安全调查工具
您可以使用调查工具搜索和调查用户日志事件,并根据调查结果执行操作。例如,您可以执行以下操作:
- 鉴别并调查单位中尝试盗取用户帐号的事件。
- 监控单位中的用户使用哪些两步验证方法。
- 详细了解单位中的用户失败的登录尝试。
- 恢复或暂停用户。
您对安全调查工具的访问权限
- 安全调查工具支持的版本包括企业 Plus 版、教育标准版、教育 Plus 版和 Enterprise Essentials Plus。
- Cloud Identity 专业版、Frontline Standard、企业标准版和教育标准版的管理员也可以使用安全调查工具,但只能处理一部分数据源。
- 能否在调查工具中进行搜索取决于您的 Google 版本、管理特权和数据源。如果您无法在调查工具中搜索特定数据源,可以改为访问审核和调查页面。 有关详情,请参阅改进的审核和调查功能体验。
- 您可以在调查工具中针对所有用户执行搜索,无论他们使用的是哪个 Google 版本。
搜索和调查用户日志事件
-
-
在管理控制台中,依次点击“菜单”图标 安全性 安全中心 调查工具。
- 选择用户日志事件作为搜索的数据源。
- 点击添加条件。
您可以使用一种或多种搜索条件。要详细了解哪些条件适用于用户日志事件,请参阅在调查工具中自定义搜索 > 适用于设备日志事件的搜索条件。
例如,您可以根据事件日期、用户姓名或事件类型(例如密码更改、启用两步验证或登录失败)来缩小搜索范围。 - 点击搜索。
搜索结果会显示在页面底部。
根据搜索结果执行操作
在搜索结果页面中选择一个或多个用户。接下来,在操作下拉菜单中,点击恢复用户或暂停用户。
查看搜索结果中个别用户的详细信息
在搜索结果页面中仅选择一个用户。在操作下拉菜单中,点击查看详细信息。系统会显示一个页面,其中包含登录信息、单位部门名称、安全详细信息、群组成员资格等。
您还可以在同一页面上对用户执行操作,例如重置用户密码或重命名用户。