用户日志事件

“审核和调查”页面:查看用户的登录活动
新的“审核和调查”页面已取代审核日志页面。要了解此变化,请参阅“Google Workspace 的新动态:更加完善的审核和调查功能使用体验”

您可以使用“审核和调查”页面来执行与用户日志事件相关的搜索。在该页面上,您可以查看用户在自己的帐号中执行的重要操作,包括更改密码、帐号恢复详细信息(电话号码、电子邮件地址)和两步验证注册状态。来自电子邮件客户端或非浏览器应用的登录不会记录在此报告中,除非这是被视为可疑会话的程序化登录。

注意: 

  • 在近期发布的版本中,旧的“登录”审核日志和“用户帐号”审核日志已合并到“用户日志事件”数据源有关详情,请参阅新变化:更加完善的审核和调查功能使用体验
  • 如果系统在过去 6 个月内没有任何用户日志事件数据,那么左侧导航菜单中可能不会显示“用户日志事件”。

如需查看您可以调查的服务和活动(例如 Google 云端硬盘或用户活动)的完整列表,请仔细阅读关于审核和调查工具

将日志事件数据转发到 Google Cloud

您可以选择与 Google Cloud 共享日志事件数据。如果您开启共享功能,数据会转发至 Cloud Logging,您可以在此查询和查看您的日志,并控制转送和存储日志的方式。

打开“审核和调查”页面

访问“用户日志事件”数据

  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 依次点击左侧的报告 接着点击 审核和调查 接着点击 用户日志事件

对数据进行过滤

  1. 按照上文访问用户日志事件数据中的说明打开日志事件。
  2. 点击添加过滤条件,然后选择一个属性。
  3. 在弹出式窗口中,选择运算符 接着点击 选择一个值 接着点击 点击应用
  4. (可选)要创建多个搜索过滤条件,请执行以下操作:
    1. 点击添加过滤条件,然后重复第 3 步。
    2. (可选)要添加搜索运算符,请在添加过滤条件上方选择 ANDOR
  5. 点击搜索

注意:您可以使用过滤条件标签页添加简单参数和值对来过滤搜索结果。您也可以使用条件构建器标签页,在该标签页中,过滤条件以 AND/OR 运算符连接的条件表示。

属性说明

对于此数据源,您可以在搜索日志事件数据时使用以下属性:

属性 说明
执行者群组名称

执行者的群组名称。 有关详情,请参阅按 Google 网上论坛群组过滤结果

如要将群组添加到过滤群组许可名单,请按以下步骤操作:

  1. 选择执行者群组名称
  2. 点击过滤群组
    此时,系统会显示“过滤群组”页面。
  3. 点击添加群组
  4. 输入群组名称或电子邮件地址的前几个字符以搜索群组。当您看到所需群组时,请将其选中。
  5. (可选)如果您还想添加其他群组,请搜索并选择相应群组。
  6. 选择好群组后,点击添加
  7. (可选)要移除群组,请点击“移除群组”图标
  8. 点击保存
执行者组织部门 执行者的组织部门
受影响的用户 受影响用户的电子邮件地址
验证类型* 用于验证用户的验证类型,例如“密码”或“安全密钥”
日期 事件发生的日期和时间(以您浏览器的默认时区显示)
网域* 发生操作的网域
电子邮件转发地址 用于接收转发的 Gmail 邮件的电子邮件地址

事件

记录的事件操作,例如“两步验证注册”或“可疑登录”

注意:对于退出事件,即使用户是通过 Google 密码以外的登录类型(如 ExchangeReauthSAML未知)登录的,退出事件的登录类型仍会显示为 Google 密码

IP 地址 用户用于登录的 IP 地址。该地址通常是用户的实际位置,但也可能是代理服务器或虚拟专用网 (VPN) 地址。
是第二重身份验证* 如果用户使用双重身份验证登录,则为 True
如果用户未使用双重身份验证登录,则为 False
可疑* 如果登录尝试可疑,则为 True,否则为 false。仅适用于 login_success 事件
登录时间 用户登录的日期和时间
登录类型

用户使用的身份验证方式:

  • Exchange - 用户通过交换令牌的方式进行身份验证,如通过 OAuth 登录。这也可能是已登录某个会话的用户又登录了其他会话,而系统合并了两个会话
  • Google 密码 - 使用 Google 密码登录,包括登录安全性较低的应用(如果允许)
  • OIDC - 通过单点登录 OpenID Connect (OIDC) 进行身份验证。
  • 重新验证 - 用户通过请求重新验证密码的方式进行身份验证
  • SAML - 通过单点登录安全断言标记语言 (SAML) 进行身份验证
  • 未知 - 用户使用未知方式登录
用户 执行此操作的用户的电子邮件地址。
* 您无法使用这些过滤条件创建报告规则。详细了解报告规则与活动规则

管理日志事件数据

管理搜索结果列数据

您可以控制在搜索结果中显示哪些数据列。

  1. 在搜索结果表格的右上角,点击“管理列”图标
  2. (可选)如要移除当前列,请点击“移除”图标
  3. (可选)如要添加列,请点击新增列旁边的向下箭头 ,然后选择相应数据列。
    根据需要重复上述步骤。
  4. (可选)如要更改列的顺序,请拖动数据列名称。
  5. 点击保存

导出搜索结果数据

  1. 点击搜索结果表格顶部的全部导出
  2. 输入名称 接着点击 点击导出
    导出内容会显示在搜索结果表格的导出操作结果下方。
  3. 如要查看数据,请点击导出结果的名称。
    导出结果会在 Google 表格中打开。

创建报告规则

请参阅创建和管理报告规则

何时可以查看数据?数据会保留多久?

请参阅数据保留时间和延迟时间

相关主题

该内容对您有帮助吗?

您有什么改进建议?
搜索
清除搜索内容
关闭搜索框
Google 应用
主菜单
10267130954193538990
true
搜索支持中心
true
true
true
false
false