События журнала Диска

Как отслеживать действия пользователей с файлами на Google Диске

В некоторых версиях Google Workspace вы можете получить доступ к инструменту "Анализ безопасности" с расширенными функциями. Например, суперадминистраторы могут идентифицировать, сортировать и устранять проблемы, связанные с конфиденциальностью и безопасностью. Подробнее…

Как администратор организации, вы можете искать события в журнале Диска и устранять связанные с ними проблемы. Например, проверив записи из этого журнала, вы сможете узнать, какие действия на Диске совершают пользователи из вашей организации. В журнале содержатся сведения о файлах, созданных пользователями в Google Документах, Таблицах, Презентациях и других приложениях Google Workspace, а также о файлах, загруженных на Диск, например PDF-файлах или файлах Microsoft Word.

Вы можете использовать Activity API для программного доступа к базовым данным отчетов. Если ваша версия Google Workspace поддерживает такую возможность, воспользуйтесь новым Reports API для доступа к дополнительным данным отчетов Google Workspace.

Важно!

  • Не все действия в Диске сохраняются в журнале. Вы можете ознакомиться со списком событий, которые регистрируются.
  • Подробнее о сроках хранения данных и задержках
  • Большинство событий аудита Диска регистрируются только для файлов, принадлежащих пользователям с поддерживаемыми версиями. Исключение составляют события "Получен доступ к URL", которые регистрируются, если пользователь, запускающий скрипт Apps Script, который обращается к URL, находится в вашей организации и использует поддерживаемую версию.

Как пересылать данные о событиях в Google Cloud

Вы можете предоставить Google Cloud доступ к данным о событиях. В этом случае данные будут пересылаться в Cloud Logging, где можно просматривать журналы, выполнять по ним поиск, а также управлять их маршрутизацией и хранением.

Как искать события журнала

Возможность поиска в инструменте "Анализ безопасности" зависит от версии сервиса Google, назначенных прав администратора и источника данных. Вы можете искать действия всех пользователей, независимо от того, какая у них версия Google Workspace.

Инструмент "Аудит и анализ"

Чтобы выполнить поиск событий в журнале, сначала выберите источник данных. Затем добавьте один или несколько фильтров.

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Отчетыа затемАудит и анализа затемСобытия журнала Диска.
  3. Нажмите Добавить фильтр и выберите атрибут.
  4. Во всплывающем окне выберите оператора затемвыберите значениеа затемнажмите Применить.
    • Если нужно создать несколько фильтров результатов поиска, повторите этот шаг.
    • Если нужно добавить оператор поиска, над элементом Добавить фильтр выберите И или ИЛИ.
    • Если нужно создать несколько фильтров результатов поиска, повторите этот шаг.
    • Если нужно добавить оператор поиска, над элементом Добавить фильтр выберите И или ИЛИ.
  5. Нажмите Поиск.

  6. Примечание. С помощью вкладки Фильтр можно включить простые пары параметров и значений, чтобы отфильтровать результаты поиска. Кроме того, вы можете использовать вкладку Конструктор условий, на которой фильтры представлены в виде условий с операторами И/ИЛИ.

Инструмент "Анализ безопасности"
Эта функция доступна в версиях Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

Чтобы выполнить поиск в инструменте "Анализ безопасности", сначала выберите источник данных. Затем добавьте одно или несколько условий поиска и для каждого из них выберите атрибут, оператор и значение.

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Безопасностьа затемЦентр безопасностиа затемИнструмент "Анализ безопасности".
  3. Нажмите Источник данных и выберите События журнала Диска.
  4. Нажмите Добавить условие.
    Совет. Вы можете указать одно или несколько условий или использовать вложенные запросы. Подробнее о том, как использовать вложенные запросы при поиске
  5. Нажмите Атрибута затемвыберите нужный вариант.
    Полный список атрибутов приведен в разделе Описания атрибутов ниже.
  6. Выберите оператор.
  7. Введите значение или выберите его в раскрывающемся списке.
  8. Если нужно добавить дополнительные условия поиска, повторите шаги 4–7.
  9. Нажмите Поиск.
    Результаты поиска в инструменте "Анализ безопасности" показываются в таблице в нижней части страницы.
  10. Чтобы сохранить анализ, нажмите Сохранить а затемвведите название и описаниеа затемСохранить.

