管理員記錄事件 (original) (raw)
在管理控制台中查看管理員活動
視您的 Google Workspace 版本而定,您或許可以使用安全調查工具,享有更多進階功能。舉例來說,超級管理員可以找出安全性和隱私權問題,然後加以分類並採取適當措施。瞭解詳情
重要事項:Google Workspace 即將更新多個記錄事件的結構定義和事件模型。這些改良措施旨在讓記錄更易於理解、詳盡且準確。
如果您使用任何舊版事件,部分更新可能需要變更現有的查詢、快訊和報表才會生效。但請放心,新舊事件都會繼續保留,方便您進行必要變更。詳情請參閱「管理員記錄事件變更」。
組織管理員可以搜尋管理員記錄事件,並對相關的安全問題採取行動。舉例來說,您可以查看 Google 管理控制台的動作執行記錄,例如管理員何時新增使用者,或啟用 Google Workspace 服務。
將記錄事件資料轉送至 Google Cloud
您可以選擇與 Google Cloud 共用記錄事件資料。如果開啟共用設定,系統會將資料轉送至 Cloud Logging;您可以透過這項服務查詢和查看記錄,以及控管記錄的轉送和儲存方式。
可與 Google Cloud 共用的記錄事件資料類型,取決於您的 Google Workspace、Cloud Identity 或 Essentials 帳戶。
針對記錄事件執行搜尋
搜尋權限取決於您的 Google 版本、管理員權限和資料來源。您可以對所有使用者執行搜尋作業,不論對方擁有的 Google Workspace 版本為何。
稽核與調查工具
安全調查工具
支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。版本比較
如要使用安全調查工具執行搜尋,請先選擇「資料來源」,接著選擇一或多項搜尋「條件」,再分別選擇每個條件的「屬性」、「運算子」和「值」。
- 在 Google 管理控制台中,依序點選「選單」圖示
「安全性」 「安全中心」 「調查工具」。
必須擁有安全中心管理員權限。 - 按一下「資料來源」,然後選取「管理員記錄事件」。
- 如要篩選特定日期之前或之後的事件,請在「日期」部分選取「早於」或「晚於」。系統預設會顯示過去 7 天的事件。您可以選取其他日期範圍,或點選
移除日期篩選器。 - 按一下「新增條件」。
提示:您可以加入一或多項搜尋條件,或是使用「巢狀查詢」自訂搜尋方式。詳情請參閱「使用巢狀查詢自訂搜尋方式」。 - 按一下「屬性」 選取所需選項。舉例來說,如要篩選特定事件類型,請選取「事件」。
如需完整的屬性清單,請參閱「屬性說明」一節。 - 選取運算子。
- 輸入或從清單選取值。
- (選用) 如要新增更多搜尋條件,請重複以上步驟。
- 按一下「搜尋」。
調查工具會在頁面底部的表格中顯示搜尋結果。 - (選用) 如要儲存調查項目,請按一下「儲存」圖示
輸入標題和說明 按一下「儲存」。
注意事項
- 在「條件建構工具」分頁中,篩選器會以 AND/OR 運算子表示條件。您也可以在「篩選器」分頁中加入簡單的參數和值組,用來篩選搜尋結果。
- 如果您為使用者設定新名稱,查詢結果中就不會包含與舊名稱相關的事件。舉例來說,如果您將 <舊名稱>@example.com 重新命名為 <新名稱>@example.com,就不會看見與 <舊名稱>@example.com 相關的事件結果。
- 您只能搜尋尚未從「垃圾桶」刪除的郵件資料。
屬性說明
搜尋此資料來源的記錄事件資料時,您可以利用下列屬性設定搜尋條件:
| 屬性 | 說明 |
|---|---|
| 動作* | 管理員使用安全調查工具或活動規則採取的動作。如要進一步瞭解管理員可以執行的操作,請參閱「根據搜尋結果採取行動」。 |
| 執行者 | 執行動作的使用者電子郵件地址。您或許會看到以下內容,而非電子郵件地址: 授權管理員 - 如果管理員執行的動作造成使用者的授權變更 **服務帳戶 - 如果動作是由服務帳戶管理員執行 **匿名 - 如果動作是由服務帳戶管理員執行,就會顯示這項資訊 |
