Eventos de registro de Chrome

Consultar eventos de Chrome en la consola de administración

En función de la edición de Google Workspace que tengas, es posible que tengas acceso a la herramienta de investigación de seguridad, que tiene funciones más avanzadas. Por ejemplo, los superadministradores pueden identificar, clasificar y abordar problemas de seguridad y privacidad. Más información

Como administrador de tu organización, puedes hacer búsquedas y tomar medidas con respecto a problemas de seguridad relacionados con los eventos de registro de Chrome. Por ejemplo, puedes ver un registro de las acciones para hacer un seguimiento de los eventos relacionados con los navegadores Chrome y dispositivos ChromeOS gestionados. También puedes ver cuándo ha habido una visita a un sitio no seguro.

Antes de empezar

Para ver todos los eventos de Chrome:

Reenviar datos de eventos de registro a Google Cloud

Puedes aceptar compartir los datos de eventos de registro con Google Cloud. Si lo haces, esos datos se envían a Cloud Logging, donde podrás consultar tus registros y controlar cómo se enrutan y almacenan.

Buscar eventos de registro de Chrome

La posibilidad de hacer una búsqueda depende de la edición de Google, de los privilegios de administrador y de la fuente de datos. Puedes hacer una búsqueda con todos los usuarios, independientemente de su edición de Google Workspace.

Auditoría y herramienta de investigación

Para buscar eventos de registro, primero debes elegir una fuente de datos. A continuación, elige uno o varios filtros para la búsqueda.

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Informesy luegoAuditoría e investigacióny luegoEventos de registro de Chrome.
  3. Haz clic en Añadir un filtro y selecciona un atributo.
  4. En la ventana emergente, selecciona un operadory luegoselecciona un valory luegohaz clic en Aplicar.
    • (Opcional) Para crear varios filtros de búsqueda, repite este paso.
    • (Opcional) Para añadir un operador de búsqueda, encima de Añadir un filtro, selecciona AND u OR.
    • (Opcional) Para crear varios filtros de búsqueda, repite este paso.
    • (Opcional) Para añadir un operador de búsqueda, encima de Añadir un filtro, selecciona AND u OR.
  5. Haz clic en Buscar.

  6. Nota: En la pestaña Filtro, puedes incluir pares de parámetros y valores sencillos para filtrar los resultados de búsqueda. También puedes usar la pestaña Creador de condiciones, donde los filtros se representan como condiciones con los operadores AND/OR.

Herramienta de investigación de seguridad
Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

Para hacer una búsqueda en la herramienta de investigación de seguridad, primero debes elegir una fuente de datos. A continuación, elige una o varias condiciones para la búsqueda. Elige un atributo, un operador y un valor para cada condición. 

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Seguridady luegoCentro de Seguridady luegoHerramienta de investigación.
  3. Haz clic en Fuente de datos y selecciona Eventos de registro de Chrome.
  4. Haz clic en Añadir condición.
    Nota: Puedes incluir una o varias condiciones en tu búsqueda o personalizarla con consultas anidadas. Consulta más información en el artículo Personalizar la búsqueda con consultas anidadas.
  5. Haz clic en Atributoy luegoselecciona una opción.
    Para ver una lista completa de los atributos, consulta la sección Descripciones de atributos que aparece abajo.
  6. Selecciona un operador.
  7. Introduce un valor o selecciona uno en la lista desplegable.
  8. (Opcional) Para añadir más condiciones de búsqueda, repite los pasos del 4 al 7.
  9. Haz clic en Buscar.
    Los resultados de búsqueda de la herramienta de investigación se muestran en una tabla en la parte inferior de la página.
  10. (Opcional) Para guardar la investigación, haz clic en Guardary luegointroduce un título y una descripcióny luegohaz clic en Guardar.

Nota:

  • En la pestaña Creador de condiciones, los filtros se representan como condiciones con los operadores AND/OR. En la pestaña Filtro también puedes incluir pares simples de parámetros y valores para filtrar los resultados de búsqueda.
  • Si has asignado un nuevo nombre a un usuario, en la consulta no aparecerán los resultados correspondientes a su nombre antiguo. Por ejemplo, si has cambiado NombreAntiguo@example.com a NuevoNombre@example.com, no aparecerán resultados de eventos relacionados con NombreAntiguo@example.com.

Descripciones de atributos

En esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro:

Atributo Descripción
Nombre del grupo actor

El nombre del grupo del actor. Para obtener más información, consulta la sección Filtrar resultados por grupo de Google.

