以下版本支持此功能:“Frontline Starter”和“Frontline Standard”;商务新手版、商务标准版和商务 Plus 版;企业标准版和企业 Plus 版;教育基础版、教育标准版、教与学升级版和教育 Plus 版;Essentials Starter、Essentials、Enterprise Essentials和Enterprise Essentials Plus;G Suite 商务版。 比较您的版本
作为管理员,您可以使用“审核和调查”页面来执行与云端硬盘日志事件相关的搜索。您可以在此处查看操作记录,了解贵单位在云端硬盘中的用户活动。 云端硬盘日志事件涉及的内容包括您的用户在 Google 文档、表格、幻灯片和其他 Google Workspace 应用中创建的内容,以及由您的用户上传到云端硬盘中的内容,例如 PDF 和 Microsoft Word 文件。
您可以使用 Activity API 以编程方式访问基本报告数据。如果您的 Google Workspace 版本支持,则可以使用新版 Reports API 查看高级 Google Workspace 报告数据。
重要提示:
- 系统不会记录云端硬盘中的所有活动。如需查看日志包含的内容列表,请参阅本页面中的已记录和未记录的事件。
- 如要详细了解数据在何时可供查看以及可保留多长时间,请参阅数据保留时间和延迟时间。
- 只有文件所有者使用的是受支持的版本时,系统才会记录云端硬盘审核事件。
如需查看您可以调查的服务和活动(例如 Google 云端硬盘或用户活动)的完整列表,请仔细阅读关于审核和调查工具。
打开“审核和调查”页面
访问云端硬盘日志事件数据
-
- 点击左侧的报告 审核和调查 云端硬盘日志事件。
对数据进行过滤
- 按照上文访问云端硬盘日志事件数据中的说明打开日志事件。
- 点击添加过滤条件,然后选择一个属性。
- 在弹出式窗口中,选择运算符 选择一个值 点击应用。
-
(可选)要创建多个搜索过滤条件,请执行以下操作:
- 点击添加过滤条件,然后重复第 3 步。
- (可选)要添加搜索运算符,请在添加过滤条件上方选择 AND 或 OR。
- 点击搜索。
注意:您可以使用过滤条件标签页添加简单参数和值对来过滤搜索结果。您也可以使用条件构建器标签页,在该标签页中,过滤条件以 AND/OR 运算符连接的条件表示。
属性说明
对于此数据源,您可以在搜索日志事件数据时使用以下属性:
注意:
- 并非所有事件都会报告以下列表中的所有属性。
- 以下列表并非详尽无遗,可能会发生变化。要详细了解云端硬盘日志事件,请参阅 Google Workspace Admin SDK 网站上的云端硬盘审核活动事件。
属性 | 说明 |
---|---|
执行者 | 执行操作的用户的电子邮件地址。系统会以匿名方式显示网域外部的用户,除非他们以个人或特定群组成员的身份查看或修改明确与之共享的文档 |
执行者群组名称 |
执行者的群组名称。 有关详情,请参阅按 Google 网上论坛群组过滤结果。 如要将群组添加到过滤群组许可名单,请按以下步骤操作:
|
执行者组织部门 | 执行者的组织部门 |
目标网域 | 目标网域(如果审核日志用于更改公开范围) |
可结算 | (仅限基本功能版)用户操作是否为付费活动 |
日期 |
事件发生的日期和时间(以您浏览器的默认时区显示) 注意:大多数事件都会在完成后被记入日志。有时,大型上传操作可能需要一段时间才能记入日志。 |
文档 ID |
与活动相关的云端硬盘内容的唯一标识符(可在相应文件的网址链接中找到) |
文档类型 | 活动涉及的文件格式,例如 Google 文档、表格、幻灯片、JPEG、PDF、PNG、MP4、Microsoft Word、Excel、PowerPoint、txt、HTML、MPEG 音频、QuickTime 视频、文件夹或共享云端硬盘 |
网域* | 发生操作的网域 |
已加密* | 文件是否经过客户端加密 |
事件名称 |
用户发起的事件,例如查看、重命名、创建、编辑、打印、删除、上传和下载。 大多数操作在用户执行后会立即被记入日志。不过,云端硬盘查看器中发生的打印事件可能会延迟 12 小时或更久才会被记录。系统会记录 Google 云端硬盘自动删除或从回收站清空的文件。其他事件(例如上传文件)一经执行就会立即被记录。 |
IP 地址* |
用户执行操作时使用的 IP 地址。这可能会反映用户的实际位置,但也可能是代理服务器或虚拟专用网 (VPN) 地址。 系统不会记录下列事件的 IP 地址:
|
发布内容公开范围的新值 | 文档的新公开范围 |
新值* | 更改的设置的新值 |
新值 ID* | 标签字段的新值 |
发布内容公开范围的旧值 | 如果活动是更改公开范围,则为文档的原始公开范围 |
旧值* | 更改的设置的旧值 |
旧值 ID* | 标签字段的旧值 |
所有者 |
文件所有者。 |
之前的公开范围 | 在可见性更改的情况下文档的先前可见性 |
