Eventos de registro de Vault

Consultar la actividad de los usuarios de Vault

En función de la edición de Google Workspace que tengas, es posible que tengas acceso a la herramienta de investigación de seguridad, que tiene funciones más avanzadas. Por ejemplo, los superadministradores pueden identificar, clasificar y abordar problemas de seguridad y privacidad. Más información

Para usar esta función, debes tener una licencia de Vault como complemento. Consulta más información en el artículo Comprar licencias de Vault para una organización.

Como administrador de tu organización, puedes hacer búsquedas y gestionar los eventos de registro de Vault. Puedes ver un registro de las acciones realizadas en la consola de Vault; por ejemplo, qué usuarios han editado reglas de retención o descargado archivos de exportación.

Reenviar datos de eventos de registro a Google Cloud

Puedes aceptar compartir los datos de eventos de registro con Google Cloud. Si lo haces, esos datos se envían a Cloud Logging, donde podrás consultar tus registros y controlar cómo se enrutan y almacenan.

Buscar eventos de registro

La posibilidad de hacer una búsqueda depende de la edición de Google, de los privilegios de administrador y de la fuente de datos. Puedes hacer una búsqueda con todos los usuarios, independientemente de su edición de Google Workspace.

Auditoría y herramienta de investigación

Para buscar eventos de registro, primero debes elegir una fuente de datos. A continuación, elige uno o varios filtros para la búsqueda.

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Informesy luegoAuditoría e investigacióny luegoEventos de registro de Vault.
  3. Haz clic en Añadir un filtro y selecciona un atributo.
  4. En la ventana emergente, selecciona un operadory luegoselecciona un valory luegohaz clic en Aplicar.
    • (Opcional) Para crear varios filtros de búsqueda, repite este paso.
    • (Opcional) Para añadir un operador de búsqueda, encima de Añadir un filtro, selecciona AND u OR.
    • (Opcional) Para crear varios filtros de búsqueda, repite este paso.
    • (Opcional) Para añadir un operador de búsqueda, encima de Añadir un filtro, selecciona AND u OR.
  5. Haz clic en Buscar.
  6. Nota: En la pestaña Filtro, puedes incluir pares de parámetros y valores sencillos para filtrar los resultados de búsqueda. También puedes usar la pestaña Creador de condiciones, donde los filtros se representan como condiciones con los operadores AND/OR.

Herramienta de investigación de seguridad
Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

Para hacer una búsqueda en la herramienta de investigación de seguridad, primero debes elegir una fuente de datos. A continuación, elige una o varias condiciones para la búsqueda. Elige un atributo, un operador y un valor para cada condición. 

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Seguridady luegoCentro de Seguridady luegoHerramienta de investigación.
  3. Haz clic en Fuente de datos y selecciona Eventos de registro de Vault.
  4. Haz clic en Añadir condición.
    Nota: Puedes incluir una o varias condiciones en tu búsqueda o personalizarla con consultas anidadas. Consulta más información en el artículo Personalizar la búsqueda con consultas anidadas.
  5. Haz clic en Atributoy luegoselecciona una opción.
    Para ver una lista completa de los atributos, consulta la sección Descripciones de atributos que aparece abajo.
  6. Selecciona un operador.
  7. Introduce un valor o selecciona uno en la lista desplegable.
  8. (Opcional) Para añadir más condiciones de búsqueda, repite los pasos del 4 al 7.
  9. Haz clic en Buscar.
    Los resultados de búsqueda de la herramienta de investigación se muestran en una tabla en la parte inferior de la página.
  10. (Opcional) Para guardar la investigación, haz clic en Guardary luegointroduce un título y una descripcióny luegohaz clic en Guardar.

Nota:

  • En la pestaña Creador de condiciones, los filtros se representan como condiciones con los operadores AND/OR. En la pestaña Filtro también puedes incluir pares simples de parámetros y valores para filtrar los resultados de búsqueda.
  • Si has asignado un nuevo nombre a un usuario, en la consulta no aparecerán los resultados correspondientes a su nombre antiguo. Por ejemplo, si has cambiado [email protected] a [email protected], no aparecerán resultados de eventos relacionados con [email protected].

