您可以使用“审核和调查”页面来执行与 Chrome 日志事件相关的搜索。您可以在此处查看操作的记录,以跟踪与受管理的 Chrome 浏览器和 ChromeOS 设备相关的事件。例如,您可以查看何时访问了不安全的网站。
如需查看您可以调查的服务和活动(例如 Google 云端硬盘或用户活动)的完整列表,请仔细阅读关于审核和调查工具。
准备工作
查看所有 Chrome 事件的条件:
- 浏览器必须由 Chrome 浏览器云管理、在贵组织注册的 ChromeOS 设备或 Chrome 浏览器中管理的用户个人资料管理。
- 您必须为 Chrome 安全性事件设置报告功能。有关详情,请参阅管理 Chrome 企业版报告连接器。
- 如要查看 Chrome 数据保护事件,您必须设置 BeyondCorp Enterprise。有关详情,请参阅使用 BeyondCorp Threat and Data Protection 功能保护 Chrome 用户。
打开“审核和调查”页面
访问 Chrome 日志事件数据
-
- 在管理控制台中,依次点击“菜单”图标
报告
审核和调查
对数据进行过滤
- 按照上文访问 Chrome 日志事件数据中的说明打开日志事件。
- 点击添加过滤条件,然后选择一个属性。
- 在弹出式窗口中,选择运算符
-
(可选)要创建多个搜索过滤条件,请执行以下操作:
- 点击添加过滤条件,然后重复第 3 步。
- (可选)要添加搜索运算符,请在添加过滤条件上方选择 AND 或 OR。
- 点击搜索。
注意:您可以使用过滤条件标签页添加简单参数和值对来过滤搜索结果。您也可以使用条件构建器标签页,在该标签页中,过滤条件以 AND/OR 运算符连接的条件表示。
属性说明
对于此数据源,您可以在搜索日志事件数据时使用以下属性:
| 属性 | 说明 |
|---|---|
| 执行者群组名称 |
执行者的群组名称。 有关详情,请参阅按 Google 网上论坛群组过滤结果。 如要将群组添加到过滤群组许可名单,请按以下步骤操作:
|
| 执行者组织部门 | 执行者的组织部门。 |
| 应用名称 | Chrome 应用商店中显示的扩展程序名称。 |
| 浏览器版本 | 分配给 Chrome 浏览器版本的数字,例如 123.0.6312.59 |
| 客户端类型 |
发生事件的受管理 Chrome 表面。
|
| 内容哈希 | 内容的 SHA256 哈希。 |
| 内容名称 | 已下载内容的名称,例如文件名。 |
| 内容大小* | 已下载内容的大小(以字节为单位)。 |
| 内容类型 | 已下载内容的媒体 (MIME) 类型,例如 text/html。 |
| 日期 | 事件发生的日期和时间(以您浏览器的默认时区显示)。 |
| 设备名称 | 设备的名称。 |
| 设备平台 | 运行浏览器的操作系统。 |
| 设备用户 | 操作系统所报告的用户名。 |
| Directory API ID | Directory API 返回的设备 ID。 |
| 网域* | 发生操作的网域。 |
| 扩展程序操作类型 | 触发事件的 Chrome 扩展程序操作的类型。可以是安装、卸载或更新。 |
| 扩展程序来源 | 安装 Chrome 扩展程序的来源。可以是 Chrome 应用商店、外部或未指定。 |
| 扩展程序版本 | 扩展程序的版本。 |
| 事件 | 记录的事件操作,例如“内容未经扫描”、“访问不安全的网站”或“重复使用密码”。 |
| 事件原因* | 操作的详细信息,例如“文件受密码保护”。 |
| 事件结果 | 根据设置的政策和规则产生的事件结果。可能为已绕过、已屏蔽、已警告、已允许或已检测到。 |
| 配置文件用户 | Chrome 浏览器的个人资料用户名。 |
| 扫描 ID | 触发事件的内容分析扫描的扫描 ID。 |
| 标签页网址 |
下载文件时,标签页会重定向到的网址。 注意:除了下载内容之外,标签页网址和网址完全相同。 |
| 触发器类型 | 触发事件的用户操作,例如未知、打印了页面、文件上传、文件下载或 Web 内容上传。 |
| 触发者 | 与事件相关的用户名:
|
| 网址 | 生成事件的网址。 |
