אירועים ביומן של Drive

צפייה בפעילות משתמשים בקבצים ב-Google Drive

Depending on your Google Workspace edition, you might have access to the security investigation tool, which has more advanced features. For example, super admins can identify, triage, and take action on security and privacy issues. Learn more

אדמינים בארגונים יכולים להריץ חיפושים על אירועים ביומן של Drive ולבצע פעולות בהתאם להם. לדוגמה, הם יכולים לראות תיעוד של פעולות שהמשתמשים בארגון ביצעו ב-Drive. האירועים ביומן של Drive כוללים תוכן שהמשתמשים שלכם יוצרים ב-Google Docs, ב-Sheets, ב-Slides ובאפליקציות אחרות של Google Workspace, ותוכן שהמשתמשים מעלים ל-Drive כמו מסמכי PDF וקבצים של Microsoft Word.

אתם יכולים להשתמש ב-Activity API כדי לגשת לנתוני דוחות בסיסיים. אם במהדורת Google Workspace שלכם יש תמיכה ב-Reports API חדש, תוכלו להשתמש בו כדי לגשת לנתוני דוחות מתקדמים של Google Workspace.

Important:

  • Not all activities in Drive are logged. For a list of what's included, go to Logged and unlogged events.
  • For details on when data becomes available and how long it's retained, go to Data retention and lag times.
  • Most Drive audit events are logged only for files owned by users with supported editions. However, URL Accessed events are logged when the user who starts an Apps Script script that accesses a URL is in your organization and has a supported edition.

בדף הזה

הרחבת הכול  |  כיווץ הכול

הרצת חיפוש לאירועים ביומן

Your ability to run a search depends on your Google edition, your administrative privileges, and the data source. You can run a search on all users, regardless of their Google Workspace edition.

הרחבת הקטע  |  כיווץ הכול ומעבר לחלק העליון

כלי הביקורת והחקירה

כדי להריץ חיפוש לאירועים ביומן, צריך קודם לבחור מקור נתונים. לאחר מכן צריך לבחור מסנן אחד או יותר לחיפוש.

  1. היכנסו אל מסוף Google Admin באמצעות חשבון אדמין.

    אי אפשר לגשת למסוף אדמין בלי חשבון אדמין.

  2. Go to Menu ואז Reporting > Audit and investigation > Drive log events.

    Requires having the Reports administrator privilege.

  3. לוחצים על הוספת מסנן ובוחרים מאפיין.
  4. בחלון הקופץ, בוחרים אופרטורואזבוחרים ערךואזלוחצים על אישור.
    • (אופציונלי) כדי ליצור כמה מסננים לחיפוש, חוזרים על השלב הזה.
    • (אופציונלי) כדי להוסיף סימן או מילה למיקוד החיפוש, מעל הוספת מסנן, בוחרים באפשרות וגם או או.
  5. לוחצים על חיפוש.

    הערה: בכרטיסייה מסנן אפשר לכלול צמדים פשוטים של פרמטרים וערכים כדי לסנן את תוצאות החיפוש. תוכלו גם להשתמש בכרטיסייה הגדרת תנאים, שבה המסננים מיוצגים כתנאים באמצעות אופרטורים מסוג AND/OR.

הכלי לחקירת אבטחה
במהדורות הבאות יש תמיכה בתכונה הזאת: ‏ ‫Frontline Standard ו-Frontline Plus,‏ ‫Enterprise Standard ו-Enterprise Plus,‏ Education Standard and Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. ‏השוואה בין מהדורות

To run a search in the security investigation tool, first choose a data source. Then, choose one or more conditions for your search. For each condition, choose an attribute, an operator, and a value

  1. היכנסו אל מסוף Google Admin באמצעות חשבון אדמין.

    אי אפשר לגשת למסוף אדמין בלי חשבון אדמין.

  2. Go to Menu ואז Security > Security center > Investigation tool.

    Requires having the Security center administrator privilege.

  3. לוחצים על מקור נתונים ובוחרים באפשרות אירועים ביומן של Drive.
  4. Click Add Condition.
    Tip: You can include one or more conditions in your search or customize your search with nested queries. For details, go to Customize your search with nested queries.
  5. Click Attributeואזselect an option.
    For a complete list of attributes, go to the Attribute descriptions section.
  6. Select an operator.
  7. Enter a value or select a value from the list.
  8. (Optional) To add more search conditions, repeat steps 4–7.
  9. Click Search.
    You can review the search results from the investigation tool in a table at the bottom of the page.
  10. (Optional) To save your investigation, click Save ואזenter a title and descriptionואזclick Save.