Hacer una búsqueda en la consola de Vault

Abrir sección  |  Ocultar todo y volver al principio

Buscar eventos de registro de Vault
  1. Inicia sesión en vault.google.com.
  2. Haz clic en Informes.
  3. (Opcional) Selecciona un periodo.
  4. (Opcional) Escribe las direcciones de correo electrónico de los usuarios de Vault cuyas acciones quieres auditar. Para auditar las acciones de todos los usuarios de Vault, deja el campo en blanco.
  5. Selecciona los tipos de acciones de usuario de Vault que quieres auditar:
    • Para auditar todas las acciones, haz clic en Seleccionar todo.
    • Para auditar solo algunas acciones, marca la casilla situada junto a cada una de ellas.
  6. Haz clic en la opción Descargar CSV.

    Al hacerlo, se descargará en tu ordenador un archivo CSV con la información de la auditoría. Si has hecho una búsqueda de muchos usuarios, es posible que obtengas varios registros.

  7. Abre el archivo CSV en una aplicación de hojas de cálculo, como Hojas de cálculo de Google. Para ver las definiciones de los valores del archivo CSV, consulta la sección Descripciones de atributos (más adelante en esta página).
Auditar la actividad relacionada con un asunto
  1. Inicia sesión en vault.google.com.
  2. Haz clic en Asuntos.
  3. En la lista de asuntos, haz clic en el que quieras auditar.
  4. Haz clic en Auditoría.
    Nota: Para ver los registros de auditoría del asunto en la consola de administración de Google, haz clic en Probar ahora. El ID del asunto que has seleccionado se cargará automáticamente en la página Auditoría e investigación. También puedes copiar el ID del asunto en la URL:
  5. (Opcional) Selecciona un periodo.
  6. (Opcional) Escribe las direcciones de correo electrónico de los usuarios de Vault cuyas acciones quieres auditar. Para auditar las acciones de todos los usuarios de Vault, deja el campo en blanco.
  7. Selecciona los tipos de acciones de usuario de Vault que quieres auditar:
    • Para auditar todas las acciones, haz clic en Seleccionar todo.
    • Para auditar solo algunas acciones, marca la casilla situada junto a cada una de ellas.

      Nota: No se registran las acciones relacionadas con reglas de retención de asuntos específicos porque estas reglas se gestionan de manera independiente a los asuntos.

  8. Haz clic en la opción Descargar CSV.

    Al hacerlo, se descargará en tu ordenador un archivo CSV con la información de la auditoría. Si has ejecutado una auditoría de muchos usuarios, es posible que obtengas varios registros.

  9. Abre el archivo CSV en una aplicación de hojas de cálculo, como Hojas de cálculo de Google. Para ver las definiciones de los valores del archivo CSV, consulta la sección Descripciones de atributos (más adelante en esta página).

Descripciones de atributos

En esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro:

Atributo Descripción
Actor La dirección de correo electrónico del usuario que realizó la acción.
Información adicional Contiene detalles adicionales de la carga útil, como el periodo de retención y las condiciones.
Fecha Fecha y hora en que se ha producido el evento (en la zona horaria predeterminada de tu navegador).
Evento Acción del evento registrado; por ejemplo, Ver investigación, Ver documento externo o Añadir colaborador (inicio).
ID de asunto

ID del asunto. Este ID no está disponible para todos los eventos, sino para los que pertenecen a un asunto.

Nombre de la unidad organizativa Nombre de la unidad organizativa a la que se aplica la acción.
Consulta

Parámetros de búsqueda que el usuario ha introducido para una búsqueda concreta.

