您可以使用稽核與調查頁面,執行與 Chrome 記錄事件相關的搜尋。在該頁面查看動作記錄,即可追蹤與受管理 Chrome 瀏覽器和 ChromeOS 裝置相關的事件。舉例來說,您可以查看何時有使用者造訪不安全的網站。
如需可以調查的服務和活動完整清單 (例如 Google 雲端硬碟或使用者活動),請參閱「關於稽核與調查工具」。
事前準備
如要查看所有 Chrome 事件,請注意以下事項:
- 瀏覽器必須由 Chrome 瀏覽器雲端管理服務、貴機構所註冊的 ChromeOS 裝置,或 Chrome 瀏覽器中管理的使用者設定檔來管理。
- 您必須為 Chrome 安全性事件設定報告。詳情請參閱「管理 Chrome Enterprise 報告連接器」。
- 如要查看 Chrome 資料保護事件,您必須設定 BeyondCorp Enterprise。詳情請參閱「透過 BeyondCorp Threat and Data Protection 保護 Chrome 使用者」。
開啟稽核與調查頁面
存取 Chrome 記錄事件資料
-
- 在管理控制台中,依序點選「選單」圖示 「報告」「稽核與調查」「Chrome 記錄事件」。
篩選資料
- 按照上方「存取 Chrome 記錄事件資料」一節的說明開啟記錄事件。
- 按一下「新增篩選器」,然後選取屬性。
- 在彈出式視窗中選取運算子 選取所需值 按一下「套用」。
-
(選用) 如要為搜尋建立多項篩選器:
- 按一下「新增篩選器」,然後重複執行步驟 3。
- (選用) 如要新增搜尋運算子,請選取「新增篩選器」上方的「AND」或「OR」。
- 按一下「搜尋」。
注意:您可以在「篩選器」分頁中加入簡單的參數和值組來篩選搜尋結果。您也可以使用「條件建構工具」分頁,讓篩選器以 AND/OR 運算子表示條件。
屬性說明
針對這個資料來源,您可以在搜尋記錄事件資料時使用下列屬性:
屬性 | 說明 |
---|---|
執行者群組名稱 |
執行者的群組名稱。 詳情請參閱「依 Google 群組篩選結果」。 如何將群組加入篩選群組許可清單:
|
執行者機構單位 | 執行者的機構單位。 |
應用程式名稱 | Chrome 線上應用程式商店中的擴充功能名稱。 |
瀏覽器版本 | 指派給 Chrome 瀏覽器版本的編號,例如「123.0.6312.59」 |
用戶端類型 |
事件發生所在的受管理 Chrome 介面。
|
內容雜湊 | 內容的 SHA256 雜湊。 |
內容名稱 | 下載內容的名稱,例如檔案名稱。 |
內容大小* | 下載內容的大小 (以位元組為單位)。 |
內容類型 | 下載內容的媒體 (MIME) 類型,例如「text/html」。 |
日期 | 事件發生的日期和時間 (以您的瀏覽器預設時區為準)。 |
裝置名稱 | 裝置的名稱。 |
裝置平台 | 執行瀏覽器的 OS。 |
裝置使用者 | OS 回報的使用者名稱。 |
Directory API ID | 由 Directory API 傳回的裝置 ID。 |
網域* | 動作發生的網域。 |
擴充功能動作類型 | 觸發事件的 Chrome 擴充功能動作類型,可能是「安裝」、「解除安裝」或「更新」。 |
擴充功能來源 | Chrome 擴充功能的安裝來源,可能是「Chrome 線上應用程式商店」、「外部」或「未指定」。 |
擴充功能版本 | 擴充功能的版本。 |
事件 | 系統記錄的事件動作,例如「未掃描內容」、「造訪不安全的網站」或「密碼重複使用」。 |
事件原因* | 動作的詳細資訊,例如「檔案受密碼保護」。 |
事件結果 | 根據所設政策和規則產生的事件結果,可能是「已略過」、「已封鎖」、「已警告」、「已允許」或「已偵測」。 |
設定檔使用者 | Chrome 瀏覽器設定檔的使用者名稱。 |
掃描 ID | 內容分析掃描觸發事件時的掃描 ID。 |
分頁網址 |
下載檔案時,分頁重新導向的網址。 注意:除了下載項目以外,「分頁網址」和「網址」相同。 |
觸發條件類型 | 觸發事件的使用者動作,例如「不明」、「已列印網頁」、「上傳檔案」、「下載檔案」或「上傳網頁內容」。 |
觸發者 | 與下列事件相關的使用者名稱:
|
網址 | 產生事件的網址。 |
