Аудит действий пользователей в Сейфе

С помощью аудитов Сейфа вы можете посмотреть сведения о действиях пользователей Сейфа. Например, вы можете определить, какие пользователи изменяли правила хранения или выполняли поиск данных организации. Пользователи Сейфа – это аккаунты в организационных подразделениях, у которых есть разрешение входить в Сейф и выполнять в нем действия. Подробнее о разрешениях Сейфа

Вы можете экспортировать отчеты об аудите Сейфа в файлы CSV, которые можно открыть с помощью любой программы для работы с таблицами, в том числе Google Таблиц.

Создание отчета об аудите

  1. В Сейфе выберите Отчеты, а затем Аудит.
  2. В разделе Выберите диапазон дат введите дату начала и окончания аудита.
  3. В разделе Пользователи Сейфа выберите пользователей, которых хотите включить в аудит. Это должны быть пользователи с разрешениями для Сейфа, которые могут, например, устанавливать правила хранения, выполнять поиск в папках, изменять запреты и т. д.
  4. В разделе Выберите типы действий установите флажки рядом с действиями, для которых требуется информация аудита. Например, если вы указали Правила хранения, то в отчете будут отражены действия, связанные с их созданием или изменением. Также будет указано время выполнения действий.
  5. Нажмите Загрузить в формате CSV, чтобы скачать результаты аудита на устройство.

Определения значений в CSV-файле приведены в разделе Содержание отчета об аудите.

Содержание отчета об аудите

Каждая строка файла содержит сведения об одном действии. Каждое действие описывается 11 значениями. Некоторые из них применяются только к определенным действиям и отсутствуют для остальных.

Развернуть все | Свернуть все

Epoch milliseconds (Время в миллисекундах с начала отсчета)

Время выполнения действия в миллисекундах с начала отсчета времени, то есть количество миллисекунд, прошедших с 00:00:00 UTC/GMT 1 января 1970 г. Это значение не нужно конвертировать, так как для каждого действия в категории "Дата" указывается время в привычном формате.

Date (Дата)

Время выполнения действия в удобном для восприятия формате: день недели, дата, часы, минуты и секунды. В качестве часового пояса всегда используется тихоокеанское время (UTC –07:00 или –08:00).

Action (Действие)

Выполненное действие. Возможные значения:

Действие Описание

ADD_COLLABORATOR_BEGIN

ADD_COLLABORATOR_END

Регистрируется при получении доступа к папке. Идентификатор папки отображается в категории "Папка". Адрес электронной почты пользователя, которому был предоставлен доступ к папке, фиксируется в значении Электронная почта.

ADD_LITIGATION_HOLD_BEGIN

ADD_LITIGATION_HOLD_END

Регистрируется при создании в папке запрета на удаление данных. Идентификатор папки записывается в значение "Папка". Адрес электронной почты пользователя, данные которого нельзя удалять, фиксируется в значении "Имя".

ADD_RETENTION_RULE_BEGIN

ADD_RETENTION_RULE_END

Регистрируется при создании специального правила хранения. Новому правилу присваивается уникальный идентификатор, регистрируемый в значении "Имя". Срок хранения фиксируется в формате "Period: days" ("Срок: … дней") в значении "Подробные сведения".

CLOSE_INVESTIGATION_BEGIN

CLOSE_INVESTIGATION_END

Регистрируется при закрытии папки. Идентификатор папки записывается в значение "Папка".

CREATE_EXPORT_BEGIN

CREATE_EXPORT_END

Использовалось в прошлой версии. Заменено на EXPORT. Включается в отчет для экспорта, запущенного в феврале 2014 года и раньше.

Регистрируется при экспорте документов, поиск которых выполнялся в папке. Название файла экспорта записывается в значение "Имя". Критерии поиска фиксируются в значении "Строка запроса".

CREATE_INVESTIGATION_BEGIN

CREATE_INVESTIGATION_END

Регистрируется при создании папки. Идентификатор папки записывается в значение "Папка", а название – в значение "Имя".

CREATE_SAVED_QUERY_BEGIN

CREATE_SAVE_QUERY_END

Регистрируется при сохранении поискового запроса в папке. Использованные критерии поиска записываются в значение "Строка запроса".

DELETE_RETENTION_RULE_BEGIN

DELETE_RETENTION_RULE_END

Регистрируется при каждом удалении специального правила хранения. Идентификатор такого правила записывается в значение "Имя".
DOWNLOAD_CROSS_MATTER_LITIGATION_HOLD_REPORT Регистрируется при загрузке списка запретов на удаление данных на вкладке "Запреты на удаление данных, действующие в домене", "Запреты на удаление для отдельных пользователей" и "Запреты на удаление данных для групп".
DOWNLOAD_PER_MATTER_LITIGATION_HOLD_REPORT Регистрируется при загрузке списка запретов на удаление в папке. Идентификатор папки записывается в значение "Папка".
EXPORT Регистрируется при выполнении экспорта данных. Название файла экспорта записывается в значение "Имя". Критерии поиска фиксируются в значении "Строка запроса".

