您可以使用 Activity API,以程式輔助方式存取基本報告資料。如果您的 Google Workspace 版本支援此 API,您便可使用新版 Reports API 存取進階的 Google Workspace 報告資料。
重要事項:
- 系統不會記錄雲端硬碟中的所有活動。如需記錄項目清單,請參閱本頁面的「會記錄和不會記錄的事件」。
- 如要進一步瞭解資料的收集作業所需時間及保留時間,請參閱資料保留和延遲時間。
- 使用者必須具備支援版本,系統才會針對使用者擁有的檔案來記錄雲端硬碟稽核事件。例外情況是「已存取網址」事件。如果「使用者」啟動會存取貴機構網址的 Apps Script 指令碼,而該使用者隸屬於貴機構且擁有支援版本,系統就會記錄這類事件。
Your access to log events
- Your ability to run a search depends on your Google edition, your administrative privileges, and the data source. You can run a search on all users, regardless of their Google Workspace edition.
- Your Workspace subscription provides access to the log events using either the Audit & investigation tool or the Security center.
- Premium Google Workspace editions (Enterprise Plus, Enterprise Standard, or Education Plus) provide access to the Security Center and the more advanced features of the security investigation tool. The investigation tool enables super admins to identify, triage, and take action on security and privacy issues. For details, see About the security investigation tool.
- All other Google Workspace editions can access the logs using the Audit and Investigation tool. For details, see About the audit and investigation page.
將記錄事件資料轉送至 Google Cloud
您可以選擇與 Google Cloud 共用記錄事件資料。如果您開啟共用設定,系統會將資料轉送至 Cloud Logging;您可以透過這項服務查詢和查看記錄,以及控管記錄的轉送和儲存方式。
針對記錄事件執行搜尋
Audit and investigation tool
To run a search for log events, first choose a data source. Then choose one or more filters for your search.
-
-
在管理控制台中,依序點選「選單」圖示
「報告」
「稽核與調查」
- 按一下「新增篩選器」,然後選取屬性。
- 在彈出式視窗中選取運算子 (選用) 如要為搜尋建立多項篩選器:
- 按一下「新增篩選器」,然後重複執行步驟 3。
- (選用) 如要新增搜尋運算子,請選取「新增篩選器」上方的「AND」或「OR」。
- (Optional) To create multiple filters for your search, repeat this step.
- (Optional) To add a search operator, above Add a filter, select AND or OR
- 按一下「搜尋」。
-
注意:您可以在「篩選器」分頁中加入簡單的參數和值組來篩選搜尋結果。您也可以使用「條件建構工具」分頁,讓篩選器以 AND/OR 運算子表示條件。
Security investigation tool
如要使用調查工具執行搜尋,請先選擇「資料來源」。然後選擇加入一或多個搜尋「條件」,再針對每個條件分別選擇「屬性」、「運算子」和「值」。
-
-
在管理控制台中,依序點選「選單」圖示
「安全性」
- Click Data source and select Admin log events.
