Beroende på din Google Workspace-utgåva kan du ha åtkomst till verktyget för säkerhetsutredningar, som har mer avancerade funktioner. Till exempel kan avancerade administratörer identifiera, utvärdera och vidta åtgärder för problem med säkerhet och integritet. Läs mer
Som organisationens administratör kan du köra sökningar och vidta åtgärder för säkerhetsproblem som rör enhetslogghändelser. Du kan visa en lista över åtgärder på datorer, mobila enheter och smarta hemenheter som används för att få åtkomst till organisationens data. Du kan till exempel se när en användare lägger till sitt konto på en enhet eller om enhetens lösenord inte följer din lösenordspolicy. Du kan även ställa in en varning som meddelar när en aktivitet äger rum.Innan du börjar
- Om du ska kunna se alla granskningshändelser för mobila enheter måste enheterna hanteras med hjälp av avancerad enhetshantering.
- Om du vill se ändringar av appar på Android-enheter måste du aktivera appgranskning.
- Du kan inte se aktiviteter för enheter som synkroniserar företagsdata med hjälp av Google Sync.
- Om du nedgraderar till en utgåva som inte har stöd för granskningsloggen slutar granskningsloggen att samla in data för nya händelser. Gammal data är dock fortfarande tillgänglig för administratörer.
Söka efter logghändelser
Dina möjligheter att göra sökningar beror på din Google-utgåva, dina administrativa behörigheter och datakällan. Du kan köra en sökning på alla användare, oavsett Google Workspace-utgåva.
Attributbeskrivningar
För denna datakälla kan du använda följande attribut när du söker efter logghändelsedata:
| Attribut | Beskrivning |
|---|---|
| Kontostatus | Om kontot är registrerat eller oregistrerat |
| Grupp-id |
Aktörens gruppnamn. Mer information finns i Filtrera resultat efter Google-grupp. Så här lägger du till en grupp på godkännandelistan för filtreringsgrupper:
|
| Organisationsenhet för aktör | Organisationsenheten som aktören tillhör. |
| App-id | Identifierare för appen |
| SHA-256-hash för appen | SHA-256-hash för app-paketet för apprelaterade händelser (endast Android). |
| Appstatus | Om appen är installerad, avinstallerad eller uppdaterad |
| Datum | Datum och tid då händelsen inträffade (visas i webbläsarens standardtidszon) |
| Status för överensstämmelse för enhet |
om enheten följer organisationens policyer En enhet markeras som inte kompatibel om den
Exempel: Användarens Nexus 6P följer inte med angivna policyer eftersom enheten inte följer lösenordspolicyn. |
| Utsatt tillstånd för enhet |
Om enheten har utsatts för intrång. Enheter kan utsättas för intrång om de blir rotade eller vid jailbroken-processer som tar bort begränsningar på en enhet. Enheter som utsatts för intrång kan utgöra ett potentiellt säkerhetshot. En post registreras varje gång intrång sker i en enhet eller när ett intrång har upphört. Exempel: Användarens Nexus 5 har utsatts för intrång. |
| Enhets-id | Identifierare för enheten som händelsen ägde rum på. |
| Enhetsmodell | Enhetens modell. |
| Enhetsägare | Enhetens ägare |
| Enhetsägare |
Huruvida ägaren för enheten har ändrats. Exempelvis har en personlig enhet ändrats till företagsägd efter att detaljerna importerats till administratörskonsolen. Granskningen sker omedelbart efter det att den företagsägda enheten har lagts till på administratörskonsolen. Om en företagsägd enhet tas bort från administratörskonsolen sker granskningen vid nästa synkronisering (efter det att den har registrerats på nytt för hantering). Exempel: Äganderätten till användarens Nexus 5 har ändrats till företagsägd, med nytt enhets-id abcd1234. |
| Enhetsegenskap | Information om enheten, som Enhetsmodell, Serienummer eller MAC-adress för wifi. |
| Enhetsinställning |
Enhetsanvändaren har ändrat utvecklaralternativen, okända källor, USB-felsökning eller inställningen för appverifiering på enheten. Den här händelsen registreras nästa gång enheten synkroniseras. Exempel: Verifiera appar som har ändrats från Av till På av användaren på Nexus 6P. |
| Enhetstyp | Typ av enhet där händelsen ägde rum, till exempel Android eller Apple iOS |
| Domän* | Domänen där åtgärden skedde |
| Händelse | Den loggade händelsen, till exempel Uppdatering av enhetens operativsystem eller Enhetssynkronisering |
| Misslyckade lösenordsinmatningar* |
Antalet misslyckade försök som en användare gjort med att låsa upp en enhet. En händelse skapas enbart om det finns fler än fem misslyckade försök att låsa upp en användares enhet. Exempel: 5 misslyckade försök att låsa upp användarens Nexus 7 |
| Leverantörs-id för iOS | Identifierare för iOS-leverantören |
| Nytt enhets-id | Identifierare för den nya enheten |
| Operativsystemsegenskaper | information om operativsystemet, till exempel Versionsnummer, Version av operativsystemet eller Säkerhetskorrigering |
| Registreringsbehörighet | Användarens roll för en enhet, till exempel Enhetsägare eller Enhetsadministratör |
| Resurs-id | Unikt id för enheten |
| Serienummer |
Enhetens serienummer. Så här visar du serienumret för datorer:
|
| Användarens e-post | Enhetens e-postadress |
Obs! Om du har gett en användare ett nytt namn ser du inte sökresultat med användarens gamla namn. Om du exempelvis byter namn på GammaltNamn@exempel.com till NyttNamn@exempel.com ser du inga resultat för händelser som rör GammaltNamn@exempel.com.
Hantera logghändelsedata
Vidta åtgärder baserat på sökresultat.
Hantera dina utredningar
Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity-premiumversion. Jämför utgåvor
