사용자 로그 이벤트

사용자 로그인 활동 검토하기

Google Workspace 버전에 따라 고급 기능이 포함된 보안 조사 도구에 액세스할 수도 있습니다. 예를 들어 최고 관리자는 보안 및 개인 정보 보호 문제를 식별하고 분류하여 조치를 취할 수 있습니다. 자세히 알아보기

조직의 관리자는 사용자 로그 이벤트에 대해 검색하고 조치를 취할 수 있습니다. 예를 들어 이 페이지에서 사용자가 자신의 계정에서 수행한 중요한 작업을 확인할 수 있습니다. 이 작업에는 비밀번호 변경, 계정 복구 세부정보(전화번호, 이메일 주소), 2단계 인증 등록이 포함됩니다. 이메일 클라이언트 또는 브라우저가 아닌 애플리케이션에서 로그인한 경우, 의심스러운 세션에서 프로그램 방식으로 발생한 로그인이 아닌 한 이 보고서에 기록되지 않습니다.

참고: 지난 6개월 동안 사용자 로그 이벤트에 대한 데이터가 없는 경우 왼쪽 탐색 메뉴에 사용자 로그 이벤트가 표시되지 않을 수 있습니다.

로그 이벤트 데이터를 Google Cloud로 전달하기

로그 이벤트 데이터를 Google Cloud와 공유하도록 선택할 수 있습니다. 공유를 사용 설정하면 데이터가 Cloud Logging으로 전달되고 여기서 로그를 쿼리하고 조회할 수 있으며 로그 라우팅 및 저장 방식을 관리할 수 있습니다.

로그 이벤트 검색하기

검색 실행 가능 여부는 Google 버전, 관리 권한, 데이터 소스에 따라 달라집니다. Google Workspace 버전과 관계없이 모든 사용자를 대상으로 검색을 실행할 수 있습니다.

속성 설명

이 데이터 소스의 경우 로그 이벤트 데이터를 검색할 때 다음 속성을 사용할 수 있습니다.

속성 설명
작업 수행자 그룹 이름

작업 수행자의 그룹 이름입니다. 자세한 내용은 Google 그룹별로 검색결과 필터링하기를 참고하세요.

필터링 그룹 허용 목록에 그룹을 추가하려면 다음 안내를 따르세요.

  1. 작업 수행자 그룹 이름을 선택합니다.
  2. 그룹 필터링을 클릭합니다.
    필터링 그룹 페이지가 표시됩니다.
  3. 그룹 추가를 클릭합니다.
  4. 이름이나 이메일 주소의 처음 몇 글자를 입력하여 그룹을 검색합니다. 원하는 그룹이 표시되면 선택합니다.
  5. (선택사항) 다른 그룹을 추가하려면 그룹을 검색하여 선택합니다.
  6. 그룹을 모두 선택한 후에는 추가를 클릭합니다.
  7. (선택사항) 그룹을 삭제하려면 그룹 삭제 를 클릭합니다.
  8. 저장을 클릭합니다.
작업 수행자 조직 단위 작업 수행자의 조직 단위입니다.
영향을 받는 사용자 영향을 받은 사용자의 이메일 주소입니다.
본인 확인 요청 유형*

사용자를 확인하는 데 사용되는 본인 확인 요청 유형입니다(예: 비밀번호 또는 보안 키).

참고패스키와 같이 새로 추가된 본인 확인 요청 유형은 2024년 9월 30일 전에 생성된 감사 로그의 기존 본인 확인 요청 유형인 기타와 일치하지 않을 수 있습니다.

날짜 이벤트 날짜 및 시간(브라우저의 기본 시간대로 표시됨)입니다.
도메인* 작업이 발생한 도메인입니다.
이메일 전달 주소 Gmail 메일을 전달할 이메일 주소입니다.

이벤트

기록된 이벤트 작업입니다(예: 2단계 인증 등록 또는 의심스러운 로그인).

