Gmail 邮件 (original) (raw)
支持此功能的版本:一线员工 Plus 版;企业 Plus 版;教育 Plus 版。 比较您的版本
作为管理员,您可以使用安全调查工具查看和调查组织中 Gmail 邮件的实时状态数据。例如,借助 Gmail 邮件数据源,您可以在组织中搜索附件名称、电子邮件内容、邮件 ID、发件人和收件人的姓名。
搜索 Gmail 邮件数据
能否执行搜索取决于您的 Google 版本、管理员权限和数据源。您可以对所有用户执行搜索,无论他们使用的是哪个 Google Workspace 版本。
如要在安全调查工具中执行搜索,请先选择数据源。然后选择一个或多个_搜索条件_。请为每个条件分别选择_属性_、_运算符_,以及_值_。
- 在 Google 管理控制台中,依次点击“菜单”图标
安全性 安全中心 调查工具。
需要拥有安全中心管理员权限。 - 点击数据源,然后选择 Gmail 邮件。
- 点击添加条件。
提示:您可以添加一种或多种搜索条件,或使用嵌套查询自定义搜索。如需了解详情,请参阅使用嵌套查询自定义搜索。 - 点击属性 选择一个选项。例如,如需按特定事件类型过滤,请选择事件。
如需查看完整的属性列表,请参阅下文中的属性说明部分。 - 选择一个运算符。
- 输入一个值或从列表中选择一个值。
- (可选)如需添加更多搜索条件,请重复上述步骤。
- 点击搜索。
您可以在页面底部的表格中查看调查工具的搜索结果。 - (可选)如需保存调查,请点击“保存”图标
输入标题和说明 点击保存。
备注
- 在条件构建器标签页中,过滤条件由“且”/“或”运算符连接的条件表示。您还可以使用过滤条件标签页来添加简单的参数和值对,以便过滤搜索结果。
- 如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重命名为 _<新名称>@example.com_,则查询结果不会显示与 <旧名称>@example.com 相关的事件。
- 您只能搜索尚未从“回收站”中删除的邮件中的数据。
属性说明
对于此数据源,您可以在搜索日志事件数据时使用以下属性。
| 属性 | 说明 |
|---|---|
| 所有内容 | 电子邮件中的内容,包括可见的正文内容、文本附件中的内容以及常见附件类型(例如 DOC、XLS 和 PDF)中的内容。不包含邮件正文中的链接网址。 |
| 附件名称 | 消息中附件的名称 |
| 密送 | 邮件中密送收件人的地址 |
| 抄送 | 邮件中被抄送的用户的地址 |
| 日期 | 事件发生的日期和时间(以您浏览器的默认时区显示) |
| 包含附件 | 相应消息是否包含附件 |
| 标签 | 邮件的标签 - 例如“已删除”“收件箱”“已发”“垃圾邮件”“已加星标”“回收站”或“未读” |
| 消息 ID | 邮件标头中显示的唯一邮件 ID |
| 消息大小 | 邮件的大小 |
| 收件人 | 收件人的电子邮件地址 |
| 发件人 | 发件人的电子邮件地址 |
| 主题 | 电子邮件主题行 |
根据搜索结果执行操作
在安全调查工具中执行搜索后,您可以根据搜索结果执行操作。举例来说,您可以搜索 Gmail 日志事件,然后使用安全调查工具删除特定邮件,或者将邮件发送至隔离区或用户的收件箱。如需详细了解可在安全调查工具中执行的操作,请参阅根据搜索结果执行操作。
管理调查
查看调查列表
如需查看您自己的调查列表以及他人与您共享的调查列表,请点击“查看调查”图标 
。调查列表中包含调查的名称、说明和负责人,以及最后修改日期。
在此列表中,您可以对所拥有的任意调查执行操作(例如删除调查)。只需选中相应调查的复选框,然后点击操作。
注意:在调查列表正上方的快速访问部分,您可以查看最近保存的调查。
为调查配置设置
作为超级用户,您可以点击“设置”图标 
,以便执行以下操作:
- 更改调查的时区,搜索条件和结果会采用您设置的时区。
- 开启或关闭需要审核者。如需了解详情,请参阅需要审核者批准进行批量操作。
- 开启或关闭查看内容。开启后,拥有适当权限的管理员可以查看内容。
- 开启或关闭需要输入执行操作的原因。
有关说明和详细信息,请参阅为调查配置设置。
管理搜索结果中的列
导出搜索结果中的数据
您可以将安全调查工具中的搜索结果导出为 Google 表格文件或 CSV 文件。相关说明请参阅导出搜索结果。
何时可以查看数据?数据会保留多久?
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2026-06-17。