أحداث سجلّ المستخدِم

مراجعة نشاط تسجيل دخول المستخدمين

استنادًا إلى إصدار Google Workspace، قد تتمكن من الوصول إلى "أداة التحقيق الأمني" والتي تتضمّن ميزات متقدّمة أكثر. على سبيل المثال، يمكن للمشرفين المتميّزين تحديد مشاكل الأمان والخصوصية وتصنيفها واتخاذ إجراءات بشأنها. مزيد من المعلومات

بصفتك مشرفًا في مؤسستك، يمكنك إجراء عمليات بحث واتّخاذ إجراءات بشأن أحداث سجلّ المستخدم. على سبيل المثال، يمكنك الاطّلاع على الإجراءات المهمة التي يتخذها المستخدمون في حساباتهم. وتتضمّن هذه الإجراءات التغييرات في كلمات المرور وتفاصيل استرداد الحساب (أرقام الهواتف وعناوين البريد الإلكتروني) والتسجيل في ميزة "التحقُّق بخطوتين". إنّ تسجيل الدخول من برنامج بريد إلكتروني أو تطبيق لا يستند إلى متصفّح لا يتم تسجيله في هذا التقرير، ما لم يكن ذلك تسجيل دخول آليًّا من جلسة مريبة.
يتم تجميع بيانات أحداث السجلّ حسب الجلسة. ويعني ذلك أنّه قد يتم دمج محاولات متعدّدة لتنفيذ الإجراء نفسه خلال فترة زمنية قصيرة، ما يؤدي إلى ظهورها كإدخال في سجلّ واحد. على سبيل المثال، إذا أدخل المستخدم كلمة مرور غير صحيحة 5 مرات ثم أدخل كلمة المرور الصحيحة، قد تعرض السجلات إدخالَين فقط: إدخالاً واحدًا لجميع المحاولات غير الناجحة وآخر للمحاولة الناجحة.

ملاحظة: إذا لم تكن هناك بيانات لأحداث سجلّ المستخدم خلال آخر 6 أشهر، قد لا يتم عرض أحداث سجلّ المستخدم في قائمة التنقُّل اليمنى.

إعادة توجيه بيانات أحداث السجلّ إلى Google Cloud

يمكنك الموافقة على مشاركة بيانات أحداث السجل مع Google Cloud. في حال تفعيل المشاركة، سيتم إعادة توجيه البيانات إلى Cloud Logging، حيث يمكنك طلب السجلات والاطلاع عليها بالإضافة إلى التحكم في كيفية توجيهها وتخزينها.

البحث عن أحداث السجلّ

تعتمد إمكانية إجراء عملية بحث على إصدار Google والامتيازات الإدارية ومصادر البيانات التي تمتلكها. يمكنك إجراء بحث على جميع المستخدمين، بغض النظر عن إصدار Google Workspace الذي يستخدمونه.

أداة التدقيق والتحقيق

للبحث عن أحداث السجلّ، اختَر أولاً مصدر بيانات. بعد ذلك، يمكنك اختيار فلتر أو أكثر لبحثك.

  1. يُرجى تسجيل الدخول باستخدام حساب مشرف إلى وحدة تحكّم المشرف في Google.

    إذا لم تكن تستخدم حساب مشرف، لن تتمكّن من الوصول إلى "وحدة تحكّم المشرف".

  2. انقر على رمز القائمة ثم إعداد التقارير > التدقيق والتحقيق > أحداث سجلّ المستخدم.

    يتطلب امتلاك امتياز المشرف التدقيق والتحقيق.

  3. لفلترة الأحداث التي حدثت قبل تاريخ معيّن أو بعده، يمكنك اختيار قبل أو بعد في حقل التاريخ. تظهر تلقائيًا أحداث آخر 7 أيام. يمكنك اختيار نطاق زمني مختلف أو النقر على لإزالة فلتر التاريخ.

  4. انقر على إضافة فلتر، ثم اختَر سمة.
  5. في النافذة المنبثقة، اختَر عامل تشغيلثماختَر قيمةثمانقر على تطبيق.
    • (اختياري) كرِّر هذه الخطوة لإنشاء فلاتر متعددة لبحثك.
    • (اختياري) لإضافة عامل تشغيل بحث، فوق إضافة فلتر، اختَر AND أو OR.
  6. انقر على بحث.

    ملاحظة:باستخدام علامة تبويب الفلترة، يمكنك تضمين أزواج قيم ومعلمات بسيطة لفلترة نتائج البحث. يمكنك أيضًا استخدام علامة التبويب أداة إنشاء الشروط، حيث يتم تمثيل الفلاتر كشروط مع عوامل التشغيل AND/OR.

