您可以使用 Activity API 以编程方式访问基本报告数据。如果您的 Google Workspace 版本支持,则可以使用新版 Reports API 查看高级 Google Workspace 报告数据。
重要提示:
- 系统不会记录云端硬盘中的所有活动。如需查看日志包含的内容列表,请参阅本页面中的已记录和未记录的事件。
- 如要详细了解数据在何时可供查看以及可保留多长时间,请参阅数据保留时间和延迟时间。
- 只有文件所有者使用的是受支持的版本时,系统才会记录大多数云端硬盘审核事件。例外情况是“网址被访问过”事件,如果启动访问网址的 Apps 脚本的用户属于贵组织且使用受支持的版本,则系统会记录此类事件。
Your access to log events
- Your ability to run a search depends on your Google edition, your administrative privileges, and the data source. You can run a search on all users, regardless of their Google Workspace edition.
- Your Workspace subscription provides access to the log events using either the Audit & investigation tool or the Security center.
- Premium Google Workspace editions (Enterprise Plus, Enterprise Standard, or Education Plus) provide access to the Security Center and the more advanced features of the security investigation tool. The investigation tool enables super admins to identify, triage, and take action on security and privacy issues. For details, see About the security investigation tool.
- All other Google Workspace editions can access the logs using the Audit and Investigation tool. For details, see About the audit and investigation page.
将日志事件数据转发到 Google Cloud
您可以选择与 Google Cloud 共享日志事件数据。如果您开启共享功能,数据会转发至 Cloud Logging,您可以在此查询和查看您的日志,并控制转送和存储日志的方式。
搜索日志事件
Audit and investigation tool
To run a search for log events, first choose a data source. Then choose one or more filters for your search.
-
-
在管理控制台中,依次点击“菜单”图标
报告
审核和调查
- 点击添加过滤条件,然后选择一个属性。
- 在弹出式窗口中,选择运算符 (可选)要创建多个搜索过滤条件,请执行以下操作:
- 点击添加过滤条件,然后重复第 3 步。
- (可选)要添加搜索运算符,请在添加过滤条件上方选择 AND 或 OR。
- (Optional) To create multiple filters for your search, repeat this step.
- (Optional) To add a search operator, above Add a filter, select AND or OR
- 点击搜索。
-
注意:您可以使用过滤条件标签页添加简单参数和值对来过滤搜索结果。您也可以使用条件构建器标签页,在该标签页中,过滤条件以 AND/OR 运算符连接的条件表示。
Security investigation tool
要在调查工具中执行搜索,请先选择数据源,然后选择一个或多个搜索条件。请为每个条件分别选择属性、运算符和值。
-
-
在管理控制台中,依次点击“菜单”图标
安全性
- Click Data source and select Admin log events.
- 点击添加条件。
提示:您可以添加一种或多种搜索条件,或使用嵌套查询自定义搜索。如需了解详情,请参阅使用嵌套查询自定义搜索。 - 点击属性
如需查看完整的属性列表,请参阅下文中的属性说明部分。 - 点击包含
- 输入值或从下拉列表中选择一个值。
- (可选)如需添加更多搜索条件,请重复第 4 至 7 步。
- 点击搜索。
调查工具中的搜索结果会显示在页面底部的一个表格中。 - (可选)如需保存调查,请点击保存图标
