管理员日志事件

在管理控制台中查看管理员活动

您可能可以使用具有更多高级功能的安全调查工具,具体取决于您的 Google Workspace 版本。例如,超级用户可以识别安全和隐私问题、适当分类并采取应对措施。了解详情

作为组织的管理员,您可以执行搜索,并针对与管理员日志事件相关的安全问题采取措施。例如,您可以查看在 Google 管理控制台中执行的操作的记录,例如管理员何时添加了用户,或者何时启用了 Google Workspace 服务。

将日志事件数据转发到 Google Cloud

您可以选择与 Google Cloud 共享日志事件数据。如果您开启共享功能,数据会转发至 Cloud Logging,您可以在此查询和查看您的日志,并控制转送和存储日志的方式。

搜索日志事件

能否执行搜索取决于您的 Google 版本、管理员权限和数据源。您可以对所有用户执行搜索,无论他们使用什么 Google Workspace 版本。

审核和调查工具

如需搜索日志事件,请先选择数据源。然后选择一个或多个过滤条件以用于搜索。

  1. 使用管理员账号登录 Google 管理控制台。

    如果您使用的不是管理员账号,则无法访问管理控制台。

  2. 依次点击“菜单”图标  接着点击 报告 > 审核和调查 > 管理员日志事件

    需要拥有“报告”管理员权限。

  3. 点击添加过滤条件,然后选择一个属性。
  4. 在弹出式窗口中,选择运算符 接着点击 选择一个值 接着点击 点击应用
    • (可选)如需为搜索创建多个过滤条件,请重复此步骤。
    • (可选)要添加搜索运算符,请在添加过滤条件上方选择 ANDOR
    • (可选)如需为搜索创建多个过滤条件,请重复此步骤。
    • (可选)如需添加搜索运算符,请在添加过滤条件上方选择 ANDOR
  5. 点击搜索

  6. 注意:您可以使用过滤条件标签页添加简单参数和值对来过滤搜索结果。您也可以使用条件构建器标签页,在该标签页中,过滤条件以 AND/OR 运算符连接的条件表示。

安全调查工具

支持此功能的版本:一线员工标准版、企业标准版、企业 Plus 版、教育标准版、教育 Plus 版、企业基本功能 Plus 版、Cloud Identity 专业版。 比较您的版本

如需在安全调查工具中执行搜索,请先选择数据源。然后选择一个或多个搜索条件。请为每个条件分别选择属性、运算符和值

  1. 使用管理员账号登录 Google 管理控制台。

    如果您使用的不是管理员账号,则无法访问管理控制台。

  2. 依次点击“菜单”图标  接着点击  安全性 > 安全中心 > 调查工具

    需要拥有“安全中心”管理员权限。

  3. 点击数据源,然后选择管理员日志事件
  4. 点击添加条件
    提示:您可以添加一种或多种搜索条件,或使用嵌套查询自定义搜索。如需了解详情,请参阅使用嵌套查询自定义搜索
  5. 点击属性 接着点击 选择一个选项。
    如需查看完整的属性列表,请参阅下文中的属性说明部分。
  6. 选择一个运算符。
  7. 输入值或从下拉列表中选择一个值。
  8. (可选)如需添加更多搜索条件,请重复第 4 至 7 步。
  9. 点击搜索
    调查工具中的搜索结果会显示在页面底部的一个表格中。
  10. (可选)如需保存调查,请点击保存图标 接着点击 输入标题和说明 接着点击 点击保存

注意:

  • 条件构建器标签页中,过滤条件会以带有“AND”/“OR”运算符的条件呈现。您还可以使用过滤器标签页来添加简单的参数和值对,以便过滤搜索结果。
  • 如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com 相关的事件。

属性说明

对于此数据源,您可以在搜索日志事件数据时使用以下属性:

属性 说明
操作* 管理员使用安全调查工具或活动规则执行的操作。要详细了解管理员可以执行的操作,请参阅根据搜索结果执行操作
执行者

执行操作的用户的电子邮件地址。您可能会看到以下内容,而非电子邮件地址:

  • 许可管理员 - 如果管理员操作触发对用户许可的更改
  • 服务账号 - 如果操作由服务账号管理员执行
  • 匿名 - 如果操作由服务账号管理员执行
执行者群组名称

