在 Google 管理控制台中,您可以使用安全调查工具查看贵组织的用户和管理员活动,然后根据搜索结果执行操作。您可以使用这些信息来跟踪用户和管理员,以及确保安全性。
请参阅下表,详细了解调查工具中可以使用的不同数据源,以及支持每个数据源的 Google Workspace 版本。
您对安全调查工具的访问权限
- 安全调查工具支持的版本包括企业 Plus 版、教育标准版、教育 Plus 版和 Enterprise Essentials Plus。
- Cloud Identity 专业版、Frontline Standard、企业标准版和教育标准版的管理员也可以使用安全调查工具,但只能处理一部分数据源。
- 能否在调查工具中进行搜索取决于您的 Google 版本、管理特权和数据源。如果您无法在调查工具中搜索特定数据源,可以改为访问审核和调查页面。 有关详情,请参阅改进的审核和调查功能体验。
- 您可以在调查工具中针对所有用户执行搜索,无论他们使用的是哪个 Google 版本。
按 Google 群组过滤结果
使用 Google 群组过滤审核日志有助于构建统计信息并提高性能,因为系统只会跟踪所选的群组。您必须将群组明确添加到过滤群组的许可名单中,因为结果可能会包含敏感信息(例如宗教、性别和其他数据)。
系统只能返回从添加过滤群组到移除过滤群组这段时间内的过滤群组结果。无法使用群组过滤在添加群组之前创建的审核日志和事件。
管理过滤群组许可名单
-
- 在管理控制台中,找到“过滤群组”页面。
- 点击添加群组。
- 输入群组名称或电子邮件地址的前几个字符以搜索群组。当您看到所需群组时,请将其选中。
- (可选)如果您还想添加其他群组,请搜索并选择相应群组。
- 选择好群组后,点击添加。
- (可选)要移除群组,请点击移除群组
。
- 点击保存。
选择一个数据源以开始
如要在调查工具中访问数据,请在 Google 管理控制台首页依次点击安全性安全中心
调查工具。
注意:安全调查工具能否访问特定数据源,取决于您的 Google Workspace 版本,以及您在 Google 管理控制台中对特定功能的管理员权限。
| 数据源 | 说明 |
|---|---|
| Access Transparency 日志事件 | 查看 Google 员工在访问您的数据时的操作情况 |
| 管理员日志事件 | 查看和调查 Google 管理控制台中的管理员活动 |
| 作业日志事件 |
查看常见活动,例如学生是加入了课程还是已提交作业 注意:您必须是 Google Workspace 教育版管理员,才能访问“作业”日志事件 |
| 日历日志事件 | 查看和跟踪 Google 日历中用户活动的更改 |
| Chat 日志事件 | 跟踪用户对话和聊天室活动 |
| Chrome 浏览器 | 查看和调查与 Chrome 浏览器相关的实时状态数据 |
| Chrome 日志事件* | 查看和调查 Chrome 日志事件 |
| Chrome 同步日志事件 | 查看和调查已启用 Chrome 同步功能的用户所执行操作的记录 |
| “课堂”日志事件 | 查看常见活动,例如哪位用户从课程中移除了学生或将课程归档 注意:您必须是 Google Workspace 教育版管理员,才能访问 Google 课堂日志事件 |
| Cloud Search 日志事件 | 查看和调查 Cloud Search 中的用户操作 |
| 联系人日志事件 | 查看和调查用户的联系人活动 |
| 情境感知访问权限日志事件 | 使用数据排查用户访问应用的相关问题 |
| 设备日志事件* | 查看贵单位设备中的活动 |
| 设备 | 查看和调查设备的实时状态数据 |
| Directory Sync 日志事件 | 查看与 Google Cloud Directory Sync 相关的事件 |
| 云端硬盘日志事件 | 查看用户的 Google 云端硬盘活动 |
| Gmail 日志事件 | 调查与 Gmail 相关的用户和管理员活动 |
| Gmail 邮件 | 查看和调查 Gmail 邮件的实时状态数据 |
| Graduation 日志事件 | 跟踪用户数据转移 |
| Groups Enterprise 日志事件 | 查看管理控制台中针对群组和群组成员资格的相关操作 |
| Google 网上论坛日志事件 | 查看在 Google 网上论坛中用户对群组所做的更改 |
| Jamboard 日志事件 | 跟踪 Jamboard 发生的更改 |
| Keep 日志事件 | 跟踪贵组织用户所拥有记事的活动 |
| Looker 数据洞察日志事件 | 在 Looker Studio 中查看用户的操作 |
| Meet 日志事件 | 了解用户的视频会议活动 |
| OAuth 日志事件* | 跟踪第三方应用的使用情况和数据访问请求 |
| 密码受保管的应用日志事件 | 查看与密码受保管的应用相关的管理员和用户活动 |
| 个人资料日志事件 | 查看和调查与用户个人资料相关的活动 |
| 规则日志事件* | 跟踪用户尝试共享敏感数据的行为 |
| SAML 日志事件 | 查看用户对 SAML 应用的登录情况 |
| 安全 LDAP 日志事件 | 查看针对安全 LDAP 服务的 LDAP 操作情况 |
| Google 导出日志事件 | 查看用户的 Google 导出活动 |
| Tasks 日志事件 | 查看和调查与任务、任务列表和周期性任务相关的用户操作 |
| 用户日志事件* | 查看用户账号中的用户活动。注意:“用户日志事件”数据源会提供先前包含在“登录审核日志”和“用户账号审核日志”中的数据。 |
| 用户 | 查看和调查用户的实时状态数据 |
| 保险柜日志事件 | 查看 Google 保险柜中的活动 |
| Voice 日志事件* | 查看 Google Voice 中的用户活动 |
*除了企业 Plus 版和教育 Plus 版之外,还面向Frontline Standard、企业标准版、教育标准版和 Cloud Identity 专业版提供
何时可以查看数据?数据会保留多久?
请参阅数据保留时间和延迟时间。