注意:
- 在条件构建器标签页中,过滤条件会以带有“AND”/“OR”运算符的条件呈现。您还可以使用过滤器标签页来添加简单的参数和值对,以便过滤搜索结果。
- 如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com 相关的事件。
属性说明
对于此数据源,您可以在搜索日志事件数据时使用以下属性:
注意:
- 并非所有事件都会报告以下列表中的所有属性。
- 以下列表并非详尽无遗,可能会发生变化。要详细了解云端硬盘日志事件,请参阅 Google Workspace Admin SDK 网站上的云端硬盘审核活动事件。
| 属性 | 说明 |
|---|---|
| 执行者 | 执行操作的用户的电子邮件地址。系统会以匿名方式显示网域外部的用户,除非他们以个人或特定群组成员的身份查看或修改明确与之共享的文档 |
| 执行者群组名称 |
执行者的群组名称。 有关详情,请参阅按 Google 网上论坛群组过滤结果。 如要将群组添加到过滤群组许可名单,请按以下步骤操作:
|
| 执行者组织部门 | 执行者的组织部门 |
| API 方法 | 对于通过第三方应用执行的下载和访问了项目内容操作,该操作所使用的 API 方法。例如 drive.files.export。 |
| 应用 ID | 执行操作的第三方应用的 OAuth 客户端 ID |
| 应用名称 | 执行相应操作的应用 |
| 受众群体 | 目标网域(如果审核日志用于更改公开范围) |
| 可结算 | (仅限基本功能版)用户操作是否为付费活动 |
| 日期 |
事件发生的日期和时间(以您浏览器的默认时区显示) 注意:大多数事件都会在完成后被记入日志。有时,大型上传操作可能需要一段时间才能记入日志。 |
| 文档 ID |
与活动相关的云端硬盘内容的唯一标识符(可在相应文件的网址链接中找到)。 注意:对于已访问网址事件,系统只会针对某些操作报告文档 ID 和其他文件相关字段(例如文档类型和所有者)。如需了解详情,请参阅本页上的网址被访问过。 |
| 文档类型 | 活动涉及的文件格式,例如 Google 文档、表格、幻灯片、JPEG、PDF、PNG、MP4、Microsoft Word、Excel、PowerPoint、txt、HTML、MPEG 音频、QuickTime 视频、文件夹或共享云端硬盘 |
| 网域* | 发生操作的网域 |
| 已加密* | 文件是否经过客户端加密 |
| 事件名称 |
用户发起的事件,例如查看、重命名、创建、编辑、打印、删除、上传和下载。 大多数操作在用户执行后会立即被记入日志。不过,云端硬盘查看器中发生的打印事件可能会延迟 12 小时或更久才会被记录。系统会记录 Google 云端硬盘自动删除或从回收站清空的文件。其他事件(例如上传文件)一经执行就会立即被记录。 |
| IP 地址* |
用户执行操作时使用的 IP 地址。这可能会反映用户的实际位置,但也可能是代理服务器或虚拟专用网 (VPN) 地址。 系统不会记录下列事件的 IP 地址:
|
| 发布内容公开范围的新值 | 文档的新公开范围 |
| 新值* | 更改的设置的新值 |
| 新值 ID* | 标签字段的新值 |
| 发布内容公开范围的旧值 | 如果活动是更改公开范围,则为文档的原始公开范围 |
| 旧值* | 更改的设置的旧值 |
| 旧值 ID* | 标签字段的旧值 |
| 所有者 |
文件所有者。 |
| 之前的公开范围 | 在可见性更改的情况下文档的先前可见性 |
| 收件人* | 收件人的电子邮件地址 |
| 共享云端硬盘 ID | 包含相应文件的共享云端硬盘的 ID。如果相应文件不在共享云端硬盘中,则系统不会填充此字段。 |
| 靶子 | 访问权限被更改的用户 |
| 名称 | 文档的标题 |
| 公开范围 | 与活动相关的云端硬盘内容的公开范围 |
| 公开范围变更 | 云端硬盘内容在活动发生之前的公开范围 |
| 访问者 | “是”表示活动执行者是非 Google 用户。“否”表示活动执行者是 Google 用户。建议详细了解如何与访问者共享文档。 |
注意:如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com相关的事件。
查看与网域外部人员共享的文件
要查看与网域外部人员共享的文件,请执行以下操作:
“审核和调查”页面
- 按照上文打开云端硬盘日志事件数据中的说明打开日志事件。
- 点击添加过滤条件
- 点击搜索。
如果您停用对外共享功能,而用户与允许外部人员加入的群组共享资源,那么即使该群组中没有外部用户,系统仍会在日志中将相关数据标记为对外共享。不过,该群组中的外部用户无法访问共享的资源。
安全调查工具
-
-
在管理控制台中,依次点击“菜单”图标
- 点击数据源
- 点击添加条件。
- 点击属性
- 点击包含
- 点击公开范围
- 点击搜索。
调查工具中的搜索结果会显示在页面底部的一个表格中。
如果您停用对外共享功能,而用户与允许外部人员加入的群组共享资源,系统会在日志中将相关数据标记为对外共享。不过该群组中的所有外部用户均无法访问共享的资源。此外,即使群组中没有外部用户,您也会看到此标记。
