Google 保险柜适用于管理员和法务人员。您必须先让 Google Workspace 管理员为您设置帐号,然后才能使用保险柜。谁是我的管理员?
本指南概述了 Google 保险柜的电子取证功能,您可以使用此功能搜索和导出贵组织的 Google Workspace 数据。
第 1 步:登录保险柜
转到 https://vault.google.com,然后使用您的 Google Workspace 账号登录。
如果您无法登录保险柜,请让 Google Workspace 管理员为您启用保险柜。
第 2 步:创建诉讼或调查
您需要创建一个称作“诉讼或调查”的工作区,然后才能搜索和导出用户数据。可以将诉讼或调查视作一个供您存储搜索查询和导出文件包的文件夹。您可以与他人(包括外部用户)共享诉讼或调查。
- 点击诉讼或调查
创建。
如果您没有看到创建选项,请让 Google Workspace 管理员授予您必要的权限。
- 为诉讼或调查输入名称。
- (可选)输入说明并为诉讼或调查指定数据区域。
- 点击创建。
创建。
第 3 步:搜索数据
在第 2 步中创建诉讼或调查后,系统会打开诉讼或调查的搜索标签页。现在,您可以开始搜索了。
如果您没有看到搜索标签页,请让 Google Workspace 管理员授予您必要的权限。
- 选择一项 Google 服务(例如 Gmail)以进行搜索。
- 输入搜索参数。您可以选择要搜索的账号以及要使用的条件。例如:
-
查找特定用户发送的邮件 - 在账号电子邮件地址字段中输入一个电子邮件地址,或尝试使用搜索运算符,例如 from:<用户 1>@<公司>.com 和 to:<用户 2>@<公司>.com。
-
查找包含特定词组的邮件 - 在很多组织,Gmail 包含数百万封邮件,因此里面自然有相应语言中的大多数常用字词。您可以尝试将多个字词组成一个词组并用英文引号引起来,例如 "confidential project X"。注意:搜索操作会忽略引号中词组的大小写和标点符号。
-
排除草稿 - Gmail 会在发件人撰写邮件时保存草稿版。如果您不需要这么多详细信息,请勾选排除电子邮件草稿复选框,将此类邮件从您的搜索结果中移除。
-
排除匹配项 - 要从搜索范围中排除某些数据,请在相应的搜索字词前面加上连字符 (‑)。例如,-subject:vacation 会排除主题中包含“vacation”一词的所有邮件。
详细了解如何搜索 Gmail、云端硬盘和 Meet、Chat、日历、群组和 Voice。如需了解更多 Gmail 搜索小妙招,请参阅本页面下方的针对邮件/消息的更多搜索小妙招。
-
- (可选,适用于 Gmail 和群组)如果您担心搜索会返回过多结果,导致您可能需要花费很长时间进行处理,请点击计数。计数功能报告结果数的速度快于完整搜索。
要优化搜索,请点击展开并修改您的搜索参数。
-
点击搜索。搜索完成后,保险柜会打开结果表格。
搜索限制:
-
完全清除的数据 - 保险柜只能搜索和返回未从 Google 生产系统中完全清除的数据。保险柜不会自动保留您单位的任何数据。要确保您可以搜索和导出特定数据,请设置保留规则或保全。
-
云端硬盘内容 - 搜索云端硬盘时,您可以搜索 Microsoft Word、Excel、PowerPoint、PDF、HTML、TXT 和 RTF 等文件中的文字。不过,您无法在视频、音频、图片或二进制文件中进行搜索。
-
通配符错误 - 如果用户账号中与通配符搜索运算符匹配的字词达到或超过 100 个,保险柜就无法返回搜索结果。例如,如果使用
subj:foo*搜索时产生过多匹配的结果,您可以尝试搜索subj:food*(以查找“food”),或者搜索subj:foot*(以查找“foot”和“football”)。请注意,搜索日历、Chat、云端硬盘或 Voice 中的数据时均不支持使用通配符。
-
| 目标 | 查询示例 |
|---|---|
| 查找与某个外部网域之间往来的所有邮件 | 以下查询会返回与该外部网域之间往来的所有邮件(不论发件人是谁):
|
| 仅查找聊天消息 | 以下查询会返回聊天消息并排除电子邮件:
|
| 查找某些字词,同时排除另外一些字词 | 以下查询会返回“invite”和“invitational”,但不会返回“invitation”和“invited”:
|
| 查找邮件中彼此之间距离较近的字词 | 以下查询会返回“don’t ever distribute”,但会排除“don’t think we should distribute”。您可以使用 1 到 19 间的任意数值。
|
| 排除具有用户应用的标签的已删除邮件 | 以下查询会排除具有用户应用的“travel”标签的所有已删除邮件:
|
| 查找特定类型的附件 | 以下查询会返回带有 PDF 附件的所有邮件:
|
| 排除已被隔离的邮件。 | 以下查询会排除管理员隔离区中的邮件:
|
第 4 步:预览结果
要预览匹配的内容,请在结果表格中点击相应的行,系统即会在右侧的边栏中打开预览页面。
预览功能的运行机制如下:
- 邮件 - 保险柜会将同一邮件的完整往来内容折叠成一个会话返回。要展开会话,请点击相应邮件。要预览具体的邮件,直接点击它们即可。
- 云端硬盘内容 - 您可以预览 Google 文件(例如 Google 文档、表格、幻灯片和绘图)以及用户上传的文件(例如 .docx、.pdf 和 .xlsx)。
您可能无法预览返回的所有邮件或文件。尽管预览的内容可能会受到限制,但当您导出搜索结果时,所有匹配的数据都在导出范围内。
第 5 步:保存搜索查询
最终确定搜索参数后,您可以保存查询,以便日后能够快速地再次执行该搜索。
- 要保存查询,请点击保存。此操作不会保存您的搜索结果,只会保存查询参数。要保存当前结果,请执行下一步将其导出。
- 要打开已保存的查询,请点击查看已保存的查询,然后点击该查询。已保存的查询是动态的,也就是说,当您再次执行搜索时,结果中会包含自上次搜索以来创建的数据。
第 6 步:导出和分析
- 要保存查询结果,请在搜索标签页中点击导出。
如果您没有看到导出选项,请让管理员授予您必要的权限。
- 转到导出内容标签页,以跟踪导出进度。导出完成后,请点击下载。导出开始后,您有 15 天时间来下载导出文件。
- 导出内容中会有一个压缩文件,其中包含搜索返回的数据。导出内容中还有一个元数据文件,用于将数据与相关账号建立关联。您可以使用第三方软件来处理导出的文件。
其他保险柜任务
以下是您可以在保险柜中执行的其他任务:
- 按照组织的保留义务要求,保留特定邮件和文件。
- 请检查您的保留政策并根据需要进行更新。
- 创建保全,为个别用户或组织部门保留数据。无论保留设置为何,符合保全条件的邮件和文件永远不会被删除。
- 审核用于控制其他用户可在保险柜中执行哪些操作的权限。