您可能可以使用具有更多高级功能的安全调查工具,具体取决于您的 Google Workspace 版本。例如,超级用户可以识别安全和隐私问题、适当分类并采取应对措施。了解详情
作为组织的管理员,您可以搜索云端硬盘日志事件并采取相应行动。例如,您可以查看操作记录,了解贵组织中的用户在云端硬盘中的活动。云端硬盘日志事件涉及的内容包括您的用户在 Google 文档、表格、幻灯片和其他 Google Workspace 应用中创建的内容,以及由您的用户上传到云端硬盘中的内容,例如 PDF 和 Microsoft Word 文件。您可以使用 Activity API 以编程方式访问基本报告数据。如果您的 Google Workspace 版本支持,则您可以使用新版 Reports API 访问高级 Google Workspace 报告数据。
重要提示:
- 系统不会记录云端硬盘中的所有活动。如需查看日志包含的内容列表,请参阅本页面中的已记录和未记录的事件。
- 如要详细了解数据在何时可供查看以及可保留多长时间,请参阅数据保留时间和延迟时间。
- 只有文件所有者使用的是受支持的版本时,系统才会记录大多数云端硬盘审核事件。例外情况是“网址被访问过”事件,如果启动访问网址的 Apps 脚本的用户属于贵组织且使用受支持的版本,则系统会记录此类事件。
将日志事件数据转发到 Google Cloud
您可以选择与 Google Cloud 共享日志事件数据。如果您开启共享功能,数据会转发至 Cloud Logging,您可以在此查询和查看您的日志,并控制转送和存储日志的方式。
搜索日志事件
能否执行搜索取决于您的 Google 版本、管理员权限和数据源。您可以对所有用户执行搜索,无论他们使用什么 Google Workspace 版本。
如需搜索日志事件,请先选择数据源,然后选择一个或多个过滤条件用于搜索。
-
-
在管理控制台中,依次点击“菜单”图标
报告
审核和调查
- 点击添加过滤条件,然后选择一个属性。
- 在弹出式窗口中,选择运算符
- (可选)如需为搜索创建多个过滤条件,请重复此步骤。
- (可选)要添加搜索运算符,请在添加过滤条件上方选择 AND 或 OR。
- (可选)如需创建多个过滤条件来执行搜索,请重复此步骤。
- (可选)如需添加搜索运算符,请在添加过滤条件上方选择 AND 或 OR。
- 点击搜索。
-
注意:您可以使用过滤条件标签页添加简单参数和值对来过滤搜索结果。您也可以使用条件构建器标签页,在该标签页中,过滤条件以 AND/OR 运算符连接的条件表示。
如需在安全调查工具中执行搜索,请先选择数据源。然后选择一个或多个搜索条件。请为每个条件分别选择属性、运算符和值。
-
-
在管理控制台中,依次点击“菜单”图标
安全性
- 点击数据源,然后选择云端硬盘日志事件。
- 点击添加条件。
提示:您可以添加一种或多种搜索条件,或使用嵌套查询自定义搜索。如需了解详情,请参阅使用嵌套查询自定义搜索。 - 点击属性
如需查看完整的属性列表,请参阅下文中的属性说明部分。 - 选择一个运算符。
- 输入值或从下拉列表中选择一个值。
- (可选)如需添加更多搜索条件,请重复第 4 至 7 步。
- 点击搜索。
调查工具中的搜索结果会显示在页面底部的一个表格中。 - (可选)如需保存调查,请点击保存图标
注意:
- 在条件构建器标签页中,过滤条件会以带有“AND”/“OR”运算符的条件呈现。您还可以使用过滤器标签页来添加简单的参数和值对,以便过滤搜索结果。
- 如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com 相关的事件。
属性说明
对于此数据源,您可以在搜索日志事件数据时使用以下属性:
注意:
- 并非所有事件都会报告以下列表中的所有属性。
- 以下列表并非详尽无遗,可能会发生变化。要详细了解云端硬盘日志事件,请参阅 Google Workspace Admin SDK 网站上的云端硬盘审核活动事件。
| 属性 | 说明 |
|---|---|
| 执行者 | 执行操作的用户的电子邮件地址。系统会以匿名方式显示网域外部的用户,除非他们以个人或特定群组成员的身份查看或修改明确与之共享的文档 |
