使用者記錄事件

查看使用者登入活動

視您的 Google Workspace 版本而定,您或許可以使用安全調查工具,享有更多進階功能。舉例來說,超級管理員可以找出安全性和隱私權問題,然後加以分類並採取適當措施。瞭解詳情

機構管理員可以針對使用者記錄事件執行搜尋並採取行動。舉例來說,您可以查看使用者在自己帳戶中執行的重要操作,包括變更密碼、帳戶救援詳細資訊 (電話號碼、電子郵件地址),以及兩步驟驗證註冊狀態。對於在電子郵件用戶端或非瀏覽器應用程式中的登入活動,除非系統認定相關的程式輔助登入行為來自可疑的工作階段,否則報告一般不會記錄這類活動。

注意:如果系統完全沒有過去 6 個月的使用者記錄事件資料,左側的導覽選單可能就不會顯示「使用者記錄事件」

將記錄事件資料轉送至 Google Cloud

您可以選擇與 Google Cloud 共用記錄事件資料。如果您開啟共用設定,系統會將資料轉送至 Cloud Logging;您可以透過這項服務查詢和查看記錄,以及控管記錄的轉送和儲存方式。

針對記錄事件執行搜尋

是否可以執行搜尋取決於您的 Google 版本、管理員權限和資料來源。您可以對所有使用者執行搜尋作業,不論對方擁有的 Google Workspace 版本為何。

稽核與調查工具

如要針對記錄事件執行搜尋,請先選擇資料來源,然後選擇一或多個搜尋篩選器。

  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台中,依序點選「選單」圖示 接下來「報告」接下來「稽核與調查」接下來「使用者記錄事件」
  3. 按一下「新增篩選器」,然後選取屬性。
  4. 在彈出式視窗中選取運算子 接下來 選取所需值 接下來 按一下「套用」
    • (選用) 如要建立多個搜尋篩選器,請重複執行這個步驟。
    • (選用) 如要新增搜尋運算子,請選取「新增篩選器」上方的「AND」或「OR」
    • (選用) 如要建立多個搜尋篩選器,請重複執行這個步驟。
    • (選用) 如要新增搜尋運算子,請選取「新增篩選器」上方的「AND」或「OR」
  5. 按一下「搜尋」
  6. 注意:您可以在「篩選器」分頁中加入簡單的參數和值組來篩選搜尋結果。您也可以使用「條件建構工具」分頁,讓篩選器以 AND/OR 運算子表示條件。

安全調查工具
這項功能適用於 Cloud Identity 進階版。版本比較

如要使用安全調查工具執行搜尋,請先選擇「資料來源」,然後選擇一或多個搜尋篩選「條件」。再針對每個條件分別選擇「屬性」、「運算子」和「值」

  1. 登入 Google 管理控制台

    請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

  2. 在管理控制台中,依序點選「選單」圖示  接下來 「安全性」接下來「安全中心」接下來「調查工具」
  3. 按一下「資料來源」,然後選取「使用者記錄事件」
  4. 按一下「新增條件」
    提示:您可以加入一或多個搜尋條件,或是使用「巢狀查詢」自訂搜尋方式。詳情請參閱「使用巢狀查詢自訂搜尋方式」。
  5. 按一下「屬性」接下來 選取所需選項。
    如需完整的屬性清單,請參閱下方的「屬性說明」一節。
  6. 選取運算子。
  7. 輸入值,或從下拉式清單中選取值。
  8. (選用) 如要新增更多搜尋條件,請重複執行步驟 4 至 7。
  9. 按一下「搜尋」
    調查工具中的搜尋結果會顯示在頁面底部的表格中。
  10. (選用) 如要儲存調查,請按一下「儲存」圖示 接下來 輸入標題和說明接下來 按一下「儲存」

注意:

  • 在「條件建構工具」分頁中,篩選器會以 AND/OR 運算子表示條件。您也可以使用「篩選器」分頁加入簡單的參數和值組來篩選搜尋結果。
  • 如果您為使用者設定新名稱,查詢結果中就不會包含與舊名稱相關的事件。舉例來說,如果您將 <舊名稱>@example.com 重新命名為 <新名稱>@example.com,就不會看見與 <舊名稱>@example.com 相關的事件結果。

