稽核與調查頁面:查看使用者登入活動
稽核記錄頁面已更換為新的稽核與調查頁面。如需這項異動的相關資訊,請參閱「改進稽核與調查服務:Google Workspace 最新消息」
在「稽核與調查」頁面上,您可以執行與使用者記錄事件相關的搜尋,然後查看使用者帳戶的重要活動,包括變更密碼、帳戶救援詳細資訊 (電話號碼、電子郵件地址),以及兩步驟驗證註冊狀態。對於在電子郵件用戶端或非瀏覽器應用程式中的登入活動,除非系統認定相關的程式輔助登入行為來自可疑的工作階段,否則報告一般不會記錄這類活動。
注意:
- 在最近發布的版本中,舊有的「登入稽核記錄」和「使用者帳戶稽核記錄」已合併成「使用者記錄事件」資料來源。詳情請參閱「最新消息:改進稽核與調查服務」。
- 如果系統完全沒有過去 6 個月的使用者記錄事件資料,左側的導覽選單可能就不會顯示「使用者記錄事件」。
如需可以調查的服務和活動完整清單 (例如 Google 雲端硬碟或使用者活動),請參閱「關於稽核與調查工具」。
將記錄事件資料轉送至 Google Cloud
您可以選擇與 Google Cloud 共用記錄事件資料。如果您開啟共用設定,系統會將資料轉送至 Cloud Logging;您可以透過這項服務查詢和查看記錄,以及控管記錄的轉送和儲存方式。
開啟稽核與調查頁面
存取使用者記錄事件資料
-
- 依序按一下左側的「報告」「稽核與調查」「使用者記錄事件」。
篩選資料
- 按照上方「存取使用者記錄事件資料」一節的說明開啟記錄事件。
- 按一下「新增篩選器」,然後選取屬性。
- 在彈出式視窗中選取運算子 選取所需值 按一下「套用」。
-
(選用) 如要為搜尋建立多項篩選器:
- 按一下「新增篩選器」,然後重複執行步驟 3。
- (選用) 如要新增搜尋運算子,請選取「新增篩選器」上方的「AND」或「OR」。
- 按一下「搜尋」。
注意:您可以在「篩選器」分頁中加入簡單的參數和值組來篩選搜尋結果。您也可以使用「條件建構工具」分頁,讓篩選器以 AND/OR 運算子表示條件。
屬性說明
針對這個資料來源,您可以在搜尋記錄事件資料時使用下列屬性:
屬性 | 說明 |
---|---|
執行者群組名稱 |
執行者的群組名稱。 詳情請參閱「依 Google 群組篩選結果」。 如何將群組加入篩選群組許可清單:
|
執行者機構單位 | 執行者的機構單位 |
受影響的使用者 | 受影響使用者的電子郵件地址 |
驗證類型* | 用於驗證使用者的驗證類型,例如「密碼」或「安全金鑰」 |
日期 | 事件發生的日期和時間 (以您的瀏覽器預設時區為準) |
網域* | 動作發生的網域 |
電子郵件轉寄地址 | 轉寄 Gmail 郵件的目標電子郵件地址 |
事件 |
系統記錄的事件動作,例如「兩步驟驗證註冊」或「可疑的登入活動」 備註:針對登出事件,即使使用者是以 Google 密碼以外的方式登入 (例如 Exchange、重新驗證、SAML 或未知),登出事件的「登入類型」仍會顯示 Google 密碼。 |
IP 位址 | 使用者登入所用的 IP 位址。這個位址通常會反映使用者所在的實際位置,但也有可能是 Proxy 伺服器或虛擬私人網路 (VPN) 位址。 |
是次要驗證條件* | 如果使用者透過雙重驗證功能登入,則值為「是」 如果使用者未透過雙重驗證功能登入,則值為「否」 |
為可疑否為 | 如果登入嘗試可疑,則為「true」,否則為「false」。僅適用於「login_success」事件 |
登入時間 | 使用者登入的日期和時間 |
登入類型 |
使用者所用的驗證方法:
|
使用者 | 動作執行者的電子郵件地址 |
管理記錄事件資料
管理搜尋結果資料欄
您可以控制搜尋結果中要顯示哪些資料欄。
- 按一下搜尋結果表格右上方的「管理資料欄」圖示 。
- (選用) 如要移除目前的資料欄,請按一下「移除」圖示 。
- (選用) 如要新增資料欄,請按一下「新增資料欄」旁邊的向下箭頭 ,然後選取資料欄。
視需要重複上述步驟。 - (選用) 如要變更資料欄的順序,請拖曳資料欄名稱。
- 按一下「儲存」。
匯出搜尋結果資料
- 按一下搜尋結果表格頂端的「全部匯出」。
- 輸入名稱 按一下「匯出」。
匯出結果會顯示在搜尋結果表格的「匯出動作執行結果」下方。 - 如要查看資料,請按一下匯出項目的名稱。
匯出項目隨即會在 Google 試算表中開啟。
建立報告規則
請參閱建立及管理報告規則。
資料要處理多久?保留時間有多長?
請參閱「資料保留和延遲時間」。