您可能可以使用具有更多高级功能的安全调查工具,具体取决于您的 Google Workspace 版本。例如,超级用户可以识别安全和隐私问题、适当分类并采取应对措施。了解详情
作为组织的管理员,您可以搜索规则日志事件并相应采取措施。例如,您可以查看操作记录来审核用户尝试共享敏感数据的行为。您还可以查看违反数据泄露防护 (DLP) 规则的事件。系统通常会在用户操作后 1 小时内显示相关条目。
规则日志事件还会列出 Chrome Enterprise Premium threat and data protection 的数据类型。
将日志事件数据转发到 Google Cloud
您可以选择与 Google Cloud 共享日志事件数据。如果您开启共享功能,数据会转发至 Cloud Logging,您可以在此查询和查看您的日志,并控制转送和存储日志的方式。
搜索日志事件
能否执行搜索取决于您的 Google 版本、管理员权限和数据源。您可以对所有用户执行搜索,无论他们使用什么 Google Workspace 版本。
如需搜索日志事件,请先选择数据源。然后选择一个或多个过滤条件以用于搜索。
-
-
在管理控制台中,依次点击“菜单”图标
报告
审核和调查
- 点击添加过滤条件,然后选择一个属性。
- 在弹出式窗口中,选择运算符
- (可选)如需为搜索创建多个过滤条件,请重复此步骤。
- (可选)要添加搜索运算符,请在添加过滤条件上方选择 AND 或 OR。
- (可选)如需为搜索创建多个过滤条件,请重复此步骤。
- (可选)如需添加搜索运算符,请在添加过滤条件上方选择 AND 或 OR
- 点击搜索。
-
注意:您可以使用过滤条件标签页添加简单参数和值对来过滤搜索结果。您也可以使用条件构建器标签页,在该标签页中,过滤条件以 AND/OR 运算符连接的条件表示。
如需在安全调查工具中执行搜索,请先选择数据源。然后选择一个或多个搜索条件。请为每个条件分别选择属性、运算符和值。
-
-
在管理控制台中,依次点击“菜单”图标
安全性
- 点击数据源,然后选择规则日志事件。
- 点击添加条件。
提示:您可以添加一种或多种搜索条件,或使用嵌套查询自定义搜索。如需了解详情,请参阅使用嵌套查询自定义搜索。 - 点击属性
如需查看完整的属性列表,请参阅下文中的属性说明部分。 - 选择一个运算符。
- 输入值或从下拉列表中选择一个值。
- (可选)如需添加更多搜索条件,请重复第 4 至 7 步。
- 点击搜索。
调查工具中的搜索结果会显示在页面底部的一个表格中。 - (可选)如需保存调查,请点击保存图标
注意:
- 在条件构建器标签页中,过滤条件会以带有“AND”/“OR”运算符的条件呈现。您还可以使用过滤器标签页来添加简单的参数和值对,以便过滤搜索结果。
- 如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com 相关的事件。
属性说明
对于此数据源,您可以在搜索日志事件数据时使用以下属性:
| 属性 | 说明 |
|---|---|
| 访问权限级别 | 选择作为此规则的情境感知访问权限条件的访问权限级别。访问权限级别仅适用于 Chrome 数据。如需了解详情,请参阅创建情境感知访问权限级别。 |
| 执行者 | 执行操作的用户的电子邮件地址。如果事件是由于重新扫描而触发的,则该值可能为匿名用户。 |
| 执行者群组名称 |
执行者的群组名称。 有关详情,请参阅按 Google 网上论坛群组过滤结果。 如要将群组添加到过滤群组许可名单,请按以下步骤操作:
|
| 执行者组织部门 | 执行者所属的组织部门 |
| 已屏蔽的收件人 | 被所触发的规则屏蔽的收件人 |
| 根据条件触发的操作 | 在用户访问时可能触发的操作的列表,具体取决于为规则配置的情境条件。 |
| 会议 ID | 此规则触发器触发的会议的会议 ID |
| 容器 ID | 资源所属的父级容器的 ID |
| 容器类型 | 资源所属的父级容器的类型,例如 Chat 聊天室或群聊(对于聊天消息或聊天附件) |
| 数据源 | 提供资源的应用 |
| 日期 | 事件发生的日期和时间 |
| 检测器 ID | 匹配的检测器的标识符 |
| 检测器名称 | 管理员指定的匹配的检测器的名称 |
| 设备 ID | 触发了操作的设备的 ID。此数据类型适用于 Chrome Enterprise Premium threat and data protection。 |
| 设备类型 | 设备 ID 引用的设备类型。此数据类型适用于 Chrome Enterprise Premium threat and data protection。 |
| 事件 |
记录的事件操作。 云端硬盘系统会为云端硬盘记录以下数据泄露防护 (DLP) 规则事件:
云端硬盘备注:
Gmail系统会为 Gmail 记录以下 DLP 规则事件:
* 这些事件名称中的“操作已完成”部分将被废弃。 |