屬性說明

針對這個資料來源,您可以在搜尋記錄事件資料時使用下列屬性:

屬性 說明
執行者群組名稱

執行者的群組名稱。 詳情請參閱「依 Google 群組篩選結果」。

如何將群組加入篩選群組許可清單:

  1. 選取「執行者群組名稱」
  2. 按一下「篩選條件群組」
    系統隨即繪顯示篩選條件群組頁面。
  3. 按一下 [新增群組]
  4. 搜尋群組 (輸入群組名稱/群組電子郵件地址的前幾個字元),並在找到後選取該群組。
  5. (選用) 若要新增其他群組,請搜尋並選取群組。
  6. 選好群組後,按一下 [新增]
  7. (選用) 如要移除群組,請按一下「移除群組」圖示
  8. 按一下「儲存」
執行者機構單位 執行者的機構單位
受影響的使用者 受影響使用者的電子郵件地址
驗證類型*

用於驗證使用者的驗證類型,例如「密碼」或「安全金鑰」

注意:如果 2024 年 9 月 30 日前建立的稽核記錄中,有名為「其他」的驗證類型,「密碼金鑰」等新增的驗證類型可能無法與該類型保持一致。

日期 事件發生的日期和時間 (以您的瀏覽器預設時區為準)
網域* 動作發生的網域
電子郵件轉寄地址 轉寄 Gmail 郵件的目標電子郵件地址

事件

系統記錄的事件動作,例如「兩步驟驗證註冊」或「可疑的登入活動」

注意:針對登出事件,即使使用者透過 Google 密碼以外的方式登入 (例如 Exchange重新驗證SAML未知),登出事件的「登入類型」仍會顯示 Google 密碼

IP 位址 使用者登入所用的 IP 位址。這個位址通常會反映使用者所在的實際位置,但也可能是 Proxy 伺服器或虛擬私人網路 (VPN) 位址。
是次要驗證條件* 如果使用者透過雙重驗證功能登入,則值為「true」
如果使用者未透過雙重驗證功能登入,則值為「false」
為可疑* 如果嘗試登入行為可疑,則為「true」,否則為「false」。僅適用於「login_success」事件
登入時間 使用者登入的日期和時間
登入類型

使用者所用的驗證方式:

  • Exchange:使用者透過交換權杖的方式驗證 (例如透過 OAuth 登入)。這也可能表示已登入工作階段的使用者又登入另一個工作階段,然後系統合併了這 2 個工作階段
  • Google 密碼:使用 Google 密碼登入,包括登入低安全性應用程式 (如果允許)
  • OIDC:透過單一登入 OpenID Connect (OIDC) 驗證。
  • 重新驗證:使用者以要求重新驗證密碼的方式驗證
  • SAML:透過單一登入安全宣告標記語言 (SAML) 驗證**
  • 未知:使用者以未知方法登入
使用者 動作執行者的電子郵件地址

* 您無法使用這些篩選器建立報告規則。進一步瞭解報告規則與活動規則的比較

** 若 SAML 使用者採用貴機構的單一登入 (SSO) 設定檔 (舊版 SAML),請注意以下事項:如果 SAML 登入嘗試來自不明裝置或 IP 位址,或是風險評估結果較高,則會在記錄事件中留下 失敗的登入活動  Google 密碼 的記錄。即使 SAML 登入成功,仍會留下此記錄,因為系統會將初次登入嘗試標記為可疑。這個登入失敗項目的後面會接著登入成功的 SAML 事件。在舊版 SAML 中,單次 SAML 登入會產生兩個登入工作階段。第一個工作階段通常與目標不符,只有在系統判定該工作階段並非可疑時,才會將其篩除。

注意:如果您為使用者設定新名稱,查詢結果中就不會包含與舊名稱相關的事件。舉例來說,如果您將 <舊名稱>@example.com 重新命名為 <新名稱>@example.com,就不會看見與 <舊名稱>@example.com 相關的事件結果。

