เหตุการณ์ในบันทึกของผู้ใช้

หน้าการตรวจสอบและการสืบสวน: ตรวจสอบกิจกรรมการลงชื่อเข้าใช้ของผู้ใช้

หน้าบันทึกการตรวจสอบได้เปลี่ยนเป็นหน้าการตรวจสอบและการสืบสวนใหม่ ดูข้อมูลเกี่ยวกับการเปลี่ยนแปลงนี้ได้ที่หัวข้อปรับปรุงการตรวจสอบและการสืบสวน: มีอะไรใหม่ใน Google Workspace

คุณสามารถใช้หน้าการตรวจสอบและการสืบสวนเพื่อค้นหาเหตุการณ์ในบันทึกของผู้ใช้ที่เกี่ยวข้องได้ ที่หน้านี้ คุณจะตรวจสอบการดำเนินการสำคัญๆ ที่ผู้ใช้ทำในบัญชีของตนเองได้ การดำเนินการดังกล่าวรวมถึงการเปลี่ยนรหัสผ่าน รายละเอียดการกู้คืนบัญชี (หมายเลขโทรศัพท์ อีเมล) และการลงทะเบียนการยืนยันแบบ 2 ขั้นตอน ทั้งนี้ ระบบจะไม่บันทึกการเข้าสู่ระบบจากโปรแกรมรับส่งอีเมลหรือแอปพลิเคชันที่ไม่ใช่เบราว์เซอร์ไว้ในรายงานนี้ ยกเว้นการเข้าสู่ระบบแบบเป็นโปรแกรมจากเซสชันที่มีลักษณะน่าสงสัย

หมายเหตุ

ระหว่างการเปิดตัวล่าสุด บันทึกการตรวจสอบการเข้าสู่ระบบและบันทึกการตรวจสอบบัญชีผู้ใช้เดิมจะรวมไว้ในแหล่งข้อมูลเหตุการณ์ในบันทึกของผู้ใช้ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อมีอะไรใหม่: ปรับปรุงประสบการณ์การตรวจสอบและการสืบสวน
หากไม่มีข้อมูลสำหรับเหตุการณ์ในบันทึกของผู้ใช้ในช่วง 6 เดือนที่ผ่านมา ระบบอาจไม่แสดงเหตุการณ์ในบันทึกของผู้ใช้ในเมนูการนำทางด้านซ้าย

หากต้องการรายชื่อบริการและกิจกรรมทั้งหมดที่ตรวจสอบได้ เช่น Google ไดรฟ์หรือกิจกรรมของผู้ใช้ โปรดอ่านหัวข้อเกี่ยวกับเครื่องมือตรวจสอบ

ส่งต่อข้อมูลเหตุการณ์ในบันทึกไปยัง Google Cloud

คุณสามารถเลือกแชร์ข้อมูลเหตุการณ์ในบันทึกกับ Google Cloud ได้ หากคุณเปิดการแชร์ ข้อมูลจะส่งต่อไปยัง Cloud Logging ซึ่งคุณสามารถค้นหาและดูบันทึก และควบคุมการกำหนดเส้นทางและการจัดเก็บบันทึกของคุณได้

เปิดหน้าการตรวจสอบและการสืบสวน

เข้าถึงข้อมูลเหตุการณ์ในบันทึกของผู้ใช้

ลงชื่อเข้าใช้ คอนโซลผู้ดูแลระบบของ Google
ลงชื่อเข้าใช้โดยใช้บัญชีผู้ดูแลระบบ (ที่ไม่ลงท้ายด้วย @gmail.com)
ทางด้านซ้าย ให้คลิกการรายงานการตรวจสอบและการสืบสวนเหตุการณ์ในบันทึกของผู้ใช้

กรองข้อมูล

เปิดเหตุการณ์ในบันทึกตามที่อธิบายไว้ข้างต้นในหัวข้อเข้าถึงข้อมูลเหตุการณ์ในบันทึกของผู้ใช้
คลิกเพิ่มตัวกรอง จากนั้นเลือกแอตทริบิวต์
ในหน้าต่างป๊อปอัป ให้เลือกโอเปอเรเตอร์เลือกค่าคลิกใช้
(ไม่บังคับ) หากต้องการสร้างตัวกรองหลายรายการสำหรับการค้นหา ให้ทำดังนี้
1. คลิกเพิ่มตัวกรองและทำตามขั้นตอนที่ 3 ซ้ำ
2. (ไม่บังคับ) หากต้องการเพิ่มโอเปอเรเตอร์การค้นหา ให้เลือก AND หรือ OR เหนือเพิ่มตัวกรอง
คลิกค้นหา