- 按一下「新增條件」。
提示:您可以加入一或多個搜尋條件,或是使用「巢狀查詢」自訂搜尋方式。詳情請參閱「使用巢狀查詢自訂搜尋方式」。 - 按一下「屬性」
如需完整的屬性清單,請參閱下方的「屬性說明」一節。 - 按一下「包含」
- 輸入值,或從下拉式清單中選取值。
- (選用) 如要新增更多搜尋條件,請重複執行步驟 4 至 7。
- 按一下「搜尋」。
調查工具中的搜尋結果會顯示在頁面底部的表格中。 - (選用) 如要儲存調查,請按一下「儲存」圖示
注意:
- 在「條件建構工具」分頁中,篩選器會以 AND/OR 運算子表示條件。您也可以使用「篩選器」分頁加入簡單的參數和值組來篩選搜尋結果。
- 如果您為使用者設定新名稱,查詢結果中就不會包含與舊名稱相關的事件。舉例來說,如果您將 <舊名稱>@example.com 重新命名為 <新名稱>@example.com,就不會看見與 <舊名稱>@example.com 相關的事件結果。
屬性說明
針對這個資料來源,您可以在搜尋記錄事件資料時使用下列屬性:
注意:
- 下列清單的屬性並未涵蓋所有事件。
- 以下清單僅列舉部分內容,可能隨時變更。如要進一步瞭解雲端硬碟記錄事件,請參閱 Google Workspace Admin SDK 網站上的「雲端硬碟稽核活動事件」。
| 屬性 | 說明 |
|---|---|
| 執行者 | 執行動作的使用者電子郵件地址。如果使用者是網域外的使用者,系統會以匿名方式顯示使用者,除非他們的動作是檢視或編輯明確與其共用的文件 (以個別使用者身分或特定群組的成員身分)。 |
| 執行者群組名稱 |
執行者的群組名稱。 詳情請參閱「依 Google 群組篩選結果」。 如何將群組加入篩選群組許可清單:
|
| 執行者機構單位 | 執行者的機構單位 |
| API 方法 | 第三方應用程式執行「下載」和「已存取項目內容」動作,該動作所用的 API 方法。例如 drive.files.export。 |
| 應用程式 ID | 執行動作的第三方應用程式的 OAuth 用戶端 ID |
| 應用程式名稱 | 執行動作的應用程式 |
| 目標對象 | 如果稽核記錄用於變更瀏覽權限,顯示目標網域 |
| 可收費 | (僅限 Essentials 版本) 使用者動作是否為須付費的活動 |
| 日期 |
活動發生的日期和時間 (以您瀏覽器的預設時區為準)。 注意:大部分事件會在完成後立即列入記錄。在某些情況下,系統可能需要花點時間才能將上傳大量資料的事件列入記錄。 |
| 文件 ID |
活動相關雲端硬碟項目的專屬識別碼;可從檔案的網址連結取得。 注意:如果是「已存取網址」事件,系統只會回報特定動作的文件 ID 和其他檔案相關欄位 (例如文件類型和擁有者)。詳情請參閱本頁的「已存取網址」一節。 |
| Document type | 發生活動的檔案格式,例如 Google 文件、試算表、簡報、JPEG、PDF、PNG、MP4、Microsoft Word、Excel、PowerPoint、txt、HTML、MPEG 音訊、QuickTime 影片、資料夾或共用雲端硬碟檔案 |
| 網域* | 動作發生的網域 |
| 已加密* | 檔案是否經過用戶端加密 |
| 事件名稱 |
使用者啟動的事件,例如「查看」、「重新命名」、「建立」、「編輯」、「列印」、「刪除」、「上傳」及「下載」。 系統會即時記錄大部分動作。但如果是雲端硬碟檢視器中發生的「列印」事件,可能會延遲 12 小時以上才列入記錄。系統會記錄 Google 雲端硬碟自動刪除或從「垃圾桶」中移除的檔案。其他事件 (例如上傳檔案) 則會在完成時立即列入記錄。 |
| IP 位址* |
使用者執行動作時的來源位址。這項資料可能會反應使用者所在的實際位置,但也有可能是 Proxy 伺服器的位址或虛擬私人網路 (VPN) 位址。 系統不會為下列事件記錄 IP 位址:
|
| 新的發布內容瀏覽權限設定值 | 文件的新瀏覽權限 |
| 新值* | 已變更設定的新值 |
| 新值 ID* | 標籤欄位的新值 |
| 舊的發布內容瀏覽權限設定值 | 如果活動是瀏覽權限變更,則顯示文件先前的瀏覽權限 |
| 舊值* | 已變更設定的舊值 |
| 舊值 ID* | 標籤欄位的舊值 |
| 擁有者 |
擁有該檔案的使用者。 |
| 先前的顯示設定 | 如果是瀏覽權限變更,顯示文件先前的瀏覽權限 |
| 接收者* | 接收者的電子郵件地址 |
| 共用雲端硬碟 ID | 含有該檔案的共用雲端硬碟 ID。如果該檔案不在共用雲端硬碟中,系統就不會填入這個欄位。 |
| 目標 | 存取權有異動的使用者 |
| 標題 | 文件標題 |
| 瀏覽權限 | 活動相關雲端硬碟項目的顯示設定 |
| 瀏覽權限變更 | 相關雲端硬碟項目在活動前的顯示設定 |
| 協作者 | 「是」:進行活動的是非 Google 使用者。「否」:進行活動的是 Google 使用者。進一步瞭解與協作者共用文件。 |
注意:如果您為使用者設定新名稱,查詢結果中就不會包含與舊名稱相關的事件。舉例來說,如果您將 <舊名稱>@example.com 重新命名為 <新名稱>@example.com,就不會看見與 <舊名稱>@example.com 相關的事件結果。
查看與網域外部使用者共用的檔案
如何查看與網域外部使用者共用的檔案:
稽核與調查頁面
- 按照上方「開啟雲端硬碟記錄事件資料」一節的說明開啟記錄事件。
- 按一下「新增篩選器」
- 按一下「搜尋」。
在關閉外部共用設定的情況下,如果使用者與允許外部成員加入的群組共用資源,記錄中將標示為「對外共用」,即便群組中沒有任何外部使用者也是如此。不過,該群組中的外部使用者並不能存取共用資源。
安全調查工具
-
-
在管理控制台中,依序點選「選單」圖示
- 按一下「資料來源」
- 按一下「新增條件」。
- 按一下「屬性」
- 按一下「包含」
- 按一下「瀏覽權限」
- 按一下「搜尋」。
調查工具中的搜尋結果會顯示在頁面底部的表格中。
在關閉外部共用設定的情況下,如果使用者與允許外部成員加入的群組共用資源,記錄中將標示為「對外共用」。不過,該群組中的外部使用者並不能存取共用資源。另外,即使該群組中沒有任何外部成員,記錄中仍會顯示共用資源為「對外共用」。
會記錄和不會記錄的事件
刪除
系統會記錄 Google 雲端硬碟自動刪除或從「垃圾桶」中移除的檔案。
複製
複製檔案時,系統會記錄新檔案的「建立」 和「複製」事件,以及原始檔案的「來源副本」事件。
機構外部使用者將檔案複製到外部位置時,由於新檔案屬於外部檔案,因此貴機構不會記錄「建立」和「複製」事件。不過,您的記錄在原始檔案上會有「來源副本」事件,且「副本類型」為「外部」。如要監控資料從貴機構複製到外部的時間,您可以查看包含「外部」副本類型的「來源副本」事件。
列印
如果使用者列印的是以 Google 檔案格式 (文件、試算表、簡報、繪圖和表單) 開啟的檔案,系統不會記錄「列印」事件。
透過 Apple iPhone、iPad 或 Android 裝置上的雲端硬碟應用程式列印檔案時,系統可能會將「列印」事件記錄為「下載」事件。
下載
系統會記錄大部分的下載事件,包括使用 Google 雲端硬碟電腦版在雲端硬碟和本機裝置之間複製檔案。
系統會將部分「檢視」動作記錄為下載:
- 在行動裝置上使用「雲端硬碟」應用程式預覽檔案時,系統會將其記錄為「下載」事件。
- 預覽無法以 Google 文件或其他 Google 應用程式開啟的檔案 (例如 PDF),系統會記錄為「下載」事件。
系統不會記錄以下幾種下載事件:
- 「Google 匯出」的下載事件 (請改為搜尋「匯出記錄事件」)
- 將資料下載到瀏覽器的離線快取區