Примечания

  • На вкладке Конструктор условий фильтры представлены в виде условий с операторами И/ИЛИ. На вкладке Фильтр можно выбрать простые пары параметров и значений, чтобы отфильтровать результаты поиска.
  • Если пользователь был переименован, поиск не даст результатов для его прежнего имени. Например, если [email protected] заменили на [email protected], в результатах поиска не будет событий, связанных с пользователем [email protected].

Описания атрибутов

При поиске данных о событиях в этом источнике вы можете использовать следующие атрибуты:

Примечания

  • Для каждого события сообщается не обо всех атрибутах из списка ниже.
  • Список ниже не является полным и может меняться. Больше о событиях журнала Диска можно узнать на сайте Google Workspace Admin SDK в статье о событиях аудита действий на Диске.
Атрибут Описание
Исполнитель Адрес электронной почты пользователя, совершившего действие. Внешние пользователи регистрируются как анонимные, за исключением случаев, когда они просматривают или редактируют документ, к которому им был предоставлен доступ явным образом (как отдельному пользователю или участнику определенной группы).
Название группы

Название группы, к которой относится исполнитель. Подробнее о том, как фильтровать результаты по группе Google

Чтобы добавить группу в белый список групп фильтрации:

  1. Выберите Название группы.
  2. Выберите Группы фильтрации.
    Откроется соответствующая страница.
  3. Нажмите Добавить группы.
  4. Найдите группу: начните вводить ее название или адрес электронной почты, а затем выберите нужный вариант из списка предложений.
  5. Если вы хотите добавить ещё одну группу, найдите и выберите ее.
  6. Когда группы будут выбраны, нажмите Добавить.
  7. Если вы хотите удалить группу, нажмите на значок "Удалить группу" рядом с ней.
  8. Нажмите Сохранить.
Организационное подразделение исполнителя Организационное подразделение, к которому относится исполнитель.
Метод API Метод API, используемый для действий скачивания и доступа к содержимому объекта через стороннее приложение. Пример: drive.files.export.
Идентификатор приложения Идентификатор клиента OAuth для стороннего приложения, выполнившего действие.
Название приложения Приложение, которое выполняет действие.
Аудитория Целевой домен (если действие связано с изменением настроек доступа).
Оплачивается Только для версии Essentials: является ли действие пользователя платным.
Дата

Дата и время события (указываются в часовом поясе, используемом по умолчанию в браузере).

Примечание. Большинство событий регистрируются сразу после их завершения. Однако регистрация больших загрузок может занять некоторое время.
Идентификатор документа

Указанный в URL уникальный идентификатор объекта на Диске, с которым связано действие.

Примечание. Для событий Получен доступ к URL идентификатор документа и другие атрибуты файла, например тип и владелец документа, указываются только при определенных действиях. Подробнее…
Тип документа Тип файла, с которым связано действие, например файл Google Документов, Таблиц или Презентаций, файл JPEG, PDF, PNG, MP4, Microsoft Word, Excel, PowerPoint, TXT или HTML, аудиофайл MPEG, видео QuickTime, папка или общий диск.
Домен* Домен, в котором было выполнено действие.
Зашифровано* Информация о том, зашифрован ли файл на стороне клиента.
Название события

Инициированные пользователями события, например просмотр, переименование, создание, редактирование, печать, удаление, загрузка и скачивание.

Большинство действий регистрируются сразу. Но события печати в средстве просмотра на Диске могут регистрироваться с задержкой в 12 часов или более. Сведения об автоматическом удалении файлов Google Диском и очистке корзины записываются в журнал. Другие события, такие как загрузка файла, регистрируются после их завершения.
Выдача себя за другое лицо

Приложение использовало делегирование на уровне домена, чтобы сделать запрос от имени пользователя. Значение True указывает, что событие инициировано от имени пользователя. Можно проверить значение атрибута Исполнитель, чтобы узнать адрес электронной почты пользователя, Идентификатор приложения и Название приложения, с помощью которых можно идентифицировать приложение.

Подробнее о делегировании на уровне домене
IP-адрес*

Адрес, с которого пользователь совершил действие. Обычно это IP-адрес, который соответствует вашему местоположению, но это может быть и адрес прокси-сервера или виртуальной частной сети (VPN).

