Lorsque vous personnalisez votre recherche dans l'outil d'investigation, vous pouvez y inclure une ou plusieurs conditions. Si vous personnalisez une recherche comportant au moins deux conditions, vous avez également la possibilité de créer des requêtes imbriquées, c'est-à-dire des recherches incluant deux ou trois niveaux de conditions.
Utiliser des requêtes imbriquées vous permet d'affiner votre recherche en spécifiant des critères plus précis et ciblés sur des types d'événements spécifiques. Pour ce faire, cliquez sur Ajouter un groupe de conditions lors de la personnalisation de votre recherche.
Par exemple, vous pouvez effectuer une recherche sur les e-mails entrants dans votre organisation pour trouver les utilisateurs qui reçoivent des pièces jointes. Vous pouvez également affiner votre recherche en incluant uniquement les utilisateurs qui ouvrent ces pièces jointes ou cliquent sur les liens présents dans les e-mails. Lorsque vous personnalisez la recherche, vous pouvez vous baser sur la source de données Événements de journaux Gmail et configurer les conditions suivantes :
- L'e-mail doit contenir une pièce jointe.
- ET l'utilisateur doit ouvrir la pièce jointe OU cliquer sur un lien dans l'e-mail.
Remarque : La plupart des sources de données permettent de configurer des requêtes imbriquées à trois niveaux. La source de données Utilisateurs n'active que les requêtes imbriquées à deux niveaux, tandis que la source de données Navigateurs Chrome ne permet pas les requêtes imbriquées.