События журнала Сейфа

Как посмотреть действия пользователей в Сейфе

В некоторых версиях Google Workspace вы можете получить доступ к инструменту "Анализ безопасности" с расширенными функциями. Например, суперадминистраторы могут идентифицировать, сортировать и устранять проблемы, связанные с конфиденциальностью и безопасностью. Подробнее…

Чтобы использовать эту возможность, вам понадобится дополнительная лицензия на Сейф. Вы можете ознакомиться с информацией о том, как приобрести лицензии на Сейф для организации.

Как администратор организации, вы можете искать события в журнале Сейфа и устранять связанные с ними проблемы. В частности, вы можете просматривать записи о действиях, выполненных в консоли Сейфа, например о том, какие пользователи изменили правила хранения или скачали экспортированные файлы.

Как искать события журнала

Возможность поиска в инструменте "Анализ безопасности" зависит от версии сервиса Google, назначенных прав администратора и источника данных. Вы можете искать действия всех пользователей, независимо от того, какая у них версия Google Workspace.

Инструмент "Аудит и анализ"

Чтобы выполнить поиск событий в журнале, сначала выберите источник данных. Затем добавьте один или несколько фильтров.

  1. Войдите в консоль администратора Google как администратор.

    Войти в консоль администратора можно, только если вы используете аккаунт администратора.

  2. Нажмите на значок меню а затем Отчеты > Аудит и анализ > События журнала Сейфа.

    Вам потребуется аккаунт администратора с доступом к отчетам.

  3. Нажмите Добавить фильтр и выберите атрибут.
  4. Во всплывающем окне выберите оператора затемвыберите значениеа затемнажмите Применить.
    • Если нужно создать несколько фильтров результатов поиска, повторите этот шаг.
    • Если нужно добавить оператор поиска, над элементом Добавить фильтр выберите И или ИЛИ.
  5. Нажмите Поиск.

    Примечание. С помощью вкладки Фильтр можно включить простые пары параметров и значений, чтобы отфильтровать результаты поиска. Кроме того, вы можете использовать вкладку Конструктор условий, на которой фильтры представлены в виде условий с операторами И/ИЛИ.

Инструмент "Анализ безопасности"
Эта функция доступна в версиях Frontline Standard и Frontline Plus, Enterprise Standard и Enterprise Plus, Education Standard и Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

Чтобы выполнить поиск в инструменте "Анализ безопасности", сначала выберите источник данных. Затем добавьте одно или несколько условий поиска и для каждого из них выберите атрибут, оператор и значение.

  1. Войдите в консоль администратора Google как администратор.

    Войти в консоль администратора можно, только если вы используете аккаунт администратора.

  2. Нажмите на значок меню а затем Безопасность > Центр безопасности > Инструмент "Анализ безопасности".

    У вас должны быть права администратора с доступом к центру безопасности.

  3. Нажмите Источник данных и выберите События журнала Сейфа.
  4. Нажмите Добавить условие.
    Совет. Вы можете указать одно или несколько условий или использовать вложенные запросы. Подробнее о том, как использовать вложенные запросы при поиске
  5. Нажмите Атрибута затемвыберите нужный вариант.
    Полный список атрибутов приведен в разделе Описания атрибутов ниже.
  6. Выберите оператор.
  7. Введите значение или выберите его в раскрывающемся списке.
  8. Если нужно добавить дополнительные условия поиска, повторите шаги 4–7.
  9. Нажмите Поиск.
    Результаты поиска в инструменте "Анализ безопасности" показываются в таблице в нижней части страницы.
  10. Чтобы сохранить анализ, нажмите Сохранить а затемвведите название и описаниеа затемСохранить.

Примечания

  • На вкладке Конструктор условий фильтры представлены в виде условий с операторами И/ИЛИ. На вкладке Фильтр можно выбрать простые пары параметров и значений, чтобы отфильтровать результаты поиска.
  • Если пользователь был переименован, поиск не даст результатов для его прежнего имени. Например, если [email protected] заменили на [email protected], в результатах поиска не будет событий, связанных с пользователем [email protected].

Как выполнить поиск в консоли Сейфа

Развернуть раздел  |  Свернуть все и перейти к началу

Как найти события из журнала Сейфа
  1. Войдите в аккаунт на сайте vault.google.com.
  2. Нажмите Отчеты.
  3. При необходимости выберите диапазон дат.
  4. Если вы хотите проверить действия определенных пользователей Сейфа, введите их адреса электронной почты. Чтобы проверить действия всех пользователей Сейфа, оставьте это поле пустым.
  5. Выберите типы действий, которые вы хотите проверить:
    • Для аудита всех действий нажмите Выбрать все.
    • Чтобы проверить только некоторые действия, установите флажок рядом с каждым из них.
  6. Нажмите Скачать CSV-файл.

    Результаты аудита будут загружены на компьютер. Если вы выполнили поиск для нескольких пользователей, в результатах может быть несколько журналов.

  7. Откройте CSV-файл в редакторе таблиц, например в Google Таблицах. Определения значений в CSV-файле приведены в разделе Описания атрибутов.
Как отслеживать действия в деле
  1. Войдите в аккаунт на сайте vault.google.com.
  2. Нажмите Дела.
  3. Выберите нужное дело в списке.
  4. Нажмите Аудит.
    Примечание. Чтобы посмотреть журналы аудита дела в консоли администратора Google, нажмите Попробовать. Идентификатор выбранного дела автоматически загружается на страницу "Аудит и анализ". Вы также можете скопировать этот идентификатор в URL:
  5. При необходимости выберите диапазон дат.
  6. Если вы хотите проверить действия определенных пользователей Сейфа, введите их адреса электронной почты. Чтобы проверить действия всех пользователей Сейфа, оставьте это поле пустым.
  7. Выберите типы действий, которые вы хотите проверить:
    • Для аудита всех действий нажмите Выбрать все.
    • Чтобы проверить только некоторые действия, установите флажок рядом с каждым из них.