Para añadir un grupo a la lista de grupos de filtrado permitidos, sigue estos pasos:

  1. Selecciona Nombre del grupo del actor.
  2. Haz clic en Grupos de filtrado.
    Se mostrará la página Grupos de filtrado.
  3. Haz clic en Añadir grupos.
  4. Para buscar un grupo, escribe los primeros caracteres de su nombre o de su dirección de correo electrónico. Cuando veas el grupo que buscas, selecciónalo.
  5. (Opcional) Para añadir otro grupo, búscalo y selecciónalo.
  6. Cuando hayas seleccionado todos los grupos que te interesen, haz clic en Añadir.
  7. (Opcional) Para quitar un grupo, haz clic en Quitar grupo .
  8. Haz clic en Guardar.
Unidad organizativa del actor La unidad organizativa del actor.
Nombre de la aplicación El nombre de la extensión de Chrome Web Store.
Versión del navegador El número asignado a la versión del navegador Chrome, como 123.0.6312.59
Tipo de cliente

Superficie de Chrome gestionada donde se ha producido el evento.
Hash de contenido El hash SHA256 del contenido.
Nombre del contenido El nombre del contenido descargado; por ejemplo, el nombre de un archivo.
Tamaño del contenido* El tamaño del contenido descargado expresado en bytes.
Tipo de contenido El tipo de elemento multimedia, o tipo MIME, del contenido descargado, como text/html.
Fecha Fecha y hora en las que se ha producido el evento (se muestran en la zona horaria predeterminada de tu navegador).
Destino El sistema de archivos de destino de los eventos de transferencia de archivos. En el caso de los eventos de control de datos, el sistema de archivos de destino o la URL de destino de las subidas de archivos o las acciones de copiar y pegar.
Nombre del dispositivo El nombre del dispositivo.
Plataforma del dispositivo El sistema operativo en el que se usa el navegador.
Usuario del dispositivo El nombre del usuario tal como se indica en el SO.
ID de API de Directory ID del dispositivo que devuelve la API de Directory.
Dominio* El dominio en el que se ha producido la acción.
Tipo de acción de la extensión El tipo de acción de la extensión de Chrome que activa el evento. Puede ser Instalar, Desinstalar o Actualizar.
Fuente de la extensión La fuente desde la que se ha instalado la extensión de Chrome. Puede ser Chrome Web Store, Externo o Sin especificar.
Versión de la extensión La versión de la extensión.
Evento La acción del evento registrado; por ejemplo, Contenido no analizado, Visita a sitio no seguro, Reutilización de contraseñas, Transferencia de malware o Transferencia de contenido.
Motivo del evento* Información sobre la acción, como Archivo protegido con contraseña.
Resultado del evento El resultado del evento en función de las políticas y reglas definidas. Puede ser Omitido, Bloqueado, Advertido, Permitido o Detectado.
Usuario del perfil El nombre del usuario en el perfil del navegador Chrome.
ID de análisis ID del análisis del contenido que ha activado el evento.
Fuente Sistema de archivos de origen de los eventos de transferencia de archivos. En el caso de los eventos de control de datos, la URL de origen de las subidas de archivos o de las acciones de copiar y pegar.
URL de pestaña

URL a la que redirige la pestaña al descargar un archivo.

Esta URL puede activar la regla de Prevención de la pérdida de datos (DLP) Archivo descargado. Por ejemplo, cuando un usuario descarga un archivo de Google Drive, la URL de la pestaña (drive.google.com) o la URL de descarga (googleusercontent.com) pueden activar la regla.

Nota: La URL de la pestaña y la URL son idénticas, excepto en el caso de las descargas.
Tipo de activador La acción del usuario que ha activado el evento; por ejemplo, Desconocido, Impresión de página, Subida de archivo, Descarga de archivo, Subida de contenido web o Transferencia de archivos.
Usuario activador El usuario relacionado con el evento:
  • Reutilización de contraseñas: el nombre de usuario al que pertenece la contraseña
  • Cambio de contraseña: el nombre de usuario para el que se cambia la contraseña
URL La URL que ha generado el evento.
Categoría de URL La categoría del contenido de la URL que ha generado el evento.
User-agent La cadena del user-agent del navegador con el que se ha accedido al contenido. Por ejemplo, Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/84.0.4140.0 Safari/537.36.
ID de dispositivo virtual* El identificador del dispositivo. Este valor es específico de la plataforma.
* No puedes crear reglas de informes con estos filtros. Más información sobre las diferencias entre las reglas de informes y las reglas de actividad

Filtrar datos por eventos de amenaza o protección de datos

  1. Abre los eventos de registro tal como se indica arriba, en el apartado Acceder a datos de eventos de registro de Chrome.
  2. Haz clic en Añadir un filtroy luegoEvento.
  3. Selecciona el operador.
  4. Selecciona una opción en la lista desplegable.
  5. Haz clic en Aplicar.