- 將相片同步到 Google 相簿,或透過 Google 相簿下載或檢視相片
- 以電子郵件附件傳送雲端硬碟項目,並透過收件者的電子郵件用戶端進行下載
已存取項目內容
若檔案是由採用 Google Workspace API (例如 Google Drive API 或 GoogleSheet API) 的應用程式代表使用者存取,這類動作不會記錄為「下載」或「查看」事件,只會記錄為「已存取項目內容」事件。
如果使用者透過雲端硬碟網頁版、雲端硬碟行動版,或雲端硬碟電腦版應用程式查看或開啟檔案,系統不會記錄「已存取項目內容」事件。
查看
- 系統會將透過 /htmlview、/embed、/revisions 和其他特殊網址查看檔案的動作記錄為「檢視」事件
已存取網址
當 Apps Script 指令碼存取網址,包括從 Apps Script 資訊主頁執行、以外掛程式方式執行,或透過試算表中的自訂函式執行,系統就會將此動作記錄為「已存取網址」事件。當使用者點選檔案中的連結時,系統不會記錄「已存取網址」事件。
系統回報的屬性取決於指令碼的執行方式和擁有者:
- 當指令碼以自訂函式的方式執行,文件 ID 和其他文件相關屬性會反映呼叫函式的工作表。
- 如果指令碼並非以自訂函式的方式執行,系統就不會回報文件相關屬性。
- 如果 Apps Script 指令碼為貴機構所有,系統會回報指令碼 ID。
試算表匯入網址
系統會將呼叫試算表匯入函式以存取網址的動作,記錄為「試算表匯入網址」事件。如果工作表內容因自動重新整理而變更,或使用者開啟工作表,系統就會記錄事件。
涉及外部網域的事件
有些事件會包含機構外的使用者、共用資料夾或共用雲端硬碟,例如貴機構中的使用者與外部使用者共用檔案時。當項目的擁有權從其中一個機構變更為另一個機構時,兩個機構都會記錄事件。
兩者都會記錄的事件範例:
- 貴機構中使用者擁有的雲端硬碟項目移至外部共用雲端硬碟。
- 機構外使用者擁有的雲端硬碟項目移至貴機構擁有的共用雲端硬碟中。
- 使用者將檔案複製到貴機構內或機構外。接收機構會記錄複製檔案的名稱,而非原始檔案名稱。
貴機構記錄但外部網域未記錄的事件範例:
- 貴機構中的使用者將檔案與外部使用者共用。
- 貴機構使用者擁有的雲端硬碟項目與允許外部使用者加入的群組共用,即使該群組中沒有外部使用者也一樣。
- 外部使用者檢視、編輯、下載、列印或刪除貴機構擁有的雲端硬碟項目。
- 外部使用者將檔案上傳到貴機構擁有的共用雲端硬碟。
由外部網域記錄但非由貴機構記錄的事件,則與上述情況相反。
匿名使用者和外部使用者
對於匿名使用者 (未登入 Google 帳戶的使用者),系統會記錄編輯動作,但不會記錄檢視和下載動作。
如果是網域外使用者執行的動作,系統會以匿名方式顯示,除非他們的動作是針對明確與他們共用 (以個別使用者身分或特定群組的成員身分) 的項目。
管理員可設定機構共用政策或信任規則政策,藉此限制匿名使用者和外部使用者的存取權。
雲端硬碟電腦版
使用 Google 雲端硬碟電腦版 在雲端硬碟和本機裝置之間複製檔案時,系統會記錄「下載」事件。
管理記錄事件資料
管理搜尋結果資料欄
您可以控制搜尋結果中要顯示哪些資料欄。
- 按一下搜尋結果表格右上方的「管理資料欄」圖示
。
- (選用) 如要移除目前的資料欄,請按一下「移除」圖示
。
- (選用) 如要新增資料欄,請按一下「新增資料欄」旁邊的向下箭頭
,然後選取資料欄。
視需要重複上述步驟。 - (選用) 如要變更資料欄的順序,請拖曳資料欄名稱。
- 按一下「儲存」。
匯出搜尋結果資料
- 按一下搜尋結果表格頂端的「全部匯出」。
- 輸入名稱
匯出結果會顯示在搜尋結果表格的「匯出動作執行結果」下方。 - 如要查看資料,請按一下匯出項目的名稱。
匯出項目隨即會在 Google 試算表中開啟。
建立報告規則
請參閱建立及管理報告規則。
資料要處理多久?保留時間有多長?
