEGIN ADD_RETENTION_RULE_END |
Регистрируется при создании специального правила хранения. Новому правилу присваивается уникальный идентификатор, регистрируемый в значении "Имя". Срок хранения фиксируется в формате "Period: … days" ("Срок: … дней") в значении "Подробные сведения". |
|
CLOSE_INVESTIGATION_BEGIN CLOSE_INVESTIGATION_END |
Регистрируется при закрытии папки. Идентификатор папки записывается в значение "Папка". |
|
CREATE_EXPORT_BEGIN CREATE_EXPORT_END |
Использовалось в прошлой версии. Заменено на EXPORT. Включается в отчет для экспорта, запущенного в феврале 2014 года и раньше. Регистрируется при экспорте документов, поиск которых выполнялся в папке. Название файла экспорта записывается в значение "Имя". Критерии поиска фиксируются в значении "Строка запроса". |
|
CREATE_INVESTIGATION_BEGIN CREATE_INVESTIGATION_END |
Регистрируется при создании папки. Идентификатор папки записывается в значение "Папка", а название – в значение "Имя". |
|
CREATE_SAVED_QUERY_BEGIN CREATE_SAVE_QUERY_END |
Регистрируется при сохранении поискового запроса в деле. Использованные критерии поиска записываются в значение "Строка запроса". |
|
DELETE_RETENTION_RULE_BEGIN DELETE_RETENTION_RULE_END |
Регистрируется при каждом удалении специального правила хранения. Идентификатор такого правила записывается в значение "Имя". |
| DOWNLOAD_CROSS_MATTER_LITIGATION_HOLD_REPORT | Регистрируется при загрузке списка запретов на удаление данных на вкладке "Запреты на удаление данных, действующие в домене", "Запреты на удаление для отдельных пользователей" и "Запреты на удаление данных для групп". |
| DOWNLOAD_PER_MATTER_LITIGATION_HOLD_REPORT | Регистрируется при загрузке списка запретов на удаление в папке. Идентификатор папки записывается в значение "Папка". |
| EXPORT | Регистрируется при выполнении экспорта данных. Название файла экспорта записывается в значение "Имя". Критерии поиска фиксируются в значении "Строка запроса". |
|
MODIFY_DEFAULT_RETENTION_PERIOD_BEGIN MODIFY_DEFAULT_RETENTION_PERIOD_END |
Регистрируется при каждом изменении правила хранения по умолчанию. Измененный срок хранения фиксируется в формате "Period: … days" ("Срок: … дней") в значении "Подробные сведения". |
|
REMOVE_COLLABORATOR_BEGIN REMOVE_COLLABORATOR_END |
Регистрируется при закрытии пользователю доступа к общей папке. Идентификатор папки записывается в значение "Папка". Адрес электронной почты пользователя, который потерял доступ к папке, фиксируется в значении Электронная почта. |
|
REMOVE_LITIGATION_HOLD_BEGIN REMOVE_LITIGATION_HOLD_END |
Регистрируется при снятии запрета на удаление данных. Идентификатор папки записывается в значение "Папка". Адрес электронной почты пользователя, данные которого снова разрешено удалять, фиксируется в значении "Имя". |
| SEARCH | Регистрируется при выполнении поиска в папке. Идентификатор папки записывается в значение "Папка". Критерии поиска фиксируются в значении "Строка запроса". |
|
UPDATE_RETENTION_RULE_BEGIN UPDATE_RETENTION_RULE_END |
Регистрируется при изменении специального правила хранения. Идентификатор такого правила записывается в значение "Имя". Измененный срок хранения фиксируется в формате "Period: … days" ("Срок: … дней") в значении "Подробные сведения". |
| VIEW_CROSS_MATTER_LITIGATION_HOLD_REPORT | Регистрируется при выборе элемента Запреты для отдельных пользователей (просмотр пользователей, для которых действует запрет). |
| VIEW_CUSTODIAN_LITIGATION_HOLD_REPORT | Регистрируется при выборе элемента Запреты на удаление данных, действующие в домене (просмотр организационных подразделений и пользователей, для которых действует запрет). |
| VIEW_DOCUMENT | Регистрируется при просмотре документа. Уникальный идентификатор документа записывается в значение "Имя". |
| VIEW_INVESTIGATION | Регистрируется при каждом открытии страниц "Поиск" или "Экспорт" в папке. |
| VIEW_MATTER_AUDIT_LOG | Регистрируется при каждом выполнении аудиторской проверки в определенной папке. Идентификатор папки записывается в значение "Папка". |
| VIEW_PER_MATTER_LITIGATION_HOLD_REPORT | Регистрируется при каждом просмотре запретов в папке. Идентификатор папки записывается в значение "Папка". |
| VIEW_RETENTION_POLICY | Регистрируется при открытии страницы "Хранение". |
| VIEW_SYSTEM_AUDIT_LOG | Регистрируется при каждом скачивании отчета об аудите. |
Адрес электронной почты пользователя Сейфа, совершившего действие, указанное в значении "Действие".
Содержит уникальный идентификатор папки для действий, совершенных в определенной папке. Идентификатор папки присутствует в URL папки в Сейфе.
Данные, отображаемые в этом значении, зависят от действий, выполненных пользователем Сейфа.
- Содержит уникальный идентификатор документа, если пользователь просмотрел документ (действие VIEW_DOCUMENT).
Пример: ACD7onr49fP6DqvgAvIDhboAqqth9q7ekwGc0xpC3xjhpylzQvvQoNKmBKyE9NL1Qdww4eA2SQSc5mOF0JJ_bV_tkVFU3TWIdIrBYOiZLw0eBA9-xL7A-pc
- Если пользователь добавил или удалил соавтора (действие ADD_COLLABORATOR_BEGIN/END или REMOVE_COLLABORATOR_BEGIN/END), содержит адрес электронной почты добавленного или удаленного пользователя.
- Если пользователь создал экспорт в папке (действие CREATE_EXPORT_BEGIN/END), содержит название файла экспорта.
Содержит адреса электронной почты соавторов, которые получили или потеряли доступ к папке (действие ADD_COLLABORATOR_BEGIN/END или REMOVE_COLLABORATOR_BEGIN/END).
URL просмотренных пользователем документов (действие VIEW_DOCUMENT).
Параметры поиска, заданные для определенных поисковых запросов (действие SEARCH или SEARCH_COUNT).
Пример. query: "Project X" (запрос: "Проект X")
Название организационного подразделения, к которому было применено действие (например, пользователь Сейфа создал правило хранения для конкретного отдела).
Срок хранения в днях, который пользователь задал для специального правила хранения. Запись выглядит так: "Period: … days" ("Срок: … дней").
Срок хранения информации в журналах аудита
Пока ваша организация использует Сейф, ни компания Google, ни администраторы или пользователи Сейфа не могут полностью или частично удалить сведения о действиях в отчетах об аудите.
В случае прекращения использования Сейфа, данные аудита вашей организации будут удалены через 30 дней.