您可能可以使用具有更多高级功能的安全调查工具,具体取决于您的 Google Workspace 版本。例如,超级用户可以识别安全和隐私问题、适当分类并采取应对措施。了解详情
如需使用此功能,您必须拥有保险柜插件许可。有关详情,请参阅为组织购买保险柜许可。
作为组织的管理员,您可以搜索保险柜日志事件并采取相应措施。例如,您可以查看在保险柜控制台中执行的操作的记录,例如哪些用户修改了保留规则或下载了导出文件。
搜索日志事件
能否执行搜索取决于您的 Google 版本、管理员权限和数据源。您可以对所有用户执行搜索,无论他们使用什么 Google Workspace 版本。
如需搜索日志事件,请先选择数据源,然后选择一个或多个过滤条件用于搜索。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
- 点击添加过滤条件,然后选择一个属性。
- 在弹出式窗口中,选择运算符
选择一个值
- (可选)如需为搜索创建多个过滤条件,请重复此步骤。
- (可选)要添加搜索运算符,请在添加过滤条件上方选择 AND 或 OR。
- 点击搜索。
注意:您可以使用过滤条件标签页添加简单参数和值对来过滤搜索结果。您也可以使用条件构建器标签页,在该标签页中,过滤条件以 AND/OR 运算符连接的条件表示。
如需在安全调查工具中执行搜索,请先选择数据源。然后选择一个或多个搜索条件。请为每个条件分别选择属性、运算符和值。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
- 点击数据源,然后选择保险柜日志事件。
- 点击添加条件。
提示:您可以添加一种或多种搜索条件,或使用嵌套查询自定义搜索。如需了解详情,请参阅使用嵌套查询自定义搜索。 - 点击属性
如需查看完整的属性列表,请参阅下文中的属性说明部分。 - 选择一个运算符。
- 输入值或从下拉列表中选择一个值。
- (可选)如需添加更多搜索条件,请重复第 4 至 7 步。
- 点击搜索。
调查工具中的搜索结果会显示在页面底部的一个表格中。 - (可选)如需保存调查,请点击保存图标
备注
- 在条件构建器标签页中,过滤条件会以带有“AND”/“OR”运算符的条件呈现。您还可以使用过滤器标签页来添加简单的参数和值对,以便过滤搜索结果。
- 如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com 相关的事件。
在保险柜控制台中执行搜索
搜索保险柜日志事件- 登录 vault.google.com。
- 点击报告。
- (可选)选择日期范围。
- (可选)输入要审核其操作的保险柜用户的电子邮件地址。要审核所有保险柜用户的操作,请将该字段留空。
- 选择您要审核的保险柜用户操作的类型:
- 如要审核所有操作,请点击全选。
- 要仅审核部分操作,请勾选每项操作旁边的复选框。
- 点击下载 CSV。
系统会将包含审核信息的 CSV 文件下载到您的计算机。如果您针对多个用户进行了搜索,可能会获得多个日志。
- 在电子表格应用(例如 Google 表格)中打开该 CSV 文件。如需了解 CSV 文件中的各个值的定义,请参阅本页下文中的属性说明。
- 登录 vault.google.com。
- 点击诉讼或调查。
- 在诉讼或调查列表中,点击要审核的诉讼或调查。
- 点击审核。
注意:如需在 Google 管理控制台中查看诉讼或调查的审核日志,请点击立即试用。系统会自动将您选择的诉讼或调查的 ID 加载到“审核和调查”页面中。或者,您可以复制网址中的诉讼或调查的 ID:
- (可选)选择日期范围。
- (可选)输入要审核其操作的保险柜用户的电子邮件地址。要审核所有保险柜用户的操作,请将该字段留空。
- 选择您要审核的保险柜用户操作的类型:
- 如要审核所有操作,请点击全选。
- 要仅审核部分操作,请勾选每项操作旁边的复选框。
注意:由于保留规则不在诉讼或调查的管理范围内,因此系统不会在针对诉讼或调查的审核报告中提供与保留规则相关的操作。
- 点击下载 CSV。
系统会将包含审核信息的 CSV 文件下载到您的计算机。如果您针对多个用户运行了审核,可能会获得多个日志。
- 在电子表格应用(例如 Google 表格)中打开该 CSV 文件。如需了解 CSV 文件中的各个值的定义,请参阅本页下文中的属性说明。
属性说明
对于此数据源,您可以在搜索日志事件数据时使用以下属性:
| 属性 | 说明 |
|---|---|
| 执行者 | 执行此操作的用户的电子邮件地址。 |
| 更多详细说明 | 包含其他载荷详情,例如保留期限和条件 |
| 日期 | 发生此事件的日期和时间(以您浏览器的默认时区显示) |
| 事件 | 记录的事件操作,例如“查看调查”“查看外部文档”或“开始添加协作者” |
| 诉讼或调查 ID |
诉讼或调查的 ID。此 ID 不适用于所有事件,而适用于与诉讼或调查相关的事件。 |
| 组织部门名称 | 操作所适用的组织部门的名称 |
| 查询 |
用户针对特定搜索操作输入的搜索参数 |
| 资源名称 | 操作的资源名称,例如保全名称或已保存的查询名称 |
| 资源网址 | 用户查看过的文档的网址 |
| 目标用户 |
目标用户(例如已设置保全的用户)的电子邮件地址 |
注意:如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com相关的事件。
管理日志事件数据
您可以控制在搜索结果中显示哪些数据列。
- 在搜索结果表格的右上角,点击“管理列”图标
。
- (可选)如要移除当前列,请点击“移除”图标
。
- (可选)如要添加列,请点击新增列旁边的向下箭头
,然后选择相应数据列。
根据需要重复上述步骤。 - (可选)如要更改列的顺序,请拖动数据列名称。
- 点击保存。
您可以将搜索结果导出为表格文件或 CSV 文件。
- 点击搜索结果表格顶部的全部导出。
- 输入名称
导出内容会显示在搜索结果表格的导出操作结果下方。 - 如要查看数据,请点击导出结果的名称。
导出结果会在表格中打开。
导出限制因情况而异:
- 导出结果总数上限为 10 万行。
- 以下版本支持此功能:“Frontline Standard”和“Frontline Plus”;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;Enterprise Essentials Plus;Cloud Identity 专业版。比较您的版本
如果您拥有安全调查工具,则导出结果总数上限为 3000 万行。
如需了解详情,请参阅导出搜索结果。
管理调查
以下版本支持此功能:“Frontline Standard”和“Frontline Plus”;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;Enterprise Essentials Plus;Cloud Identity 专业版。比较您的版本
查看您的调查列表如要查看您拥有的以及他人与您共享的调查列表,请点击“查看调查”图标 。调查列表包含的信息有:名称、说明、调查所有者及上次修改日期。
在此列表中,您可以对所拥有的任意调查执行操作(例如删除调查)。只需选中相应调查的复选框,然后点击操作。
注意:在调查列表正上方的快速访问部分,您可以查看最近保存的调查。
作为超级用户,您可以点击“设置”图标 ,以便执行以下操作:
- 更改调查的时区,而搜索条件和结果会采用您设置的时区。
- 开启或关闭需要审核者。有关详情,请参阅需要审核者批准进行批量操作。
- 开启或关闭查看内容。开启后,拥有适当权限的管理员可以查看内容。
- 开启或关闭需要输入执行操作的原因。
有关说明和详细信息,请参阅为调查配置设置。
如要保存搜索条件或与他人共享搜索条件,您可以创建并保存调查,然后共享、复制或删除调查。
有关详情,请参阅保存、共享、删除和复制调查。