網址類別 | 產生事件網址的內容類別。 |
使用者代理程式 | 用來存取內容的瀏覽器使用者代理程式字串,例如「Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4140.0 Safari/537.36」。 |
虛擬裝置 ID* | 裝置的 ID,這個值會因平台而有所不同。 |
依威脅或資料保護事件篩選資料
- 按照上方「存取 Chrome 記錄事件資料」一節的說明開啟記錄事件。
- 依序按一下「新增篩選器」「事件」。
- 選取運算子。
- 從下拉式清單中選取所需選項。
- 按一下「套用」。
Chrome Threat 事件說明
事件值 | 說明 | 報告連接器支援 |
---|---|---|
當機事件 | 偵測到分頁或瀏覽器停止運作。 | 適用於 Chrome 瀏覽器 112 以上版本 |
安裝擴充功能 | 因使用者執行動作或管理員操作而安裝了瀏覽器擴充功能。 | 適用於 Chrome 瀏覽器 110 以上版本 |
轉移惡意軟體 | 使用者上傳或下載惡意、危險或垃圾內容。 | 適用於 Chrome 瀏覽器 104 以上版本 |
登入事件 |
注意:您必須啟用「密碼管理工具」,系統才會回報此類事件。 使用者透過報告連接器設定中指定的網址,成功登入了網域。您可以在 Google 安全中心內查看該事件。如果使用者未成功登入,則系統不會回報。 |
適用於 Chrome 瀏覽器 105 以上版本 |
密碼外洩 |
注意:您必須啟用「密碼管理工具」,系統才會回報此類事件。 當使用者在網站中輸入使用者名稱和密碼時,如果這些資訊因資料侵害事件,已經在某些網站或應用程式上遭到外洩,Chrome 即會發出警告。詳情請參閱「變更 Google 帳戶中的低安全性密碼」。 Chrome 也會建議使用者,找出使用這些資訊的所有地方,並變更資訊。此外,當密碼儲存於密碼管理工具內時,如果管理控制台中指定的網址發生密碼外洩事件,「Google 安全中心」視窗中也會加以顯示,而且每個網址都會顯示為獨立的記錄。 |
適用於 Chrome 瀏覽器 105 以上版本 |
變更密碼 |
使用者在首次登入使用者帳戶後即重設密碼。 |
適用於 Chrome 瀏覽器 104 以上版本 |
重複使用密碼 | 使用者在未列於企業登入網址許可清單的網址中輸入密碼。 | 適用於 Chrome 瀏覽器 104 以上版本 |
造訪不安全的網站 | 使用者造訪的網址屬於詐騙或惡意網址。 | 適用於 Chrome 瀏覽器 104 以上版本 |
Chrome 資料保護事件說明
只有購買 BeyondCorp Enterprise 的客戶能查看 Chrome 資料保護事件。
如要進一步瞭解 BeyondCorp 及其設定方式,請參閱「透過 BeyondCorp Threat and Data Protection 保護 Chrome 使用者」。
事件值 | 說明 | 報告連接器支援 |
---|---|---|
內容轉移 | 內容已透過 Chrome 上傳、下載或列印,並送交掃描以確認是否含有惡意軟體或機密資料 |
適用於 Chrome 瀏覽器 104 以上版本 須使用 BeyondCorp Enterprise |
未掃描內容 | 導致檔案未掃描的原因有很多,包括:
|
適用於 Chrome 瀏覽器 104 以上版本 須使用 BeyondCorp Enterprise |
機密資料移轉 | 資料保護規則偵測到使用者上傳、下載、列印或貼上的內容含有機密資料。 |
適用於 Chrome 瀏覽器 104 以上版本 須使用 BeyondCorp Enterprise |
網址篩選 | 使用者嘗試存取的網址符合管理員所設的資料保護規則 |
適用於 Chrome 瀏覽器 113 以上版本 須使用 BeyondCorp Enterprise |
ChromeOS 安全性事件說明
- 系統不會針對受管理的訪客、資訊站或非關聯使用者工作階段,收集使用者的電子郵件地址。如需進一步瞭解使用者關聯,請參閱「瞭解使用者關聯」。
- 如要收集這些事件資料,您必須啟用所有報表功能或特定選項 (詳情如下)。詳情請參閱「設定 ChromeOS 裝置政策」一文中的「回報裝置遙測資訊」和「回報裝置 OS 資訊」,以及「為使用者或瀏覽器設定 Chrome 政策」一文中的「資料控管報告」。