Nombre del recurso Nombre del recurso de la acción, como el nombre de una retención o el nombre de una consulta guardada.
URL de recurso URL del documento que ha visto el usuario.
Usuario objetivo

Dirección de correo electrónico del usuario objetivo, como un usuario que se haya retenido.

Nota: Si has asignado un nuevo nombre a un usuario, en la consulta no aparecerán los resultados correspondientes a su nombre antiguo. Por ejemplo, si has cambiado [email protected] a [email protected], no aparecerán resultados de eventos relacionados con [email protected].

Gestionar datos de eventos de registro

Gestionar datos de columnas de resultados de búsqueda

Puedes controlar qué columnas de datos quieres que aparezcan en los resultados de búsqueda.

  1. En la parte superior derecha de la tabla de resultados de búsqueda, haz clic en Gestionar columnas .
  2. (Opcional) Para quitar columnas, haz clic en Quitar .
  3. (Opcional) Para añadir columnas, junto a Añadir nueva columna, haz clic en la flecha hacia abajo  y selecciona la columna de datos.
    Repite el proceso tantas veces como sea necesario.
  4. (Opcional) Para cambiar el orden de las columnas, arrastra los nombres de las columnas de datos.
  5. Haz clic en Guardar.

Exportar datos de resultados de búsqueda

Puedes exportar los resultados de búsqueda a Hojas de cálculo de Google o a un archivo CSV.

  1. En la parte superior de la tabla de resultados de búsqueda, haz clic en Exportar todo.
  2. Introduce un nombre y luego haz clic en Exportar.
    La exportación se muestra debajo de la tabla de resultados de búsqueda, en Resultados de la acción Exportar.
  3. Para ver los datos, haz clic en el nombre de tu exportación.
    La exportación se abrirá en Hojas de cálculo de Google.

Los límites de exportación varían:

  • Los resultados totales de la exportación están limitados a 100.000 de filas, excepto las búsquedas de mensajes de Gmail, que están limitadas a 10.000 de filas.
  • Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

    Si utilizas la herramienta de investigación de seguridad, los resultados totales de la exportación se limitan a 30 millones de filas (excepto en el caso de las búsquedas de mensajes de Gmail, que tienen un límite de 10.000 filas).

Para obtener más información, consulta el artículo Exportar resultados de búsqueda.

¿Cuándo están disponibles los datos y durante cuánto tiempo?

 

Gestionar tus investigaciones

Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

Ver la lista de investigaciones

Para ver tus propias investigaciones y las que se han compartido contigo, haz clic en Ver investigaciones. La lista de investigaciones contiene los nombres, las descripciones y los propietarios de las investigaciones, así como la fecha de la modificación más reciente. 

En esta lista, puedes actuar sobre cualquiera de tus investigaciones, por ejemplo, para eliminar una de ellas. Marca la casilla de una investigación y haz clic en Acciones.

Nota: Justo encima de la lista de investigaciones, en Acceso rápido, puedes ver las investigaciones que se han guardado recientemente.

Configurar los ajustes de las investigaciones

Como superadministrador, haz clic en Configuración para hacer lo siguiente:

  • Cambiar la zona horaria de tus investigaciones. La zona horaria se aplica a las condiciones y a los resultados de búsqueda.
  • Activar o desactivar la opción Exigir revisor. Consulta más información en el artículo Exigir revisores en acciones en bloque.
  • Activar o desactivar la opción Ver contenido. Esta opción permite que los administradores que tengan el privilegio adecuado vean el contenido de correos.
  • Activar o desactivar la opción Habilitar justificación de acciones.

Para obtener instrucciones y más información, consulta el artículo Configurar los ajustes de las investigaciones.

Compartir, eliminar y duplicar investigaciones

Para guardar tus criterios de búsqueda o compartirlos con otros usuarios, puedes crear y guardar una investigación y, a continuación, compartirla, duplicarla o eliminarla.

Para obtener más información, consulta el artículo Guardar, compartir, eliminar y duplicar investigaciones.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal
433322148866577945
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false