Події в журналі Сейфа

Переглядайте інформацію про дії користувачів у Сейфі

Залежно від версії Google Workspace ви можете мати доступ до інструмента "Аналіз безпеки", у якому доступні розширені функції. Наприклад, суперадміністратори можуть виявляти, сортувати й усувати проблеми з безпекою і конфіденційністю. Докладніше

Щоб використовувати цю функцію, потрібно мати ліцензію для доповнення Сейф. Докладніше про те, як придбати такі ліцензії для своєї організації.

Адміністратори організації можуть шукати події в журналі Сейфа й керувати ними. Наприклад, ви можете переглянути записи про дії, виконані в консолі Сейфа, щоб дізнатись, які користувачі змінювали правила збереження або завантажували файли експорту.

Як надсилати дані про події в журналі в Google Cloud

Ви можете надати Google Cloud доступ до даних про події. Якщо ввімкнути спільний доступ, дані передаватимуться в Cloud Logging, де ви зможете надсилати запити й переглядати журнали, а також керувати їх маршрутизацією і зберіганням.

Тип даних про події в журналі, які можна надсилати в Google Cloud, залежить від облікового запису Google Workspace, Cloud Identity або Essentials.

Як шукати події в журналі

Можливість виконання пошуку залежить від версії Google, прав адміністратора й джерела даних. Ви можете виконувати пошук усіх користувачів незалежно від їхньої версії Google Workspace.

Аудит і інструмент "Аналіз безпеки"

Щоб знайти події в журналі, спершу виберіть джерело даних, а потім додайте принаймні один фільтр.

  1. Увійдіть в Консоль адміністратора Google з даними облікового запису адміністратора.

    Без облікового запису з такими правами ви не зможете отримати доступ до Консолі адміністратора.

  2. Натисніть значок потім > Аудит і аналіз > Події в журналі Сейфа.

    Для цього потрібні права адміністратора для Звітів.

  3. Натисніть Додати фільтр і виберіть атрибут.
  4. У спливаючому вікні виберіть оператор потім виберіть значення потім натисніть Застосувати.
    • (Необов’язково) Щоб створити кілька фільтрів для пошукового запиту, виконайте цей крок потрібну кількість разів.
    • (Необов’язково) Щоб додати оператор пошуку, над пунктом Додати фільтр виберіть І чи АБО.
  5. Натисніть Пошук.

    Підказка. Щоб фільтрувати результати пошуку, на вкладці Фільтр можна включити прості пари параметрів і значень. Крім того, на вкладці Конструктор умов фільтри представлено як умови з операторами І/АБО.

Інструмент аналізу безпеки
Ця функція підтримується для таких версій: Frontline Standard і Frontline Plus; Enterprise Standard і Enterprise Plus; Education Standard і Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Порівняти свою версію з іншими

Щоб виконати пошук в інструменті "Аналіз безпеки", спершу виберіть джерело даних. Потім виберіть принаймні одну умову для пошуку. Для кожної умови виберіть атрибут, оператор і значення

  1. Увійдіть в Консоль адміністратора Google з даними облікового запису адміністратора.

    Без облікового запису з такими правами ви не зможете отримати доступ до Консолі адміністратора.

  2. Натисніть значок потім  Безпека > Центр безпеки > Інструмент "Аналіз безпеки".

    Потрібні права адміністратора в Центрі безпеки.

  3. Натисніть Джерело даних і виберіть Події в журналі Сейфа.
  4. Натисніть Додати умову.
    Підказка. Ви можете вказати одну чи кілька умов у своєму пошуковому запиті або налаштувати пошук за допомогою вбудованих запитів. Щоб дізнатися більше, перегляньте цю статтю.
  5. Натисніть Атрибут потім виберіть потрібний варіант.
    Повний список атрибутів наведено в розділі Описи атрибутів (далі на цій сторінці).
  6. Виберіть оператор.
  7. Введіть значення або виберіть значення зі списку.
  8. (Необов’язково) Щоб додати інші умови пошуку, повторіть кроки 4–7.
  9. Натисніть Пошук.
    Результати пошуку в інструменті "Аналіз безпеки" можна переглянути в таблиці внизу сторінки.
  10. Необов’язково: щоб зберегти аналіз, натисніть значок потім введіть назву й опис потім натисніть Зберегти.