أداة التحقيق الأمني
الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وFrontline Plus؛ Enterprise Standard وEnterprise Plus؛ Education Standard وEducation Plus؛ Enterprise Essentials Plus؛ النسخة المدفوعة من Cloud Identity. مقارنة إصدارك

لإجراء عملية بحث في "أداة التحقيق الأمني"، اختَر أولاً مصدر بيانات. بعد ذلك اختر شرطًا واحدًا أو أكثر لبحثك. بالنسبة إلى كل شرط، اختَر سمة وعامل تشغيل وقيمة

  1. يُرجى تسجيل الدخول باستخدام حساب مشرف إلى وحدة تحكّم المشرف في Google.

    إذا لم تكن تستخدم حساب مشرف، لن تتمكّن من الوصول إلى "وحدة تحكّم المشرف".

  2. انتقِل إلى رمز القائمة ثم الأمان > مركز الأمان > أداة التحقيق.

    يتطلب ذلك الحصول على امتياز مشرف مركز الأمان.

  3. انقر على مصدر البيانات واختَر أحداث سجلّ المستخدم.

  4. لفلترة الأحداث التي حدثت قبل تاريخ معيّن أو بعده، يمكنك اختيار قبل أو بعد في حقل التاريخ. تظهر تلقائيًا أحداث آخر 7 أيام. يمكنك اختيار نطاق زمني مختلف أو النقر على لإزالة فلتر التاريخ.

  5. انقر على إضافة شرط.
    ملاحظة: يمكنك تضمين شرط واحد أو أكثر في بحثك أو تخصيص بحثك باستخدام طلبات البحث المتداخلة. لمعرفة التفاصيل، انتقِل إلى تخصيص البحث باستخدام طلبات البحث المتداخلة.
  6. انقر على السمةثمحدِّد خيارًا.
    للحصول على قائمة كاملة بالسمات، انتقِل إلى قسم أوصاف السمات أدناه.
  7. اختَر عامل تشغيل.
  8. أدخِل قيمة أو اختر قيمة من القائمة المنسدلة.
  9. (اختياري) لإضافة المزيد من شروط البحث، كرِّر الخطوات من 4 إلى 7.
  10. انقر على بحث.
    تُعرض نتائج البحث في أداة التحقيق في جدول أسفل الصفحة.
  11. (اختياري) لحفظ التحقيق، انقر على رمز الحفظثمأدخِل عنوانًا ووصفًاثمانقر على حفظ.

ملاحظات

  • في علامة تبويب أداة إنشاء الشروط، يتم تمثيل الفلاتر كشروط مع عوامل التشغيل AND/OR. ويمكنك أيضًا استخدام علامة التبويب فلترة لتضمين أزواج قيم ومعلمات بسيطة لفلترة نتائج البحث.
  • إذا منحت مستخدم اسمًا جديدًا، لن تظهر لك نتائج طلبات البحث باسم المستخدم القديم. مثال، في حال إعادة تسمية OldName@example.com إلى NewName@example.com، لن تظهر لك نتائج أحداث OldName@example.com.
  • يمكنك البحث عن البيانات في الرسائل التي لم يتم حذفها بعد من "المهملات".

أوصاف السمات

بالنسبة إلى مصدر البيانات هذا، يمكنك استخدام السمات التالية عند البحث عن بيانات أحداث السجلات:

السمة الوصف
اسم مجموعة المُنفِّذ

اسم مجموعة المُنفِّذ لمزيد من المعلومات، يُرجى الانتقال إلى مقالة فلترة النتائج حسب "مجموعة Google".

لإضافة مجموعة إلى القائمة المسموح بها لمجموعات الفلترة:

  1. اختَر اسم مجموعة المُنفِّذ.
  2. انقر على مجموعات الفلترة.
    ستظهر صفحة "مجموعات الفلترة".
  3. انقر على إضافة مجموعات.
  4. ابحث عن مجموعة من خلال إدخال الأحرف الأولى من اسم المجموعة أو عنوان بريدها الإلكتروني. وعند ظهور المجموعة التي تريدها، اخترها.
  5. (اختياري) لإضافة مجموعة أخرى، ابحث عن المجموعة واخترها.
  6. عند الانتهاء من اختيار المجموعات، انقر على إضافة.
  7. (اختياري) لإزالة مجموعة، انقر على "إزالة المجموعة" .
  8. انقر على حفظ.
الوحدة التنظيمية للمنفِّذ الوحدة التنظيمية التابعة للمُنفِّذ
مستخدم متأثِّر عنوان البريد الإلكتروني للمستخدم المتأثر
نوع التحدّي*