참고: 로그아웃 이벤트의 경우 사용자가 Google 비밀번호 이외의 로그인 유형(예: ExchangeReauthSAML 또는 알 수 없음)을 사용하는 경우 로그아웃 이벤트의 로그인 유형이 Google 비밀번호로 표시됩니다.

IP 주소 사용자가 로그인하는 데 사용한 IP 주소입니다. 대개 이 주소는 사용자의 실제 위치이지만 프록시 서버나 가상 사설망(VPN) 주소인 경우도 있습니다.
두 번째 요소* 사용자가 2단계 인증으로 로그인한 경우 True입니다. 
2단계 인증으로 로그인하지 않은 경우 False입니다.
의심스러움* 로그인 시도가 의심스럽지만 성공한 경우 True, 그렇지 않으면 false입니다. login_success 이벤트에만 적용됩니다.
로그인 시간 의심스러운 로그인 이벤트가 차단된 경우 이 필드에는 사용자가 로그인을 시도한 날짜와 시간이 표시됩니다.
로그인 유형

사용자가 사용했던 인증 방법:

  • Exchange: 사용자가 OAuth 로그인 등 토큰 교환으로 인증받은 경우입니다. 사용자가 이미 한 세션에 로그인된 상태에서 또 다른 세션에 로그인하여 두 세션이 병합된 상태임을 의미할 수도 있습니다.
  • Google 비밀번호: Google 비밀번호를 사용한 경우입니다. 보안 수준이 낮은 앱에 대한 로그인을 포함합니다(허용되는 경우).
  • OIDC: 싱글 사인온(SSO) OpenID Connect(OIDC)로 인증받은 경우입니다.
  • Reauth: 사용자가 비밀번호 재인증 요청으로 인증받은 경우입니다.
  • SAML: 싱글 사인온(SSO) 보안 보장 마크업 언어(SAML)**로 인증받은 경우입니다.
  • 알 수 없음: 사용자가 알 수 없는 방법을 사용하여 로그인한 경우입니다.
사용자 작업을 수행한 사용자의 이메일 주소입니다.

* 이 필터로는 보고 규칙을 만들 수 없습니다. 보고 규칙과 활동 규칙의 차이에 대해 자세히 알아보세요.

** 조직에 SSO 프로필(기존 SAML)을 사용하는 SAML 사용자를 위한 참고사항: SAML 로그인 시도가 알 수 없는 기기 또는 IP 주소에서 발생했거나 위험도 평가가 높은 경우 로그인 실패 유형 Google 비밀번호 로그 이벤트에 기록됩니다. 이는 시스템에서 초기 시도를 의심스러운 것으로 신고하기 때문에 SAML 로그인이 성공하더라도 발생합니다. 이 로그인 실패 항목 다음에 SAML 로그인 성공 이벤트가 표시됩니다. 기존 SAML에서는 단일 SAML 로그인에 대해 2개의 로그인 세션이 생성됩니다. 첫 번째 세션은 관련성이 없는 경우가 많지만 의심스럽지 않은 것으로 간주되는 경우에만 필터링됩니다.

참고: 사용자에게 새 이름을 부여한 경우, 사용자의 기존 이름을 사용하면 쿼리 결과가 표시되지 않습니다. 예를 들어 OldName@example.comNewName@example.com으로 바꾸는 경우, OldName@example.com과 관련된 이벤트 결과는 표시되지 않습니다.

로그 이벤트 데이터 관리하기

검색 결과에 따라 조치 취하기

조사 관리하기

이 기능은 Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud ID Premium 버전에서 지원됩니다 사용 중인 버전 비교하기

도움이 되었나요?

어떻게 하면 개선할 수 있을까요?
true
지금 14일 무료 평가판 사용

업무용 이메일, 온라인 저장용량, 공유 캘린더, 화상 회의 등 다양한 기능을 제공합니다. 지금 무료로 G Suite 평가판을 사용해 보세요.

8052670360655928585
true
도움말 센터 검색
true
true
true
true
true
73010
false
false
검색
검색어 지우기
검색 닫기
기본 메뉴
false