管理記錄事件資料

管理搜尋結果資料欄

您可以控制搜尋結果中要顯示哪些資料欄。

  1. 按一下搜尋結果表格右上方的「管理資料欄」圖示 
  2. (選用) 如要移除目前的資料欄,請按一下「移除」圖示 
  3. (選用) 如要新增資料欄,請按一下「新增資料欄」旁邊的向下箭頭 ,然後選取資料欄。
    視需要重複上述步驟。
  4. (選用) 如要變更資料欄的順序,請拖曳資料欄名稱。
  5. 按一下「儲存」

匯出搜尋結果資料

您可以將搜尋結果匯出為 Google 試算表或 CSV 檔案。

  1. 按一下搜尋結果表格頂端的「全部匯出」
  2. 輸入名稱 接下來 按一下「匯出」
    匯出結果會顯示在搜尋結果表格的「匯出動作執行結果」下方。
  3. 如要查看資料,請按一下匯出項目的名稱。
    匯出項目隨即會在 Google 試算表中開啟。

匯出限制不盡相同:

  • 匯出結果總上限為 100,000 列 (但若是 Gmail 郵件搜尋結果,則上限為 10,000 列)。
  • 這項功能適用於 Cloud Identity 進階版。版本比較

    如果您使用安全調查工具,匯出結果總上限為 3,000 萬列 (但若是 Gmail 郵件搜尋結果,則上限為 10,000 列)。

詳情請參閱「匯出搜尋結果」。

資料要處理多久?保留時間有多長?

依據搜尋結果執行所需動作

建立活動規則及設定快訊
  • 您可以使用報告規則,根據記錄事件資料設定快訊。如需操作說明,請參閱「建立及管理報告規則」。
  • 這項功能適用於 Cloud Identity 進階版。版本比較

    為了有效地預防、偵測及修正安全問題,您可以建立「活動規則」,讓安全調查工具依此自動執行作業及傳送快訊。設定規則時,您需要先設定觸發規則的條件,再指定符合條件時要執行的動作。如需詳細資訊和操作說明,請參閱「建立及管理活動規則」。

根據搜尋結果執行動作

這項功能適用於 Cloud Identity 進階版。版本比較

使用安全調查工具執行搜尋後,您可以對找到的搜尋結果採取行動。舉例來說,您可以根據 Gmail 記錄事件執行搜尋,然後透過工具刪除特定郵件、將郵件傳送至隔離區,或將郵件傳送至使用者的收件匣。詳情請參閱「依據搜尋結果執行所需動作」。

管理調查項目

這項功能適用於 Cloud Identity 進階版。版本比較

查看您的調查清單

如要查看調查清單,一覽您本身擁有及接受他人共用的調查項目,請按一下「查看調查」圖示 。這份清單會列出調查項目的名稱、說明、擁有者和上次修改日期。

您可以在這份清單中對自己擁有的調查項目執行動作 (例如刪除調查項目),方法是勾選調查項目旁邊的方塊,然後按一下「動作」

注意:在調查清單正上方的「快速存取」底下,您可以查看近期儲存的調查項目。

配置調查設定

超級管理員可以點選「設定」圖示 並執行下列操作:

  • 變更調查項目的時區。搜尋條件和結果會套用這項時區設定。
  • 開啟或關閉「需要審查者」。詳情請參閱「要求為大量動作指派審查者」。
  • 開啟或關閉「查看內容」。這項設定可讓具備適當權限的管理員查看內容。
  • 開啟或關閉「請啟用動作執行原因」設定。

如需操作說明和詳細資訊,請參閱「配置調查設定」。

共用、刪除及複製調查項目

如要儲存搜尋條件或與他人共用,您可以選擇建立並儲存調查項目,接著即可共用、複製或刪除這個調查項目。

如需詳細資訊,請參閱「儲存、共用、刪除及複製調查項目」。

這對您有幫助嗎?

我們應如何改進呢?
true
搜尋
清除搜尋內容
關閉搜尋
主選單
12002580357184196221
true
搜尋說明中心
true
true
true
false
false