หมายเหตุ: คุณใช้แท็บตัวกรองเพื่อใส่พารามิเตอร์และค่าคู่ที่เรียบง่ายเพื่อกรองผลการค้นหาได้ และยังใช้แท็บเครื่องมือสร้างเงื่อนไข ซึ่งมีตัวกรองที่แสดงเงื่อนไขเป็นโอเปอเรเตอร์ AND/OR ได้ด้วย

คำอธิบายแอตทริบิวต์

สำหรับแหล่งข้อมูลนี้ คุณจะใช้แอตทริบิวต์ต่อไปนี้เมื่อค้นหาข้อมูลเหตุการณ์ในบันทึกได้

แอตทริบิวต์	คำอธิบาย
ชื่อกลุ่มผู้ดำเนินการ	ชื่อกลุ่มที่ผู้ดำเนินการอยู่ โปรดดูข้อมูลเพิ่มเติมที่หัวข้อการกรองผลลัพธ์ตาม Google Group หากต้องการเพิ่มกลุ่มไปยังรายการที่อนุญาตของกลุ่มการกรอง ให้ทำดังนี้ เลือกชื่อกลุ่มของผู้ดำเนินการ คลิกกลุ่มการกรอง หน้ากลุ่มการกรองจะแสดงขึ้น คลิกเพิ่มกลุ่ม ค้นหากลุ่มโดยป้อนอักขระ 2-3 ตัวแรกของชื่อหรืออีเมลของกลุ่ม เมื่อเห็นกลุ่มที่ต้องการ ให้เลือกกลุ่มดังกล่าว (ไม่บังคับ) หากต้องการเพิ่มกลุ่มอื่น ให้ค้นหาและเลือกกลุ่ม คลิกเพิ่มเมื่อเลือกกลุ่มแล้ว (ไม่บังคับ) หากต้องการนำกลุ่มออก ให้คลิกนำกลุ่มออก คลิกบันทึก
หน่วยขององค์กรผู้ดำเนินการ	หน่วยองค์กรที่ผู้ดำเนินการอยู่
ผู้ใช้ที่ได้รับผลกระทบ	อีเมลของผู้ใช้ที่ได้รับผลกระทบ
ประเภทคำถาม	ประเภทของคำถามที่ใช้ยืนยันผู้ใช้ เช่น รหัสผ่านหรือคีย์ความปลอดภัย
วันที่	วันที่และเวลาของเหตุการณ์ (ตามที่แสดงในเขตเวลาเริ่มต้นของเบราว์เซอร์)
โดเมน	โดเมนที่มีการดำเนินการ
อีเมลสำหรับส่งต่อ	อีเมลที่จะส่งต่อข้อความ Gmail ไปยัง
เหตุการณ์	การดำเนินการของเหตุการณ์ที่บันทึกไว้ เช่น การลงทะเบียนการยืนยันแบบ 2 ขั้นตอนหรือการเข้าสู่ระบบที่น่าสงสัย หมายเหตุ: สําหรับเหตุการณ์ออกจากระบบ แม้ว่าผู้ใช้จะลงชื่อเข้าใช้ด้วยประเภทการเข้าสู่ระบบอื่นนอกเหนือจาก Google Password (เช่น Exchange, Reauth, SAML หรือ Unknown) ประเภทการเข้าสู่ระบบสําหรับเหตุการณ์ออกจากระบบจะแสดงเป็น Google Password
ที่อยู่ IP	ที่อยู่ IP ที่ผู้ใช้ใช้ในการลงชื่อเข้าใช้ ปกติแล้วที่อยู่นี้จะแสดงตำแหน่งจริงของผู้ใช้ หรืออาจเป็นพร็อกซีเซิร์ฟเวอร์หรือที่อยู่เครือข่ายส่วนตัวเสมือน (VPN) ก็ได้
เป็นปัจจัยที่สอง	จริง หากผู้ใช้ลงชื่อเข้าใช้ด้วยการตรวจสอบสิทธิ์แบบ 2 ปัจจัย ไม่จริง หากผู้ใช้ไม่ได้ลงชื่อเข้าใช้ด้วยการตรวจสอบสิทธิ์แบบ 2 ปัจจัย
น่าสงสัย	จริง หากการพยายามลงชื่อเข้าใช้น่าสงสัย หากไม่ จะเป็นเท็จ ใช้กับเหตุการณ์ login_success เท่านั้น
เวลาที่เข้าสู่ระบบ	วันที่และเวลาที่ผู้ใช้ลงชื่อเข้าใช้
ประเภทการเข้าสู่ระบบ	วิธีการตรวจสอบสิทธิ์ที่ผู้ใช้ใช้ การแลกเปลี่ยน - เมื่อผู้ใช้ได้รับการตรวจสอบสิทธิ์โดยการแลกเปลี่ยนโทเค็น เช่น ผ่านการเข้าสู่ระบบแบบ OAuth และอาจระบุได้ด้วยว่าผู้ใช้มีการลงชื่อเข้าใช้เซสชันใหม่ในขณะที่ยังเข้าใช้อีกเซสชันหนึ่งอยู่ ระบบจึงรวมทั้ง 2 เซสชันเข้าด้วยกัน รหัสผ่าน Google - ใช้รหัสผ่านของ Google รวมถึงการลงชื่อเข้าใช้แอปที่มีความปลอดภัยน้อย (หากอนุญาต) OIDC - การตรวจสอบสิทธิ์ด้วย OpenID Connect (OIDC) การลงชื่อเพียงครั้งเดียว Reauth - ผู้ใช้ตรวจสอบสิทธิ์ด้วยคำขอตรวจสอบสิทธิ์รหัสผ่านอีกครั้ง SAML - ตรวจสอบสิทธิ์ด้วยภาษามาร์กอัปเพื่อยืนยันความปลอดภัย (SAML) ของการลงชื่อเพียงครั้งเดียว ไม่ระบุ - ผู้ใช้ลงชื่อเข้าใช้ด้วยวิธีการที่ไม่รู้จัก
ผู้ใช้	อีเมลของผู้ใช้ที่เป็นผู้ดำเนินการ