Примітки

  • На вкладці Конструктор умов фільтри представлено як умови з операторами "І/АБО". Щоб фільтрувати результати пошуку, на вкладці Фільтр можна включити прості пари параметрів і значень.
  • Якщо змінити ім’я користувача, пошук за його старим іменем не дасть результатів. Наприклад, якщо [email protected] перейменувати на [email protected], у результатах пошуку не буде подій, пов’язаних із [email protected].

Як виконати пошук у консолі Сейфа

Розгорнути розділ  |  Згорнути все й перейти вгору

Як шукати події в журналі Сейфа
  1. Увійдіть в обліковий запис на сторінці vault.google.com.
  2. Натисніть Звіти.
  3. (Необов’язково) Виберіть діапазон дат.
  4. (Необов’язково) Введіть електронні адреси користувачів Сейфа, дії яких потрібно перевірити. Щоб переглянути дії всіх користувачів Сейфа, залиште поле порожнім.
  5. Виберіть типи дій, які потрібно перевірити.
    • Щоб переглянути всі дії, натисніть Вибрати все.
    • Щоб включити лише деякі дії, поставте біля них прапорці.
  6. Натисніть Завантажити файл CSV.

    Файл CSV з результатами перевірки буде завантажено на ваш комп’ютер. Якщо ви виконали пошук за багатьма користувачами, журналів може бути кілька.

  7. Відкрийте цей файл CSV в додатку для електронних таблиць, наприклад у Google Таблицях, і проаналізуйте наведені в ньому значення, переглянувши їх визначення в розділі Описи атрибутів (далі на цій сторінці).
Як переглянути дії для певної заяви
  1. Увійдіть в обліковий запис на сторінці vault.google.com.
  2. Натисніть Заяви.
  3. Виберіть потрібну заяву зі списку.
  4. Натисніть Перевірка.
    Примітка. Щоб переглянути журнали аудиту для заяви в Консолі адміністратора Google, натисніть Спробувати. Ідентифікатор вибраної заяви автоматично завантажиться на сторінці "Аудит і аналіз". Ви також можете скопіювати цей ідентифікатор у URL-адресі, як наведено нижче.
  5. (Необов’язково) Виберіть діапазон дат.
  6. (Необов’язково) Введіть електронні адреси користувачів Сейфа, дії яких потрібно перевірити. Щоб переглянути дії всіх користувачів Сейфа, залиште поле порожнім.
  7. Виберіть типи дій, які потрібно перевірити.
    • Щоб переглянути всі дії, натисніть Вибрати все.
    • Щоб включити лише деякі дії, поставте біля них прапорці.

      Примітка. Перевіряючи дані журналів про певні заяви, ви не побачите звіти про дії, пов’язані з правилами збереження, оскільки керування ними здійснюється окремо від заяв.

  8. Натисніть Завантажити файл CSV.

    Файл CSV з результатами перевірки буде завантажено на ваш комп’ютер. Якщо ви виконали перевірку за багатьма користувачами, журналів може бути кілька.

  9. Відкрийте цей файл CSV в додатку для електронних таблиць, наприклад у Google Таблицях, і проаналізуйте наведені в ньому значення, переглянувши їх визначення в розділі Описи атрибутів (далі на цій сторінці).

Опис атрибутів

Для цього джерела даних можна використовувати такі атрибути під час пошуку даних про події в журналі:

Attribute Description
Actor Email address of the user who performed the action
Additional details Contains additional payload details such as retention period and conditions
Date Date and time the event occurred (displayed in your browser's default time zone)
Event The logged event action, such as View Investigation, View External Document, or Add Collaborator Begin
Matter ID

ID of the matter. This ID is not available for all events, but instead events that pertain to a matter.
Organizational unit name The name of the organizational unit to which the action applies
Query

The search parameters the user entered for a specific search
Resource name The resource name of the action, such as hold name or saved query name
Resource URL The URL of a document that the user viewed
Target user

Email address of the targeted user, such as a user who was put on hold

Примітка. Якщо змінити ім’я користувача, пошук за його старим іменем не дасть результатів. Наприклад, якщо [email protected] перейменувати на [email protected], у результатах пошуку не буде подій, пов’язаних із [email protected].