הערות

  • בכרטיסייה של הכלי להגדרת תנאים, המסננים מיוצגים כתנאים עם האופרטורים AND ו-OR. אפשר גם להשתמש בכרטיסייה של המסננים כדי לכלול זוגות פשוטים של פרמטר וערך ולסנן לפיהם את תוצאות החיפוש.
  • אם תתנו למשתמש שם חדש, לא תראו תוצאות לשאילתות עם השם הישן שלו. למשל, אם אתם משנים את השם של [email protected] ל-[email protected], לא תראו תוצאות לאירועים שקשורים לשם [email protected].

תיאורי מאפיינים

כשמחפשים נתוני אירועים ביומן, אפשר להשתמש במאפיינים הבאים במקור הנתונים הזה:

הרחבת הקטע  |  כיווץ הכול ומעבר לחלק העליון

מאפיינים לחיפוש נתונים ביומן

Note:

  • Not all attributes in the following list are reported for all events.
  • The following list is not exhaustive and is subject to change. For more details about Drive log events, go to Drive Audit Activity Events on the Google Workspace Admin SDK website.
מאפיין תיאור
המשתמש

כתובת האימייל של המשתמש שביצע את הפעולה. משתמשים מחוץ לדומיין מוצגים כאנונימיים, אלא אם יש להם הרשאת צפייה או עריכה מפורשת במסמך ששותף איתם (כיחידים או כחלק מקבוצה מסוימת).

הערה: אם למשתמש יש גם כתובת אימייל ראשית וגם כתובת אימייל חלופית, בנתוני האירועים ביומן מתועדת כתובת האימייל הראשית, גם אם האירוע (כמו שיתוף של פריט) התבצע עם הכתובת החלופית.
שם קבוצת המשתמשים

שם הקבוצה של המשתמש. מידע נוסף זמין במאמר בנושא סינון תוצאות לפי קבוצה ב-Google.

כדי להוסיף קבוצה לרשימת ההיתרים של קבוצות הסינון:

  1. בוחרים את שם הקבוצה של המשתמש.
  2. לוחצים על קבוצות סינון.
    מופיע הדף של קבוצות הסינון.
  3. לוחצים על הוספת קבוצות.
  4. כדי לחפש קבוצה, מזינים את התווים הראשונים של השם או כתובת האימייל של הקבוצה. אם רואים את הקבוצה שרוצים, בוחרים אותה.
  5. כדי להוסיף עוד קבוצה, מחפשים את הקבוצה ובוחרים אותה.
  6. כשמסיימים לבחור קבוצות, לוחצים על הוספה.
  7. (אופציונלי) אם רוצים להסיר קבוצה, לוחצים על סמל הסרת הקבוצה .
  8. לוחצים על שמירה.
היחידה הארגונית של המשתמש היחידה הארגונית שהמשתמש משויך אליה
שיטת ה-API שיטת ה-API שהפעולה שנבחרה – כמו הורדה או בוצעה גישה לתוכן של פריט דרך אפליקציות צד שלישי – השתמשה בה, למשל, drive.files.export.
מזהה האפליקציה מזהה לקוח OAuth של אפליקציית הצד השלישי שביצעה את הפעולה
שם האפליקציה האפליקציה שביצעה את הפעולה
הקהל דומיין היעד במקרים שבהם יומן הביקורת מיועד לשינויים בהרשאות הגישה
ניתנת לחיוב (במהדורת Essentials בלבד) אם פעולת המשתמש היא פעילות לחיוב
תאריך

התאריך והשעה שהאירוע התרחש בהם (מוצגים לפי אזור הזמן שמוגדר כברירת מחדל בדפדפן)

הערה: רוב האירועים מתועדים ביומן לאחר שהם הושלמו. יכול לחלוף זמן מה עד שהעלאות גדולות מתועדות ביומן.
מזהה המסמך