执行者的群组名称。 有关详情,请参阅按 Google 网上论坛群组过滤结果

如要将群组添加到过滤群组许可名单,请按以下步骤操作:

  1. 选择执行者群组名称
  2. 点击过滤群组
    此时,系统会显示“过滤群组”页面。
  3. 点击添加群组
  4. 输入群组名称或电子邮件地址的前几个字符以搜索群组。当您看到所需群组时,请将其选中。
  5. (可选)如果您还想添加其他群组,请搜索并选择相应群组。
  6. 选择好群组后,点击添加
  7. (可选)要移除群组,请点击“移除群组”图标
  8. 点击保存
执行者组织部门 执行者的组织部门
其他信息 事件的其他背景信息
开始日期* 使用“开始日期”和“结束日期”来过滤包含特定开始日期和结束日期范围的事件,例如“展开图表细目”事件。注意:如需搜索某个日期范围内的事件,请使用“日期”属性。
数据源* 调查工具中的数据源或提醒中心内的提醒来源
日期 事件发生的日期和时间(以您浏览器的默认时区显示)
设备 ID* 受此审核事件影响的设备 ID。例如,如果管理员擦除了公司自有设备,则此字段会捕获设备 ID。
设备类型 受此审核事件影响的设备类型。例如,如果管理员擦除了公司自有设备,则此字段会捕获设备类型
域名 发生操作的网域
结束日期* 使用“开始日期”和“结束日期”来过滤包含特定开始日期和结束日期范围的事件,例如“展开图表细目”事件。注意:如需搜索某个日期范围内的事件,请使用“日期”属性。
事件

记录的事件操作,例如“调查查询”或“创建活动规则”。

事件值下方,事件会按类型分组,例如“用户设置”或“网域设置”。大部分事件值均一目了然,无需另作说明。例如,“网域设置”下方的“添加应用”是已添加到您网域的应用的搜索值。您可以在搜索框中搜索事件。

提示:如果您有经常使用的事件值,可以将这些事件固定到下拉菜单的顶部。
Google Workspace 版本* 执行操作的管理员(执行者)的 Google Workspace 版本

群组电子邮件

 受此活动影响的 Google 群组的电子邮件地址
IP 地址 与所记录操作相关联的互联网协议 (IP) 地址。此地址通常反映的是用户的实际位置,但也可能是代理服务器或虚拟专用网 (VPN) 地址。
理由* 如果此操作需要理由文本内容,则需要管理员提供说明
邮件 ID* 受此审核事件影响的电子邮件的邮件 ID
新值* 设置的新值(如果更新)
旧值* 设置的旧值(如果更新)
资源 ID* 受审核事件影响的一个或多个资源的 ID
资源名称* 受审核事件影响的资源名称
资源类型* 受审核事件影响的资源类型
搜索查询 用于提取或处理数据的查询。例如,在调查工具搜索、在创建活动规则或创建电子邮件转储时使用的查询。
设置类别 已更新设置的类别
设置名称 已更新设置的名称
设置组织部门名称 管理控制台中的设置可以限定为适用于组织部门。更新设置后,如果设置范围限定到组织部门,则此字段会显示组织部门名称。
目标* 事件的目标电子邮件地址。例如,创建电子邮件监控时的目标电子邮件地址,或在调查工具中执行批量操作时验证者的电子邮件地址。
受影响的实体总数* 受审核事件影响的实体总数。例如,将用户批量上传到群组时上传的用户数,或活动规则触发器触发的操作数。这是一个取决于事件的上下文字段。
失败的实体总数* 失败的操作总数。例如,将用户批量上传到群组时上传失败的用户数量,或活动规则触发器触发但未成功执行的操作。这是一个取决于事件的上下文字段。
用户电子邮件地址 执行操作的用户的电子邮件地址
* 您无法使用这些过滤条件创建报告规则。详细了解报告规则与活动规则