| 执行者群组名称 |
执行者的群组名称。 有关详情,请参阅按 Google 网上论坛群组过滤结果。 如要将群组添加到过滤群组许可名单,请按以下步骤操作:
|
| 执行者组织部门 | 执行者的组织部门 |
| API 方法 | 对于通过第三方应用执行的下载和访问了项目内容操作,该操作所使用的 API 方法。例如,drive.files.export。 |
| 应用 ID | 执行了相应操作的第三方应用的 OAuth 客户端 ID |
| 应用名称 | 执行了相应操作的应用 |
| 目标网域 | 目标网域(如果审核日志用于更改公开范围) |
| 可结算 | (仅限基本功能版)用户操作是否为付费活动 |
| 日期 |
事件发生的日期和时间(以您浏览器的默认时区显示) 注意:大多数事件都会在完成后被记入日志。有时,大型上传操作可能需要一段时间才能记入日志。 |
| 文档 ID |
与活动相关的云端硬盘内容的唯一标识符(可在相应文件的网址链接中找到)。 注意:对于访问的网址事件,只有在执行特定操作时,系统才会报告文档 ID 和其他与文件相关的字段(例如文档类型和所有者)。如需了解详情,请参阅本页上的网址被访问过。 |
| 文档类型 | 活动涉及的文件格式,例如 Google 文档、表格、幻灯片、JPEG、PDF、PNG、MP4、Microsoft Word、Excel、PowerPoint、txt、HTML、MPEG 音频、QuickTime 视频、文件夹或共享云端硬盘 |
| 网域* | 发生操作的网域 |
| 已加密* | 文件是否经过客户端加密 |
| 事件名称 |
用户发起的事件,例如查看、重命名、创建、编辑、打印、删除、上传和下载。 大多数操作在用户执行后会立即被记入日志。不过,云端硬盘查看器中发生的打印事件可能会延迟 12 小时或更久才会被记录。系统会记录 Google 云端硬盘自动删除或从回收站清空的文件。其他事件(例如上传文件)一经执行就会立即被记录。 |
| 假冒 |
应用使用全网域授权代表用户发出请求。True 表示事件是代表用户执行的。您可以查看执行者,找到用户的电子邮件地址以及应用 ID 和应用名称,以识别应用。 详细了解全网域授权。 |
| IP 地址* |
用户执行操作时使用的 IP 地址。这可能会反映用户的实际位置,但也可能是代理服务器或虚拟专用网 (VPN) 地址。 系统不会记录下列事件的 IP 地址:
|
| 发布内容公开范围的新值 | 文档的新公开范围 |
| 新值* | 更改的设置的新值 |
| 新值 ID* | 标签字段的新值 |
| 发布内容公开范围的旧值 | 如果活动是更改公开范围,则为文档的原始公开范围 |
| 旧值* | 更改的设置的旧值 |
| 旧值 ID* | 标签字段的旧值 |
| 所有者 |
文件所有者。 |
| 之前的公开范围 | 在可见性更改的情况下文档的先前可见性 |
| 收件人* | 收件人的电子邮件地址 |
| 共享云端硬盘 ID | 包含相应文件的共享云端硬盘的 ID。如果相应文件不在共享云端硬盘中,则系统不会填充此字段。 |
| 目标 | 访问权限被更改的用户 |
| 标题 | 文档的标题 |
| 公开范围 | 与活动相关的云端硬盘内容的公开范围 |
| 公开范围变更 | 云端硬盘内容在活动发生之前的公开范围 |
| 访问者 | “是”表示活动执行者是非 Google 用户。“否”表示活动执行者是 Google 用户。建议详细了解如何与访问者共享文档。 |
注意:如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com 相关的事件。
查看与网域外部人员共享的文件
如要查看与网域外部用户共享的文件,请执行以下操作:
“审核和调查”页面
- 按照上文打开云端硬盘日志事件数据中的说明打开日志事件。
- 点击添加过滤条件
- 点击搜索。
如果您停用对外共享功能,而用户与允许外部人员加入的群组共享资源,那么即使该群组中没有外部用户,系统仍会在日志中将相关数据标记为对外共享。不过,该群组中的外部用户无法访问共享的资源。
安全调查工具
-
-