| 网址类别 | 生成事件的网址的内容类别。 |
| 用户代理 | 用于访问内容的浏览器用户代理字符串。例如,Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4140.0 Safari/537.36。 |
| 虚拟设备 ID* | 设备的 ID。该值与平台相关。 |
按威胁或数据保护事件过滤数据
- 按照上文访问 Chrome 日志事件数据中的说明打开日志事件。
- 点击添加过滤条件
- 选择运算符。
- 在下拉列表中选择一个选项:
- 点击应用。
Chrome 威胁事件说明
| 事件值 | 说明 | 是否支持报告连接器 |
|---|---|---|
| 崩溃事件 | 检测到标签页或浏览器崩溃了。 | Chrome 浏览器 112 及更高版本支持此事件 |
| 安装了扩展程序 | 通过用户操作或由管理员安装了浏览器扩展程序。 | Chrome 浏览器 110 及更高版本支持此事件 |
| 传输恶意软件 | 用户上传或下载的内容属于恶意、危险或垃圾内容。 | Chrome 浏览器 104 及更高版本支持此事件 |
| 登录事件 |
注意:如需报告此事件,必须启用密码管理工具。 用户成功登录报告连接器设置中指定的网址对应的网域。您可以在 Google 安全中心内查看该事件。系统不会报告登录失败的情况。 |
Chrome 浏览器 105 及更高版本支持此事件 |
| 密码盗用 |
注意:如需报告此事件,必须启用密码管理工具。 用户在某个网站中输入其用户名和密码时,如果他们在其他网站或应用上遭遇了数据泄露,Chrome 会警告他们。有关详情,请参阅更改 Google 账号中的不安全密码。 Chrome 还建议用户在使用该密码的所有其他位置更改密码。对于管理控制台中的指定网址,如果密码保存在密码管理工具中,Google 安全中心窗口中也会显示相应违规行为。每个网址都会显示为单独的记录。 |
Chrome 浏览器 105 及更高版本支持此事件 |
| 更改了密码 |
客户重置了首次登录的用户账号的密码。 |
Chrome 浏览器 104 及更高版本支持此事件 |
| 重复使用密码 | 用户在未列入企业登录网址许可列表的网址中输入了密码。 | Chrome 浏览器 104 及更高版本支持此事件 |
| 访问不安全的网站 | 用户所访问的网址属于欺骗性或恶意网址。 | Chrome 浏览器 104 及更高版本支持此事件 |
Chrome 数据保护事件说明
Chrome 数据保护事件仅向购买了 BeyondCorp Enterprise 的客户显示。
如需详细了解 BeyondCorp 以及如何设置,请参阅使用 BeyondCorp Threat and Data Protection 功能保护 Chrome 用户。
| 事件值 | 说明 | 是否支持报告连接器 |
|---|---|---|
| 内容转移 | 内容已从 Chrome 上传、下载或打印,然后发送给系统进行恶意软件扫描或敏感数据扫描 |
Chrome 浏览器 104 及更高版本支持此事件 需要 BeyondCorp Enterprise |
| 内容未经扫描 | 文件未经扫描的原因有多种,包括
|
Chrome 浏览器 104 及更高版本支持此事件 需要 BeyondCorp Enterprise |
| 传输敏感数据 | 用户上传、下载、打印或粘贴的内容属于包含敏感数据的内容(按照数据保护规则检测)。 |
Chrome 浏览器 104 及更高版本支持此事件 需要 BeyondCorp Enterprise |
| 网址过滤 | 用户尝试访问的网址与管理员设置的数据保护规则相匹配 |
Chrome 浏览器 113 及更高版本支持此事件 需要 BeyondCorp Enterprise |
ChromeOS 安全性事件说明
- 对于受管理的访客、自助服务终端或无关联的用户会话,系统不会收集用户电子邮件地址。如需详细了解用户的关联关系,请参阅了解用户的关联关系。
- 要收集这些事件的数据,您必须启用所有报告或特定选项(详见下文)。有关详情,请参阅设置 ChromeOS 设备政策 > 报告设备遥测、设置 ChromeOS 设备政策 > 报告设备操作系统信息以及为用户或浏览器设置 Chrome 政策 > 数据控件报告。
