Аудит-логи

Эта возможность доступна в тарифах Расширенный и Оптимальный.

Аудит-логи позволяют отслеживать основные события и активность сотрудников вашей организации. Это может быть полезно при инцидентах и нарушении безопасности.

С помощью аудит-логов администраторы и менеджеры аудит-логов могут посмотреть:

События в сервисах

  • Как сотрудники входят в аккаунт. Например, можно увидеть когда и с какого устройства подключился сотрудник.
  • Что сотрудники организации делают с письмами и файлами в Почте и Диске. Например, вы можете узнать, кто переместил письмо или файл.
События в кабинете организации

  • Какие изменения вносились в кабинете организации. Например, можно узнать, что изменилось в данных пользователя и кто внес эти изменения.

  • Что другие администраторы ищут в архиве писем и как настраивают правила для писем.

Как подключить

  1. Откройте Яндекс 360 для бизнеса.
  2. В меню слева выберите Аудит-логи.
  3. Нажмите кнопку Подключить и подтвердите подключение.

Уведомление пользователей

Согласно пункту 3.6 оферты, после подключения доступа администратор обязан уведомить об этом всех пользователей и при необходимости получить их письменное согласие (если они не давали его ранее).

Как посмотреть логи

Шаг 1. Укажите, какие логи нужно найти

  1. Откройте Яндекс 360 для бизнеса.

  2. В меню слева выберите Аудит-логи → Логи в сервисах.

  3. Нажмите Сервис и выберите:

    • Почта — Действия сотрудников с письмами.

    • Мессенджер — Действия сотрудников с чатами и каналами, а также отправка и удаление сообщений.

    • Диск — Действия сотрудников с файлами.

    • Авторизации — События входа сотрудников в аккаунты.

    Некоторые сервисы можно выбрать одновременно, если рядом с ними можно поставить отметку. Чтобы выбрать несколько сервисов, отметьте их и нажмите Сохранить.

  1. Откройте Яндекс 360 для бизнеса.

  2. В меню слева выберите Аудит-логи → Логи управления.

  3. Нажмите Раздел и выберите:

    • Правила для писем — Логи изменений в правилах для писем.

    • Архив писем — События поиска в архиве писем.

    • Офисы и переговорки — Добавление, изменение или удаление офисов и переговорок.

    • Общие ящики — Действия с общими почтовыми ящиками: добавление, изменение и удаление.

    • Делегированные ящики — Создание и удаление делегированных почтовых ящиков.

    • Домены — Логи изменения доменов: добавление, изменение и удаление.

    • Внешние контакты — Добавление, изменение или удаление внешних контактов.

    • Сотрудники — Действия, связанные с аккаунтами сотрудников: добавление, изменение данных, удаление, блокировка, разблокировка, изменение алиаса, изменения групп и подразделений.

    • Профиль организации — Логи изменений в профиле организации: смена владельца организации, смена названия.

    • Общие диски — Создание и удаление общих дисков.

    • Единый вход (SSO) — Логи изменения настроек SSO.

    Некоторые разделы можно выбрать одновременно, если рядом с ними можно поставить отметку. Чтобы выбрать несколько разделов, отметьте их и нажмите Сохранить.

Шаг 2. Уточните запрос с помощью фильтров

Фильтрация позволяет найти логи по заданным параметрам: например, конкретное событие за определенный период.

Чтобы добавить фильтр, нажмите на него, выберите необходимые параметры и нажмите Сохранить.

Доступные фильтры:

  • Сотрудник или Администратор — Имя пользователя, который выполнил действие. Можно указать несколько.
  • Дата — Дата совершения действия. Можно выбрать период или задать свой.
  • IP — IP-адрес, с которого было выполнено действие.
  • Источник события — Сервис, через который поступил запрос на действие. Можно указать несколько.
  • Событие — Действие, которое было выполнено. Можно указать несколько.

При выборе одного события с параметрами можно настроить до трех дополнительных фильтров.

Чтобы удалить фильтр, справа от него нажмите значок . Чтобы отменить выбранную фильтрацию и вернуться к предыдущему шагу, нажмите Сбросить фильтры.

Шаг 3. Соберите и просмотрите логи

  1. Нажмите Найти логи.

  2. Нажмите на событие в списке, чтобы узнать о нем подробнее — информация отобразится во всплывающем окне, например:

Если хотите посмотреть всю информацию о событии «Поиск» в архиве писем, подтвердите номер телефона, привязанный к вашему Яндекс ID. Или привяжите номер, если еще не сделали этого. Как привязать номер можно узнать в Справке Яндекс ID.

Дата и время событий

Логи отображаются в часовом поясе пользователя, который их запросил.

Сохранится ли результат поиска при обновлении страницы

Результат поиска и выбранные фильтры сбросятся при обновлении страницы.

Если вы перейдете в другой раздел кабинета организации — результат поиска сбросится, но выбранные фильтры сохранятся. Вы сможете повторить поиск логов с теми же параметрами.

