“审核和调查”页面:查看 SAML 应用的登录活动
新的“审核和调查”页面已取代审核日志页面。要了解此变化,请参阅“Google Workspace 的新动态:更加完善的审核和调查功能使用体验”
您可以使用“审核和调查”页面来执行与 SAML 日志事件相关的搜索。您可以在此处查看操作的记录,以跟踪用户登录 SAML 应用成功和失败的情况。系统通常会在用户操作后 1 小时内显示相关条目。
如需查看您可以调查的服务和活动(例如 Google 云端硬盘或用户活动)的完整列表,请仔细阅读关于审核和调查工具。
Forward log event data to Google Cloud
Cloud Identity 专业版提供此功能。版本对比
You can opt in to share the log event data with Google Cloud. If you turn on sharing, data is forwarded to Cloud Logging, where you can query and view your logs, and control how you route and store your logs.
打开“审核和调查”页面
访问 SAML 日志事件数据
-
- 点击左侧的报告
审核和调查
对数据进行过滤
- 按照上文访问 SAML 日志事件数据中的说明打开日志事件。
- 点击添加过滤条件,然后选择一个属性。
- 在弹出式窗口中,选择运算符
-
(可选)要创建多个搜索过滤条件,请执行以下操作:
- 点击添加过滤条件,然后重复第 3 步。
- (可选)要添加搜索运算符,请在添加过滤条件上方选择 AND 或 OR。
- 点击搜索。
注意:您可以使用过滤条件标签页添加简单参数和值对来过滤搜索结果。您也可以使用条件构建器标签页,在该标签页中,过滤条件以 AND/OR 运算符连接的条件表示。
属性说明
对于此数据源,您可以在搜索日志事件数据时使用以下属性:
| 属性 | 说明 |
|---|---|
| 执行者 | 执行此操作的用户的电子邮件地址。 |
| 执行者群组名称 |
执行者的群组名称。 有关详情,请参阅按 Google 网上论坛群组过滤结果。 如要将群组添加到过滤群组许可名单,请按以下步骤操作:
|
| 执行者组织部门 | 执行者的组织部门 |
| 应用名称 | 发起事件的 SAML 应用 |
| 日期 | 事件发生的日期和时间(以您浏览器的默认时区显示) |
| 事件 | 系统会记录两种类型的事件:成功的登录尝试和失败的登录尝试 |
| 失败类型 | 对于失败的登录尝试,系统会显示失败类型。如需了解详情,请参阅下文中的失败类型和解决方案。 |
| 发起者 | 发起事件的提供商。可以是身份提供商或服务提供商。 |
| IP 地址 | 用户用于登录 SAML 应用的互联网协议 (IP) 地址。该 IP 地址可能会反映管理员的实际位置,但也可能不会。例如,它也可能是代理服务器地址或虚拟专用网 (VPN) 地址。 |
| 响应二级状态 | SAML 请求成功或失败的状态信息。有关状态代码的详细信息,请参阅 SAML v2.0 Core 的第 3.2.2.2 节。 |
| 响应状态 | SAML 请求成功或失败的状态信息。有关状态代码的详细信息,请参阅 SAML v2.0 Core 的第 3.2.2.2 节。 |
按失败类型过滤数据
- 按照上文访问 SAML 日志事件数据中的说明打开日志事件。
- 点击添加过滤条件
- 在下拉列表中选择一个选项:
- 点击应用。
失败类型和解决方案
日志事件中会记录以下失败类型:
管理日志事件数据
管理搜索结果列数据
您可以控制在搜索结果中显示哪些数据列。
- 在搜索结果表格的右上角,点击“管理列”图标
。
- (可选)如要移除当前列,请点击“移除”图标
。
- (可选)如要添加列,请点击新增列旁边的向下箭头
,然后选择相应数据列。
根据需要重复上述步骤。 - (可选)如要更改列的顺序,请拖动数据列名称。
- 点击保存。
导出搜索结果数据
- 点击搜索结果表格顶部的全部导出。
- 输入名称
导出内容会显示在搜索结果表格的导出操作结果下方。 - 如要查看数据,请点击导出结果的名称。
导出结果会在 Google 表格中打开。
创建报告规则
请参阅创建和管理报告规则。
何时可以查看数据?数据会保留多久?
请参阅数据保留时间和延迟时间。