MODIFY_DEFAULT_RETENTION_PERIOD_BEGIN

MODIFY_DEFAULT_RETENTION_PERIOD_END

Регистрируется при каждом изменении правила хранения по умолчанию. Измененный срок хранения фиксируется в формате "Period: days" ("Срок: … дней") в значении "Подробные сведения".

REMOVE_COLLABORATOR_BEGIN

REMOVE_COLLABORATOR_END

Регистрируется при закрытии пользователю доступа к общей папке. Идентификатор папки записывается в значение "Папка". Адрес электронной почты пользователя, который потерял доступ к папке, фиксируется в значении Электронная почта.

REMOVE_LITIGATION_HOLD_BEGIN

REMOVE_LITIGATION_HOLD_END

Регистрируется при снятии запрета на удаление данных. Идентификатор папки записывается в значение "Папка". Адрес электронной почты пользователя, данные которого снова разрешено удалять, фиксируется в значении "Имя".
SEARCH Регистрируется при выполнении поиска в папке. Идентификатор папки записывается в значение "Папка". Критерии поиска фиксируются в значении "Строка запроса".

UPDATE_RETENTION_RULE_BEGIN

UPDATE_RETENTION_RULE_END

Регистрируется при изменении специального правила хранения. Идентификатор такого правила записывается в значение "Имя". Измененный срок хранения фиксируется в формате "Period: days" ("Срок: … дней") в значении "Подробные сведения".
VIEW_CROSS_MATTER_LITIGATION_HOLD_REPORT Регистрируется при выборе элемента Запреты для отдельных пользователей (просмотр пользователей, для которых действует запрет).
VIEW_CUSTODIAN_LITIGATION_HOLD_REPORT Регистрируется при выборе элемента Запреты на удаление данных, действующие в домене (просмотр организационных подразделений и пользователей, для которых действует запрет).
VIEW_DOCUMENT Регистрируется при просмотре документа. Уникальный идентификатор документа записывается в значение "Имя".
VIEW_INVESTIGATION Регистрируется при каждом открытии страниц "Поиск" или "Экспорт" в папке.
VIEW_MATTER_AUDIT_LOG Регистрируется при каждом выполнении аудиторской проверки в определенной папке. Идентификатор папки записывается в значение "Папка".
VIEW_PER_MATTER_LITIGATION_HOLD_REPORT Регистрируется при каждом просмотре запретов в папке. Идентификатор папки записывается в значение "Папка".
VIEW_RETENTION_POLICY Регистрируется при открытии страницы "Хранение".
VIEW_SYSTEM_AUDIT_LOG Регистрируется при каждом скачивании отчета об аудите.
User (Пользователь)

Адрес электронной почты пользователя Сейфа, совершившего действие, указанное в значении "Действие".

Matter (Папка)

Содержит уникальный идентификатор папки для действий, совершенных в определенной папке. Идентификатор папки присутствует в URL папки в Сейфе.

Name (Имя)

Данные, отображаемые в этом значении, зависят от действий, выполненных пользователем Сейфа.

  • Содержит уникальный идентификатор документа, если пользователь просмотрел документ (действие VIEW_DOCUMENT).

    Пример: ACD7onr49fP6DqvgAvIDhboAqqth9q7ekwGc0xpC3xjhpylzQvvQoNKmBKyE9NL1Qdww4eA2SQSc5mOF0JJ_bV_tkVFU3TWIdIrBYOiZLw0eBA9-xL7A-pc

  • Если пользователь добавил или удалил соавтора (действие ADD_COLLABORATOR_BEGIN/END или REMOVE_COLLABORATOR_BEGIN/END), содержит адрес электронной почты добавленного или удаленного пользователя.
  • Если пользователь создал экспорт в папке (действие CREATE_EXPORT_BEGIN/END), содержит название файла экспорта.
Email (Электронная почта)

Содержит адреса электронной почты соавторов, которые получили или потеряли доступ к папке (действие ADD_COLLABORATOR_BEGIN/END или REMOVE_COLLABORATOR_BEGIN/END).

Resource url (URL ресурса)

URL просмотренных пользователем документов (действие VIEW_DOCUMENT).

Query string (Строка запроса)

Параметры поиска, заданные для определенных поисковых запросов (действие SEARCH или SEARCH_COUNT).

Пример. query: "Project X" (запрос: "Проект X")

Organization (Организация)

Название организационного подразделения, к которому было применено действие (например, пользователь Сейфа создал правило хранения для конкретного отдела).

Details (Подробные сведения)

Срок хранения в днях, который пользователь задал для специального правила хранения. Запись выглядит так: "Period: days" ("Срок: … дней").

Срок хранения информации в журналах аудита

Пока ваша организация использует Сейф, ни компания Google, ни администраторы или пользователи Сейфа не могут полностью или частично удалить сведения о действиях в отчетах об аудите.

В случае прекращения использования Сейфа, данные аудита вашей организации будут удалены через 30 дней.

Эта информация оказалась полезной?
Как можно улучшить эту статью?