מזהה ייחודי לפריט ב-Drive שמשויך לפעילות מסוימת, ששמור בקישור ה-URL של הקובץ

הערה: המאפיין הזה מדווח רק לגבי פעולות מסוימות באירועים מסוג בוצעה גישה לכתובת URL, מזהי מסמכים ושדות נוספים שקשורים לקבצים, כמו סוג המסמך והבעלים שלו. פרטים נוספים זמינים בקטע בוצעה גישה לכתובת URL.
סוג המסמך הפורמט של הקובץ שקשור לפעילות, לדוגמה: Docs,‏ Sheets, או Slides,‏ JPEG,‏ PDF,‏ PNG,‏ MP4,‏ Microsoft Word,‏ Excel,‏ PowerPoint,‏ txt,‏ HTML,‏ MPEG audio,‏ סרטון QuickTime, תיקייה, או תיקיות אחסון שיתופי
דומיין* הדומיין שבו התרחשה הפעולה
מוצפן* ציון אם הקובץ מוצפן מצד הלקוח
שם האירוע

אירועים מסוג צפייה, שינוי שם, יצירה, עריכה, הדפסהמחיקה, העלאה ו הורדה

רוב הפעולות מתועדות ביומן מיד. יחד עם זאת, התיעוד של אירועים מסוג הדפסה בכלי לצפייה בקבצים ב-Drive יכול להתעכב ב-12 שעות או יותר מזמן האירוע. קבצים שהמערכת מוחקת ב-Drive או מרוקנת אותם מהאשפה מתועדים ביומן. אירועים אחרים, כמו העלאת קובץ, מתועדים ביומן לאחר שהפעולה הושלמה.
התחזות

אפליקציה השתמשה בהענקת גישה ברמת הדומיין כדי לבצע בקשה בשם משתמש. הערך TRUE מציין שהאירוע בוצע על ידי המשתמש. אתם יכולים לבדוק את המאפיין משתמש כדי למצוא את כתובת האימייל של המשתמש ואת המאפיינים מזהה האפליקציה ושם האפליקציה כדי לזהות את האפליקציה.

מידע נוסף על הענקת גישה ברמת הדומיין
כתובת IP*

הכתובת שבה המשתמש ביצע את הפעולה. היא יכולה להיות המיקום הפיזי של המשתמש, אבל היא גם יכולה להיות כתובת של שרת proxy או של רשת וירטואלית פרטית (VPN).

לא מתבצע תיעוד ביומן של כתובות IP לאירועים הבאים:

  • אירועים שמשתמשים מחוץ לארגון התחילו
  • אירועים משירותים שאינם מתעדים את כתובת ה-IP בבקשות שלהם
  • אירועים שקשורים לשינוי שם או למחיקה של קבצים מאחסון שיתופי
ערך חדש להרשאות גישה לפרסום הרשאת גישה חדשה במסמך
ערך חדש* הערך החדש של ההגדרה ששונתה
מזהים של ערכים חדשים* הערך החדש לשדה של התווית
ערך ישן להרשאות הגישה לפרסום הערך הישן של הרשאות הגישה למסמך אם הפעילות היא שינוי בהרשאות הגישה
הערך הישן* הערך הישן של ההגדרה ששונתה
מזהים של ערכים ישנים* הערך הישן של השדה של התווית
בעלים

המשתמש שהוא הבעלים של הקובץ
הרשאות גישה קודמות הרשאות הגישה הקודמות למסמך במקרה שהרשאות הגישה שונו
נמענים* כתובות האימייל של הנמענים
מזהה האחסון השיתופי מזהה Drive של האחסון השיתופי שמכיל את הקובץ. אם הקובץ לא נכלל באחסון שיתופי, השדה הזה לא מאוכלס.
יעד המשתמש שהגישה שלו שונתה
שם שם המסמך
הרשאות גישה הרשאות הגישה לפריט ב-Drive שקשור לפעילות
שינוי הרשאות הגישה הרשאות הגישה לפריט ב-Drive לפני הפעילות
מבקר הערך כן מציין שהפעילות בוצעה על ידי משתמש בלי חשבון Google. הערך לא מציין שהפעילות בוצעה עלי ידי משתמש Google. מידע נוסף על שיתוף מסמכים עם מבקרים
* You cannot create reporting rules with these filters. Learn more about reporting rules versus activity rules.

הערה: אם נתתם למשתמש שם חדש, לא יוצגו תוצאות של שאילתות עם השם הישן שלו. לדוגמה, אם אתם משנים את השם של [email protected] ל-[email protected], לא תראו תוצאות לאירועים שקשורים ל-[email protected].

