您可能可以使用具有更多高级功能的安全调查工具,具体取决于您的 Google Workspace 版本。例如,超级用户可以识别安全和隐私问题、适当分类并采取应对措施。了解详情
作为组织的管理员,您可以执行搜索,并针对与 Google 群组日志事件相关的安全问题采取行动。例如,您可以跟踪组织中用户的群组、群组成员资格和群组帖子有什么变化,还可以针对用户发现的群组活动异常情况和意外变更进行问题排查。系统通常会在用户操作后半小时内显示相关条目。
注意:如需查看在 Google 管理控制台、Google Cloud 控制台、Admin SDK API、Cloud Identity API 和 Google 群组界面中执行的操作,请参阅 Groups Enterprise 日志事件。
如需查看您可以调查的服务和活动(例如 Google 云端硬盘或用户活动)的完整列表,请仔细阅读关于审核和调查工具。
可跟踪的变更类型
- 创建和删除群组:您可以确认某一群组仍然存在,且最近未被删除。
- 添加、移出和封禁成员:如果有用户未收到某条群组帖子,您可以通过检查日志事件数据来确认该用户是否为这一群组的成员。如果用户已被移除或封禁,则日志数据还会显示是谁在什么时间执行的相应操作。
- 用户邀请和批准加入请求:您可以验证用户是否收到了加入群组的邀请,以及他们是接受还是拒绝了邀请。您还可以跟踪用户申请加入群组的请求是被批准还是被拒绝。
- 群组发帖权限变更:用户可能会意外收到系统退信,告知其无权发帖。日志事件数据会显示造成用户无权发帖的发帖权限变更事件。
- 垃圾帖子审核设置:如果有帖子被发送到审核队列,而没有直接发布,日志事件数据就会显示是不是因为近期的设置变更导致相应帖子需要审核。
- 其他设置:如有其他设置发生更改,日志事件数据会提供有关更改的详细信息。
群组日志事件的记录范围仅限于 Google 群组界面。事件数据会跟踪用户和管理员使用 Google 群组界面执行的操作。管理员使用管理控制台或 Admin SDK Directory API 执行的 Google 群组相关操作会记录在管理员日志事件和 Group Enterprise 日志事件中。
将日志事件数据转发到 Google Cloud
您可以选择与 Google Cloud 共享日志事件数据。如果您开启共享功能,数据会转发至 Cloud Logging,您可以在此查询和查看您的日志,并控制转送和存储日志的方式。
搜索日志事件
能否执行搜索取决于您的 Google 版本、管理员权限和数据源。您可以对所有用户执行搜索,无论他们使用什么 Google Workspace 版本。
如需搜索日志事件,请先选择数据源,然后选择一个或多个过滤条件用于搜索。
-
-
在管理控制台中,依次点击“菜单”图标
报告
审核和调查
- 点击添加过滤条件,然后选择一个属性。
- 在弹出式窗口中,选择运算符
- (可选)如需为搜索创建多个过滤条件,请重复此步骤。
- (可选)要添加搜索运算符,请在添加过滤条件上方选择 AND 或 OR。
- (可选)如需创建多个过滤条件来执行搜索,请重复此步骤。
- (可选)如需添加搜索运算符,请在添加过滤条件上方选择 AND 或 OR。
- 点击搜索。
-
注意:您可以使用过滤条件标签页添加简单参数和值对来过滤搜索结果。您也可以使用条件构建器标签页,在该标签页中,过滤条件以 AND/OR 运算符连接的条件表示。
如需在安全调查工具中执行搜索,请先选择数据源。然后选择一个或多个搜索条件。请为每个条件分别选择属性、运算符和值。
-
-
在管理控制台中,依次点击“菜单”图标
安全性
- 点击数据源,然后选择 Google 群组日志事件。
- 点击添加条件。
提示:您可以添加一种或多种搜索条件,或使用嵌套查询自定义搜索。如需了解详情,请参阅使用嵌套查询自定义搜索。 - 点击属性
如需查看完整的属性列表,请参阅下文中的属性说明部分。 - 选择一个运算符。
- 输入值或从下拉列表中选择一个值。
- (可选)如需添加更多搜索条件,请重复第 4 至 7 步。
- 点击搜索。
调查工具中的搜索结果会显示在页面底部的一个表格中。 - (可选)如需保存调查,请点击保存图标
注意:
- 在条件构建器标签页中,过滤条件会以带有“AND”/“OR”运算符的条件呈现。您还可以使用过滤器标签页来添加简单的参数和值对,以便过滤搜索结果。
- 如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com 相关的事件。
属性说明