在管理控制台中,依次点击“菜单”图标
- 点击数据源
- 点击添加条件。
- 点击属性
- 点击包含
- 点击公开范围
- 点击搜索。
调查工具中的搜索结果会显示在页面底部的一个表格中。
如果您停用对外共享功能,而用户与允许外部人员加入的群组共享资源,系统会在日志中将相关数据标记为对外共享。不过,该群组中的外部用户无法访问共享的资源。此外,即使群组中没有外部用户,您也会看到此标记。
已记录和未记录的事件
删除
系统会记录 Google 云端硬盘自动删除或从回收站清空的文件。
复制
复制文件时,系统会记录新文件的“创建”和“复制”事件,并记录原始文件的“来源复制”事件。
当贵组织以外的用户将文件复制到外部位置时,贵组织不会记录“创建”和“复制”事件,因为新文件是外部文件。然而,您的日志在原始文件上有“来源复制”事件,“复制类型”为“外部”。如需监控数据复制到贵组织外部的时间,您可以查看具有“外部”复制类型的“来源复制”事件。
打印
当用户打印以 Google 文件格式(文档、表格、幻灯片、绘图和表单)打开的文件时,系统不会记录“打印”事件。
通过 Apple iPhone 和 iPad 或 Android 设备的云端硬盘应用打印文件时,系统可能会将“打印”事件记录为“下载”事件。
下载
系统会记录大多数下载操作,包括使用桌面版 Google 云端硬盘在云端硬盘和本地设备之间复制文件的操作。
某些“查看”操作会记录为“下载”:
- 在移动设备上的云端硬盘应用中预览文件时,系统会将其记录为“下载”事件。
- 预览无法直接在 Google 文档或其他 Google 应用中打开的文件(例如 PDF)时,系统会将其记录为“下载”事件。
系统不会记录通过以下来源执行的下载操作:
- Google 导出下载(改为搜索导出日志事件)
- 下载到离线浏览器缓存
- 同步到、下载自 Google 相册或通过 Google 相册查看的照片
- 作为电子邮件附件发送并通过收件人的电子邮件客户端下载的云端硬盘内容
已同步项目内容
在以下情况下,系统会记录内容同步事件,并在 2024 年 7 月 1 日之后提供这些事件:
- 使用桌面版 Google 云端硬盘将文件从云端硬盘同步到本地设备。这些操作也会记录为下载事件。
- 文件会同步到设备以供离线访问,包括与在线版本持续同步。系统可能会将与云端硬盘移动应用(Android 版和 iOS 版)同步的项目内容事件记录为“下载”事件。
访问了项目内容
可通过使用 Google Workspace API(例如 Google Drive API 或 Google Sheets API)的应用代表用户访问文件。系统不会将这些操作记录为下载或查看事件,而是只会记录为访问了项目内容事件。只有在用户在网页版云端硬盘中打开的文件之外访问文件内容时,系统才会记录 Gemini 的“访问了项目内容”事件。
当用户在网页版云端硬盘、移动设备版云端硬盘或桌面版云端硬盘中查看或打开文件时,系统不会记录“访问了项目内容”事件。
查看
- 系统会将使用 /htmlview、/embed、/revisions 和其他特殊网址查看文件的操作记录为“查看事件”。
网址被访问过
当 Apps 脚本访问网址时(包括当脚本从 Apps 脚本信息中心运行、作为插件运行或作为表格中的自定义函数运行时),系统会记录“网址被访问过”事件。当用户点击文件中的链接时,系统不会记录“网址被访问过”事件。
报告的属性取决于脚本的运行方式和所有者:
- 脚本以自定义函数的形式运行时,文档 ID 和其他与文档相关的属性会反映调用该函数所在的工作表。
- 如果脚本未作为自定义函数运行,则不会报告与文档相关的属性。
- 如果 Apps 脚本归贵组织所有,系统会报告脚本 ID。
表格导入网址
如果调用表格导入函数(此类函数会访问网址),则系统会将其记录为“表格导入网址”事件。当工作表的内容因自动刷新而发生更改或当用户打开工作表时,系统会记录事件。
涉及外部网域的事件
部分事件涉及组织以外的用户、共享文件夹或共享云端硬盘,例如当贵组织中的用户与外部用户共享文件时。当某个操作导致内容所有权从一个组织转移到另一个组织,这两个组织都会记录该事件。
