审核 Google 保险柜用户的活动

您可以通过保险柜审核报告详细了解保险柜用户的活动情况。例如,您可以查看哪些帐号修改了保留规则或搜索了贵单位的数据。保险柜用户是指单位部门中有权登录保险柜并执行操作的帐号。详细了解保险柜权限

您可以将保险柜审核报告导出为 CSV 文件,然后使用任何电子表格查看器(包括 Google 表格)查看这类文件。

如何生成保险柜审核报告

  1. 在保险柜中,转到报告 > 审核
  2. 选择日期范围中,添加审核的开始日期和结束日期。
  3. 选择保险柜用户中,添加您要对其执行审核的用户。您在此处输入的保险柜用户拥有保险柜权限,而您要审核的是这些用户在保险柜中执行的操作(例如,设置保留规则、在诉讼或调查中搜索、修改保全或执行任何其他管理员操作)。
  4. 选择操作类型中,根据您要审核哪些操作的信息,选中相应操作旁边的复选框。例如,您可以选择保留政策,以便审核保险柜用户执行的保留相关操作,例如保险柜用户创建或修改了哪些保留规则,以及相应的创建或修改时间。
  5. 点击下载 CSV 文件。系统会将包含审核信息的 CSV 文件下载到您的设备。

要了解 CSV 文件中的各个值的定义,请参阅审核报告中的内容

审核报告中的内容

审核报告中的每一行都列出某一项操作的相关信息。每项操作的信息都由 11 个值组成。某些值仅适用于特定操作,而对其他操作留空。

展开所有部分  |  收起所有部分

时间戳(以毫秒为单位,从新纪元开始计算)

操作发生的时间(以毫秒为单位,从新纪元开始计算),即从 1970 年 1 月 1 日(世界协调时间/格林尼治标准时间的午夜)起到操作发生时所经过的毫秒数。您无需对时间戳进行转换,因为系统还会在“日期”值中以人类可读时间格式记录操作的发生时间。

日期

以人类可读时间格式记录的操作发生时间。该值由星期几、日期、时、分和秒组成。时区始终为太平洋时区 (–0700 或 –0800)。

操作

发生的操作。可能的值:

操作值 说明

ADD_COLLABORATOR_BEGIN

ADD_COLLABORATOR_END

当用户与其他用户分享特定诉讼或调查时记录。诉讼或调查的 ID 号码会记录在“诉讼或调查”值中。诉讼或调查的共享对象的电子邮件地址会记录在电子邮件值中。

ADD_LITIGATION_HOLD_BEGIN

ADD_LITIGATION_HOLD_END

当用户在诉讼或调查中创建保全时记录。诉讼或调查的 ID 号码会记录在“诉讼或调查”值中。对于内容受保全的用户,其电子邮件地址会记录在“名称”值中。

ADD_RETENTION_RULE_BEGIN

ADD_RETENTION_RULE_END

当用户创建自定义保留规则时记录。系统会为新建的规则指定唯一 ID,并在“名称”值中予以记录。保留期限会以“期限:# 天”的形式记录在“详细信息”值中。

CLOSE_INVESTIGATION_BEGIN

CLOSE_INVESTIGATION_END

当用户关闭诉讼或调查时记录。诉讼或调查的 ID 会记录在“诉讼或调查”值中。

CREATE_EXPORT_BEGIN

CREATE_EXPORT_END

已弃用 - 改为 EXPORT。报告 2014 年 2 月或之前执行的导出操作。

当用户导出在诉讼或调查中搜索到的文档时记录。所导出文档的名称会记录在“名称”值中。搜索条件会记录在“查询字符串”值中。

CREATE_INVESTIGATION_BEGIN

CREATE_INVESTIGATION_END

当用户创建诉讼或调查时记录。诉讼或调查的 ID 号码会记录在“诉讼或调查”值中。诉讼或调查的名称会记录在“名称”值中。

CREATE_SAVED_QUERY_BEGIN

CREATE_SAVE_QUERY_END

当用户在诉讼或调查中保存搜索查询时记录。用户所用的搜索条件会记录在“查询搜索”值中。

DELETE_RETENTION_RULE_BEGIN

DELETE_RETENTION_RULE_END

当用户删除自定义保留规则时记录。自定义保留规则的 ID 号码会记录在“名称”值中。
DOWNLOAD_CROSS_MATTER_LITIGATION_HOLD_REPORT 当用户从“网域保全”、“用户保全”或“群组保全”下载保全列表时记录。
DOWNLOAD_PER_MATTER_LITIGATION_HOLD_REPORT 当用户在诉讼或调查中下载保全列表时记录。诉讼或调查的 ID 号码会记录在“诉讼或调查”值中。
EXPORT 当用户执行导出操作时记录。导出内容的名称会记录在“名称”值中。搜索条件会记录在“查询字符串”值中。