事件值 | 說明 | 報告連接器支援 | 所需政策 |
---|---|---|---|
ChromeOS 登入失敗 | 使用者無法登入 ChromeOS 裝置。 | 支援 | 「回報裝置遙測資訊」「登入/登出狀態」 |
ChromeOS 登入成功 | 使用者成功登入 ChromeOS 裝置。 | 支援 | |
登出 ChromeOS | 使用者成功登出 ChromeOS 裝置。 | 支援 | |
已新增 ChromeOS 使用者 | 已將使用者帳戶新增至 ChromeOS 裝置。 | 支援 | |
已移除 ChromeOS 使用者 | 已將使用者帳戶從 ChromeOS 裝置移除。 | 支援 | |
ChromeOS 鎖定成功 | 已鎖定 ChromeOS 裝置螢幕。 | 不支援 | |
ChromeOS 解鎖成功 | 已解鎖 ChromeOS 裝置螢幕。 | 不支援 | |
ChromeOS 解鎖失敗 | 嘗試解鎖 ChromeOS 裝置失敗。 | 不支援 | |
ChromeOS 裝置啟動狀態變更 |
ChromeOS 裝置的啟動狀態已切換為開發人員或已驗證模式。
|
不支援 | 「回報裝置 OS 資訊」「OS 啟動模式」 |
已新增 ChromeOS USB 裝置 |
已將 USB 裝置加入 ChromeOS 裝置。系統只會針對關聯使用者回報此事件。 |
支援 | 「回報裝置 OS 資訊」「USB 周邊裝置狀態」 |
已移除 ChromeOS USB 裝置 | 已將 USB 裝置從 Chrome OS 裝置中移除。系統只會針對關聯使用者回報此事件。 | 支援 | |
ChromeOS USB 狀態變更 | 當關聯使用者登入裝置時,系統會回報所有現有的 USB 連線。 | 支援 | |
ChromeOS CRD 主機已啟動 | 關聯使用者在受管理的裝置上啟動了 Chrome Report Desktop (CRD) 主機工作階段。 | 支援 | 「回報裝置 OS 資訊」「CRD 工作階段」 |
ChromeOS CRD 用戶端已連線 |
使用者連線至 Chrome Report Desktop (CRD) 工作階段。 |
支援 | |
ChromeOS CRD 用戶端已中斷連線 | 使用者中斷了與 Chrome Report Desktop (CRD) 工作階段的連線。 | 支援 | |
ChromeOS CRD 主機已停止 | 關聯使用者在受管理的裝置上停止了 Chrome Report Desktop (CRD) 主機工作階段。 | 支援 | |
ChromeOS 復原成功 | ChromeOS 裝置已完成 OS 復原作業。 | 不支援 | 「回報裝置 OS 資訊」「回報 OS 更新狀態」 |
ChromeOS 版本更新成功 | 使用者成功將 ChromeOS 裝置更新為目標 Chrome 版本。 | 不支援 | |
ChromeOS 版本更新失敗 | ChromeOS 裝置無法更新為目標 ChromeOS 版本。 | 不支援 | |
ChromeOS 裝置已啟動 Powerwash | ChromeOS 裝置已啟動 Powerwash。 | 不支援 | |
資料存取權控管 | 使用者觸發了管理員所套用的 ChromeOS 資料控管規則。 | 支援 | 資料控管報告 |
管理記錄事件資料
管理搜尋結果資料欄
您可以控制搜尋結果中要顯示哪些資料欄。
- 按一下搜尋結果表格右上方的「管理資料欄」圖示 。
- (選用) 如要移除目前的資料欄,請按一下「移除」圖示 。
- (選用) 如要新增資料欄,請按一下「新增資料欄」旁邊的向下箭頭 ,然後選取資料欄。
視需要重複上述步驟。 - (選用) 如要變更資料欄的順序,請拖曳資料欄名稱。
- 按一下「儲存」。
匯出搜尋結果資料
- 按一下搜尋結果表格頂端的「全部匯出」。
- 輸入名稱 按一下「匯出」。
匯出結果會顯示在搜尋結果表格的「匯出動作執行結果」下方。 - 如要查看資料,請按一下匯出項目的名稱。
匯出項目隨即會在 Google 試算表中開啟。
建立報告規則
請參閱建立及管理報告規則。
資料要處理多久?保留時間有多長?
請參閱「資料保留和延遲時間」。