对于此数据源,您可以在搜索日志事件数据时使用以下属性:
| 属性 | 说明 |
|---|---|
| 执行者 | 执行此操作的用户的电子邮件地址。 |
| 执行者群组名称 |
执行者的群组名称。 有关详情,请参阅按 Google 网上论坛群组过滤结果。 如要将群组添加到过滤群组许可名单,请按以下步骤操作:
|
| 执行者组织部门 | 执行者的组织部门 |
| 日期 | 发生此事件的日期和时间(以您浏览器的默认时区显示) |
| 事件 | 记录的事件操作,例如“创建群组”“邀请用户”或“拒绝加入请求”。 |
| 群组电子邮件 | 群组的电子邮件地址 |
| 群组权限设置 | 操作者的群组权限设置,例如“可以添加成员”“可以发帖”“可以邀请成员”或“可以删除主题” |
| 信息设置值 | 群组信息设置的更新值 |
| 邮件 ID | 对于操作者发送的邮件,邮件标题中的唯一消息 ID |
| 帖子审核 | 执行者为批准或拒绝帖子/消息所执行的操作 |
| 新值* | 执行者执行操作后的新设置值 |
| 旧值* | 执行者执行操作后的旧设置值 |
| 角色 | 操作者在群组中的角色,例如“管理员”“成员”或“所有者” |
| 设置* | 执行者采取的操作。例如,允许外部成员、允许网页发帖、设置邮件大小上限或指定群组名称, |
| 状态 | 作者所执行操作的状态 -“成功”或“失败” |
| 目标 | 目标用户的电子邮件地址 |
注意:如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com 相关的事件。
管理日志事件数据
管理搜索结果列数据
您可以控制在搜索结果中显示哪些数据列。
- 在搜索结果表格的右上角,点击“管理列”图标
。
- (可选)如要移除当前列,请点击“移除”图标
。
- (可选)如要添加列,请点击新增列旁边的向下箭头
,然后选择相应数据列。
根据需要重复上述步骤。 - (可选)如要更改列的顺序,请拖动数据列名称。
- 点击保存。
导出搜索结果数据
您可以将搜索结果导出为 Google 表格文件或 CSV 文件。
- 点击搜索结果表格顶部的全部导出。
- 输入名称
导出内容会显示在搜索结果表格的导出操作结果下方。 - 如要查看数据,请点击导出结果的名称。
导出结果会在 Google 表格中打开。
导出限制因情况而异:
- 导出结果总数上限为 100,000 行(Gmail 邮件搜索结果除外,其上限为 10,000 行)。
- 支持此功能的版本:一线员工标准版、企业标准版、企业 Plus 版、教育标准版、教育 Plus 版、企业基本功能 Plus 版、Cloud Identity 专业版。 比较您的版本
如果您拥有安全调查工具,则导出结果总数上限为 3 千万行(Gmail 邮件搜索结果除外,其上限为 10,000 万行)。
如需了解详情,请参阅导出搜索结果。
何时可以查看数据?数据会保留多久?
根据搜索结果采取行动
支持此功能的版本:一线员工标准版、企业标准版、企业 Plus 版、教育标准版、教育 Plus 版、企业基本功能 Plus 版、Cloud Identity 专业版。 比较您的版本
在安全调查工具中执行搜索后,您可以根据搜索结果执行操作。举例来说,您可以搜索 Gmail 日志事件,然后使用该工具删除特定邮件,或者将邮件发送至隔离区或用户的收件箱。如需了解详情,请参阅根据搜索结果执行操作。
管理调查
支持此功能的版本:一线员工标准版、企业标准版、企业 Plus 版、教育标准版、教育 Plus 版、企业基本功能 Plus 版、Cloud Identity 专业版。 比较您的版本
查看您的调查列表如要查看您拥有的以及他人与您共享的调查列表,请点击“查看调查”图标 。调查列表包含的信息有:名称、说明、调查所有者及上次修改日期。
在此列表中,您可以对所拥有的任意调查执行操作(例如删除调查)。只需选中相应调查的复选框,然后点击操作。
注意:在调查列表正上方的快速访问部分,您可以查看最近保存的调查。
作为超级用户,您可以点击“设置”图标 ,以便执行以下操作:
- 更改调查的时区,而搜索条件和结果会采用您设置的时区。
- 开启或关闭需要审核者。有关详情,请参阅需要审核者批准进行批量操作。
- 开启或关闭查看内容。开启后,拥有适当权限的管理员可以查看内容。
- 开启或关闭需要输入执行操作的原因。
有关说明和详细信息,请参阅为调查配置设置。
如要保存搜索条件或与他人共享搜索条件,您可以创建并保存调查,然后共享、复制或删除调查。
有关详情,请参阅保存、共享、删除和复制调查。