Работа с логами через API

Прежде чем начать

  1. Для работы с API вам потребуется OAuth-токен, который можно получить после создания приложения в сервисе Яндекс OAuth.

    • Если у вас еще нет OAuth-приложения, то для его создания и получения токена воспользуйтесь инструкцией на странице Доступ к API. При создании приложения выберите права ya360_security:read_auditlog.
    • Если у вас уже есть OAuth-приложение для работы с API Яндекс 360 для бизнеса, то добавьте ему права доступа для чтение событий аудит-лога организации, а затем получите новый OAuth-токен по инструкции.

  2. Определите идентификатор организации: откройте admin.yandex.ru и выберите Общие настройки → Профиль организации. Идентификатор будет написан под названием организации.

Как получить логи

  1. Сформируйте GET-запрос:

    curl -X GET -H "Authorization: OAuth {oauth_token}" https://cloud-api.yandex.net/v1/auditlog/organizations/{org_id}/events?ended_at={ended_at}&count={count}

    В код подставьте обязательные значения:

    • {orgId} — идентификатор организации;
    • {oauth_token} — OAuth-токен;
    • {ended_at} — дата и время окончания аудит-лога в формате ISO 8601, например 2024-01-31T23:59:59;
    • {count} — количество событий на одной странице результатов от 1 до 100.

  2. Чтобы уточнить запрос, укажите в конце запроса дополнительные параметры через &, например:

    &started_at={started_at}&types={types}&include_uids={include_uids}&ip={ip}&service={service}

    В код подставьте значения:

    • {started_at} — дата и время начала аудит-лога в формате ISO 8601, например 2024-01-01T00:00:00;
    • {types} — типы событий, которые должны быть включены в список. Можно указать несколько типов через запятую без пробела; Типы событий в документации API
    • {include_uids} — список пользователей, действия которых должны быть включены в список событий. Можно указать нескольких пользователей через запятую без пробела, например include_uids=1,2,3;
    • {ip} — IP-адрес, с которого было выполнено действие;
    • {service} — платформа, с которой поступил запрос на действие, можно указать один из списка:
      • Web – веб-сайт;
      • Desktop – программа на компьютере;
      • Mobile – мобильное приложение;
      • Api – внешний HTTP API;
      • Synchronization – внешнее приложение для автоматической синхронизации данных (например, по стандарту SCIM);
      • ID – внутренний сервис авторизации пользователей;
      • Internal – другие внутренние сервисы;
      • Unknown – источник не указан.

  3. Отправьте запрос. Ответ на запрос возвращает список событий по указанным параметрам.

    Пример ответа
    {
   "iteration_key": "5",
   "items": [
     {
       "user_login": {логин},
       "user_name": {имя},
       "event": {
         "status": {статус},
         "idempotency_id": {идентификатор события},
         "uid": {идентификатор пользователя},
         "service": {сервис},
         "ip": {ip-адрес},
         "occurred_at": {дата},
         "org_id": {идентификатор организации},
         "is_system": false,
         "meta": {
           "device_id": null,
           "revision": "1"
         },
         "request_id": {идентификатор запроса},
         "type": {тип события}
       }
     }
   ]
 }

    Здесь:
    {логин}, {имя}, {идентификатор пользователя}, {ip-адрес} — данные инициатора события: логин и имя пользователя, идентификатор и IP-адрес;
    {статус} — результат запроса: Success (успешно) или Error (ошибка – например, в событиях авторизации, где был неправильно введен логин или пароль);
    {сервис} — платформа, с которой поступил запрос на действие, например Web – веб-сайт;
    {дата} — дата и время события;
    {тип события} — тип события, например id_cookie.set — вход через браузер. Типы событий в документации API

Я не понимаю, как отправлять запросы

  1. Подготовьте запрос: скопируйте пример в любой редактор, вставьте в указанные места токен и идентификатор.

  2. Откройте любую папку.

  3. Нажмите на пустое место в адресной строке.

  4. Напишите туда cmd и нажмите Enter.

  5. Откроется окно «Командная строка». Вставьте в него готовый запрос и нажмите Enter.

Документация API

Полное описание всех методов для получения аудит-логов вы найдете в документации.

Написать в службу поддержки

Сотрудник, у которого есть права на управление настройками организации в Яндекс 360 для бизнеса. Как выдать права администратора

Сотрудник, у которого есть права на управление отдельной группой настроек в Яндекс 360 для бизнеса. Например, у менеджера оплат и тарифов есть доступ к разделу «Оплата и тариф», а у менеджера правил для писем — к разделу «Правила обработки писем». Какие есть роли менеджера и как назначать на них сотрудников

Специальный код, разрешающий доступ к данным от имени конкретного пользователя.

API-запрос на получение ресурса с сервера. Используется для получения данных от сервера по определенным параметрам.

Предыдущая
Федерации
Следующая
Как повысить безопасность