稽核與調查頁面:查看使用者嘗試分享機密資料的記錄
稽核記錄頁面已更換為新的稽核與調查頁面。如需這項異動的相關資訊,請參閱「改進稽核與調查服務:Google Workspace 最新消息」
機構管理員可以使用稽核與調查頁面,執行與規則記錄事件相關的搜尋。在該頁面查看看動作記錄,即可瞭解使用者嘗試分享機密資料的記錄。舉例來說,您可以查看資料遺失防護 (DLP) 規則違規事件觸發的事件。記錄項目通常會在使用者執行動作後的一小時內顯示。
此外,規則記錄事件也會列出 BeyondCorp Threat and Data Protection 資料類型。
如需可以調查的服務和活動完整清單 (例如 Google 雲端硬碟或使用者活動),請參閱「關於稽核與調查工具」。
開啟稽核與調查頁面
存取規則記錄事件資料
-
-
在管理控制台中,依序點選「選單」圖示 「報告」「稽核與調查」「規則記錄事件」。
篩選資料
- 按照上方「存取規則記錄事件資料」一節的說明開啟記錄事件。
- 按一下「新增篩選器」,然後選取屬性。
- 在彈出式視窗中選取運算子 選取所需值 按一下「套用」。
-
(選用) 如要為搜尋建立多項篩選器:
- 按一下「新增篩選器」,然後重複執行步驟 3。
- (選用) 如要新增搜尋運算子,請選取「新增篩選器」上方的「AND」或「OR」。
- 按一下「搜尋」。
注意:您可以在「篩選器」分頁中加入簡單的參數和值組來篩選搜尋結果。您也可以使用「條件建構工具」分頁,讓篩選器以 AND/OR 運算子表示條件。
屬性說明
針對這個資料來源,您可以在搜尋記錄事件資料時使用下列屬性:
屬性 | 說明 | ||||||||
---|---|---|---|---|---|---|---|---|---|
存取層級 | 選為這項規則的情境感知存取權條件的存取層級。存取層級僅適用於 Chrome 資料。詳情請參閱「建立情境感知存取權層級」。 | ||||||||
操作者 | 執行動作的使用者電子郵件地址。如果事件是重新掃描的結果,這個值可能為「匿名使用者」。 | ||||||||
執行者群組名稱 |
執行者的群組名稱。 詳情請參閱「依 Google 群組篩選結果」。 如何將群組加入篩選群組許可清單:
|
||||||||
執行者機構單位 | 執行者的機構單位 | ||||||||
封鎖的接收者 | 因觸發規則而遭封鎖的收件者 | ||||||||
條件式動作 | 視規則所設的情境條件而定,使用者存取時可能會觸發動作清單。 | ||||||||
會議場次 ID | 做為此規則觸發條件中的會議場次 ID | ||||||||
容器 ID | 資源所屬父項容器的 ID | ||||||||
容器類型 | 資源所屬的父項容器類型。舉例來說,如果是即時通訊訊息或即時通訊附件,則容器類型為 Chat 聊天室或群組通訊 | ||||||||
資料來源 | 資源的來源應用程式 | ||||||||
日期 | 事件發生的日期和時間 | ||||||||
偵測工具 ID | 相符的偵測工具 ID | ||||||||
偵測工具名稱 | 管理員定義的相符偵測工具的名稱 | ||||||||
裝置 ID | 觸發動作所在裝置的 ID。此資料類型適用於 Chrome Enterprise Premium threat and data protection。 | ||||||||
裝置類型 | 裝置 ID 所參照的裝置類型此資料類型適用於 Chrome Enterprise Premium threat and data protection。 | ||||||||
事件 | 系統所記錄的事件動作。
* 這些事件名稱的「動作完成」部分將會淘汰。 |
||||||||
含有機密內容 | 若已觸發的資料遺失防護規則偵測到機密內容並將其記錄下來,則這個值為 True。 | ||||||||
接收者* | 資源的共用對象 | ||||||||
接收者省略數量* | 超過指定上限的資源收件者省略數量 | ||||||||
資源 ID | 遭到修改的物件。如果是資料遺失防護規則:
|
||||||||
資源擁有者 | 擁有資源的使用者。這項資源已掃描過並套用了動作 | ||||||||
資源標題 | 遭修改資源的標題。如果事件是根據資料遺失防護規則而觸發,這個值即表示文件標題。 | ||||||||
Resource type (資源類型) | 如果事件是根據資料遺失防護規則而觸發,資源類型為「文件」。 如果是 Chat 資料遺失防護功能,資源類型為 Chat 訊息或 Chat 附件。 | ||||||||
規則 ID | 觸發規則的 ID | ||||||||
規則名稱 | 管理員在建立規則時提供的名稱 | ||||||||
規則類型 | 如果事件是因資料遺失防護規則而觸發,規則類型的值為「資料遺失防護」 | ||||||||
掃描類型 |
值為:
|
||||||||
嚴重性 | 系統在規則觸發時為其指定的嚴重程度 | ||||||||
未執行動作* | 已為規則設定但未執行的動作。如果優先順序較高的動作同時發生且受到觸發,系統就不會執行優先順序較低的動作 | ||||||||
觸發條件 | 導致規則觸發的活動 | ||||||||
已觸發動作 | 系統會列出已採取的動作。如果是僅限稽核的規則受到觸發,則系統不會列出任何動作 | ||||||||
觸發條件的用戶端 IP | 觸發動作的執行者 IP 位址 | ||||||||
動作觸發者的電子郵件* | 觸發動作的執行者電子郵件地址 | ||||||||
使用者操作 | 使用者嘗試執行的操作遭到規則封鎖 |
管理記錄事件資料
管理搜尋結果資料欄
您可以控制搜尋結果中要顯示哪些資料欄。
- 按一下搜尋結果表格右上方的「管理資料欄」圖示 。
- (選用) 如要移除目前的資料欄,請按一下「移除」圖示 。
- (選用) 如要新增資料欄,請按一下「新增資料欄」旁邊的向下箭頭 ,然後選取資料欄。
視需要重複上述步驟。 - (選用) 如要變更資料欄的順序,請拖曳資料欄名稱。
- 按一下「儲存」。
匯出搜尋結果資料
- 按一下搜尋結果表格頂端的「全部匯出」。
- 輸入名稱 按一下「匯出」。
匯出結果會顯示在搜尋結果表格的「匯出動作執行結果」下方。 - 如要查看資料,請按一下匯出項目的名稱。
匯出項目隨即會在 Google 試算表中開啟。
建立報告規則
請參閱建立及管理報告規則。
資料要處理多久?保留時間有多長?
請參閱「資料保留和延遲時間」。
使用規則記錄事件,調查違反資料遺失防護規則的情形
管理員可以使用資料遺失防護 (DLP) 摘要調查事件,確認是否確實違反資料遺失防護規則,或屬於誤判情形。詳情請參閱「查看觸發資料遺失防護規則的內容 (Beta 版)」。