Descripciones de eventos de amenazas de Chrome

Valor del evento Descripción Compatibilidad con conectores de informes
Bloqueos Se ha detectado un bloqueo (de una pestaña o el navegador). Se admite en la versión 112 y versiones posteriores del navegador Chrome
Instalación de extensión Se ha instalado una extensión del navegador, ya sea por acción del usuario o del administrador. Se admite en la versión 110 y versiones posteriores del navegador Chrome
Transferencia de software malicioso Se considera que el contenido que ha subido o descargado el usuario es malicioso, peligroso o no deseado. Se admite en la versión 104 y versiones posteriores del navegador Chrome
Eventos de inicio de sesión

Nota:  Para que este evento se registre, el Gestor de Contraseñas debe estar habilitado.

Un usuario ha iniciado sesión correctamente en un dominio con la URL especificada en la configuración del conector de informes. Puedes ver el evento en el Centro de Seguridad de Google. Los inicios de sesión fallidos no se registran.

 Se admite en la versión 105 y versiones posteriores del navegador Chrome
Vulneración de contraseña

Nota:  Para que este evento se registre, el Gestor de Contraseñas debe estar habilitado.

Cuando un usuario introduce su nombre de usuario y contraseña en un sitio web, Chrome le avisa si ha habido una quiebra de seguridad de datos en un sitio o una aplicación. Consulta más información en el artículo Cambiar contraseñas no seguras en tu cuenta de Google.

Chrome también sugiere que el usuario las cambie en todos los lugares donde se hayan usado. En las URLs especificadas en la consola de administración, la quiebra también se muestra en la ventana del Centro de Seguridad de Google si la contraseña se ha guardado en el Gestor de contraseñas. Cada URL se muestra como un registro independiente.

 Se admite en la versión 105 y versiones posteriores del navegador Chrome
Cambio de contraseña

El usuario cambia la contraseña de la cuenta con la que ha iniciado sesión por primera vez.

 Se admite en la versión 104 y versiones posteriores del navegador Chrome
Reutilización de contraseñas El usuario ha introducido una contraseña en una URL que no está en la lista de URLs de acceso empresarial permitidas. Se admite en la versión 104 y versiones posteriores del navegador Chrome
Visita a sitio no seguro La URL que ha visitado el usuario se considera engañosa o maliciosa. Se admite en la versión 104 y versiones posteriores del navegador Chrome

Descripciones de eventos de protección de datos de Chrome

Los eventos de protección de datos de Chrome solo están disponibles para los clientes que hayan comprado Chrome Enterprise Premium .

Para obtener más información sobre Chrome Enterprise Premium y cómo configurarlo, consulta el artículo Proteger a los usuarios de Chrome con Chrome Enterprise Premium threat and data protection.

Valor del evento Descripción Compatibilidad con conectores de informes
Transferencia de contenido El contenido se ha subido, descargado o impreso desde Chrome y se ha enviado para analizar si contiene software malicioso o escaneo de datos sensibles.

Se admite en la versión 104 y versiones posteriores del navegador Chrome

Requiere Chrome Enterprise Premium

Contenido no analizado Hay varios motivos por los que un archivo puede no haberse analizado. Por ejemplo:
  • El archivo está protegido con contraseña
  • El archivo es demasiado grande
  • Se ha producido un error en el análisis de DLP
  • Se ha producido un error en el análisis de software malicioso
  • El análisis de software malicioso no admite ese tipo de archivo
  • Servicio no disponible

Se admite en la versión 104 y versiones posteriores del navegador Chrome

Requiere Chrome Enterprise Premium

Transferencia de datos sensibles Las reglas de protección de datos han detectado que puede haber datos sensibles en el contenido que el usuario ha subido, descargado, impreso o pegado

Se admite en la versión 104 y versiones posteriores del navegador Chrome

Requiere Chrome Enterprise Premium

Filtrado de URLs El usuario ha intentado acceder a una URL que coincidía con una regla de protección de datos configurada por el administrador.