نوع التحدّي المستخدَم لإثبات هوية المستخدم، مثل كلمة المرور أو مفتاح الأمان

ملاحظة: قد تؤدّي أنواع التحدّيات المُضافة حديثًا، مثل مفتاح المرور ، إلى حدوث حالات تضارب مع نوع التحدّي الحالي المُسمى غير ذلك  في سجلات التدقيق التي تم إنشاؤها قبل 30 سبتمبر 2024.
التاريخ تاريخ الحدث ووقته (يُعرضَان بتوقيت المنطقة الزمنية التلقائية للمُتصفِّح)
النطاق* النطاق الذي حدث فيه الإجراء
عنوان إعادة توجيه الرسائل الإلكترونية عنوان البريد الإلكتروني الذي ستتم إعادة توجيه رسائل Gmail إليه

الحدث

إجراء الحدث المُسجَّل، مثل التسجيل في ميزة التحقّق بخطوتين أو تسجيل الدخول المريب

ملاحظة: بالنسبة إلى حدث تسجيل الخروج، حتى إذا سجَّل المستخدم الدخول باستخدام أنواع تسجيل دخول غير كلمة مرور Google، (مثل Exchange أو Reauth أو SAML أو غير معروف)، سيتم عرض كلمة مرور Google كنوع تسجيل الدخول لأحداث تسجيل الخروج.

حالة الحدث (إصدار تجريبي)

تمثّل هذه السمة حالة الحدث. على سبيل المثال، نجح أو تعذّر. انقر على الحالة للحصول على معلومات إضافية، مثل رمز الخطأ.
عنوان IP عنوان IP الذي استخدمه المستخدم لتسجيل الدخول. عادة ما يكون العنوان هو موقع المستخدم الفعلي لكن يمكن أن يكون عنوان خادم الوكيل أو الشبكة الافتراضية الخاصة (VPN).
العامل الثاني* صحيح إذا سجَّل المستخدم الدخول باستخدام المصادقة الثنائية 
خطأ إذا لم يسجِّل المستخدم الدخول باستخدام المصادقة الثنائية
مُريب* صحيح إذا كانت محاولة تسجيل الدخول مريبة وناجحة، وخطأ في الحالات الأخرى. ينطبق ذلك فقط على أحداث login_success وأحداث الإجراءات الحسّاسة المسموح بها وأحداث الإجراءات الحسّاسة المحظورة.
وقت تسجيل الدخول إذا تم حظر حدث تسجيل دخول "مريب"، يعرض هذا الحقل التاريخ والوقت اللذَين حاول المستخدم فيهما تسجيل الدخول.
نوع تسجيل الدخول

طريقة المصادقة التي استخدمها المستخدم:

  • تبادل: عندما تتم مصادقة المستخدم من خلال تبادل رمز مميَّز، مثلاً من خلال تسجيل الدخول إلى OAuth. قد يشير ذلك أيضًا إلى أن المستخدم قد سبق له تسجيل الدخول إلى جلسة عندما سجّل دخوله إلى جلسة أخرى، وتم دمج الجلستين.
  • كلمة مرور Google: تم استخدام كلمة مرور Google. ويشمل ذلك عمليات تسجيل الدخول إلى التطبيقات الأقل أمانًا (في حال السماح بذلك)
  • OIDC: المصادقة عبر اتصال OpenID ‏(OIDC) للدخول المُوحَّد.
  • Reauth: تمت مصادقة المستخدم بطلب إعادة مصادقة كلمة مرور
  • SAML: المصادقة عبر لغة ترميز تأكيد الأمان (SAML) للدخول المُوحّد**
  • غير معروف:سجَّل المستخدم الدخول باستخدام طريقة غير معروفة
المستخدم عنوان البريد الإلكتروني للمستخدم الذي نفّذ الإجراء
وكيل المستخدم (إصدار تجريبي) معلومات حول جهاز المستخدم، مثل متصفّح الويب أو نظام التشغيل أو تفاصيل أخرى عن الجهاز، على سبيل المثال، Mozilla/5.0 (Windows NT 6.3; Win64; x64). هذه السمة خاصة بأحداث سجلّ "بيانات اعتماد الجلسة المرتبطة بالجهاز" (DBSC).