| 操作者應用程式名稱 您需要在搜尋結果加入這個資料欄,相關步驟請參閱「管理搜尋結果資料欄」。 | 執行動作所用應用程式的詳細資料。如要查看下列資訊,請在搜尋結果中點選應用程式名稱: 執行者應用程式名稱:執行動作所用應用程式的名稱 (第三方應用程式和某些第一方應用程式 (例如 Gmail) 會顯示此資料) 執行者 OAuth 用戶端 ID:執行動作所用第三方應用程式的 ID 冒用他人身分:應用程式是否假冒使用者身分 如果將資訊匯出為逗號分隔值 (CSV) 檔案或 Google 試算表,資料會以單一文字區塊的形式儲存在同一個儲存格中。 |
| 執行者群組名稱 | 執行者的群組名稱。詳情請參閱「依 Google 群組篩選結果」。 如要將群組新增至篩選條件群組許可清單,請按照下列步驟操作: 選取「執行者群組名稱」。 按一下「篩選條件群組」。 系統會顯示「篩選條件群組」頁面。 按一下「新增群組」。 搜尋群組 (輸入群組名稱/群組電子郵件地址的前幾個字元),並在找到後選取該群組。 (選用) 若要新增其他群組,請搜尋並選取群組。 選好群組後,按一下 [新增]。 (選用) 如要移除群組,請按一下「移除群組」圖示 。 按一下「儲存」。 |
| 執行者組織單位 | 執行者的組織單位 |
| 其他資訊 | 其他事件背景資訊 |
| 開始日期* | 您可以使用「開始日期」和「結束日期」指定特定時間範圍內發生的事件,例如「深入分析圖表事件」。注意:如要搜尋日期範圍內的事件,請使用「日期」屬性。 |
| 資料來源* | 調查工具中的資料來源,或快訊中心的快訊來源 |
| 日期 | 事件發生的日期和時間 (以您的瀏覽器預設時區為準) |
| 裝置 ID* | 受此稽核事件影響的裝置 ID。舉例來說,如果管理員抹除公司所擁有裝置的資料,這個欄位會擷取裝置 ID。 |
| 裝置類型 | 受此稽核事件影響的裝置類型。舉例來說,如果管理員抹除公司所擁有裝置的資料,這個欄位會擷取裝置類型 |
| 網域名稱 | 動作發生的網域 |
| 結束日期* | 您可以使用「開始日期」和「結束日期」指定特定時間範圍內發生的事件,例如「深入分析圖表事件」。注意:如要搜尋日期範圍內的事件,請使用「日期」屬性。 |
| 事件 | 系統記錄的事件動作,例如「調查查詢」或「建立活動規則」。 在「事件值」下方,事件會按照類型分類,例如「使用者設定」或「網域設定」。大部分的事件值都明確易懂。舉例來說,「網域設定」下方的「新增應用程式」是您網域中新增應用程式的搜尋值。您可以在搜尋框中搜尋事件。 提示:如果您有經常使用的事件值,請將這些事件固定到下拉式選單的頂端。 |
| Google Workspace 版本* | 執行動作的管理員 (執行者) 的 Google Workspace 版本 |
| 群組電子郵件 | 受這項活動影響的 Google 群組電子郵件地址 |
| IP 位址 | 與系統所記錄動作相關聯的網際網路通訊協定位址 (IP)。這個位址通常會反映使用者的實際所在位置,但也可能是 Proxy 伺服器或虛擬私人網路 (VPN) 位址。 |
| IP ASN 您需要在搜尋結果加入這個資料欄,相關步驟請參閱「管理搜尋結果資料欄」。 | 與記錄項目相關聯的 IP 自治系統編號 (ASN)、行政分區和區域。 如要查看活動發生的 IP ASN、行政分區和區域代碼,請在搜尋結果中點選名稱。 |
| 理由* | 如果需要提供正當理由才能執行動作,由管理員提供說明 |
| 郵件 ID* | 受到此稽核事件影響的電子郵件 ID |
| 新值* | 設定的新值 (如有更新) |
| 舊值* | 設定的舊值 (如有更新) |
| 資源 ID* | 受稽核事件影響的一或多項資源 ID |
| 資源名稱* | 受稽核事件影響的資源名稱 |
| 資源類型* | 受稽核事件影響的資源類型 |
| 資源 | 與動作相關聯的資源清單。按一下資源即可查看下列詳細資料: 資源 ID:資源的 ID 資源名稱:資源的名稱 資源類型:Google 雲端硬碟項目、電子郵件、快訊、規則等 資源關係:資源與事件的關係 資源標籤:資源的分類標籤清單,包括資源標籤 ID、資源標籤名稱和資源標籤欄位。 資源標籤欄位包含: 標籤欄位 ID 標籤欄位名稱 標籤欄位類型 - 標籤欄位的資料類型,例如: Text 數字 選項 - 包含:ID、顯示名稱、是否加上標記 選項清單 使用者 - 包含:電子郵件地址 使用者清單 日期 如果將資訊匯出為逗號分隔值 (CSV) 檔案或 Google 試算表,資料會以單一文字區塊的形式儲存在同一個儲存格中。 |