| 包含敏感内容 | 对于检测到并记录了敏感内容的触发的 DLP 规则,该值为 True。 |
| 收件人* | 收到共享资源的用户 |
| 忽略的收件人数* | 因超出限制而忽略的资源收件人数量 |
| 资源 ID | 所修改的对象。对于数据泄露防护规则:
|
| 资源所有者 | 系统已扫描并应用了操作的资源的所有者 |
| 资源标题 | 所修改的资源的标题。对于 DLP,此为文档标题。 |
| 资源类型 | 对于 DLP,资源为“文档”。 对于 Chat DLP,资源为聊天消息或聊天附件。 |
| 规则 ID | 触发的规则的 ID |
| 规则名称 | 管理员在创建规则时指定的规则名称 |
| 规则类型 | 对于 DLP 规则,该值为“DLP”DLP |
| 扫描类型 |
有效值包括:
|
| 严重程度 | 为触发的规则分配的严重程度 |
| 抑制的操作* | 被禁止执行的针对规则所配置的操作。如果在触发某操作的同时,还触发了另一个优先级更高的操作,则前者会被禁止执行。 |
| 触发器 | 触发规则的活动 |
| 触发的操作 | 列出所执行的操作。如果触发的是仅记入审核日志的规则,则此值为空。 |
| 触发器客户端 IP | 触发操作的执行者的 IP 地址 |
| 触发规则的用户的电子邮件地址* | 触发操作的执行者的电子邮件地址 |
| 用户操作 | 用户尝试执行操作,但被规则屏蔽了 |
注意:如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com相关的事件。
管理日志事件数据
管理搜索结果列数据
您可以控制在搜索结果中显示哪些数据列。
- 在搜索结果表格的右上角,点击“管理列”图标
。
- (可选)如要移除当前列,请点击“移除”图标
。
- (可选)如要添加列,请点击新增列旁边的向下箭头
,然后选择相应数据列。
根据需要重复上述步骤。 - (可选)如要更改列的顺序,请拖动数据列名称。
- 点击保存。
导出搜索结果数据
您可以将搜索结果导出为 Google 表格文件或 CSV 文件。
- 点击搜索结果表格顶部的全部导出。
- 输入名称
导出内容会显示在搜索结果表格的导出操作结果下方。 - 如要查看数据,请点击导出结果的名称。
导出结果会在 Google 表格中打开。
导出限制因情况而异:
- 导出结果总数上限为 100,000 行(Gmail 邮件搜索结果除外,其上限为 10,000 行)。
- 支持此功能的版本:一线员工标准版、企业标准版、企业 Plus 版、教育标准版、教育 Plus 版、企业基本功能 Plus 版、Cloud Identity 专业版。 比较您的版本
如果您拥有安全调查工具,则导出结果总数上限为 3 千万行(Gmail 邮件搜索结果除外,其上限为 10,000 万行)。
如需了解详情,请参阅导出搜索结果。
何时可以查看数据?数据会保留多久?
根据搜索结果执行操作
支持此功能的版本:一线员工标准版、企业标准版、企业 Plus 版、教育标准版、教育 Plus 版、企业基本功能 Plus 版、Cloud Identity 专业版。 比较您的版本
在安全调查工具中执行搜索后,您可以根据搜索结果执行操作。举例来说,您可以搜索 Gmail 日志事件,然后使用该工具删除特定邮件,或者将邮件发送至隔离区或用户的收件箱。如需了解详情,请参阅根据搜索结果执行操作。
管理调查
支持此功能的版本:一线员工标准版、企业标准版、企业 Plus 版、教育标准版、教育 Plus 版、企业基本功能 Plus 版、Cloud Identity 专业版。 比较您的版本
查看您的调查列表如要查看您拥有的以及他人与您共享的调查列表,请点击“查看调查”图标 。调查列表包含的信息有:名称、说明、调查所有者及上次修改日期。
在此列表中,您可以对所拥有的任意调查执行操作(例如删除调查)。只需选中相应调查的复选框,然后点击操作。
注意:在调查列表正上方的快速访问部分,您可以查看最近保存的调查。
作为超级用户,您可以点击“设置”图标 ,以便执行以下操作:
- 更改调查的时区,而搜索条件和结果会采用您设置的时区。
- 开启或关闭需要审核者。有关详情,请参阅需要审核者批准进行批量操作。
- 开启或关闭查看内容。开启后,拥有适当权限的管理员可以查看内容。
- 开启或关闭需要输入执行操作的原因。
有关说明和详细信息,请参阅为调查配置设置。
如要保存搜索条件或与他人共享搜索条件,您可以创建并保存调查,然后共享、复制或删除调查。
有关详情,请参阅保存、共享、删除和复制调查。
使用规则日志事件调查 Chat 消息
作为管理员,您可以为 Chat 创建数据保护规则,以便监控和防止敏感内容泄露。然后,您可以使用安全调查工具监控组织中的 Chat 活动,包括从网域外部发送的消息和文件。有关详情,请参阅调查 Chat 消息以保护组织数据。
使用规则日志事件调查违反 DLP 规则的行为
作为管理员,您可以使用数据泄露防护 (DLP) 片段来调查违反数据泄露防护规则的行为是真实的突发事件还是误报。有关详情,请参阅查看触发数据泄露防护规则的内容。