这两个组织记录的事件示例:
- 贵组织用户拥有的云端硬盘内容移到了外部共享云端硬盘。
- 贵组织之外的用户所拥有的云端硬盘内容移到了贵组织拥有的共享云端硬盘。
- 某个用户将一个文件复制到贵组织或从贵组织复制了一个文件。接收内容的组织会记录所复制的文件的名称,而不是原始文件名。
贵组织记录但外部网域不记录的事件示例:
- 贵组织用户将其拥有的云端硬盘内容与外部用户共享。
- 贵组织用户将其拥有的云端硬盘内容与允许外部用户加入的群组共享(即使该群组中没有外部用户)。
- 外部用户查看、修改、下载、打印或删除贵组织拥有的云端硬盘内容。
- 外部用户将文件上传至贵组织拥有的共享云端硬盘。
外部网域记录而贵组织不记录的事件情况与上文所述相反。
匿名用户和外部用户
对于匿名用户(未登录 Google 账号的用户),系统会记录修改次数,但不会记录查看次数和下载次数。
网域外部用户执行的操作会显示为匿名操作,除非内容明确与他们(作为个人或特定群组的一部分)共享。
管理员可以通过设置组织共享政策或信任规则政策来限制匿名访问和外部访问。
桌面版云端硬盘
使用桌面版 Google 云端硬盘功能在云端硬盘和本地设备之间复制文件时,系统会记录“下载”事件。
管理日志事件数据
管理搜索结果列数据
您可以控制在搜索结果中显示哪些数据列。
- 在搜索结果表格的右上角,点击“管理列”图标
。
- (可选)如要移除当前列,请点击“移除”图标
。
- (可选)如要添加列,请点击新增列旁边的向下箭头
,然后选择相应数据列。
根据需要重复上述步骤。 - (可选)如要更改列的顺序,请拖动数据列名称。
- 点击保存。
导出搜索结果数据
您可以将搜索结果导出为 Google 表格文件或 CSV 文件。
- 点击搜索结果表格顶部的全部导出。
- 输入名称
导出内容会显示在搜索结果表格的导出操作结果下方。 - 如要查看数据,请点击导出结果的名称。
导出结果会在 Google 表格中打开。
导出限制因情况而异:
- 导出结果总数上限为 100,000 行(Gmail 邮件搜索结果除外,其上限为 10,000 行)。
- 支持此功能的版本:一线员工标准版、企业标准版、企业 Plus 版、教育标准版、教育 Plus 版、企业基本功能 Plus 版、Cloud Identity 专业版。 比较您的版本
如果您拥有安全调查工具,则导出结果总数上限为 3 千万行(Gmail 邮件搜索结果除外,其上限为 10,000 万行)。
如需了解详情,请参阅导出搜索结果。
何时可以查看数据?数据会保留多久?
根据搜索结果采取行动
支持此功能的版本:一线员工标准版、企业标准版、企业 Plus 版、教育标准版、教育 Plus 版、企业基本功能 Plus 版、Cloud Identity 专业版。 比较您的版本
在安全调查工具中执行搜索后,您可以根据搜索结果执行操作。举例来说,您可以搜索 Gmail 日志事件,然后使用该工具删除特定邮件,或者将邮件发送至隔离区或用户的收件箱。如需了解详情,请参阅根据搜索结果执行操作。
管理调查
支持此功能的版本:一线员工标准版、企业标准版、企业 Plus 版、教育标准版、教育 Plus 版、企业基本功能 Plus 版、Cloud Identity 专业版。 比较您的版本
查看您的调查列表如要查看您拥有的以及他人与您共享的调查列表,请点击“查看调查”图标 。调查列表包含的信息有:名称、说明、调查所有者及上次修改日期。
在此列表中,您可以对所拥有的任意调查执行操作(例如删除调查)。只需选中相应调查的复选框,然后点击操作。
注意:在调查列表正上方的快速访问部分,您可以查看最近保存的调查。
作为超级用户,您可以点击“设置”图标 ,以便执行以下操作:
- 更改调查的时区,而搜索条件和结果会采用您设置的时区。
- 开启或关闭需要审核者。有关详情,请参阅需要审核者批准进行批量操作。
- 开启或关闭查看内容。开启后,拥有适当权限的管理员可以查看内容。
- 开启或关闭需要输入执行操作的原因。
有关说明和详细信息,请参阅为调查配置设置。
如要保存搜索条件或与他人共享搜索条件,您可以创建并保存调查,然后共享、复制或删除调查。
有关详情,请参阅保存、共享、删除和复制调查。