Beroende på din Google Workspace-utgåva kan du ha åtkomst till verktyget för säkerhetsutredningar, som har mer avancerade funktioner. Till exempel kan avancerade administratörer identifiera, utvärdera och vidta åtgärder för problem med säkerhet och integritet. Läs mer
Som organisationens administratör kan du köra sökningar och vidta åtgärder på säkerhetsproblem som rör logghändelser i samband med examen. Där kan du spåra överföringen av data för elever som tar examen från deras Google Workspace for Education-konton till andra Google-konton med examenslogghändelser.
Söka efter administratörslogghändelser
Dina möjligheter att göra sökningar beror på din Google-utgåva, dina administrativa behörigheter och datakällan. Du kan köra en sökning på alla användare, oavsett Google Workspace-utgåva.
Om du vill söka efter logghändelser väljer du först en datakälla. Välj sedan ett eller flera villkor för sökningen.
-
Logga in med ett administratörskonto på Googles administratörskonsol.
Om du inte använder ett administratörskonto kan du inte komma åt administratörskonsolen.
-
Öppna menyn
Rapportering > Granskning och utredning > Logghändelser för uppgradering.
Administratörsbehörighet för Rapporter krävs.
- Klicka på Lägg till ett filter och välj sedan ett attribut.
- Välj en operator i popup-fönstret
välj ett värde
- (Valfritt) Upprepa det här steget om du vill skapa flera filter för sökningen.
- (Valfritt) Om du vill lägga till en sökoperator väljer du AND eller OR ovanför Lägg till ett filter.
- Klicka på Sök.
Obs! På fliken Filter kan du inkludera enkla parameter- och värdepar för att filtrera sökresultaten. Du kan även använda fliken Villkorsverktyg där filtren representeras som villkor med OCH/ELLER-operatorer.
Om du vill köra en sökning i verktyget för säkerhetsutredningar väljer du först en datakälla. Välj sedan ett eller flera villkor för sökningen. För varje villkor väljer du ett attribut, en operator och ett värde.
-
Logga in med ett administratörskonto på Googles administratörskonsol.
Om du inte använder ett administratörskonto kan du inte komma åt administratörskonsolen.
-
Gå till menyn
Säkerhet > Säkerhetscenter > Utredningsverktyg.
Administratörsbehörighet för Säkerhetscenter krävs.
- Klicka på Datakälla och välj Händelser i examenslogg.
- Klicka på Lägg till villkor.
Tips! Du kan inkludera ett eller flera villkor i din sökning eller anpassa sökningen med kapslade frågor. Mer information finns i Anpassa sökningen med kapslade frågor. - Klicka på Attribut
En fullständig lista över attribut finns i avsnittet Attributbeskrivningar nedan. - Välj en operator.
- Ange ett värde eller välj ett värde på rullgardinsmenyn.
- (Valfritt) Upprepa steg 4–7 om du vill lägga till fler sökvillkor.
- Klicka på Sök.
Sökresultat i utredningsverktyget visas i en tabell längst ned på sidan. - (Valfritt) Om du vill spara utredningen klickar du på Spara
Obs!
- På fliken Villkorsverktyg visas filter som villkor med OCH/ELLER-operatorer. Du kan även använda fliken Filter för att inkludera enkla parameter- och värdepar för att filtrera sökresultaten.
- Om du har gett en användare ett nytt namn ser du inte sökresultat med användarens gamla namn. Om du exempelvis byter namn på [email protected] till [email protected] ser du inga resultat för händelser som rör [email protected].
Attributbeskrivningar
För denna datakälla kan du använda följande attribut när du söker efter logghändelsedata:
| Attribut | Beskrivning |
|---|---|
| Aktör | E-postadressen för den användare som utförde aktiviteten |
| Grupp-id |
Aktörens gruppnamn. Mer information finns i Filtrera resultat efter Google-grupp. Så här lägger du till en grupp på godkännandelistan för filtreringsgrupper:
|
| Organisationsenhet för aktör | Aktörens organisationsenhet |
| Datum | Datum och tid då händelsen inträffade (visas i webbläsarens standardtidszon) |
| Händelse | Den loggade händelseåtgärden, till exempel Startad migrering av data |
| Sluttid för migrering | Tid då datamigreringen slutfördes |
| Starttid för migrering | Tid då datamigreringen startades |
| Procent av Drive-objekt som har migrerats | Procentandel av Drive-filer som har migrerats |
| Procent av Gmail-meddelanden som har migrerats | Procentandel av migrerade Gmail-meddelanden |
| Användarens e-post | E-postadressen till den användare vars data migreras |
Obs! Om du har gett en användare ett nytt namn ser du inte sökresultat med användarens gamla namn. Om du exempelvis byter namn på [email protected] till [email protected] ser du inga resultat för händelser som rör [email protected].
