在調查工具中查看搜尋結果

這項功能適用於 G Suite Enterprise、G Suite Enterprise 教育版,以及 Cloud Identity 進階版。

調查工具中的搜尋結果會顯示在搜尋資訊卡底部的表格中。

注意:視您的 G Suite 版本而定,可用的記錄會有所不同。

裝置記錄事件

裝置記錄事件的搜尋結果包含下列詳細資料:

  • 事件發生的日期和時間
  • 裝置 ID
  • 事件
  • 裝置擁有者
  • 裝置類型
  • 裝置型號
  • 密碼輸入錯誤次數
  • 裝置遭駭狀態
  • 裝置法規遵循狀態
  • 裝置屬性
  • 裝置設定
  • 應用程式 SHA-256 雜湊
  • 應用程式 ID
  • 應用程式狀態
  • 新值
  • 新裝置 ID
  • 資源 ID
  • 序號
  • iOS 供應商 ID
  • 網域
  • 帳戶狀態
  • 註冊權限
  • 裝置擁有權
  • 舊值
  • 作業系統屬性

裝置

裝置的搜尋結果包含下列詳細資料:

  • 裝置 ID
  • 裝置擁有者
  • 裝置類型
  • 裝置型號
  • 狀態
  • 上次同步日期
  • 裝置遭駭狀態
  • 密碼狀態
  • 管理服務類型
  • 安全性修補日期
  • 註冊日期
  • 電信業者

雲端硬碟記錄事件

雲端硬碟記錄事件的搜尋結果包含下列詳細資料:

  • 雲端硬碟事件 (例如檔案共用設定變更) 發生的日期和時間
  • 文件 ID
  • 名稱
  • 文件類型
  • 先前的顯示設定
  • 顯示設定
  • 事件
  • 執行者 (例如變更文件瀏覽權限的使用者)
  • 擁有者
  • 目標
  • IP 位址
  • 舊值
  • 新值
  • 網域

Gmail 記錄事件

Gmail 記錄事件的搜尋結果包含下列詳細資料:

  • 事件發生的日期和時間
  • 郵件 ID
  • 主旨
  • 事件

    搜尋結果包含下列事件:
    • 管理員隔離區
    • 附件下載
    • 附件連結點擊
    • 附件存入雲端硬碟
    • 已自動轉寄
    • 雲端硬碟項目存入雲端硬碟
    • 逾期垃圾郵件分類
    • 連結點擊
    • 標示為未讀取
    • 移出垃圾桶
    • 移至收件匣
    • 移至垃圾桶
    • 開啟
    • 接收
    • 解除隔離狀態
    • 回覆
    • 傳送
    • 使用者垃圾郵件分類
       
  • 寄件者 (標頭地址)
  • 寄件者 (信封)
  • 收件者 (信封)
  • 擁有者
  • 網域
  • 附件雜湊
  • 附件名稱
  • 附件惡意軟體系列
  • IP 位址
  • 寄件者 (標頭名稱)
  • 連結網域
  • SPF 網域
  • DKIM 網域
  • 流量來源
  • 垃圾郵件分類
  • 垃圾郵件分類原因
  • 地理位置
  • OAuth 專案 ID
  • 目標連結網址
  • 目標附件雜湊
  • 目標附件名稱
  • 目標附件惡意軟體系列
  • 目標雲端硬碟 ID

注意:如果貴機構設有資料位置限制,您就無法使用調查工具依郵件主旨搜尋 Gmail 記錄事件。搜尋結果中的「主旨」欄會留空。

Gmail 郵件

Gmail 郵件的搜尋結果包含下列詳細資料:

  • 郵件 ID
  • 擁有者
  • 主旨
  • 日期
  • 寄件者
  • 收件者
  • 標籤
  • 附件名稱

使用者記錄事件

適用於參與 G Suite Enterprise、Cloud Identity 進階版和 G Suite Essentials Beta 版測試的客戶

使用者記錄事件的搜尋結果包含下列詳細資料:

  • 登入成功
  • 登入失敗
  • 登出
  • 登入驗證
  • 登入驗證
  • 可疑的登入活動
  • 來自低安全性應用程式的可疑登入活動
  • 使用程式輔助方式進行的可疑登入活動
  • 帳戶已停用
  • Google 發現有人取得了您的密碼,因此已停用這個帳戶
  • 此帳戶已被停用,因為 Google 在其中偵測到可疑活動,研判可能已經遭駭
  • Google 發現有人使用這個帳戶濫發垃圾郵件,因此已將其停用
  • Google 發現有人透過 SMTP 轉發服務將這個帳戶用於濫發垃圾郵件,因此已將其停用

使用者

使用者的搜尋結果包含下列詳細資料:

  • 主要電子郵件
  • 其他電子郵件
  • 名字
  • 姓氏
  • 上次登入時間
  • 超級管理員
  • 委派的管理員
  • 已註冊兩步驟驗證
  • 所屬機構強制執行兩步驟驗證
  • 已停權 ID
  • 登入時變更密碼
  • 信箱已設定完成

管理搜尋結果中顯示的資料欄

在搜尋結果表格的右上角按一下齒輪圖示,即可自訂搜尋結果中的資料欄顯示方式。您可以在「管理欄」視窗中刪除資料欄、新增資料欄,或將資料欄拖曳到其他位置,藉此調整搜尋結果的顯示方式。

將搜尋結果匯出為 Google 試算表檔案,並儲存在您的「我的雲端硬碟」資料夾

如要將搜尋結果儲存至您的「我的雲端硬碟」資料夾,請按一下表格頂端的「匯出」按鈕 file_download_grey600_24dp.png

查看匯出的搜尋結果

查看匯出的搜尋結果時,請注意以下幾點:

  • 點選表格頂端的「匯出」按鈕 file_download_grey600_24dp.png 後,系統會在您的「我的雲端硬碟」資料夾中建立含有搜尋結果的 Google 試算表。視結果的大小而定,匯出流程可能需要一段時間才能完成,且系統可能會建立多個 Google 試算表。匯出結果最多共有 3,000 萬列 (如果是 Gmail 郵件搜尋則為 125 萬列)。
  • 資料匯出的過程中,系統會以暫時的名稱建立 Google 試算表,例如:TMP-1<名稱>。如果建立多個 Google 試算表,系統則會將其他檔案命名為 TMP-2<名稱>、TMP-3<名稱>,以此類推。匯出完畢後,檔案名稱會自動改為 <名稱> [N 之 1]<名稱> [N 之 2],以此類推。如果只有一個 Google 試算表含有匯出的資料,該檔案的名稱會改為 <名稱>
  • 針對含有匯出搜尋結果的檔案,其共用權限取決於您所屬網域的設定。舉例來說,如果在預設情形下,建立的檔案會與公司內部的所有人共用,則匯出的資料也會採用這項瀏覽權限設定。

更新延遲時間

Gmail 記錄資料來源提供的事件有更新延遲時間 (最多 60 分鐘)。這表示搜尋結果可能不會包含過去 60 分鐘內發生的 Gmail 事件。

如果是雲端硬碟記錄事件、裝置記錄事件和使用者記錄事件,更新延遲時間為 80 分鐘。

如果您是針對裝置進行搜尋,則新的資料可能需要 3 天才會反映在所有搜尋結果中。如果是針對使用者進行搜尋,則可能需要 36 小時。

Gmail 和雲端硬碟記錄資料的保留時間

Gmail 記錄資料會保留 30 天,雲端硬碟記錄資料則會保留 6 個月。 

管理員稽核記錄

管理員稽核記錄會顯示管理員使用調查工具查詢的內容和執行的操作。

在管理員稽核記錄中,您可以查看管理員執行的查詢類型,以及篩選器使用詳情。如要查看管理員執行的操作,您可以按一下管理員稽核記錄中的連結,直接在調查工具中查看結果。

 

這對您有幫助嗎?
我們應如何改進呢?