“审核和调查”页面:查看用户的登录活动
新的“审核和调查”页面已取代审核日志页面。要了解此变化,请参阅“Google Workspace 的新动态:更加完善的审核和调查功能使用体验”
您可以使用“审核和调查”页面来执行与用户日志事件相关的搜索。在该页面上,您可以查看用户在自己的帐号中执行的重要操作,包括更改密码、帐号恢复详细信息(电话号码、电子邮件地址)和两步验证注册状态。来自电子邮件客户端或非浏览器应用的登录不会记录在此报告中,除非这是被视为可疑会话的程序化登录。
注意:
- 在近期发布的版本中,旧的“登录”审核日志和“用户帐号”审核日志已合并到“用户日志事件”数据源。有关详情,请参阅新变化:更加完善的审核和调查功能使用体验。
- 如果系统在过去 6 个月内没有任何用户日志事件数据,那么左侧导航菜单中可能不会显示“用户日志事件”。
如需查看您可以调查的服务和活动(例如 Google 云端硬盘或用户活动)的完整列表,请仔细阅读关于审核和调查工具。
将日志事件数据转发到 Google Cloud
您可以选择与 Google Cloud 共享日志事件数据。如果您开启共享功能,数据会转发至 Cloud Logging,您可以在此查询和查看您的日志,并控制转送和存储日志的方式。
打开“审核和调查”页面
访问“用户日志事件”数据
-
- 依次点击左侧的报告 审核和调查 用户日志事件。
对数据进行过滤
- 按照上文访问用户日志事件数据中的说明打开日志事件。
- 点击添加过滤条件,然后选择一个属性。
- 在弹出式窗口中,选择运算符 选择一个值 点击应用。
-
(可选)要创建多个搜索过滤条件,请执行以下操作:
- 点击添加过滤条件,然后重复第 3 步。
- (可选)要添加搜索运算符,请在添加过滤条件上方选择 AND 或 OR。
- 点击搜索。
注意:您可以使用过滤条件标签页添加简单参数和值对来过滤搜索结果。您也可以使用条件构建器标签页,在该标签页中,过滤条件以 AND/OR 运算符连接的条件表示。
属性说明
对于此数据源,您可以在搜索日志事件数据时使用以下属性:
属性 | 说明 |
---|---|
执行者群组名称 |
执行者的群组名称。 有关详情,请参阅按 Google 网上论坛群组过滤结果。 如要将群组添加到过滤群组许可名单,请按以下步骤操作:
|
执行者组织部门 | 执行者的组织部门 |
受影响的用户 | 受影响用户的电子邮件地址 |
验证类型* | 用于验证用户的验证类型,例如“密码”或“安全密钥” |
日期 | 事件发生的日期和时间(以您浏览器的默认时区显示) |
网域* | 发生操作的网域 |
电子邮件转发地址 | 用于接收转发的 Gmail 邮件的电子邮件地址 |
事件 |
记录的事件操作,例如“两步验证注册”或“可疑登录” 注意:对于退出事件,即使用户是通过 Google 密码以外的登录类型(如 Exchange、Reauth、SAML或未知)登录的,退出事件的登录类型仍会显示为 Google 密码。 |
IP 地址 | 用户用于登录的 IP 地址。该地址通常是用户的实际位置,但也可能是代理服务器或虚拟专用网 (VPN) 地址。 |
是第二重身份验证* | 如果用户使用双重身份验证登录,则为 True 如果用户未使用双重身份验证登录,则为 False |
可疑* | 如果登录尝试可疑,则为 True,否则为 false。仅适用于 login_success 事件 |
登录时间 | 用户登录的日期和时间 |
登录类型 |
用户使用的身份验证方式:
|
用户 | 执行此操作的用户的电子邮件地址。 |
管理日志事件数据
管理搜索结果列数据
您可以控制在搜索结果中显示哪些数据列。
- 在搜索结果表格的右上角,点击“管理列”图标 。
- (可选)如要移除当前列,请点击“移除”图标 。
- (可选)如要添加列,请点击新增列旁边的向下箭头 ,然后选择相应数据列。
根据需要重复上述步骤。 - (可选)如要更改列的顺序,请拖动数据列名称。
- 点击保存。
导出搜索结果数据
- 点击搜索结果表格顶部的全部导出。
- 输入名称 点击导出。
导出内容会显示在搜索结果表格的导出操作结果下方。 - 如要查看数据,请点击导出结果的名称。
导出结果会在 Google 表格中打开。
创建报告规则
请参阅创建和管理报告规则。
何时可以查看数据?数据会保留多久?
请参阅数据保留时间和延迟时间。