您可以使用“审核和调查”页面来执行与管理员日志事件相关的搜索。您可以在此处查看在 Google 管理控制台中执行的操作的记录,例如管理员何时添加了用户,或者何时启用了 Google Workspace 服务。
如需查看您可以调查的服务和活动(例如 Google 云端硬盘或用户活动)的完整列表,请仔细阅读关于审核和调查工具。
将日志事件数据转发到 Google Cloud
您可以选择与 Google Cloud 共享日志事件数据。如果您开启共享功能,数据会转发至 Cloud Logging,您可以在此查询和查看您的日志,并控制转送和存储日志的方式。
打开“审核和调查”页面
访问管理员日志事件数据
-
-
在管理控制台中,依次点击“菜单”图标 报告 审核和调查 管理员日志事件。
对数据进行过滤
- 按照上文访问管理员日志事件数据中的说明,访问管理员日志事件数据。
- 点击添加过滤条件,然后选择一个属性。
- 在弹出式窗口中,选择运算符 选择一个值 点击应用。
-
(可选)要创建多个搜索过滤条件,请执行以下操作:
- 点击添加过滤条件,然后重复第 3 步。
- (可选)要添加搜索运算符,请在添加过滤条件上方选择 AND 或 OR。
- 点击搜索。
注意:您可以使用过滤条件标签页添加简单参数和值对来过滤搜索结果。您也可以使用条件构建器标签页,在该标签页中,过滤条件以 AND/OR 运算符连接的条件表示。
属性说明
对于此数据源,您可以在搜索日志事件数据时使用以下属性:
属性 | 说明 |
---|---|
操作* | 管理员使用安全调查工具或活动规则执行的操作。要详细了解管理员可以执行的操作,请参阅根据搜索结果执行操作。 |
执行者 |
执行操作的用户的电子邮件地址。您可能会看到以下内容,而非电子邮件地址:
|
执行者群组名称 |
执行者的群组名称。 有关详情,请参阅按 Google 网上论坛群组过滤结果。 如要将群组添加到过滤群组许可名单,请按以下步骤操作:
|
执行者组织部门 | 执行者的组织部门 |
其他信息 | 事件的其他背景信息 |
开始日期* | 使用“开始日期”和“结束日期”来过滤包含特定开始日期和结束日期范围的事件,例如“展开图表细目”事件。注意:如需搜索某个日期范围内的事件,请使用“日期”属性。 |
数据源* | 调查工具中的数据源或提醒中心内的提醒来源 |
日期 | 事件发生的日期和时间(以您浏览器的默认时区显示) |
设备 ID* | 受此审核事件影响的设备 ID。例如,如果管理员擦除了公司自有设备,则此字段会捕获设备 ID。 |
设备类型 | 受此审核事件影响的设备类型。例如,如果管理员擦除了公司自有设备,则此字段会捕获设备类型 |
域名 | 发生操作的网域 |
结束日期* | 使用“开始日期”和“结束日期”来过滤包含特定开始日期和结束日期范围的事件,例如“展开图表细目”事件。注意:如需搜索某个日期范围内的事件,请使用“日期”属性。 |
事件 |
记录的事件操作,例如“调查查询”或“创建活动规则”。 在事件值下方,事件会按类型分组,例如“用户设置”或“网域设置”。大部分事件值均一目了然,无需另作说明。例如,“网域设置”下方的“添加应用”是已添加到您网域的应用的搜索值。您可以在搜索框中搜索事件。 提示:如果您有经常使用的事件值,可以将这些事件固定到下拉菜单的顶部。 |
Google Workspace 版本* | 执行操作的管理员(执行者)的 Google Workspace 版本 |
群组电子邮件 |
受此活动影响的 Google 群组的电子邮件地址 |
IP 地址 | 与所记录操作相关联的互联网协议 (IP) 地址。此地址通常反映的是用户的实际位置,但也可能是代理服务器或虚拟专用网 (VPN) 地址。 |
理由* | 如果此操作需要理由文本内容,则需要管理员提供说明 |
邮件 ID* | 受此审核事件影响的电子邮件的邮件 ID |
新值* | 设置的新值(如果更新) |
旧值* | 设置的旧值(如果更新) |
资源 ID* | 受审核事件影响的一个或多个资源的 ID |
资源名称* | 受审核事件影响的资源名称 |
资源类型* | 受审核事件影响的资源类型 |
搜索查询 | 用于提取或处理数据的查询。例如,在调查工具搜索、在创建活动规则或创建电子邮件转储时使用的查询。 |
设置的名称 | 已更新设置的名称 |
设置组织部门名称 | 管理控制台中的设置可以限定为适用于组织部门。更新设置后,如果设置范围限定到组织部门,则此字段会显示组织部门名称。 |
目标* | 事件的目标电子邮件地址。例如,创建电子邮件监控时的目标电子邮件地址,或在调查工具中执行批量操作时验证者的电子邮件地址。 |
受影响的实体总数* | 受审核事件影响的实体总数。例如,将用户批量上传到群组时上传的用户数,或活动规则触发器触发的操作数。这是一个取决于事件的上下文字段。 |
失败的实体总数* | 失败的操作总数。例如,将用户批量上传到群组时上传失败的用户数量,或活动规则触发器触发但未成功执行的操作。这是一个取决于事件的上下文字段。 |
用户电子邮件地址 | 执行操作的用户的电子邮件地址 |
注意:如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com相关的事件。
管理日志事件数据
管理搜索结果列数据
您可以控制在搜索结果中显示哪些数据列。
- 在搜索结果表格的右上角,点击“管理列”图标 。
- (可选)如要移除当前列,请点击“移除”图标 。
- (可选)如要添加列,请点击新增列旁边的向下箭头 ,然后选择相应数据列。
根据需要重复上述步骤。 - (可选)如要更改列的顺序,请拖动数据列名称。
- 点击保存。
导出搜索结果数据
- 点击搜索结果表格顶部的全部导出。
- 输入名称 点击导出。
导出内容会显示在搜索结果表格的导出操作结果下方。 - 如要查看数据,请点击导出结果的名称。
导出结果会在 Google 表格中打开。
创建报告规则
请参阅创建和管理报告规则。
何时可以查看数据?数据会保留多久?
请参阅数据保留时间和延迟时间。