צפייה בקבצים ששותפו עם גורמים מחוץ לדומיין

הרחבת הקטע  |  כיווץ הכול ומעבר לחלק העליון

דף הביקורת והחקירה
  1. פותחים את האירועים ביומן כמו שמתואר בקטע הרצת חיפוש לאירועים ביומן.
  2. לוחצים עלהוספת מסנןואזהרשאות גישהואזולוחצים על קבצים ששותפו עם גורמים מחוץ לארגון
  3. לוחצים על חיפוש.

אם משביתים את השיתוף מחוץ לדומיין ומשתמש משתף מקור מידע עם קבוצה שאפשר להכניס אליה משתמשים חיצוניים, הנתונים מסומנים כשותף מחוץ לדומיין ביומן. משתמשים חיצוניים בקבוצה לא יוכלו לגשת למקורות המידע ששותפו. נוסף לכך, אתם תראו את השיתוף גם אם אין בקבוצה משתמשים חיצוניים.

הכלי לחקירת אבטחה
  1. היכנסו אל מסוף Google Admin באמצעות חשבון אדמין.

    אי אפשר לגשת למסוף אדמין בלי חשבון אדמין.

  2. Go to Menu ואז Security > Security center > Investigation tool.

    Requires having the Security center administrator privilege.

  3. לוחצים על מקור נתוניםואזבוחרים באפשרות אירועים ביומן של Drive.
  4. לוחצים על הוספת תנאי.
  5. לוחצים על מאפייןואזבוחרים באפשרות הרשאות גישה.
  6. לוחצים על Contains (מכיל) ואזבוחרים באפשרות Is (הוא).
  7. לוחצים על הרשאות גישהואזselect שותף מחוץ לדומיין.
  8. Click Search.
    You can review the search results from the investigation tool in a table at the bottom of the page.

אם משביתים את השיתוף מחוץ לדומיין ומשתמש משתף מקור מידע עם קבוצה שאפשר להכניס אליה משתמשים חיצוניים, הנתונים מסומנים כשותף מחוץ לדומיין ביומן. משתמשים חיצוניים בקבוצה לא יוכלו לגשת למקורות המידע ששותפו. נוסף לכך, אתם תראו את השיתוף גם אם אין בקבוצה משתמשים חיצוניים.

 

אירועים שמתועדים ושלא מתועדים ביומן

הרחבת הקטע  |  כיווץ הכול ומעבר לחלק העליון

מחיקה

קבצים שהמערכת מוחקת באופן אוטומטי ב-Drive או מרוקנת אותם מהאשפה מתועדים ביומן.

העתקה

כשמעתיקים קובץ, האירועים יצירה והעתקה יתועדו ביומן לגבי הקובץ החדש, והאירוע העתקת המקור יתועד לגבי הקובץ המקורי.

כשמשתמש מחוץ לארגון מעתיק קובץ למיקום חיצוני, האירועים יצירה והעתקה לא מתועדים בארגון כי הקובץ החדש מחוץ לארגון. יחד עם זאת, האירוע העתקת המקור יתועד ביומן לגבי הקובץ המקורי, והמאפיין סוג ההעתקה יצוין בתור מחוץ לארגון. כדי לעקוב אחרי נתונים שמועתקים מחוץ לארגון, אפשר לבדוק אירועים מסוג העתקת המקור שסוג ההעתקה שלהם הוא מחוץ לארגון.

הדפסה

אירועים מסוג הדפסה לא מתועדים אם המשתמש מדפיס קובץ שנפתח בפורמט קובץ של Google‏ (קבצים ב-Docs,‏ Sheets,‏ Slides,‏ Drawings‏ או Forms).

אם מדפיסים קבצים דרך אפליקציית Drive מאייפון או אייפד של אפל או ממכשיר Android, אירועים מסוג הדפסה עשויים להיות מתועדים ביומן כאירועי הורדה.

הורדה

רוב ההורדות מתועדות ביומן, כולל מקרים שבהם הקבצים מועתקים בין Drive למכשיר מקומי באמצעות "Google Drive לשולחן העבודה".