收件人* | 收件人的电子邮件地址 |
共享云端硬盘 ID | 包含相应文件的共享云端硬盘的 ID。如果相应文件不在共享云端硬盘中,则系统不会填充此字段。 |
靶子 | 访问权限被更改的用户 |
名称 | 文档的标题 |
公开范围 | 与活动相关的云端硬盘内容的公开范围 |
公开范围变更 | 云端硬盘内容在活动发生之前的公开范围 |
访问者 | “是”表示活动执行者是非 Google 用户。“否”表示活动执行者是 Google 用户。建议详细了解如何与访问者共享文档。 |
查看与网域外部人员共享的文件
要查看与网域外部人员共享的文件,请执行以下操作:
- 按照上文打开云端硬盘日志事件数据中的说明打开日志事件。
- 点击添加过滤条件 公开范围,然后选择对外共享。
- 点击搜索。
如果您停用对外共享功能,而用户与允许外部人员加入的群组共享资源,那么即使该群组中没有外部用户,系统仍会在日志中将相关数据标记为对外共享。不过,该群组中的外部用户无法访问共享的资源。
已记录和未记录的事件
删除
系统会记录 Google 云端硬盘自动删除或从回收站清空的文件。
复制
复制文件时,系统会记录新文件的“创建”和“复制”事件,并记录原始文件的“来源复制”事件。
当贵组织以外的用户将文件复制到外部位置时,贵组织不会记录“创建”和“复制”事件,因为新文件是外部文件。然而,您的日志在原始文件上有“来源复制”事件,“复制类型”为“外部”。如需监控数据复制到贵组织外部的时间,您可以查看具有“外部”复制类型的“来源复制”事件。
打印
当用户打印以 Google 文件格式(文档、表格、幻灯片、绘图和表单)打开的文件时,系统不会记录“打印”事件。
通过 Apple iPhone 和 iPad 或 Android 设备的云端硬盘应用打印文件时,系统可能会将“打印”事件记录为“下载”事件。
下载
系统会记录大多数下载操作,包括使用桌面版 Google 云端硬盘在云端硬盘和本地设备之间复制文件的操作。
某些“查看”操作会记录为“下载”:
- 在移动设备上的云端硬盘应用中预览文件时,系统会将其记录为“下载”事件。
- 预览无法直接在 Google 文档或其他 Google 应用中打开的文件(例如 PDF)时,系统会将其记录为“下载”事件。
系统不会记录通过以下来源执行的下载操作:
- Google 导出下载(改为搜索导出日志事件)
- 下载到离线浏览器缓存
- 同步到、下载自 Google 相册或通过 Google 相册查看的照片
- 作为电子邮件附件发送并通过收件人的电子邮件客户端下载的云端硬盘内容
查看
- 系统会将使用 /htmlview、/embed、/revisions 和其他特殊网址查看文件的操作记录为“查看事件”。
涉及外部网域的事件
部分事件涉及组织以外的用户、共享文件夹或共享云端硬盘,例如当贵组织中的用户与外部用户共享文件时。当某个操作导致内容所有权从一个组织转移到另一个组织,这两个组织都会记录该事件。
这两个组织记录的事件示例:
- 贵组织用户拥有的云端硬盘内容移到了外部共享云端硬盘。
- 贵组织之外的用户所拥有的云端硬盘内容移到了贵组织拥有的共享云端硬盘。
- 某个用户将一个文件复制到贵组织或从贵组织复制了一个文件。接收内容的组织会记录所复制的文件的名称,而不是原始文件名。
贵组织记录但外部网域不记录的事件示例:
- 贵组织用户将其拥有的云端硬盘内容与外部用户共享。
- 贵组织用户将其拥有的云端硬盘内容与允许外部用户加入的群组共享(即使该群组中没有外部用户)。
- 外部用户查看、修改、下载、打印或删除贵组织拥有的云端硬盘内容。
- 外部用户将文件上传至贵组织拥有的共享云端硬盘。
外部网域记录而贵组织不记录的事件情况与上文所述相反。
匿名用户和外部用户
对于匿名用户(未登录 Google 账号的用户),系统会记录修改次数,但不会记录查看次数和下载次数。
网域外部用户执行的操作会显示为匿名操作,除非内容明确与他们(作为个人或特定群组的一部分)共享。
管理员可以通过设置组织共享政策或信任规则政策来限制匿名和外部访问。
桌面版云端硬盘
使用桌面版 Google 云端硬盘功能在云端硬盘和本地设备之间复制文件时,系统会记录“下载”事件。
管理日志事件数据
管理搜索结果列数据
您可以控制在搜索结果中显示哪些数据列。
- 在搜索结果表格的右上角,点击“管理列”图标 。
- (可选)如要移除当前列,请点击“移除”图标 。
- (可选)如要添加列,请点击新增列旁边的向下箭头 ,然后选择相应数据列。
根据需要重复上述步骤。 - (可选)如要更改列的顺序,请拖动数据列名称。
- 点击保存。
导出搜索结果数据
- 点击搜索结果表格顶部的全部导出。
- 输入名称 点击导出。
导出内容会显示在搜索结果表格的导出操作结果下方。 - 如要查看数据,请点击导出结果的名称。
导出结果会在 Google 表格中打开。
创建报告规则
请参阅创建和管理报告规则。
何时可以查看数据?数据会保留多久?
请参阅数据保留时间和延迟时间。