В журнале не регистрируются IP-адреса для событий, которые:

  • инициированы внешними пользователями;
  • исходят от сервисов, которые не включают IP-адрес в запросы;
  • относятся к переименованию или удалению общего диска.
Новое значение настройки доступа Новое значение настройки доступа к документу.
Новое значение* Новое значение измененной настройки.
Идентификаторы нового значения* Новое значение поля ярлыка.
Старое значение настройки доступа Старое значение настройки доступа к документу (если она была изменена).
Старое значение* Старое значение измененной настройки.
Идентификаторы старого значения* Старое значение для поля ярлыка.
Владелец

Пользователь, которому принадлежит файл.
Предыдущие настройки доступа Предыдущие настройки доступа к документу (если они были изменены).
Получатели* Адреса электронной почты получателей.
Идентификатор общего диска Идентификатор общего диска, на котором находится файл. Если файл находится не на общем диске, это поле остается пустым.
Адресат Пользователь, настройки доступа которого были изменены.
Название Название документа.
Доступ Параметры доступа к объекту на Диске, с которым связано действие.
Изменение настроек доступа Параметры доступа к объекту на Диске до выполнения действия.
Посетитель Значение Да указывает, что действие выполнено не пользователем Google. Нет означает, что действие выполнено пользователем Google. Подробнее о том, как предоставлять посетителям доступ к документам
*С помощью этих фильтров нельзя добавлять правила создания отчетов. Подробнее о различиях между правилами создания отчетов и правилами действий

Примечание. Если пользователь был переименован, поиск по его прежнему имени не даст результатов. Например, если [email protected] заменить на [email protected], в результатах поиска не будет событий, связанных с пользователем [email protected].

Просмотр файлов с доступом для внешних пользователей

Чтобы узнать, какие файлы доступны за пределами домена, выполните следующие действия:

Страница аудита и анализа

  1. Откройте журнал событий Диска, как описано выше.
  2. Нажмите Добавить фильтр а затем Доступ, а затем выберите Доступно за пределами домена.
  3. Нажмите Поиск.

Если вы отключите предоставление внешнего доступа к файлам, то документ, отправленный группе, которая открыта для внешних пользователей, будет помечен в журнале как Доступно за пределами домена, даже если в группе нет внешних участников. Однако получить к нему доступ внешние участники группы не смогут.

Инструмент "Анализ безопасности"

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Безопасностьа затемЦентр безопасностиа затемИнструмент "Анализ безопасности".
  3. Выберите Источник данныха затемСобытия журнала Диска.
  4. Нажмите Добавить условие.
  5. Нажмите Атрибута затемвыберите Доступ.
  6. Нажмите Содержита затемвыберите Равно.
  7. Нажмите Доступа затемвыберите Доступно за пределами домена.
  8. Нажмите Поиск.
    Результаты поиска в инструменте "Анализ безопасности" показываются в таблице в нижней части страницы.

Если вы отключите предоставление внешнего доступа к файлам, документ, отправленный группе, которая открыта для внешних пользователей, будет помечен в журнале как Доступно за пределами домена. Однако получить к нему доступ внешние участники группы не смогут. Эта пометка в журнале отобразится, даже если в группе нет внешних участников.

Какие события регистрируются

Удаление

Сведения об автоматическом удалении файлов Google Диском и очистке корзины записываются в журнал.

Копирование

Когда пользователь копирует файл, для нового файла регистрируются события Создание и Копирование, а для исходного – Источник скопирован.

Когда внешний пользователь копирует файл во внешнее расположение, в вашей организации не регистрируются события Создание и Копирование, потому что новый файл является внешним. Однако в ваших журналах для исходного файла фиксируется событие Источник скопирован, у которого параметр Тип копирования имеет значение Внешний. Чтобы отслеживать случаи, когда данные копируются из организации, вы можете просматривать события Источник скопирован с типом копирования Внешний.

Печать

События печати не записываются, если пользователь печатает файл в формате Google Документов, Таблиц, Презентаций, Рисунков или Форм.

Если при печати файлов пользователь использует приложение "Диск" для устройств Apple или Android, то событие Печать может быть зарегистрировано в журнале как Скачивание.

Скачивание

Большинство событий скачивания регистрируется, в том числе когда файлы копируются между Диском и локальным устройством с помощью приложения "Google Диск для компьютеров".

Некоторые действия просмотра регистрируются как скачивания:

  • Предварительный просмотр файла в приложении "Диск" на мобильном устройстве регистрируется как событие Скачивание.
  • Предварительный просмотр файла, например PDF, который нельзя открыть напрямую в Google Документах или другом приложении Google, регистрируется как событие Скачивание.