* คุณสร้างกฎการรายงานด้วยตัวกรองเหล่านี้ไม่ได้ ดูข้อมูลเพิ่มเติมเกี่ยวกับกฎการรายงานเทียบกับกฎกิจกรรม

จัดการข้อมูลเหตุการณ์ในบันทึก

จัดการข้อมูลคอลัมน์ผลการค้นหา

คุณควบคุมได้ว่าจะให้คอลัมน์ข้อมูลใดปรากฏในผลการค้นหา

คลิก "จัดการคอลัมน์" ที่ด้านขวาบนของตารางผลการค้นหา
(ไม่บังคับ) หากต้องการนำคอลัมน์ปัจจุบันออก ให้คลิก "นำออก"
(ไม่บังคับ) หากต้องการเพิ่มคอลัมน์ ให้คลิกลูกศรลง ข้างเพิ่มคอลัมน์ใหม่แล้วเลือกคอลัมน์ข้อมูล
ทำซ้ำได้ตามต้องการ
(ไม่บังคับ) หากต้องการเปลี่ยนลำดับของคอลัมน์ ให้ลากชื่อคอลัมน์ข้อมูล
คลิกบันทึก

ส่งออกข้อมูลผลการค้นหา

คลิกส่งออกทั้งหมดที่ด้านบนของตารางผลการค้นหา
ป้อนชื่อ คลิกส่งออก
การส่งออกจะแสดงใต้ตารางผลการค้นหาในส่วนส่งออกผลลัพธ์การดำเนินการ
หากต้องการดูข้อมูล ให้คลิกชื่อการส่งออก
การส่งออกจะเปิดขึ้นใน Google ชีต

สร้างกฎการรายงาน

ไปที่หัวข้อสร้างและจัดการกฎการรายงาน

ข้อมูลจะใช้ได้เมื่อใดและใช้ได้นานเพียงใด

ไปที่หัวข้อการเก็บรักษาข้อมูลและเวลาล่าช้า

หัวข้อที่เกี่ยวข้อง

ข้อมูลนี้มีประโยชน์ไหม

เราจะปรับปรุงได้อย่างไร