支持此功能的版本:Frontline Standard;商务 Plus 版;企业标准版和企业 Plus 版;教育标准版、教育 Plus 版和教育端点管理升级;G Suite 商务版;Cloud Identity 专业版。 比较您的版本
您可以使用“审核和调查”页面来执行与设备日志事件相关的搜索。您可以在此处查看计算机、移动设备和智能家居设备上用于访问贵单位数据的操作记录。例如,您可以查看某个用户何时将其帐号添加到设备或设备的密码是否符合您的密码政策。您也可以设置提醒,以便在相应活动发生时收到通知。
如需查看您可以调查的服务和活动(例如 Google 云端硬盘或用户活动)的完整列表,请仔细阅读关于审核和调查工具。
打开“审核和调查”页面
准备工作
- 要查看移动设备的所有审核事件,设备需要通过高级设备管理功能进行管理。
- 要查看 Android 设备上的应用发生哪些更改,您必须开启应用审核。
- 如果设备使用“Google 同步”服务同步公司数据,您就无法查看设备的活动记录。
- 如果您降级到不支持审核日志的版本,审核日志将停止收集有关新事件的数据。不过,管理员仍然可以访问旧数据。
访问设备日志事件数据
-
- 点击左侧的报告
审核和调查
对数据进行过滤
- 按照上文访问设备日志事件数据中的说明打开日志事件。
- 点击添加过滤条件,然后选择一个属性。
- 在弹出式窗口中,选择运算符
-
(可选)要创建多个搜索过滤条件,请执行以下操作:
- 点击添加过滤条件,然后重复第 3 步。
- (可选)要添加搜索运算符,请在添加过滤条件上方选择 AND 或 OR。
- 点击搜索。
注意:您可以使用过滤条件标签页添加简单参数和值对来过滤搜索结果。您也可以使用条件构建器标签页,在该标签页中,过滤条件以 AND/OR 运算符连接的条件表示。
属性说明
对于此数据源,您可以在搜索日志事件数据时使用以下属性:
| 属性 | 说明 |
|---|---|
| 账号状态 | 账号是已注册还是未注册 |
| 执行者群组名称 |
执行者的群组名称。 有关详情,请参阅按 Google 网上论坛群组过滤结果。 如要将群组添加到过滤群组许可名单,请按以下步骤操作:
|
| 执行者组织部门 | 执行者的组织部门 |
| 应用 ID | 应用的标识符 |
| 应用 SHA-256 哈希 | 针对与应用相关的事件,应用包的 SHA-256 哈希(仅限 Android 应用) |
| 应用状态 | 应用是已安装、已卸载还是已更新 |
| 日期 | 事件发生的日期和时间(以您浏览器的默认时区显示) |
| 设备法规遵从状态 |
设备是否符合贵组织的政策 如果您的设备属于以下情况,就会被标为不符合政策规定:
示例:<用户> 的 Nexus 6P 不符合设置的政策,因为设备未遵守密码政策。 |
| 设备破解状态 |
设备是否遭到破解。设备启用 root 权限或越狱(均会移除设备限制)后,则可能会遭到破解。被破解的设备可能会构成潜在的安全威胁。 每次用户的设备被破解或从破解状态恢复正常时,系统均会添加一条记录。 示例:<用户> 的 Nexus 5 遭到破解。 |
| 设备 ID | 发生事件的设备的标识符 |
| 设备型号 | 设备的型号 |
| 设备所有者 | 设备所有者 |
| 设备所有权 |
设备所有权是否更改 例如,当某台个人设备的详细信息导入到管理控制台后,该设备的所有权就会更改为公司自有。 当某台公司自有设备添加到管理控制台后,系统就会立即进行审核。如果某台公司自有设备已从管理控制台中删除,那么审核会在下一次同步(在该设备重新注册移动设备管理服务后)时进行。 示例:用户的 Nexus 5 的所有权已更改为公司自有,新设备 ID 为 abcd1234。 |
| 设备属性 | 设备的相关信息,例如“设备型号”“序列号”或“Wi-Fi MAC 地址” |
| 设备设置 |
设备用户更改了设备上的开发者选项、未知来源、USB 调试或“验证应用”设置。 系统将在设备下次同步时记录该事件。 示例:<用户> 将 Nexus 6P 上的“验证应用”设置从关闭更改为开启。 |
| 设备类型 | 发生事件的设备的类型,例如 Android 或 Apple iOS |
| 网域* | 发生操作的网域 |
| 事件 | 记录的事件操作,例如“设备操作系统更新”或“设备同步事件” |
| 密码输入错误次数* |
用户尝试解锁设备失败次数 当解锁用户设备的尝试失败超过 5 次时,系统才会生成一个事件。 示例:用户的 Nexus 7 尝试解锁失败 5 次 |
| iOS 供应商 ID | iOS 供应商的标识符 |
| 新设备 ID | 新设备的标识符 |
| 操作系统属性 | 有关操作系统的信息,例如版本号、操作系统版本或安全补丁程序 |
| 注册权限 | 用户在设备端的角色,例如“设备所有者”或“设备管理员” |
| 资源 ID | 设备的唯一标识符 |
| 序列号 |
设备的序列号 如需显示计算机的序列号,请执行以下操作:
|
| 用户电子邮件地址 | 设备用户的电子邮件地址 |
管理日志事件数据
管理搜索结果列数据
您可以控制在搜索结果中显示哪些数据列。
- 在搜索结果表格的右上角,点击“管理列”图标
。
- (可选)如要移除当前列,请点击“移除”图标
。
- (可选)如要添加列,请点击新增列旁边的向下箭头
,然后选择相应数据列。
根据需要重复上述步骤。 - (可选)如要更改列的顺序,请拖动数据列名称。
- 点击保存。
导出搜索结果数据
- 点击搜索结果表格顶部的全部导出。
- 输入名称
导出内容会显示在搜索结果表格的导出操作结果下方。 - 如要查看数据,请点击导出结果的名称。
导出结果会在 Google 表格中打开。
创建报告规则
请参阅创建和管理报告规则。
何时可以查看数据?数据会保留多久?
请参阅数据保留时间和延迟时间。
相关主题