Як керувати даними про події в журналі

Як керувати стовпцями даних у результатах пошуку

Ви можете вибрати, які стовпці даних показуватимуться в результатах пошуку.

  1. У верхньому правому куті таблиці з результатами пошуку натисніть значок .
  2. (Необов’язково) Щоб вилучити поточні стовпці, натисніть значок .
  3. (Необов’язково) Щоб додати стовпці, поруч з опцією Додати новий стовпець натисніть значок і виберіть стовпець даних.
    За потреби виконайте ці кроки ще раз.
  4. (Необов’язково) Щоб змінити порядок стовпців, перетягніть назви стовпців даних.
  5. Натисніть Зберегти.

Як експортувати дані результатів пошуку

Результати пошуку можна експортувати в Google Таблиці або файл CSV.

  1. Угорі таблиці з результатами пошуку натисніть Експортувати все.
  2. Введіть назву потім натисніть Експортувати.
    Експорт даних відображається під таблицею з результатами пошуку Результати експорту дій.
  3. Щоб переглянути дані, натисніть назву експорту.
    Після цього відкриється сервіс Google Таблиці.

На експорт накладаються різні обмеження.

  • Усього можна експортувати не більше ніж 100 000 рядків (за винятком пошукових запитів у Gmail, які мають обмеження до 10 000 рядків).
  • Ця функція підтримується для таких версій: Frontline Standard і Frontline Plus; Enterprise Standard і Enterprise Plus; Education Standard і Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Порівняти свою версію з іншими

    Якщо ви користуєтесь інструментом аналізу безпеки, загальна кількість результатів експорту обмежується 30 мільйонами рядків (за винятком пошукових запитів у Gmail, які мають обмеження до 10 000 рядків).

Щоб дізнатися більше, перегляньте статтю про те, як експортувати результати пошуку.

Коли дані стануть доступними й на який строк

 

Як керувати аналізами

Ця функція підтримується для таких версій: Frontline Standard і Frontline Plus; Enterprise Standard і Enterprise Plus; Education Standard і Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Порівняти свою версію з іншими

Як переглянути список результатів аналізів

Щоб переглянути список результатів аналізів, які належать вам або до яких вам надали доступ, натисніть значок . Цей список містить назви, описи й імена власників результатів аналізів, а також дату їх останньої зміни. 

На сторінці зі списком можна виконувати дії з будь-якими аналізами, які вам належать (наприклад, видаляти їх). Поставте прапорець біля потрібного аналізу й натисніть Дії.

Примітка. Нещодавно збережені результати аналізів можна переглянути безпосередньо над їх списком у розділі Швидкий доступ.

Як налаштувати параметри аналізів

Увійдіть у систему як суперадміністратор і натисніть значок . У цьому меню можна виконати наведені нижче дії.

  • Змінити часовий пояс для аналізів. Часовий пояс застосовується до умов і результатів пошуку.
  • Увімкнути чи вимкнути параметр Запит на перевірку. Щоб дізнатися більше про перевірку масових дій, перегляньте цю статтю.
  • Увімкнути чи вимкнути параметр Перегляд контенту. Завдяки цьому налаштуванню адміністратори з відповідними правами матимуть змогу переглядати контент.
  • Увімкнути чи вимкнути параметр Увімкніть обґрунтування дії.

Вказівки й докладні відомості про налаштування параметрів для проведення аналізів наведено в цій статті.

Як видаляти й копіювати результати аналізу, а також ділитися ними

Щоб зберегти критерії пошуку або поділитися ними з іншими користувачами, ви можете створити аналіз, зберегти його результати, а потім копіювати чи видалити його або поділитися ним з іншими.

Дізнатися більше про зазначені вище дії ви можете в цій статті.

Пов’язані теми

Чи корисна ця інформація?

Як можна її покращити?

Потрібна додаткова допомога?

Спробуйте дії нижче.

Опублікуйте запитання на довідковому форумі Отримайте відповіді від учасників форуму
Зв’яжіться з нами Розкажіть нам більше й отримайте допомогу
true
Start your free 14-day trial today

Professional email, online storage, shared calendars, video meetings and more. Start your free Google Workspace trial today.

Пошук
Очистити пошук
Закрити пошук
Головне меню
11777303447798853816
true
Пошук у довідковому центрі
true
true
true
true
true
73010
false
false
false
false