已记录和未记录的事件
删除
系统会记录 Google 云端硬盘自动删除或从回收站清空的文件。
复制
复制文件时,系统会记录新文件的“创建”和“复制”事件,并记录原始文件的“来源复制”事件。
当贵组织以外的用户将文件复制到外部位置时,贵组织不会记录“创建”和“复制”事件,因为新文件是外部文件。然而,您的日志在原始文件上有“来源复制”事件,“复制类型”为“外部”。如需监控数据复制到贵组织外部的时间,您可以查看具有“外部”复制类型的“来源复制”事件。
打印
当用户打印以 Google 文件格式(文档、表格、幻灯片、绘图和表单)打开的文件时,系统不会记录“打印”事件。
通过 Apple iPhone 和 iPad 或 Android 设备的云端硬盘应用打印文件时,系统可能会将“打印”事件记录为“下载”事件。
下载
系统会记录大多数下载操作,包括使用桌面版 Google 云端硬盘在云端硬盘和本地设备之间复制文件的操作。
某些“查看”操作会记录为“下载”:
- 在移动设备上的云端硬盘应用中预览文件时,系统会将其记录为“下载”事件。
- 预览无法直接在 Google 文档或其他 Google 应用中打开的文件(例如 PDF)时,系统会将其记录为“下载”事件。
系统不会记录通过以下来源执行的下载操作:
- Google 导出下载(改为搜索导出日志事件)
- 下载到离线浏览器缓存
- 同步到、下载自 Google 相册或通过 Google 相册查看的照片
- 作为电子邮件附件发送并通过收件人的电子邮件客户端下载的云端硬盘内容
访问了项目内容
可通过使用 Google Workspace API(例如 Google Drive API 或 Google Sheets API)的应用代表用户访问文件。系统不会将这些操作记录为下载或查看事件,而是只会记录为访问了项目内容事件。
当用户在网页版云端硬盘、移动设备版云端硬盘或桌面版云端硬盘中查看或打开文件时,系统不会记录“访问了项目内容”事件。
查看
- 系统会将使用 /htmlview、/embed、/revisions 和其他特殊网址查看文件的操作记录为“查看事件”。
网址被访问过
当 Apps 脚本访问网址时(包括当脚本从 Apps 脚本信息中心运行、作为插件运行或作为表格中的自定义函数运行时),系统会记录“网址被访问过”事件。当用户点击文件中的链接时,系统不会记录“网址被访问过”事件。
报告的属性取决于脚本的运行方式和所有者:
- 当脚本作为自定义函数运行时,文档 ID 和其他文档相关属性会反映调用该函数的工作表。
- 如果脚本未作为自定义函数运行,则不会报告与文档相关的属性。
- 如果 Apps 脚本归贵组织所有,系统会报告脚本 ID。
表格导入网址
如果调用表格导入函数(此类函数会访问网址),则系统会将其记录为“表格导入网址”事件。当工作表中的内容因自动刷新而发生更改或用户打开工作表时,系统会记录一次事件。
涉及外部网域的事件
部分事件涉及组织以外的用户、共享文件夹或共享云端硬盘,例如当贵组织中的用户与外部用户共享文件时。当某个操作导致内容所有权从一个组织转移到另一个组织,这两个组织都会记录该事件。
这两个组织记录的事件示例:
- 贵组织用户拥有的云端硬盘内容移到了外部共享云端硬盘。
- 贵组织之外的用户所拥有的云端硬盘内容移到了贵组织拥有的共享云端硬盘。
- 某个用户将一个文件复制到贵组织或从贵组织复制了一个文件。接收内容的组织会记录所复制的文件的名称,而不是原始文件名。
贵组织记录但外部网域不记录的事件示例:
- 贵组织用户将其拥有的云端硬盘内容与外部用户共享。
- 贵组织用户将其拥有的云端硬盘内容与允许外部用户加入的群组共享(即使该群组中没有外部用户)。
- 外部用户查看、修改、下载、打印或删除贵组织拥有的云端硬盘内容。
- 外部用户将文件上传至贵组织拥有的共享云端硬盘。
外部网域记录而贵组织不记录的事件情况与上文所述相反。
匿名用户和外部用户
对于匿名用户(未登录 Google 账号的用户),系统会记录修改次数,但不会记录查看次数和下载次数。
网域外部用户执行的操作会显示为匿名操作,除非内容明确与他们(作为个人或特定群组的一部分)共享。
管理员可以通过设置组织共享政策或信任规则政策来限制匿名和外部访问。
桌面版云端硬盘
使用桌面版 Google 云端硬盘功能在云端硬盘和本地设备之间复制文件时,系统会记录“下载”事件。
管理日志事件数据
管理搜索结果列数据
您可以控制在搜索结果中显示哪些数据列。
- 在搜索结果表格的右上角,点击“管理列”图标
。
- (可选)如要移除当前列,请点击“移除”图标
。
- (可选)如要添加列,请点击新增列旁边的向下箭头
,然后选择相应数据列。
根据需要重复上述步骤。 - (可选)如要更改列的顺序,请拖动数据列名称。
- 点击保存。
导出搜索结果数据
- 点击搜索结果表格顶部的全部导出。
- 输入名称
导出内容会显示在搜索结果表格的导出操作结果下方。 - 如要查看数据,请点击导出结果的名称。
导出结果会在 Google 表格中打开。
创建报告规则
请参阅创建和管理报告规则。
何时可以查看数据?数据会保留多久?