MODIFY_DEFAULT_RETENTION_PERIOD_BEGIN

MODIFY_DEFAULT_RETENTION_PERIOD_END

当用户修改默认保留规则时记录。修改后的保留期限会以“期限:# 天”的形式记录在“详细信息”值中。

REMOVE_COLLABORATOR_BEGIN

REMOVE_COLLABORATOR_END

当用户从共享的诉讼或调查中移除其他用户时记录。诉讼或调查的 ID 会记录在“诉讼或调查”值中。对于不再属于诉讼或调查的共享对象的用户,其电子邮件地址会记录在电子邮件值中。

REMOVE_LITIGATION_HOLD_BEGIN

REMOVE_LITIGATION_HOLD_END

当用户移除某个帐号的保全时记录。诉讼或调查的 ID 号码会记录在“诉讼或调查”值中。对于内容不再受保全的用户,其电子邮件地址会记录在“名称”值中。
SEARCH 当用户通过诉讼或调查执行搜索时记录。诉讼或调查的 ID 号码会记录在“诉讼或调查”值中。搜索条件会记录在“查询字符串”值中。

UPDATE_RETENTION_RULE_BEGIN

UPDATE_RETENTION_RULE_END

当用户修改自定义保留规则时记录。自定义保留规则的 ID 号码会记录在“名称”值中。修改后的保留期限会以“期限:# 天”的形式记录在“详细信息”值中。
VIEW_CROSS_MATTER_LITIGATION_HOLD_REPORT 当用户点击用户保全来查看哪些用户受保全时记录。
VIEW_CUSTODIAN_LITIGATION_HOLD_REPORT 当用户点击网域保全来查看针对单位部门或用户设置的保全时记录。
VIEW_DOCUMENT 当用户查看文档时记录。该文档的唯一 ID 号码会记录在“名称”值中。
VIEW_INVESTIGATION 当用户在诉讼或调查中打开“搜索”或“导出”页面时记录。
VIEW_MATTER_AUDIT_LOG 当用户在特定诉讼或调查中执行审核时记录。诉讼或调查的 ID 号码会记录在“诉讼或调查”值中。
VIEW_PER_MATTER_LITIGATION_HOLD_REPORT 当用户查看诉讼或调查的保全时记录。诉讼或调查的 ID 号码会记录在“诉讼或调查”值中。
VIEW_RETENTION_POLICY 当用户打开“保留”页面时记录。
VIEW_SYSTEM_AUDIT_LOG 当用户下载审核报告时记录。
用户

执行了“操作”值中操作的保险柜用户的电子邮件地址。

诉讼或调查

如果用户在特定诉讼或调查中执行了操作,则此值会记录该诉讼或调查的唯一 ID。此诉讼或调查 ID 是该诉讼或调查的"保险柜网址"的一部分。

名称

此值中显示的信息取决于保险柜用户所执行的操作:

  • 如果用户查看了文档(VIEW_DOCUMENT 操作),则此值会记录相应文档的唯一 ID。

    示例:ACD7onr49fP6DqvgAvIDhboAqqth9q7ekwGc0xpC3xjhpylzQvvQoNKmBKyE9NL1Qdww4eA2SQSc5mOF0JJ_bV_tkVFU3TWIdIrBYOiZLw0eBA9-xL7A-pc

  • 如果用户添加或移除了协作者(ADD_COLLABORATOR_BEGIN/END 或 REMOVE_COLLABORATOR_BEGIN/END 操作),则此值会记录被添加或移除的用户的电子邮件地址。
  • 如果用户在诉讼或调查中创建了导出内容(CREATE_EXPORT_BEGIN/END 操作),则此值会记录导出内容的名称。
电子邮件

在诉讼或调查中添加或移除的协作者的电子邮件地址(ADD_COLLABORATOR_BEGIN/END 或 REMOVE_COLLABORATOR_BEGIN/END 操作)。

来源网址

用户查看的任何文档的网址(VIEW_DOCUMENT 操作)。

查询字符串

用户针对特定搜索操作输入的搜索参数(SEARCH 或 SEARCH_COUNT 操作)。

示例:查询:"( Project X )"

单位

操作所适用的单位部门的名称。例如,保险柜用户创建了适用于特定单位部门的保留规则。

详细信息

用户为自定义保留规则设置的保留期限(以天为单位)。该期限的表示方式为:“期限:# 天”。

审核日志中的信息会保留多长时间

只要贵单位继续使用保险柜,Google 或者任何保险柜管理员或用户就无法删除或截断审核报告中的操作数据。

如果贵单位停用保险柜服务,则系统会在大约 30 天后删除审核数据。

该内容对您有帮助吗?
您有什么改进建议?