הפעולות הבאות מסוג צפייה מתועדות ביומן כאירועים מסוג הורדה:

  • הצגת תצוגה מקדימה של קובץ באפליקציית Drive במכשיר נייד
  • הצגת תצוגה מקדימה של קובץ (כמו PDF), שאי אפשר לפתוח ישירות ב-Docs או באפליקציות אחרות של Google
  • שליחת קובץ כקובץ מצורף לכתובת אימייל מאפליקציה של Google, כמו Docs

ביומן לא מתועדות הורדות מהמקורות הבאים:

  • הורדות של Google Takeout (מידע בנושא זמין במאמר אירועים ביומן של Takeout)
  • הורדות למטמונים אופליין של דפדפנים
  • תמונות שסונכרנו עם Google Photos, הורדו ממנה או נפתחו באמצעותה
  • פריטים ב-Drive שנשלחים באימייל מ-Gmail כקבצים מצורפים
המסמך סונכרן

אירועים מסוג "המסמך סונכרן" מתועדים ביומן במקרים הבאים, והם זמינים במקרים שהפעילות בוצעה לאחר 1 ביולי 2024:

  • קובץ שמסונכרן מ-Drive למכשיר מקומי באמצעות "Drive לשולחן העבודה". פעולות כאלו מתועדות ביומן גם כאירועים מסוג הורדה.
  • קובץ שמסונכרן למכשיר לצורך קבלת גישה אופליין, כולל במקרים של סנכרון מתמשך עם גרסת האונליין. אירועים שבהם המסמך סונכרן לאפליקציית Drive לנייד (Android או iOS) עשויים להיות מתועדים ביומן כאירועים מסוג הורדה .
בוצעה גישה לתוכן של פריט

אתם יכולים לגשת לקובץ בשם המשתמשים דרך אפליקציה שמשתמשת בממשק API של Google Workspace, כמו Google Drive API או Google Sheets API. הפעולות האלו לא מתועדות ביומן כאירועים מסוג הורדה או צפייה, אלא רק כאירועים מסוג בוצעה גישה לתוכן של פריט. אירועים מסוג בוצעה גישה לתוכן של פריט ב-Gemini מתועדים ביומן רק אם הגישה לתוכן של הקובץ בוצעה מחוץ לקובץ הפתוח של המשתמש ב-Drive באינטרנט.

אירועים מסוג "בוצעה גישה לתוכן של פריט" לא מתועדים ביומן אם הקובץ נצפה או נפתח על ידי משתמש ב-Drive באינטרנט, ב-Drive בנייד או באפליקציית "Drive לשולחן העבודה".

צפייה

צפייה בקבצים באמצעות ‎/htmlview,‏ ‎/embed,‏ ‎/revisions וכתובת URL מיוחדות נוספות מתועדות ביומן כאירועים מסוג צפייה.

בוצעה גישה לכתובת URL

אירועים מסוג בוצעה גישה לכתובת URL מתועדים ביומן כשסקריפט ב-Apps Script מבצע גישה לכתובת URL, כולל אם הרצת הסקריפט מתבצעת ממרכז הבקרה של Apps Script, אם הוא מופעל כתוסף או כפונקציה מותאמת אישית ב-Sheets. אירועים מסוג בוצעה גישה לכתובת URL לא מתועדים ביומן אם המשתמש לוחץ על קישור בקובץ.

המאפיינים שמדווחים תלויים באופן הרצת הסקריפט ובבעלים שלו:

  • אם מריצים את הסקריפט כפונקציה מותאמת אישית, מזהה המסמך ומאפיינים אחרים שקשורים למסמך משקפים את הגיליון שבו הפונקציה הופעלה.
  • אם לא מריצים את הסקריפט כפונקציה מותאמת אישית, לא יהיה דיווח על מאפיינים שקשורים למסמך.
  • יהיה דיווח על מזהה הסקריפט אם הסקריפט ב-Apps Script הוא בבעלות הארגון.
כתובת URL של Sheets לייבוא

הפעלת פונקציית ייבוא ב-Sheets, שכוללת גישה לכתובת URL, מתועדת ביומן כאירוע מסוג כתובת URL של Sheets לייבוא. האירוע מתועד כשהתוכן בגיליון משתנה באמצעות רענון אוטומטי או כשהמשתמש פותח את הגיליון.

אירועים שמעורבים בהם דומיינים חיצוניים

בחלק מהאירועים מעורבים משתמשים, תיקיות משותפות או תיקיות אחסון שיתופי שהם חיצוניים לארגון. לדוגמה, כשמשתמש בארגון משתף קובץ עם משתמש חיצוני. בשני הארגונים מתועד ביומן אירוע כשיש שינוי בבעלות של הפריט מארגון אחד לשני.