* لا يمكنك إنشاء قواعد لإعداد التقارير باستخدام هذه الفلاتر. يمكنك الاطّلاع على مزيد من المعلومات عن قواعد إعداد التقارير مقابل قواعد النشاط.

** ملاحظة لمستخدمي SAML الذين يستخدمون الملف الشخصي للدخول المُوحَّد (SSO) في مؤسستك (SAML القديم): إذا تمت محاولة تسجيل الدخول عبر SAML من جهاز أو عنوان IP غير معروف، أو إذا كان هناك تقييم أعلى للمخاطر، سيتم تسجيل الحالة تعذُّر تسجيل الدخول باستخدام النوع كلمة مرور Google في حدث السجلّ. ويحدث ذلك حتى إذا نجحت عملية تسجيل الدخول عبر SAML، لأنّ النظام يضع علامة على المحاولة الأولى كمريبة. يلي إدخال الحدث "تعذُّر تسجيل الدخول" حدث تسجيل دخول ناجح عبر SAML. في SAML القديم، يتم إنشاء جلستَي تسجيل دخول لعملية تسجيل دخول واحدة عبر SAML. ولا تتم فلترة الجلسة الأولى، التي غالبًا ما تكون غير مناسبة، إلا إذا تبيّن أنّها غير مريبة.

ملاحظة: في حال منحت أحد المستخدمين اسمًا جديدًا، لن تظهر لك نتائج طلبات بحث باسم المستخدم القديم. على سبيل المثال، في حال غيّرت OldName@example.com إلى NewName@example.com، لن تظهر لك نتائج الأحداث المرتبطة بـ OldName@example.com.

إدارة بيانات أحداث السجلّات

إدارة بيانات أعمدة نتائج البحث

يمكنك التحكّم في أعمدة البيانات التي تظهر في نتائج البحث.

  1. في أعلى يسار جدول نتائج البحث، انقر على رمز إدارة الأعمدة .
  2. (اختياري) لإزالة الأعمدة الحالية، انقر على رمز الإزالة .
  3. (اختياري) لإضافة أعمدة، بجانب إضافة عمود جديد، انقر على السهم المتجه للأسفل  واختَر عمود البيانات.
    يمكنك تكرار هذه الخطوات حسب الحاجة.
  4. (اختياري) لتغيير ترتيب الأعمدة، اسحب أسماء أعمدة البيانات.
  5. انقر على حفظ.
تصدير بيانات نتائج البحث

يمكنك تصدير نتائج البحث إلى "جداول بيانات" أو إلى ملف CSV.

  1. في أعلى جدول نتائج البحث، انقر على تصدير الكل.
  2. أدخِل اسمًا ثمانقر على تصدير.
    تُعرض عملية التصدير أسفل جدول نتائج البحث ضمن تصدير نتائج الإجراء.
  3. لعرض البيانات، انقر على اسم عملية التصدير.
    تفتح عملية التصدير في "جداول بيانات Google".

اختلاف حدود التصدير:

  • يقتصر إجمالي نتائج التصدير على 100,000 صف.
  • الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وFrontline Plus؛ Enterprise Standard وEnterprise Plus؛ Education Standard وEducation Plus؛ Enterprise Essentials Plus؛ النسخة المدفوعة من Cloud Identity. مقارنة إصدارك

    إذا كانت لديك أداة التحقيق الأمني، يقتصر إجمالي نتائج عملية التصدير على 30 مليون صف.

لمزيد من المعلومات، يُرجى الانتقال إلى مقالة تصدير نتائج البحث.

متى تُتاح البيانات وما هي مدة إتاحتها؟

اتخاذ الإجراءات بناءً على نتائج البحث

إنشاء قواعد النشاط وإعداد التنبيهات
  • يمكنك إعداد التنبيهات بناءً على بيانات أحداث السجلّات باستخدام قواعد إعداد التقارير. للحصول على التعليمات، يمكنك الاطّلاع على إنشاء قواعد النشاط وإدارتها.
  • الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وFrontline Plus؛ Enterprise Standard وEnterprise Plus؛ Education Standard وEducation Plus؛ Enterprise Essentials Plus؛ النسخة المدفوعة من Cloud Identity. مقارنة إصدارك

    للمساعدة على منع مشاكل الأمان ورصدها وحلها بكفاءة، يمكنك تنفيذ الإجراءات تلقائيًا في أداة التحقيق الأمني وإعداد التنبيهات من خلال إنشاء قواعد النشاط. لإعداد قاعدة، عليك إعداد شروط للقاعدة، ثم اختيار الإجراءات التي سيتم تنفيذها عند استيفاء الشروط. للحصول على التفاصيل والتعليمات، يمكنك الاطّلاع على إنشاء قواعد النشاط وإدارتها.