В журнале не регистрируются следующие действия:

  • скачивание данных из Google Архиватора (ищите вместо этого события журнала Архиватора);
  • скачивание данных в офлайн-кеш браузера;
  • скачивание фотографий из Google Фото, их просмотр и синхронизация;
  • отправка файлов Диска по электронной почте и скачивание этих документов через почтовый клиент получателя.

Содержимое объекта синхронизировано

События синхронизации содержимого объекта (доступны для обработки после 1 июля 2024 года) регистрируются в следующих случаях:

  • Файл на Диске синхронизируется с файлом на локальном устройстве с помощью Google Диска для компьютеров. Кроме того, такие события регистрируются как события скачивания.
  • Файл на устройстве синхронизируется для офлайн-режима, включая постоянную синхронизацию с онлайн-версией. Вместо события синхронизации содержимого объекта с мобильным приложением Диска (Android и iOS) могут регистрироваться как события скачивания.

Доступ к содержимому объекта

Доступ к файлам от имени пользователей можно получить через приложение, использующее один из Google Workspace API, например Google Drive API или Google Sheets API. Эти действия регистрируются не как скачивание или просмотр, а как событие Доступ к содержимому объекта.Событие Gemini Доступ к содержимому объектазаписывается, только когда доступ не связан с открытием файла в веб-версии Диска.

Оно не регистрируется, когда пользователь просматривает или открывает файл в веб-версии Диска, приложении "Диск для компьютеров" или на Диске для мобильных устройств.

Вид

  • Просмотр файлов с использованием параметров /htmlview, /embed, /revisions и других специальных URL теперь регистрируется как событие Просмотр.

Получен доступ к URL

События Получен доступ к URL регистрируются, когда скрипт Apps Script обращается к URL, в том числе если скрипт запускается с панели управления Apps Script, выполняется как дополнение или как пользовательская функция в Таблицах. Когда пользователь нажимает на ссылку в файле, событие Получен доступ к URL не регистрируется.

Регистрируемые атрибуты зависят от того, как был запущен скрипт и кто является его владельцем:

  • Когда скрипт выполняется как пользовательская функция, идентификатор документа и другие связанные с документом атрибуты указывают на лист, на котором была вызвана функция.
  • В других случаях эти атрибуты не регистрируются.
  • Идентификатор скрипта регистрируется, если скрипт Apps Script принадлежит вашей организации.

URL для импорта в Таблицы

Вызов функции импорта в Таблицы, которая получает доступ к URL, регистрируется как событие URL для импорта в Таблицы. Событие регистрируется, когда пользователь открывает таблицу или когда ее содержимое изменяется при автоматическом обновлении.

События, связанные с внешним доменом

Некоторые события связаны с пользователями, общими папками или общими дисками за пределами вашей организации, например если сотрудник организации делится файлом с внешним пользователем. Если при событии право собственности для объекта переходит от одной организации к другой, они обе регистрируют событие.

Примеры событий, которые регистрируют обе организации:

  • Объект на Диске, принадлежащий сотруднику вашей организации, переносится на внешний общий диск.
  • Объект на Диске, принадлежащий внешнему пользователю, переносится на общий диск, который принадлежит вашей организации.
  • Пользователь копирует файл в организацию или из нее. Организация, которая получает файл, регистрирует название скопированного файла, а не исходное.

Примеры событий, которые регистрирует ваша организация, но не регистрирует внешний домен:

  • К объекту на Диске, который принадлежит пользователю в вашей организации, получает доступ внешний пользователь.
  • К объекту на Диске, который принадлежит пользователю в вашей организации, получает доступ группа, в которой разрешены внешние пользователи, даже если таких пользователей в ней нет.
  • Внешний пользователь просматривает, редактирует, скачивает, печатает или удаляет объект на Диске, принадлежащий вашей организации.
  • Внешний пользователь загружает файл на общий диск, принадлежащий вашей организации.

События, которые регистрирует внешний домен, но не ваша организация, являются обратными от указанных в списке выше.

Анонимные и внешние пользователи

Для анонимных пользователей (которые не вошли в аккаунт Google) регистрируются действия редактирования, но не просмотры и скачивания.

Действия, выполненные внешними пользователями, регистрируются как анонимные, за исключением случаев, когда к объекту был предоставлен доступ явным образом (как отдельному пользователю или участнику определенной группы).

Администратор может запретить анонимный и внешний доступ, настроив правила общего доступа для организации или правила доверия.

Диск для компьютеров

Когда файлы копируются между Диском и локальным устройством с помощью приложения "Google Диск для компьютеров", регистрируется действие Скачивание.

