您可以使用稽核與調查頁面,執行與管理員記錄事件相關的搜尋。在這個頁面中,您可以透過 Google 管理控制台查看執行的動作記錄,例如管理員新增使用者或啟用 Google Workspace 服務的時間。
如需可以調查的服務和活動完整清單 (例如 Google 雲端硬碟或使用者活動),請參閱「關於稽核與調查工具」。
將記錄事件資料轉送至 Google Cloud
您可以選擇與 Google Cloud 共用記錄事件資料。如果您開啟共用設定,系統會將資料轉送至 Cloud Logging;您可以透過這項服務查詢和查看記錄,以及控管記錄的轉送和儲存方式。
開啟稽核與調查頁面
存取管理員記錄事件資料
-
-
在管理控制台中,依序點選「選單」圖示
「報告」
「稽核與調查」
篩選資料
- 按照上方「存取管理員記錄事件資料」一節的說明存取管理員記錄事件資料。
- 按一下「新增篩選器」,然後選取屬性。
- 在彈出式視窗中選取運算子
-
(選用) 如要為搜尋建立多項篩選器:
- 按一下「新增篩選器」,然後重複執行步驟 3。
- (選用) 如要新增搜尋運算子,請選取「新增篩選器」上方的「AND」或「OR」。
- 按一下「搜尋」。
注意:您可以在「篩選器」分頁中加入簡單的參數和值組來篩選搜尋結果。您也可以使用「條件建構工具」分頁,讓篩選器以 AND/OR 運算子表示條件。
屬性說明
針對這個資料來源,您可以在搜尋記錄事件資料時使用下列屬性:
| 屬性 | 說明 |
|---|---|
| 動作* | 管理員使用安全調查工具或活動規則採取的動作。如要進一步瞭解管理員可以執行的操作,請參閱「根據搜尋結果執行動作」。 |
| 執行者 |
執行動作的使用者電子郵件地址。您或許會看到以下內容,而非電子郵件地址:
|
| 執行者群組名稱 |
執行者的群組名稱。 詳情請參閱「依 Google 群組篩選結果」。 如何將群組加入篩選群組許可清單:
|
| 執行者機構單位 | 執行者的機構單位 |
| 其他資訊 | 事件的其他背景資訊 |
| 開始日期* | 您可以使用「開始日期」和「結束日期」指定特定時間範圍內發生的事件,例如「深入分析圖表事件」。注意:如要搜尋日期範圍內的事件,請使用「日期」屬性。 |
| 資料來源* | 調查工具中的資料來源,或快訊中心的快訊來源 |
| 日期 | 事件發生的日期和時間 (以您的瀏覽器預設時區為準) |
| 裝置 ID* | 受此稽核事件影響的裝置 ID。舉例來說,如果管理員抹除公司所擁有裝置的資料,這個欄位會擷取裝置 ID。 |
| 裝置類型 | 受此稽核事件影響的裝置類型。舉例來說,如果管理員抹除公司所擁有裝置的資料,這個欄位會擷取裝置類型 |
| 網域名稱 | 動作發生的網域 |
| 結束日期* | 您可以使用「開始日期」和「結束日期」指定特定時間範圍內發生的事件,例如「深入分析圖表事件」。注意:如要搜尋日期範圍內的事件,請使用「日期」屬性。 |
| 事件 |
系統記錄的事件動作,例如「調查查詢」或「建立活動規則」。 在「事件值」下方,事件會按照類型分類,例如「使用者設定」或「網域設定」。大部分的事件值都明確易懂。舉例來說,「網域設定」下方的「新增應用程式」是您網域中新增應用程式的搜尋值。您可以在搜尋框中搜尋事件。 提示:如果您有經常使用的事件值,請將這些事件固定到下拉式選單的頂端。 |
| Google Workspace 版本* | 執行動作的管理員 (執行者) 的 Google Workspace 版本 |
|
群組電子郵件 |
受此活動影響的 Google 群組電子郵件 |
| IP 位址 | 與系統所記錄動作相關聯的網際網路通訊協定位址 (IP)。這個位址通常會反映使用者的實際所在位置,但也可能是 Proxy 伺服器或虛擬私人網路 (VPN) 位址。 |
| 原因* | 如果需要提供正當理由才能執行動作,由管理員提供說明 |
| 郵件 ID* | 受到此稽核事件影響的電子郵件 ID |
| 新值* | 設定的新值 (如有更新) |
| 舊值* | 設定的舊值 (如有更新) |
| 資源 ID* | 受稽核事件影響的一或多項資源 ID |
| Resource name* (資源名稱) | 受稽核事件影響的資源名稱 |
| 資源類型* | 受稽核事件影響的資源類型 |
| 搜尋查詢 | 用於擷取或處理資料的查詢。例如,在建立活動規則或建立電子郵件傾印時,於調查工具中進行搜尋所使用的查詢。 |
| 設定名稱 | 所更新設定的名稱 |
| 設定機構單位名稱 | 管理控制台中的設定範圍可限定為機構單位。如果設定經過更新,而且範圍是機構單位,這個欄位會顯示該機構單位的名稱。 |
| 目標* | 該事件的目標電子郵件地址。例如,在建立電子郵件監控器時使用的目的地電子郵件地址,或在調查工具中執行大量動作時,驗證者的電子郵件地址。 |
| 受影響總數* | 受稽核事件影響的實體總數。例如,大量上傳使用者至群組時的使用者人數,或是活動規則觸發條件中觸發的動作數量。這個欄位取決於事件的背景資訊。 |
| 失敗總數* | 失敗作業的總數。例如,大量上傳使用者至群組時,無法上傳的使用者人數,或是活動規則觸發條件中觸發失敗的動作數量。這個欄位取決於事件的背景資訊。 |
| 使用者電子郵件 | 執行動作的使用者電子郵件 |
注意:如果您為使用者設定新名稱,查詢結果中就不會包含與舊名稱相關的事件。舉例來說,如果您將 <舊名稱>@example.com 重新命名為 <新名稱>@example.com,就不會看見與 <舊名稱>@example.com 相關的事件結果。
管理記錄事件資料
管理搜尋結果資料欄
您可以控制搜尋結果中要顯示哪些資料欄。
- 按一下搜尋結果表格右上方的「管理資料欄」圖示
。
- (選用) 如要移除目前的資料欄,請按一下「移除」圖示
。
- (選用) 如要新增資料欄,請按一下「新增資料欄」旁邊的向下箭頭
,然後選取資料欄。
視需要重複上述步驟。 - (選用) 如要變更資料欄的順序,請拖曳資料欄名稱。
- 按一下「儲存」。
匯出搜尋結果資料
- 按一下搜尋結果表格頂端的「全部匯出」。
- 輸入名稱
匯出結果會顯示在搜尋結果表格的「匯出動作執行結果」下方。 - 如要查看資料,請按一下匯出項目的名稱。
匯出項目隨即會在 Google 試算表中開啟。
建立報告規則
請參閱建立及管理報告規則。
資料要處理多久?保留時間有多長?
請參閱「資料保留和延遲時間」。