| 事件值 | 说明 | 是否支持报告连接器 | 必要政策 |
|---|---|---|---|
| Chrome 操作系统登录失败 | 用户未能登录其 ChromeOS 设备。 | 支持 | 报告设备遥测 |
| 成功登录 Chrome 操作系统 | 用户已成功登录其 ChromeOS 设备。 | 支持 | |
| 退出 Chrome 操作系统 | 用户已成功退出其 ChromeOS 设备。 | 支持 | |
| 添加了 Chrome 操作系统用户 | 为 ChromeOS 设备添加了用户账号。 | 支持 | |
| 移除了 Chrome 操作系统用户 | 从 ChromeOS 设备中移除了用户账号。 | 支持 | |
| ChromeOS 锁定成功 | ChromeOS 设备的屏幕已锁定。 | 不支持 | |
| ChromeOS 解锁成功 | ChromeOS 设备的屏幕已解锁。 | 不支持 | |
| ChromeOS 解锁失败 | 尝试解锁 ChromeOS 设备失败。 | 不支持 | |
| Chrome 操作系统设备的启动状态发生变化 |
ChromeOS 设备的启动状态已切换为开发者模式或已验证模式。
|
不支持 | 报告设备操作系统信息 |
| Chrome 操作系统添加了 USB 设备 |
USB 设备已添加到 ChromeOS 设备。仅针对关联用户报告此事件。 |
支持 | 报告设备操作系统信息 |
| Chrome 操作系统移除了 USB 设备 | USB 设备已从 ChromeOS 设备中移除。仅针对关联用户报告此事件。 | 支持 | |
| ChromeOS USB 状态更改 | 如果有关联用户登录设备,则报告所有现有 USB 连接。 | 支持 | |
| ChromeOS CRD 主机已开机 | 有关联用户在受管设备上发起了 Chrome Report Desktop (CRD) 主机会话。 | 支持 | 报告设备操作系统信息 |
| ChromeOS CRD 客户端已连接 |
有用户连接到 Chrome Report Desktop (CRD) 会话。 |
支持 | |
| ChromeOS CRD 客户端已断开连接 | 有用户断开与 Chrome Report Desktop (CRD) 会话的连接。 | 支持 | |
| ChromeOS CRD 主机已关机 | 有关联用户在受管设备上停止了 Chrome Report Desktop (CRD) 主机会话。 | 支持 | |
| ChromeOS 回滚成功 | ChromeOS 设备已完成操作系统回滚。 | 不支持 | 报告设备操作系统信息 |
| ChromeOS 版本更新成功 | 用户已成功将 ChromeOS 设备更新到目标 ChromeOS 版本。 | 不支持 | |
| ChromeOS 版本更新失败 | ChromeOS 设备未能更新到目标 ChromeOS 版本。 | 不支持 | |
| 对 ChromeOS 设备执行了 Powerwash 操作 | ChromeOS 设备执行了 Powerwash 操作。 | 不支持 | |
| 数据访问权限控制 | 用户触发了管理员应用的 ChromeOS 数据控制规则。 | 支持 | 数据控制报告 |
管理日志事件数据
管理搜索结果列数据
您可以控制在搜索结果中显示哪些数据列。
- 在搜索结果表格的右上角,点击“管理列”图标
。
- (可选)如要移除当前列,请点击“移除”图标
。
- (可选)如要添加列,请点击新增列旁边的向下箭头
,然后选择相应数据列。
根据需要重复上述步骤。 - (可选)如要更改列的顺序,请拖动数据列名称。
- 点击保存。
导出搜索结果数据
- 点击搜索结果表格顶部的全部导出。
- 输入名称
导出内容会显示在搜索结果表格的导出操作结果下方。 - 如要查看数据,请点击导出结果的名称。
导出结果会在 Google 表格中打开。
创建报告规则
请参阅创建和管理报告规则。
何时可以查看数据?数据会保留多久?
请参阅数据保留时间和延迟时间。