Se admite en la versión 113 y versiones posteriores del navegador Chrome

Requiere Chrome Enterprise Premium

Importante: Los intentos de subida de contenido, no de las subidas completadas, se registran para los eventos de protección de datos de Chrome. Es posible que las subidas no se realicen correctamente debido a errores del servidor o de red, que el usuario cancele la subida o que el sitio web no sea compatible con la subida de archivos o carpetas.

Descripciones de eventos de seguridad de ChromeOS  

Valor del evento Descripción Compatibilidad con conectores de informes Política obligatoria
Fallo de inicio de sesión en ChromeOS El usuario no ha podido iniciar sesión en su dispositivo ChromeOS. Disponible Informar sobre la telemetría del dispositivoy luegoEstado de inicio o cierre de sesión
Inicio de sesión correcto en ChromeOS El usuario ha iniciado sesión correctamente en su dispositivo ChromeOS. Disponible
Cierre de sesión en ChromeOS El usuario ha cerrado sesión correctamente en su dispositivo ChromeOS. Disponible
Usuario añadido en ChromeOS Se ha añadido una cuenta de usuario a un dispositivo ChromeOS. Disponible
Usuario quitado de ChromeOS Se ha quitado una cuenta de usuario de un dispositivo ChromeOS. Disponible
ChromeOS bloqueado correctamente La pantalla de un dispositivo ChromeOS se ha bloqueado. No compatible
ChromeOS desbloqueado correctamente Se ha desbloqueado la pantalla de un dispositivo ChromeOS. No compatible
No se ha podido desbloquear ChromeOS No se ha podido desbloquear un dispositivo ChromeOS. No compatible
Cambio del modo de inicio de dispositivos ChromeOS

El estado de inicio de un dispositivo ChromeOS se ha cambiado a modo Desarrollador o modo Verificado.

  • Los dispositivos deben estar registrados en un dominio gestionado antes y después de cambiar el estado de inicio para generar un evento de cambio de estado de inicio.
 No compatible Informar sobre el SO del dispositivoy luegoModo de inicio del SO
Dispositivo USB añadido en Chrome OS

Se ha añadido un dispositivo USB a un dispositivo ChromeOS. Solo se informa de este evento en el caso de los usuarios afiliados.

 Admitido Informar sobre el SO del dispositivoy luegoEstado de los periféricos USB
Dispositivo USB quitado de Chrome OS Se ha quitado un dispositivo USB de un dispositivo ChromeOS. Solo se informa de este evento en el caso de los usuarios afiliados. Disponible
Cambio de estado de dispositivo USB en Chrome OS Un usuario afiliado ha iniciado sesión en el dispositivo. Se informará de todas las conexiones USB. Disponible
Host de CRD iniciado en Chrome OS Un usuario afiliado ha iniciado una sesión de host de Escritorio Remoto de Chrome (CRD) en un dispositivo gestionado. Admitido Informar sobre el SO del dispositivoy luegoSesiones de CRD
Cliente de CRD conectado en Chrome OS

Un usuario se ha conectado a la sesión de Escritorio Remoto de Chrome (CRD).

 Disponible
Cliente de CRD desconectado en Chrome OS Un usuario se ha desconectado de la sesión de Escritorio Remoto de Chrome (CRD). Disponible
Host de CRD detenido en Chrome OS Un usuario afiliado ha detenido una sesión de host de Escritorio Remoto de Chrome (CRD) en un dispositivo gestionado. Disponible
Restauración de ChromeOS correcta Un dispositivo ChromeOS ha completado una restauración del SO. No compatible Informar sobre el SO del dispositivoy luego Envía el estado de las actualizaciones del sistema operativo
Versión de ChromeOS actualizada correctamente Un usuario ha actualizado correctamente un dispositivo ChromeOS a la versión de destino de ChromeOS. No compatible
Error al actualizar la versión de ChromeOS Un dispositivo ChromeOS no se ha podido actualizar a la versión de destino de ChromeOS. No compatible
Función Powerwash del dispositivo ChromeOS iniciada Un dispositivo ChromeOS ha iniciado la función Powerwash. No compatible
Control de acceso a datos Un usuario ha activado reglas de control de datos de ChromeOS aplicadas por el administrador. Disponible Informes sobre controles de datos

Gestionar datos de eventos de registro

Gestionar datos de columnas de resultados de búsqueda

Puedes controlar qué columnas de datos quieres que aparezcan en los resultados de búsqueda.

  1. En la parte superior derecha de la tabla de resultados de búsqueda, haz clic en Gestionar columnas .
  2. (Opcional) Para quitar columnas, haz clic en Quitar .
  3. (Opcional) Para añadir columnas, junto a Añadir nueva columna, haz clic en la flecha hacia abajo  y selecciona la columna de datos.
    Repite el proceso tantas veces como sea necesario.
  4. (Opcional) Para cambiar el orden de las columnas, arrastra los nombres de las columnas de datos.
  5. Haz clic en Guardar.