| 搜尋查詢 | 用於擷取或處理資料的查詢。例如,在建立活動規則或建立電子郵件傾印時,於調查工具中進行搜尋所使用的查詢。 |
| 設定類別 | 所更新設定的類別 |
| 設定名稱 | 所更新設定的名稱 |
| 設定組織單位名稱 | 管理控制台中的設定範圍可限定為組織單位。如果設定經過更新,而且範圍是機構單位,這個欄位會顯示該機構單位的名稱。 |
| 目標* | 該事件的目標電子郵件地址。例如,在建立電子郵件監控器時使用的目的地電子郵件地址,或在調查工具中執行大量動作時,驗證者的電子郵件地址。 |
| 受影響總數* | 稽核事件影響的實體總數。例如,大量上傳使用者至群組時的使用者人數,或是活動規則觸發條件中觸發的動作數量。這個欄位取決於事件的背景資訊。 |
| 失敗總數* | 失敗作業的總數。例如,大量上傳使用者至群組時,無法上傳的使用者人數,或是活動規則觸發條件中觸發失敗的動作數量。這個欄位取決於事件的背景資訊。 |
| 使用者電子郵件地址 | 執行動作的使用者電子郵件 |
_* 您無法使用這些篩選器建立報告規則。_如需報告規則與活動規則的詳細比較資訊,請參閱這篇文章。
注意:如果您為使用者設定新名稱,查詢結果中就不會包含與舊名稱相關的事件。舉例來說,如果您將 <舊名稱>@example.com 重新命名為 <新名稱>@example.com,就不會看見與 <舊名稱>@example.com 相關的事件結果。
管理記錄事件資料
管理搜尋結果資料欄
匯出搜尋結果資料
您可以將搜尋結果匯出為 Google 試算表或 CSV 檔案。
- 按一下搜尋結果表格頂端的「全部匯出」。
- 輸入名稱 按一下「匯出」。
匯出結果會顯示在搜尋結果表格的「匯出動作執行結果」下方。 - 如要查看資料,請按一下匯出項目的名稱。
匯出項目會在試算表中開啟。
匯出上限因情況而異:
- 匯出結果總上限為 100,000 列。
- 支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。版本比較
如果您使用安全調查工具,匯出結果總上限為 3,000 萬列。
詳情請參閱「匯出搜尋結果」。
多久後可以看到資料?保留時間有多長?
依據搜尋結果採取行動
建立活動規則及設定快訊
- 您可以使用報告規則,根據記錄事件資料設定快訊。如需操作說明,請參閱「建立及管理報告規則」。
- 支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。版本比較
為了有效預防、偵測及修正安全問題,您可以建立「活動規則」,讓安全調查工具依此自動採取行動及傳送快訊。設定規則時,您需要先決定觸發條件,再指定符合條件時要執行的動作。詳情請參閱「建立及管理活動規則」。
依據搜尋結果採取行動
支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。版本比較
使用安全調查工具執行搜尋後,您可以對搜尋結果採取行動,舉例來說,您可以根據 Gmail 記錄事件執行搜尋,然後透過工具刪除特定郵件、將郵件傳送至隔離區,或將郵件傳送至使用者的收件匣。詳情請參閱「根據搜尋結果執行動作」。
管理調查項目
支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。版本比較
查看調查清單
如要查看調查清單,包括您擁有和與您共用的調查項目,請按一下「查看調查」圖示 
。這份清單會列出調查項目的名稱、說明、擁有者和上次修改日期。
您可以在清單中對自己擁有的調查項目執行動作 (例如刪除調查項目),方法是勾選該項目旁邊的方塊,然後按一下「動作」。
注意:您可以在「快速存取」下方 (調查清單正上方) 查看已儲存的調查項目。
設定調查項目
超級管理員可以點選「設定」圖示 
執行下列操作:
- 變更調查項目的時區。搜尋條件和結果會套用這項時區設定。
- 開啟或關閉「需要審查者」。詳情請參閱「要求為大量動作指派審查者」。
- 開啟或關閉「查看內容」。這項設定可讓具備適當權限的管理員查看內容。
- 開啟或關閉「啟用動作執行理由」。
詳情請參閱「配置調查設定」。