支持此功能的版本:企业标准版和企业 Plus 版。 比较您的版本
您可以将 Google Workspace 审核日志导出到 Google Chronicle,这是一个云原生安全分析平台,可帮助贵组织检测、调查和应对安全威胁。如需将日志导出到 Chronicle,您需要使用 Google 管理控制台将 Google Workspace 连接到 Chronicle。
连接到 Chronicle 后,您的审核日志会持续导出到 Chronicle,您可以在其中管理内部风险。为了管理风险,您将使用用于生成检测和提醒的规则,从而帮助您识别与数据访问和渗漏相关的有风险的用户行为和异常。详细了解 Chronicle。
导出日志后
将数据导出到 Chronicle 后,您可以登录您的 Chronicle 账号,以便:
- 搜索日志数据中的任何元素,例如用户名、IP 地址和登录事件。
- 查看目前影响您组织的所有提醒和失陷指标 (IOC)。
- 分析任意提醒。
准备工作
- 确保您拥有 Google Chronicle 账号。如果您需要账号,请与 Google Cloud 销售专员联系。
- 您需要超级用户权限才能将 Google Workspace 连接到 Chronicle。
连接到 Chronicle 以导出日志
-
-
在管理控制台中,点击“菜单”图标 报告数据集成。
- 在 Chronicle 导出卡片中,点击连接到 Chronicle。
- 在连接到 Chronicle 页面上,按照屏幕上的说明执行以下操作:
- 在管理控制台中转到贵组织的个人资料页面,然后复制您的客户 ID。
- 转到 Chronicle,然后转到设置 > Google Workspace 连接。输入您的 Google Workspace 客户 ID,然后点击生成令牌。
- 在 Google Workspace 连接页面上,复制令牌和 Chronicle 实例 ID。(请注意,您的 Chronicle 实例 ID 与您的 Chronicle 客户 ID 相同。)
- 返回管理控制台中的连接到 Chronicle 页面,然后输入令牌和您的 Chronicle 实例 ID。
- 点击连接。
与 Chronicle 建立连接后,最长可能需要等待 24 小时才能将日志导出到 Chronicle。此后,贵组织的审核日志会持续导出到 Chronicle。
如果出现消息,提示无法建立连接:请先检查 Chronicle 令牌和实例 ID 是否正确。如果正确,请在几分钟后尝试再次连接到 Chronicle。如果您仍然无法连接,请与 Google Workspace 支持团队联系。
与 Chronicle 断开连接
如果您不想再将审核日志导出到 Chronicle,可以断开贵组织的 Google Workspace 账号与 Chronicle 的关联。
注意:如果您断开 Google Workspace 与 Chronicle 的连接,您的审核日志不会自动从 Chronicle 中删除。如需删除日志,您可以使用 Chronicle。
-
-
在管理控制台中,点击“菜单”图标 报告数据集成。
- 在 Chronicle 导出卡片中,点击与 Chronicle 断开连接。
常见问题解答
以下日志数据受支持:
- 账号
- 管理员
- 日历
- Chat
- Chrome
- 课堂
- 数据洞察
- 设备
- 云端硬盘
- Gmail
- 网上论坛企业版
- Jamboard 管理(适用于自助服务终端)
- 登录
- Meet
- OAuth
- 规则
- SAML