Exportar datos de resultados de búsqueda

Puedes exportar los resultados de búsqueda a Hojas de cálculo de Google o a un archivo CSV.

  1. En la parte superior de la tabla de resultados de búsqueda, haz clic en Exportar todo.
  2. Introduce un nombre y luego haz clic en Exportar.
    La exportación se muestra debajo de la tabla de resultados de búsqueda, en Resultados de la acción Exportar.
  3. Para ver los datos, haz clic en el nombre de tu exportación.
    La exportación se abrirá en Hojas de cálculo de Google.

Los límites de exportación varían:

  • Los resultados totales de la exportación están limitados a 100.000 de filas, excepto las búsquedas de mensajes de Gmail, que están limitadas a 10.000 de filas.
  • Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

    Si utilizas la herramienta de investigación de seguridad, los resultados totales de la exportación se limitan a 30 millones de filas (excepto en el caso de las búsquedas de mensajes de Gmail, que tienen un límite de 10.000 filas).

Para obtener más información, consulta el artículo Exportar resultados de búsqueda.

¿Cuándo están disponibles los datos y durante cuánto tiempo?

Tomar medidas en función de los resultados de búsqueda

Crear reglas de actividad y configurar alertas
  • Puedes configurar alertas basadas en datos de eventos de registro mediante reglas de informes. Para obtener instrucciones, consulta el artículo Crear y gestionar reglas de notificación.
  • Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

    Crea reglas de actividad para automatizar acciones en la herramienta de investigación de seguridad y configurar alarmas, y así prevenir, detectar y solucionar problemas de seguridad de un modo más eficiente. Para crear una regla, configura sus condiciones y, a continuación, especifica qué acciones deben realizarse cuando esas condiciones se cumplan. Para obtener más detalles e instrucciones, consulta el artículo Crear y gestionar reglas de actividad.

Tomar medidas en función de los resultados de búsqueda

Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

Después de hacer una búsqueda en la herramienta de investigación de seguridad, puedes tomar medidas con respecto a los resultados. Por ejemplo, puedes hacer una búsqueda por eventos de registro de Gmail y luego usar la herramienta para eliminar mensajes específicos, enviar mensajes a cuarentena o enviarlos a las bandejas de entrada de los usuarios. Consulta más información en el artículo Tomar medidas en función de los resultados de búsqueda.

Gestionar tus investigaciones

Ediciones compatibles con esta función: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus y Cloud Identity Premium. Comparar ediciones

Ver la lista de investigaciones

Para ver tus propias investigaciones y las que se han compartido contigo, haz clic en Ver investigaciones. La lista de investigaciones contiene los nombres, las descripciones y los propietarios de las investigaciones, así como la fecha de la modificación más reciente. 

En esta lista, puedes actuar sobre cualquiera de tus investigaciones, por ejemplo, para eliminar una de ellas. Marca la casilla de una investigación y haz clic en Acciones.

Nota: Justo encima de la lista de investigaciones, en Acceso rápido, puedes ver las investigaciones que se han guardado recientemente.

Configurar los ajustes de las investigaciones

Como superadministrador, haz clic en Configuración para hacer lo siguiente:

  • Cambiar la zona horaria de tus investigaciones. La zona horaria se aplica a las condiciones y a los resultados de búsqueda.
  • Activar o desactivar la opción Exigir revisor. Consulta más información en el artículo Exigir revisores en acciones en bloque.
  • Activar o desactivar la opción Ver contenido. Esta opción permite que los administradores que tengan el privilegio adecuado vean el contenido de correos.
  • Activar o desactivar la opción Habilitar justificación de acciones.

Para obtener instrucciones y más información, consulta el artículo Configurar los ajustes de las investigaciones.

Compartir, eliminar y duplicar investigaciones

Para guardar tus criterios de búsqueda o compartirlos con otros usuarios, puedes crear y guardar una investigación y, a continuación, compartirla, duplicarla o eliminarla.

Para obtener más información, consulta el artículo Guardar, compartir, eliminar y duplicar investigaciones.

Temas relacionados con el Centro de seguridad

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Prueba estos pasos:

Publicar en la comunidad de ayuda Obtener respuestas de los miembros de la comunidad
Ponte en contacto con nosotros Danos más información para que podamos ayudarte
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
223787009953366589
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false