Как работать с данными о событиях в журнале

Как управлять столбцами данных в результатах поиска

Вы можете выбрать, какие столбцы данных будут отображаться в результатах поиска.

  1. В правой верхней части таблицы с результатами поиска нажмите на значок "Управление столбцами" .
  2. Чтобы удалить отображаемые столбцы, нажмите "Удалить" .
  3. Чтобы добавить столбцы, рядом с надписью Добавить столбец нажмите на стрелку вниз и выберите вариант из списка.
    При необходимости повторите действия для другого запроса.
  4. Чтобы изменить порядок столбцов, перетащите их названия.
  5. Нажмите Сохранить.

Как экспортировать результаты поиска

Результаты поиска можно экспортировать в таблицу Google или CSV-файл.

  1. В верхней части таблицы результатов поиска нажмите Экспортировать все.
  2. Введите название а затем нажмите Экспорт.
    Экспортированные данные будут показаны под таблицей с результатами поиска в разделе Результаты выполнения действия "Экспорт".
  3. Чтобы посмотреть экспортированные данные, нажмите на название файла.
    Данные откроются в Google Таблицах.

На экспорт накладываются различные ограничения:

  • Всего можно экспортировать не более 100 000 строк (10 000 для писем Gmail).
  • Эта функция доступна в версиях Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

    Если у вас есть инструмент "Анализ безопасности", всего можно экспортировать не более 30 млн строк (10 000 строк для писем Gmail).

Подробнее об экспорте результатов поиска

Когда данные становятся доступны и как долго они хранятся?

Подробная информация приведена в статье Задержки при обновлении отчетов и сроки хранения данных.

Какие действия можно выполнить с результатами поиска

Как создавать правила активности и настраивать оповещения
  • Вы можете настроить оповещения на основе данных о событиях журнала, используя правила создания отчетов. Подробнее о том, как работать с правилами создания отчетов и настраивать оповещения
  • Эта функция доступна в версиях Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

    Чтобы эффективнее предотвращать, выявлять и исправлять проблемы с безопасностью, вы можете автоматизировать действия в инструменте "Анализ безопасности" и настроить оповещения с помощью правил активности. Для каждого правила нужно задать условия и указать, какие действия следует выполнять при соблюдении этих условий. Подробнее о том, как создавать правила активности

Действия с результатами поиска

Эта функция доступна в версиях Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

Результаты поиска, полученные с помощью инструмента "Анализ безопасности", можно использовать для разных целей. Например, сообщения, найденные при поиске по событиям журнала Gmail, можно удалять, отправлять в карантин или помещать в папки "Входящие" пользователей. Подробнее о том, какие действия можно выполнять с результатами поиска

Как управлять процессом анализа

Эта функция доступна в версиях Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus и Cloud Identity Premium. Сравнение версий

Как посмотреть список анализов

Чтобы посмотреть список анализов, которые вам принадлежат или к которым вам предоставлен доступ, нажмите на значок "Посмотреть список анализов" . В списке указаны названия, описания и владельцы анализов, а также дата их последнего изменения.

На странице со списком можно выполнять действия с любыми принадлежащими вам анализами, например удалять их. Для этого установите флажок рядом с нужным анализом и нажмите Действия.

Примечание. Над списком анализов в разделе Быстрый доступ также отображаются недавно сохраненные результаты анализов.

Как задать настройки анализа

Войдите в систему как суперадминистратор и нажмите на значок "Настройки" . В этом меню можно выполнить следующие действия:

  • Изменить часовой пояс для анализов. Он применяется ко всем условиям и результатам поиска.
  • Включить или отключить параметр Запросить проверку. Подробные сведения о нем можно найти в статье Как включить обязательную проверку массовых действий.
  • Включить или отключить параметр Просмотр контента. С его помощью вы можете предоставить администраторам право просматривать содержимое.
  • Включить или отключить параметр Включить обоснование действия.

Подробные сведения и инструкции приведены в статье Как задавать настройки анализа.

Как копировать анализы, удалять их и предоставлять к ним доступ

Чтобы сохранить параметры поиска или поделиться ими с другими пользователями, вы можете создать и сохранить анализ, а затем предоставить к нему доступ, копировать или удалить его.

Подробную информацию можно найти в статье Как сохранять результаты анализа и предоставлять к ним доступ.

Статьи по теме

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Опубликовать на справочном форуме Получите ответы от участников сообщества
Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Приложения Google
Главное меню
1814333558305644739
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false