請參閱「資料保留和延遲時間」。
依據搜尋結果執行所需動作
根據搜尋結果執行動作
使用調查工具執行搜尋後,您可以對找到的搜尋結果採取行動。舉例來說,您可以根據 Gmail 記錄事件執行搜尋,然後透過調查工具刪除特定郵件、將郵件傳送至隔離區,或將郵件傳送至使用者的收件匣。如要進一步瞭解您可以在調查工具中執行的動作,請參閱「根據搜尋結果執行動作」。
建立活動規則及設定快訊
為了有效地預防、偵測及修正安全問題,您可以建立「活動規則」,讓調查工具依此自動執行作業及傳送快訊。設定規則時,您需要先設定觸發規則的條件,再指定符合條件時要執行的動作。如需詳細資訊和操作說明,請參閱「建立及管理活動規則」。
管理調查項目
查看您的調查清單如要查看調查清單,一覽您本身擁有及接受他人共用的調查項目,請按一下「查看調查」圖示 。這份清單會列出調查項目的名稱、說明、擁有者和上次修改日期。
您可以在這份清單中對自己擁有的調查項目執行動作 (例如刪除調查項目),方法是勾選調查項目旁邊的方塊,然後按一下「動作」。
注意:在調查清單正上方的「快速存取」底下,您可以查看近期儲存的調查項目。
超級管理員可以點選「設定」圖示 並執行下列操作:
- 變更調查項目的時區。搜尋條件和結果會套用這項時區設定。
- 開啟或關閉「需要審查者」。詳情請參閱「要求為大量動作指派審查者」。
- 開啟或關閉「查看內容」。這項設定可讓具備適當權限的管理員查看內容。
- 開啟或關閉「請啟用動作執行原因」設定。
如需操作說明和詳細資訊,請參閱「配置調查設定」。
您可以控制搜尋結果中要顯示哪些資料欄。
- 按一下搜尋結果表格右上方的「管理資料欄」圖示
- (選用) 如要移除目前的資料欄,請按一下「移除項目」圖示
- (選用) 如要新增資料欄,請按一下「新增資料欄」旁邊的向下箭頭
視需要重複上述步驟。 - (選用) 如要變更資料欄的順序,請拖曳資料欄名稱。
- 按一下「儲存」。
- 按一下搜尋結果表格頂端的「全部匯出」。
- 輸入名稱
匯出結果會顯示在搜尋結果表格的「匯出動作執行結果」下方。 - 如要查看資料,請按一下匯出項目的名稱。
匯出項目隨即會在 Google 試算表中開啟。
查看匯出的搜尋結果時,請注意以下幾點:
- 點選表格頂端的「全部匯出」按鈕後,「我的雲端硬碟」資料夾中就會建立含有搜尋結果的 Google 試算表。視搜尋結果的資料量而定,匯出程序可能需要一些時間,也可能建立多個 Google 試算表。匯出結果上限為 3,000 萬列 (如果是 Gmail 郵件搜尋結果,則為 125 萬列)。
- 資料匯出的過程中,系統會以暫時的名稱建立 Google 試算表,例如:TMP-1<名稱>。如果建立多個 Google 試算表,系統則會將其他檔案命名為 TMP-2<名稱>、TMP-3<名稱>,以此類推。匯出完畢後,檔案名稱會自動改為 <名稱> [N 之 1]、<名稱> [N 之 2],以此類推。如果只有一個 Google 試算表含有匯出的資料,該檔案的名稱會改為 <名稱>。
- 針對含有匯出搜尋結果的檔案,其共用權限取決於您所屬網域的設定。舉例來說,假如根據預設,建立的檔案會與公司內部的所有人共用,則匯出的資料也會採用這項瀏覽權限設定。
如要儲存搜尋條件或與他人共用,您可以選擇建立並儲存調查項目,接著即可共用、複製或刪除這個調查項目。
如需詳細資訊,請參閱「儲存、共用、刪除及複製調查項目」。
如要進一步瞭解資料來源,請參閱「資料保留和延遲時間」。
管理調查項目
Requires a Google Workspace 進階版本 (Enterprise Standard、Enterprise Plus 或 Education Plus)
View your list of investigationsTo view a list of the investigations that you own and that were shared with you, click View investigations. The investigation list includes the names, descriptions, and owners of the investigations, and the date last modified.
From this list, you can take action on any investigations that you own—for example, to delete an investigation. Check the box for an investigation, and then click Actions.
Note: Directly above your list of investigations, under Quick access, you can view recently saved investigations.
As a super administrator, click Settings to :
- Change the time zone for your investigations. The time zone applies to search conditions and results.
- Turn on or off Require reviewer. For more details, go to Require reviewers for bulk actions.
- Turn on or off View content. This setting allows admins with the appropriate privileges to view content.
- Turn on or off Enable action justification.
For instructions and details, go to Configure settings for your investigations.
To save your search criteria or share it with others, you can create and save an investigation, and then share, duplicate, or delete it.
For details, go to Save, share, delete, and duplicate investigations.
