通知

Duet AI 现已更名为 Google Workspace 专用 Gemini。了解详情

管理员数据操作日志事件(Beta 版)

作为贵组织的管理员,您可以使用安全调查工具来执行搜索,并针对与管理员数据操作日志事件相关的安全问题采取措施。您可以查看在安全调查工具或 Google Workspace Admin SDK Reports API 中执行的操作的记录,例如管理员何时访问、移除和恢复了任何事件中的敏感数据。

您对安全调查工具的访问权限

  • 安全调查工具支持的版本包括企业 Plus 版、教育标准版、教育 Plus 版和 Enterprise Essentials Plus。
  • Cloud Identity 专业版、Frontline Standard、企业标准版和教育标准版的管理员也可以使用安全调查工具,但只能处理一部分数据源。
  • 能否在调查工具中进行搜索取决于您的 Google 版本管理特权数据源。如果您无法在调查工具中搜索特定数据源,可以改为访问审核和调查页面。 有关详情,请参阅改进的审核和调查功能体验
  • 您可以在调查工具中针对所有用户执行搜索,无论他们使用的是哪个 Google 版本。

将日志事件数据转发到 Google Cloud

您可以选择与 Google Cloud 共享日志事件数据。如果您开启共享功能,数据会转发至 Cloud Logging,您可以在此查询和查看您的日志,并控制转送和存储日志的方式。

搜索管理员数据操作日志事件

(高级)如果您希望在执行搜索时自动执行查询,可以改用 Admin SDK Reports API。如需了解详情,请参阅Reports API 概览.

要在调查工具中执行搜索,请先选择数据源,然后选择一个或多个搜索条件。请为每个条件分别选择属性、运算符和值

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台中,依次点击“菜单”图标  接着点击  安全性 接着点击 安全中心 接着点击 调查工具
  3. 点击数据源,然后选择管理员数据操作日志事件
  4. 点击添加条件
    提示:您可以添加一种或多种搜索条件,或使用嵌套查询自定义搜索。如需了解详情,请参阅使用嵌套查询自定义搜索
  5. 点击属性 接着点击 选择一个选项。
    如需查看完整的属性列表,请参阅下文中的属性说明部分。
  6. 点击包含 接着点击 选择运算符。
  7. 输入值或从下拉列表中选择一个值。
  8. (可选)如需添加更多搜索条件,请重复第 4 至 7 步。
  9. 点击搜索
    调查工具中的搜索结果会显示在页面底部的一个表格中。
  10. (可选)如需保存调查,请点击保存图标 接着点击 输入标题和说明 接着点击 点击保存

注意:

  • 条件构建器标签页中,过滤条件会以带有“AND”/“OR”运算符的条件呈现。您还可以使用过滤器标签页来添加简单的参数和值对,以便过滤搜索结果。
  • 如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com 相关的事件。

属性说明

对于此数据源,您可以在搜索日志事件数据时使用以下属性:

属性 说明
执行者 执行此操作的用户的电子邮件地址。
目标事件数据源

访问、移除或恢复数据时所用的应用

每个事件都可通过 3 个字段进行唯一标识:

  • 活动 ID
  • 数据源名称
  • 事件发生的时间
日期 事件发生的日期和时间(以您浏览器的默认时区显示)
目标事件 ID

被访问、移除或恢复的数据的事件 ID

每个事件都可通过 3 个字段进行唯一标识:

  • 活动 ID
  • 数据源名称
  • 事件发生的时间
搜索查询 在用于提取或处理数据的查询中应用的过滤条件
理由 如果此操作需要理由文本内容,则需要管理员提供说明
目标事件日期

目标事件发生的日期

每个事件都可通过 3 个字段进行唯一标识:

  • 活动 ID
  • 数据源名称
  • 事件发生的时间

根据搜索结果执行操作

在调查工具中执行搜索后,您可以根据搜索结果执行操作。举例来说,您可以搜索 Gmail 日志事件,然后使用调查工具删除特定邮件,或者将邮件发送至隔离区或用户的收件箱。要详细了解可在调查工具中执行的操作,请参阅根据搜索结果执行操作

管理调查

全部展开  |  全部收起并转至页首

查看您的调查列表

如要查看您拥有的以及他人与您共享的调查列表,请点击“查看调查”图标 。调查列表包含的信息有:名称、说明、调查所有者及上次修改日期。

在此列表中,您可以对所拥有的任意调查执行操作(例如删除调查)。只需选中相应调查的复选框,然后点击操作

注意:在调查列表正上方的快速访问部分,您可以查看最近保存的调查。

为调查配置设置

作为超级用户,您可以点击“设置”图标 ,以便执行以下操作:

  • 更改调查的时区,而搜索条件和结果会采用您设置的时区。
  • 开启或关闭需要审核者。有关详情,请参阅需要审核者批准进行批量操作
  • 开启或关闭查看内容。开启后,拥有适当权限的管理员可以查看内容。
  • 开启或关闭需要输入执行操作的原因

有关说明和详细信息,请参阅为调查配置设置

管理搜索结果中的列

您可以控制在搜索结果中显示哪些数据列。

  1. 在搜索结果表格的右上角,点击“管理列”图标
  2. (可选)如要移除当前列,请点击“移除内容”图标
  3. (可选)如要添加列,请点击“新增列”旁边的向下箭头 ,然后选择相应数据列。
    根据需要重复上述步骤。
  4. (可选)如要更改列的顺序,请拖动列名称。
  5. 点击保存
导出搜索结果数据

您可以将调查工具中的搜索结果导出为 Google 表格文件或 CSV 文件。 有关说明,请参阅导出搜索结果

共享、删除和复制调查

如要保存搜索条件或与他人共享搜索条件,您可以创建并保存调查,然后共享、复制或删除调查。

有关详情,请参阅保存、共享、删除和复制调查

何时可以查看数据?数据会保留多久?

要详细了解数据源,请参阅数据保留时间和延迟时间

相关主题

该内容对您有帮助吗?

您有什么改进建议?

需要更多帮助?

请尝试以下步骤:

向帮助社区发帖 向社区成员寻求答案
与我们联系 向我们提供更多信息,以便我们帮您解决问题
true
立即开始免费试用 14 天

专业电子邮件地址、在线存储空间、共享日历、视频会议等工具一应俱全。立即开始免费试用 G Suite

搜索
清除搜索内容
关闭搜索框
主菜单
1385602277458639404
true
搜索支持中心
true
true
true
true
true
73010
false
false