דוגמאות לאירועים שמתועדים ביומן בשני הארגונים:

  • פריט ב-Drive שנמצא בבעלות של משתמש בארגון מועבר לאחסון שיתופי מחוץ לארגון.
  • פריט ב-Drive שנמצא בבעלות של משתמש מחוץ לארגון מועבר לאחסון שיתופי בבעלות של הארגון.
  • משתמש מעתיק קובץ אל הארגון או מהארגון. בארגון שהקובץ מועתק אליו מתועד ביומן השם של הקובץ המועתק, ולא השם של הקובץ המקורי.

דוגמאות לאירועים שמתועדים ביומן על ידי הארגון, אבל לא בדומיין החיצוני:

  • פריט ב-Drive שבבעלות של משתמש בארגון משותף עם משתמש חיצוני.
  • פריט ב-Drive שבבעלות של משתמש בארגון משותף עם קבוצה שמאפשרת הצטרפות של משתמשים חיצוניים, גם אם בפועל אין משתמשים חיצוניים בקבוצה.
  • משתמש חיצוני מבצע פעולות של צפייה, עריכה, הורדה, הדפסה או מחיקה בפריט ב-Drive שנמצא בבעלות של הארגון.
  • משתמש חיצוני מעלה קובץ לאחסון שיתופי שנמצא בבעלות של הארגון.

אירועים שמתועדים ביומן בדומיין החיצוני אבל לא בארגון הם מקרים הפוכים למקרים שתוארו בקטע הקודם.

משתמשים חיצוניים ואנונימיים

פעולות עריכה והורדה שבוצעו על ידי משתמשים אנונימיים (משתמשים שלא בוצעו כניסה לחשבון Google) מתועדות ביומן, אבל פעולות צפייה לא. 

פעולות שבוצעו על ידי משתמשים מחוץ לדומיין מוצגות כפעולות של משתמשים אנונימיים, אלא אם הפריט שותף איתם באופן מפורש (כמשתמשים יחידים או כחלק מקבוצה מסוימת). 

אדמינים יכולים להגביל את הגישה של משתמשים אנונימיים וחיצוניים על ידי הגדרת מדיניות שיתוף או כללים להרשאות שיתוף בארגון.

Drive לשולחן העבודה

אם הקבצים מועתקים מ-Drive למכשיר מקומי באמצעות "Google Drive לשולחן העבודה", יתועדו ביומן אירועים מסוג הורדה והמסמך סונכרן.

פעילויות חיפוש

כשהמשתמש מבצע חיפוש ב-Drive או בממשקי API ציבוריים של Drive, החיפוש מתועד ביומן כאירוע מסוג חיפוש. האירוע כולל מידע על תוצאות החיפוש ועל שאילתת החיפוש של המשתמש.

ניהול נתוני האירועים ביומן

הרחבת הקטע  |  כיווץ הכול ומעבר לחלק העליון

ניהול עמודות הנתונים של תוצאות החיפוש

אתם יכולים לקבוע אילו עמודות נתונים יופיעו בתוצאות החיפוש.

  1. בפינה השמאלית העליונה של טבלת תוצאות החיפוש, לוחצים על הסמל לניהול העמודות .
  2. (אופציונלי) כדי להסיר עמודות שמוצגות כרגע, לוחצים על סמל ההסרה .
  3. (אופציונלי) כדי להוסיף עמודות, לצד הוספת עמודה חדשה לוחצים על החץ למטה  ובוחרים את עמודת הנתונים.
    חוזרים על הפעולה לפי הצורך.
  4. (אופציונלי) כדי לשנות את סדר העמודות, גוררים את השמות של עמודות הנתונים.
  5. לוחצים על שמירה.

ייצוא נתונים של תוצאות חיפוש

אתם יכולים לייצא את תוצאות החיפוש ל-Google Sheets או לקובץ CSV.

  1. בחלק העליון של טבלת תוצאות החיפוש, לוחצים על ייצוא של הכול.
  2. מזינים שם ואז לוחצים על ייצוא.
    קובץ הייצוא מוצג מתחת לטבלת תוצאות החיפוש בקטע ייצוא התוצאות של פעולה.
  3. כדי להציג את הנתונים, לוחצים על שם הייצוא.
    קובץ הייצוא נפתח ב-Google Sheets.