اتخاذ إجراء بناءً على نتائج البحث

الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وFrontline Plus؛ Enterprise Standard وEnterprise Plus؛ Education Standard وEducation Plus؛ Enterprise Essentials Plus؛ النسخة المدفوعة من Cloud Identity. مقارنة إصدارك

بعد إجراء عملية بحث في أداة التحقيق الأمني، يمكنك اتخاذ إجراء بناءً على نتائج البحث. مثلاً، يمكنك إجراء عملية بحث بناءً على أحداث سجلّ Gmail، ثم استخدام الأداة بعد ذلك لحذف رسائل محدَّدة أو إرسال الرسائل إلى وحدة العزل أو إلى صناديق البريد الوارد للمستخدمين. لمزيد من التفاصيل، يُرجى الانتقال إلى مقالة اتخاذ إجراء بناءً على نتائج البحث.

إدارة تحقيقاتك

الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وFrontline Plus؛ Enterprise Standard وEnterprise Plus؛ Education Standard وEducation Plus؛ Enterprise Essentials Plus؛ النسخة المدفوعة من Cloud Identity. مقارنة إصدارك

عرض قائمة التحقيقات

لعرض قائمة بالتحقيقات التي تمتلكها والتي تمت مشاركتها معك، انقر على "عرض التحقيقات". وتتضمن قائمة التحقيقات أسماء التحقيقات وأوصافها ومالكيها وتاريخ آخر تعديل. 

من هذه القائمة، يمكنك اتخاذ إجراء بشأن أي تحقيقات تمتلكها، مثلاً، لحذف تحقيق. ضَع علامة في المربع بجانب التحقيق، ثم انقر على الإجراءات.

ملاحظة: أعلى قائمة التحقيقات مباشرةً، ضمن الوصول السريع، يمكنك عرض التحقيقات المحفوظة مؤخرًا.

ضبط إعدادات تحقيقاتك

بصفتك مشرفًا متميزًا، انقر على "الإعدادات" لإجراء ما يلي:

  • تغيير المنطقة الزمنية للتحقيقات. تنطبق المنطقة الزمنية على شروط البحث ونتائجه.
  • تفعيل إعداد المطالبة بمراجعين أو إيقافه. للتعرُّف على المزيد من التفاصيل، انتقِل إلى المطالبة بمراجعين لتنفيذ الإجراءات المُجمَّعة.
  • تفعيل إعداد عرض المحتوى أو إيقافه. يسمح هذا الإعداد للمشرفين الذين يمتلكون الامتيازات المناسبة بعرض المحتوى.
  • تفعيل إعداد تفعيل تبرير الإجراء أو إيقافه.

للحصول على التعليمات والتفاصيل، يُرجى الانتقال إلى ضبط إعدادات تحقيقاتك.

مشاركة التحقيقات وحذفها وتكرارها

لحفظ معايير البحث أو مشاركتها مع الآخرين، يمكنك إنشاء تحقيق وحفظه، ثم مشاركته أو تكراره أو حذفه.

لمعرفة التفاصيل، يُرجى الانتقال إلى حفظ التحقيقات ومشاركتها وحذفها وتكرارها.

مواضيع ذات صلة


Google وGoogle Workspace والعلامات التجارية والشعارات المرتبطة هي علامات تجارية مملوكة لشركة Google LLC. وجميع أسماء الشركات والمنتجات الأخرى هي علامات تجارية مملوكة للشركات ذات الصلة بها.

هل كان ذلك مفيدًا؟

كيف يمكننا تحسينها؟

هل تحتاج إلى مزيد من المساعدة؟

جرِّب الخطوات التالية:

النشر على منتدى المساعدة الحصول على إجابات من أعضاء المنتدى
اتصل بنا أخبرنا بالمزيد لكي نتمكّن من مساعدتك.
true
ابدأ اليوم فترة تجريبية مجانية لمدة 14 يومًا

بريد إلكتروني احترافي وإمكانية تخزين عبر الإنترنت وتقاويم مشتركة واجتماعات فيديو والمزيد. ابدأ اليوم استخدام الإصدار التجريبي المجاني من G Suite‏.

بحث
محو البحث
إغلاق البحث
تطبيقات Google
القائمة الرئيسية
15370455906905591731
true
مركز مساعدة البحث
false
true
true
true
true
true
73010
false
false
false
false