      Примечание. При выполнении аудита по выбранному делу вы не получите отчет о действиях, связанных с правилами хранения, поскольку управление этими правилами не относится к уровню отдельных дел.

  8. Нажмите Скачать CSV-файл.

    Результаты аудита будут загружены на компьютер. Если вы выполнили аудит для нескольких пользователей, в файле может быть несколько журналов.

  9. Откройте CSV-файл в редакторе таблиц, например в Google Таблицах. Определения значений в CSV-файле приведены в разделе Описания атрибутов.

Описания атрибутов

При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:

Атрибут Описание
Исполнитель Адрес электронной почты пользователя, совершившего действие.
Дополнительные сведения Содержит дополнительные сведения, например срок хранения и условия.
Дата Дата и время события (указываются в часовом поясе, используемом по умолчанию в браузере).
Событие Действие в зарегистрированном событии, например Просмотр анализа, Просмотр документа внешнего пользователя или Начало события "Добавление соавтора".
Идентификатор дела

Идентификатор дела. Доступен только для тех событий, которые относятся к делу.
Название организационного подразделения Название организационного подразделения, к которому было применено действие.
Запрос

Параметры поиска, заданные для определенного поискового запроса.
Название ресурса Название ресурса, связанного с действием, например название запрета на удаление или сохраненного запроса.
URL ресурса URL документа, который просмотрел пользователь.
Адресат

Адрес электронной почты пользователя, к которому было применено действие, например пользователь, к аккаунту которого был применен запрет на удаление.

Примечание. Если пользователь был переименован, поиск по его прежнему имени не даст результатов. Например, если [email protected] заменить на [email protected], в результатах поиска не будет событий, связанных с пользователем [email protected].

Как работать с данными о событиях в журнале

Как управлять столбцами данных в результатах поиска

Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.

  1. В правой верхней части таблицы с результатами поиска нажмите на значок "Управление столбцами" .
  2. Чтобы удалить отображаемые столбцы, нажмите "Удалить" .
  3. Чтобы добавить столбцы, рядом с надписью Добавить столбец нажмите на стрелку вниз и выберите вариант из списка.
    При необходимости повторите действия для другого запроса.
  4. Чтобы изменить порядок столбцов, перетащите их названия.
  5. Нажмите Сохранить.

Как экспортировать результаты поиска

Результаты поиска можно экспортировать в таблицу Google или CSV-файл.

  1. В верхней части таблицы результатов поиска нажмите Экспортировать все.
  2. Введите название а затем нажмите Экспорт.
    Экспортированные данные будут показаны под таблицей с результатами поиска в разделе Результаты выполнения действия "Экспорт".
  3. Чтобы посмотреть экспортированные данные, нажмите на название файла.
    Данные откроются в Google Таблицах.

На экспорт накладываются различные ограничения:

  • Ограничение на объем экспорта результатов: 100 000 строк.
  • Эта функция доступна в версиях Frontline Standard и Frontline Plus, Enterprise Standard и Enterprise Plus, Education Standard и Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

    Если у вас есть инструмент "Анализ безопасности", всего можно экспортировать не более 30 млн строк (10 000 строк для писем Gmail).

Подробнее об экспорте результатов поиска

Когда данные становятся доступны и как долго они хранятся?

Подробная информация приведена в статье Задержки при обновлении отчетов и сроки хранения данных.
 

Как управлять процессом анализа

Эта функция доступна в версиях Frontline Standard и Frontline Plus, Enterprise Standard и Enterprise Plus, Education Standard и Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

Как посмотреть список анализов

Чтобы посмотреть список анализов, которые вам принадлежат или к которым вам предоставлен доступ, нажмите на значок "Посмотреть список анализов" . В списке указаны названия, описания и владельцы анализов, а также дата их последнего изменения.

На странице со списком можно выполнять действия с любыми принадлежащими вам анализами, например удалять их. Для этого установите флажок рядом с нужным анализом и нажмите Действия.

Примечание. Над списком анализов в разделе Быстрый доступ также отображаются недавно сохраненные результаты анализов.

Как задать настройки анализа

Войдите в систему как суперадминистратор и нажмите на значок "Настройки" . В этом меню можно выполнить следующие действия:

  • Изменить часовой пояс для анализов. Он применяется ко всем условиям и результатам поиска.
  • Включить или отключить параметр Запросить проверку. Подробные сведения о нем можно найти в статье Как включить обязательную проверку массовых действий.
  • Включить или отключить параметр Просмотр контента. С его помощью вы можете предоставить администраторам право просматривать содержимое.
  • Включить или отключить параметр Включить обоснование действия.

Подробные сведения и инструкции приведены в статье Как задавать настройки анализа.

Как копировать анализы, удалять их и предоставлять к ним доступ

Чтобы сохранить параметры поиска или поделиться ими с другими пользователями, вы можете создать и сохранить анализ, а затем предоставить к нему доступ, копировать или удалить его.

Подробную информацию можно найти в статье Как сохранять результаты анализа и предоставлять к ним доступ.

Статьи по теме

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Опубликовать на справочном форуме Получите ответы от участников сообщества
Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
1492891146266593767
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false
false
false