מגבלות הנתונים שאפשר לייצא משתנות לפי:

  • מספר השורות הכולל של התוצאות שאתם יכולים לייצא מוגבל ל-100,000 שורות (למעט חיפושים של הודעות ב-Gmail, שמספר השורות שלהם מוגבל ל-10,000).
  • במהדורות הבאות יש תמיכה בתכונה הזאת: ‏ ‫Frontline Standard ו-Frontline Plus,‏ ‫Enterprise Standard ו-Enterprise Plus,‏ Education Standard and Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. ‏השוואה בין מהדורות

    אם אתם משתמשים בכלי לחקירת אבטחה, אתם יכולים לייצא עד 30 מיליון שורות של תוצאות סה"כ (למעט חיפושים של הודעות ב-Gmail, שמוגבלים ל-10,000 שורות).

למידע נוסף על ייצוא תוצאות חיפוש

מתי הנתונים נעשים זמינים ולמשך כמה זמן הם נשמרים?

טיפול באירועים על סמך תוצאות החיפוש

הרחבת הקטע  |  כיווץ הכול ומעבר לחלק העליון

Create activity rules & set up alerts
  • You can set up alerts based on log event data using reporting rules. For instructions, go to Create and manage reporting rules.
  • במהדורות הבאות יש תמיכה בתכונה הזאת: ‏ ‫Frontline Standard ו-Frontline Plus,‏ ‫Enterprise Standard ו-Enterprise Plus,‏ Education Standard and Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. ‏השוואה בין מהדורות

    To help prevent, detect, and remediate security issues efficiently, you can automate actions in the security investigation tool and set up alerts by creating activity rules. To set up a rule, set up conditions for the rule, and then specify the actions to perform when the conditions are met. For more details, go to Create and manage activity rules.

Take action based on search results

במהדורות הבאות יש תמיכה בתכונה הזאת: ‏ ‫Frontline Standard ו-Frontline Plus,‏ ‫Enterprise Standard ו-Enterprise Plus,‏ Education Standard and Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. ‏השוואה בין מהדורות

After you run a search in the security investigation tool, you can act on your search results. For example, you can run a search based on Gmail log events, and then use the tool to delete specific messages, send messages to quarantine, or send messages to users' inboxes. For more details, go to Take action based on search results.

ניהול החקירות

הרחבת הקטע  |  כיווץ הכול ומעבר לחלק העליון

במהדורות הבאות יש תמיכה בתכונה הזאת: ‏ ‫Frontline Standard ו-Frontline Plus,‏ ‫Enterprise Standard ו-Enterprise Plus,‏ Education Standard and Education Plus,‏ Enterprise Essentials Plus,‏ Cloud Identity Premium. ‏השוואה בין מהדורות

View your list of investigations

To view a list of the investigations that you own and that were shared with you, click View investigations . The investigation list includes the names, descriptions, and owners of the investigations, and the date last modified. 

From this list, you can take action on any investigations that you own, for example, to delete an investigation. Check the box for an investigation and then click Actions.

Note: You can view your saved investigations under Quick access, directly above your list of investigations.

Configure settings for your investigations

As a super administrator, click Settings  to:

  • Change the time zone for your investigations. The time zone applies to search conditions and results.
  • Turn on or off Require reviewer. For more details, go to Require reviewers for bulk actions.
  • Turn on or off View content. This setting allows admins with the appropriate privileges to view content.
  • Turn on or off Enable action justification.

For more details, go to Configure settings for your investigations.

Save, share, delete & duplicate investigations

To save your search criteria or share it with others, you can create and save an investigation, and then share, duplicate, or delete it.

For details, go to Save, share, delete, and duplicate investigations.

נושאים קשורים


Google,‏ Google Workspace והסימנים וסמלי הלוגו הקשורים אליהם הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.

האם המידע הועיל?

איך נוכל לשפר את המאמר?

צריכים עזרה נוספת?

תוכלו לנסות את האפשרויות הבאות:

פרסום בפורום העזרה מהקהילה קבלת תשובות מחברי הקהילה
פנייה אלינו אפשר לספר לנו עוד על הבעיה, ונעזור לכם לפתור אותה
true
Start your free 14-day trial today

Professional email, online storage, shared calendars, video meetings and more. Start your free Google Workspace trial today.

חיפוש
ניקוי החיפוש
סגירת החיפוש
התפריט הראשי
7223239457349147421
true
חיפוש במרכז העזרה
true
true
true
true
true
73010
false
false
false
false