请参阅数据保留时间和延迟时间。
根据搜索结果执行操作
根据搜索结果执行操作
在调查工具中执行搜索后,您可以根据搜索结果执行操作。举例来说,您可以搜索 Gmail 日志事件,然后使用调查工具删除特定邮件,或者将邮件发送至隔离区或用户的收件箱。要详细了解可在调查工具中执行的操作,请参阅根据搜索结果执行操作。
创建活动规则和设置提醒
为了有效防范、检测和解决安全问题,您可以创建活动规则,让调查工具自动执行操作和设置提醒。设置规则时,请先设置规则的条件,然后指定在条件满足时要执行的操作。有关详情和说明,请参阅创建和管理活动规则。
管理调查
查看您的调查列表如要查看您拥有的以及他人与您共享的调查列表,请点击“查看调查”图标 。调查列表包含的信息有:名称、说明、调查所有者及上次修改日期。
在此列表中,您可以对所拥有的任意调查执行操作(例如删除调查)。只需选中相应调查的复选框,然后点击操作。
注意:在调查列表正上方的快速访问部分,您可以查看最近保存的调查。
作为超级用户,您可以点击“设置”图标 ,以便执行以下操作:
- 更改调查的时区,而搜索条件和结果会采用您设置的时区。
- 开启或关闭需要审核者。有关详情,请参阅需要审核者批准进行批量操作。
- 开启或关闭查看内容。开启后,拥有适当权限的管理员可以查看内容。
- 开启或关闭需要输入执行操作的原因。
有关说明和详细信息,请参阅为调查配置设置。
您可以控制在搜索结果中显示哪些数据列。
- 在搜索结果表格的右上角,点击“管理列”图标
- (可选)如要移除当前列,请点击“移除内容”图标
- (可选)如要添加列,请点击“新增列”旁边的向下箭头
根据需要重复上述步骤。 - (可选)如要更改列的顺序,请拖动列名称。
- 点击保存。
- 点击搜索结果表格顶部的全部导出。
- 输入名称
导出内容会显示在搜索结果表格的导出操作结果下方。 - 如要查看数据,请点击导出结果的名称。
导出结果会在 Google 表格中打开。
查看导出的搜索结果时,请注意以下事项:
- 您点击表格顶部的全部导出按钮后,系统会在您的“我的云端硬盘”文件夹中创建一个包含相应搜索结果的 Google 表格。导出过程可能需要一段时间,而系统也可能会创建多个 Google 表格,具体取决于导出结果的大小。导出结果总数上限为 3 千万行(但 Gmail 邮件搜索结果除外,其上限为 125 万行)。
- 在导出过程中,系统会以临时名称(例如 TMP-1-<标题>)来创建 Google 表格。如果创建了多个 Google 表格,则会将其他文件命名为 TMP-2-<标题>、TMP-3-<标题>,以此类推。导出完毕后,文件会自动重命名为 <标题> [1/N]、<标题> [2/N],以此类推。如果导出数据只有一个 Google 表格,则文件将重命名为 <标题>。
- 对于包含导出的搜索结果的文件,其共享权限与您的网域配置为准。举例来说,如果创建的文件在默认情况下会与公司中的所有人共享,那么导出的数据也会与公司中的所有人共享。
如要保存搜索条件或与他人共享搜索条件,您可以创建并保存调查,然后共享、复制或删除调查。
有关详情,请参阅保存、共享、删除和复制调查。
要详细了解数据源,请参阅数据保留时间和延迟时间。
管理调查
Requires a 高级 Google Workspace 版本(企业标准版、企业 Plus 版或教育 Plus 版)
View your list of investigationsTo view a list of the investigations that you own and that were shared with you, click View investigations. The investigation list includes the names, descriptions, and owners of the investigations, and the date last modified.
From this list, you can take action on any investigations that you own—for example, to delete an investigation. Check the box for an investigation, and then click Actions.
Note: Directly above your list of investigations, under Quick access, you can view recently saved investigations.
As a super administrator, click Settings to :
- Change the time zone for your investigations. The time zone applies to search conditions and results.
- Turn on or off Require reviewer. For more details, go to Require reviewers for bulk actions.
- Turn on or off View content. This setting allows admins with the appropriate privileges to view content.
- Turn on or off Enable action justification.
For instructions and details, go to Configure settings for your investigations.
To save your search criteria or share it with others, you can create and save an investigation, and then share, duplicate, or delete it.
For details, go to Save, share, delete, and duplicate investigations.