Hantera logghändelsedata
Hantera kolumndata för sökresultat
Du kan styra vilka datakolumner som visas i sökresultaten.
- Klicka på Hantera kolumner
uppe till höger i sökresultattabellen.
- (Valfritt) Om du vill ta bort aktuella kolumner klickar du på Ta bort
.
- (Valfritt) Om du vill lägga till kolumner klickar du på nedåtpilen
bredvid Lägg till en ny kolumn och väljer datakolumnen.
Upprepa vid behov. - (Valfritt) Om du vill ändra ordningen på kolumnerna drar du datakolumnnamnen.
- Klicka på Spara.
Exportera sökresultatsdata
Du kan exportera sökresultat till Google Kalkylark eller till en CSV-fil.
- Klicka på Exportera alla högst upp i sökresultattabellen.
- Ange ett namn
Exporten visas nedanför sökresultattabellen under Exportera åtgärdsresultat. - Klicka på exportens namn om du vill visa informationen.
Exporten öppnas i Google Kalkylark.
Exportgränserna varierar:
- Gränsen för exporterade resultat är 100 000 rader.
-
Om du har verktyget för säkerhetsutredningar begränsas de totala resultaten av exporten till 30 miljoner rader (förutom för Gmail-meddelandesökningar, som är begränsade till 10 000 rader).
Mer information finns i Exportera sökresultat.
När och hur länge är data tillgänglig?
Vidta åtgärder baserat på sökresultat.
- Du kan ställa in varningar baserat på logghändelsedata med hjälp av rapporteringsregler. Anvisningar finns i Skapa och hantera aktivitetsregler.
-
Förebygg, identifiera och åtgärda säkerhetsproblem effektivt genom att automatisera åtgärder i verktyget för säkerhetsutredningar och konfigurera varningar genom att skapa aktivitetsregler. Konfigurera en regel, ange villkor för regeln och ange vilka åtgärder som ska utföras när villkoren är uppfyllda. Mer information och instruktioner finns i Skapa och hantera aktivitetsregler.
När du har gjort en sökning i verktyget för säkerhetsutredningar kan du agera på sökresultaten. Du kan till exempel köra en sökning baserat på logghändelser i Gmail och använda verktyget för att radera specifika meddelanden, sätta meddelanden i karantän eller skicka meddelanden till användarnas inkorgar. Mer information finns i Vidta åtgärder baserat på sökresultat.
Hantera dina utredningar
Visa en lista över utredningar som du äger och som har delats med dig genom att klicka på Visa utredningar . Utredningslistan innehåller utredningarnas namn, beskrivningar och ägare samt det datum då de senast ändrades.
I den här listan kan du vidta åtgärder för utredningar du äger. Du kan till exempel radera en utredning. Markera kryssrutan för en utredning och klicka sedan på Åtgärder.
Obs! Direkt ovanför listan över utredningar kan du under Snabbåtkomst se de undersökningar som nyligen har sparats.
Som avancerad administratör klickar du på Inställningar för att göra följande:
- Ändra tidszon för dina undersökningar. Tidszonen tillämpas på sökvillkoren och resultaten.
- Aktivera eller inaktivera Kräv granskare. Mer information finns i Kräv granskare för massåtgärder.
- Aktivera eller inaktivera Visa innehåll. Med den här inställningen kan administratörer med relevant behörighet visa innehåll.
- Slå på eller av Aktivera åtgärdsanpassning.
Anvisningar och detaljer finns i Konfigurera inställningar för undersökningar.
Om du vill spara dina sökkriterier eller dela dem med andra kan du skapa och spara en utredning och sedan dela, duplicera eller radera den.
Mer information finns i Spara, dela, radera och duplicera utredningar.