“审核和调查”页面:查看用户尝试共享敏感数据的行为
新的“审核和调查”页面已取代审核日志页面。要了解此变化,请参阅“Google Workspace 的新动态:更加完善的审核和调查功能使用体验”
作为贵单位的管理员,您可以使用“审核和调查”页面来执行与规则日志事件相关的搜索。您可以在此处查看操作的记录,以了解用户尝试共享敏感数据的情况。例如,您可以查看违反数据泄露防护 (DLP) 规则的事件所触发的事件。系统通常会在用户操作后 1 小时内显示相关条目。
规则日志事件还会列出 BeyondCorp Threat and Data Protection 的数据类型。
如需查看您可以调查的服务和活动(例如 Google 云端硬盘或用户活动)的完整列表,请仔细阅读关于审核和调查工具。
打开“审核和调查”页面
访问规则日志事件数据
-
-
在管理控制台中,依次点击“菜单”图标
报告
审核和调查
对数据进行过滤
- 按照上文访问规则日志事件数据中的说明打开日志事件。
- 点击添加过滤条件,然后选择一个属性。
- 在弹出式窗口中,选择运算符
-
(可选)要创建多个搜索过滤条件,请执行以下操作:
- 点击添加过滤条件,然后重复第 3 步。
- (可选)要添加搜索运算符,请在添加过滤条件上方选择 AND 或 OR。
- 点击搜索。
注意:您可以使用过滤条件标签页添加简单参数和值对来过滤搜索结果。您也可以使用条件构建器标签页,在该标签页中,过滤条件以 AND/OR 运算符连接的条件表示。
属性说明
对于此数据源,您可以在搜索日志事件数据时使用以下属性:
| 属性 | 说明 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
| 访问权限级别 | 选择作为此规则的情境感知访问权限条件的访问权限级别。访问权限级别仅适用于 Chrome 数据。如需了解详情,请参阅创建情境感知访问权限级别。 | ||||||||
| 执行者 | 执行操作的用户的电子邮件地址。如果事件是由于重新扫描而触发的,则该值可能为匿名用户。 | ||||||||
| 执行者群组名称 |
执行者的群组名称。 有关详情,请参阅按 Google 网上论坛群组过滤结果。 如要将群组添加到过滤群组许可名单,请按以下步骤操作:
|
||||||||
| 执行者组织部门 | 执行者所属的组织部门 | ||||||||
| 已屏蔽的收件人 | 被所触发的规则屏蔽的收件人 | ||||||||
| 根据条件触发的操作 | 可能会在用户访问时触发的操作列表,具体取决于为规则配置的上下文条件。 | ||||||||
| 会议 ID | 此规则触发器触发的会议的会议 ID | ||||||||
| 容器 ID | 资源所属的父级容器的 ID | ||||||||
| 容器类型 | 资源所属的父级容器的类型,例如 Chat 聊天室或群聊(对于聊天消息或聊天附件) | ||||||||
| 数据源 | 提供资源的应用 | ||||||||
| 日期 | 事件发生的日期和时间 | ||||||||
| 检测器 ID | 匹配的检测器的标识符 | ||||||||
| 检测器名称 | 管理员指定的匹配的检测器的名称 | ||||||||
| 设备 ID | 触发了操作的设备的 ID。此数据类型适用于 Chrome Enterprise Premium threat and data protection。 | ||||||||
| 设备类型 | 设备 ID 引用的设备类型。此数据类型适用于 Chrome Enterprise Premium threat and data protection。 | ||||||||
| 事件 | 记录的事件操作。
* 这些事件名称中的“操作完成”部分将被弃用。 |
||||||||
| 包含敏感内容 | 对于检测到并记录了敏感内容的触发的 DLP 规则,该值为 True。 | ||||||||
| 收件人* | 收到共享资源的用户 | ||||||||
| 忽略的收件人数* | 因超出限制而忽略的资源收件人数量 | ||||||||
| 资源 ID | 所修改的对象。对于数据泄露防护规则:
|
||||||||
| 资源所有者 | 系统已扫描并应用了操作的资源的所有者 | ||||||||
| 资源标题 | 所修改的资源的标题。对于 DLP,此为文档标题。 | ||||||||
| 资源类型 | 对于 DLP,资源为“文档”。 对于 Chat DLP,资源为聊天消息或聊天附件。 | ||||||||
| 规则 ID | 触发的规则的 ID | ||||||||
| 规则名称 | 管理员在创建规则时指定的规则名称 | ||||||||
| 规则类型 | 对于 DLP 规则,该值为“DLP” | ||||||||
| 扫描类型 |
有效值包括:
|
||||||||
| 严重程度 | 为触发的规则分配的严重程度 | ||||||||
| 抑制的操作* | 被禁止执行的针对规则所配置的操作。如果在触发某操作的同时,还触发了另一个优先级更高的操作,则前者会被禁止执行。 | ||||||||
| 触发器 | 触发规则的活动 | ||||||||
| 触发的操作 | 列出所执行的操作。如果触发的是仅记入审核日志的规则,则此值为空。 | ||||||||
| 触发器客户端 IP | 触发操作的执行者的 IP 地址 | ||||||||
| 触发规则的用户的电子邮件地址* | 触发操作的执行者的电子邮件地址 | ||||||||
| 用户操作 | 用户尝试执行的操作被规则屏蔽 |
管理日志事件数据
管理搜索结果列数据
您可以控制在搜索结果中显示哪些数据列。
- 在搜索结果表格的右上角,点击“管理列”图标
。
- (可选)如要移除当前列,请点击“移除”图标
。
- (可选)如要添加列,请点击新增列旁边的向下箭头
,然后选择相应数据列。
根据需要重复上述步骤。 - (可选)如要更改列的顺序,请拖动数据列名称。
- 点击保存。
导出搜索结果数据
- 点击搜索结果表格顶部的全部导出。
- 输入名称
导出内容会显示在搜索结果表格的导出操作结果下方。 - 如要查看数据,请点击导出结果的名称。
导出结果会在 Google 表格中打开。
创建报告规则
请参阅创建和管理报告规则。
何时可以查看数据?数据会保留多久?
请参阅数据保留时间和延迟时间。
使用规则日志事件调查数据泄露防护规则违规行为
作为管理员,您可以使用数据泄露防护 (DLP) 代码段来调查违反数据泄露防护规则的行为是真实的突发事件还是误报。有关详情,请参阅查看触发数据泄露防护规则的内容(Beta 版)。