注意:如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com相关的事件。

管理日志事件数据

管理搜索结果列数据

您可以控制在搜索结果中显示哪些数据列。

  1. 在搜索结果表格的右上角,点击“管理列”图标
  2. (可选)如要移除当前列,请点击“移除”图标
  3. (可选)如要添加列,请点击新增列旁边的向下箭头 ,然后选择相应数据列。
    根据需要重复上述步骤。
  4. (可选)如要更改列的顺序,请拖动数据列名称。
  5. 点击保存

导出搜索结果数据

您可以将搜索结果导出为 Google 表格文件或 CSV 文件。

  1. 点击搜索结果表格顶部的全部导出
  2. 输入名称 接着点击 点击导出
    导出内容会显示在搜索结果表格的导出操作结果下方。
  3. 如要查看数据,请点击导出结果的名称。
    导出结果会在 Google 表格中打开。

导出限制因情况而异:

  • 导出结果总数上限为 10 万行。
  • 支持此功能的版本:一线员工标准版、企业标准版、企业 Plus 版、教育标准版、教育 Plus 版、企业基本功能 Plus 版、Cloud Identity 专业版。 比较您的版本

    如果您拥有安全调查工具,则导出结果总数上限为 3 千万行(Gmail 邮件搜索结果除外,其上限为 10,000 万行)。

如需了解详情,请参阅导出搜索结果

何时可以查看数据?数据会保留多久?

根据搜索结果执行操作

创建活动规则和设置提醒
  • 您可以使用报告规则设置基于日志事件数据的提醒。有关说明,请参阅创建和管理报告规则
  • 支持此功能的版本:一线员工标准版、企业标准版、企业 Plus 版、教育标准版、教育 Plus 版、企业基本功能 Plus 版、Cloud Identity 专业版。 比较您的版本

    为了高效地防范、检测和解决安全问题,您可以通过创建活动规则,在安全调查工具中自动执行操作和设置提醒。设置规则时,请先设置规则的条件,然后指定在条件满足时要执行的操作。有关详情和说明,请参阅创建和管理活动规则

根据搜索结果执行操作

支持此功能的版本:一线员工标准版、企业标准版、企业 Plus 版、教育标准版、教育 Plus 版、企业基本功能 Plus 版、Cloud Identity 专业版。 比较您的版本

在安全调查工具中执行搜索后,您可以根据搜索结果执行操作。举例来说,您可以搜索 Gmail 日志事件,然后使用该工具删除特定邮件,或者将邮件发送至隔离区或用户的收件箱。如需了解详情,请参阅根据搜索结果执行操作

管理调查

支持此功能的版本:一线员工标准版、企业标准版、企业 Plus 版、教育标准版、教育 Plus 版、企业基本功能 Plus 版、Cloud Identity 专业版。 比较您的版本

查看您的调查列表

如要查看您拥有的以及他人与您共享的调查列表,请点击“查看调查”图标 。调查列表包含的信息有:名称、说明、调查所有者及上次修改日期。

在此列表中,您可以对所拥有的任意调查执行操作(例如删除调查)。只需选中相应调查的复选框,然后点击操作

注意:在调查列表正上方的快速访问部分,您可以查看最近保存的调查。

为调查配置设置

作为超级用户,您可以点击“设置”图标 ,以便执行以下操作:

  • 更改调查的时区,而搜索条件和结果会采用您设置的时区。
  • 开启或关闭需要审核者。有关详情,请参阅需要审核者批准进行批量操作
  • 开启或关闭查看内容。开启后,拥有适当权限的管理员可以查看内容。
  • 开启或关闭需要输入执行操作的原因

有关说明和详细信息,请参阅为调查配置设置

共享、删除和复制调查

如要保存搜索条件或与他人共享搜索条件,您可以创建并保存调查,然后共享、复制或删除调查。

有关详情,请参阅保存、共享、删除和复制调查

安全中心的相关主题

该内容对您有帮助吗?

您有什么改进建议?

需要更多帮助?

请尝试以下步骤:

向帮助社区发帖 向社区成员寻求答案
与我们联系 向我们提供更多信息,以便我们帮您解决问题
true
立即开始免费试用 14 天

专业电子邮件地址、在线存储空间、共享日历、视频会议等工具一应俱全。立即开始免费试用 G Suite

搜索
清除搜索内容
关闭搜索框
主菜单
13050067655895978270
true
搜索支持中心
true
true
true
true
true
73010
false
false
false