访问评估日志事件

了解客户端应用如何访问用户数据

您可能可以使用具有更多高级功能的安全调查工具,具体取决于您的 Google Workspace 版本。例如,超级用户可以识别安全和隐私问题、适当分类并采取应对措施。了解详情

作为组织的管理员,您可以使用访问评估日志事件来了解 Google Workspace 中的不同安全政策如何影响用户对第三方应用和 Google 自有应用的访问。例如,一个组织可以有多个 OAuth 政策,分别根据不同的规则控制应用访问权限。组织还可以制定服务开启/关闭政策,以阻止或允许访问特定服务。访问评估日志事件会显示影响用户访问权限的政策、是否已授予访问权限,以及这些决定是如何做出的。您可以使用这些信息来了解和修改组织的安全政策和配置。

搜索日志事件

能否执行搜索取决于您所使用的 Google 版本、所具备的管理员权限以及所涉及的数据源。您可以对所有用户执行搜索,不受其所使用的 Google Workspace 版本影响。

审核和调查工具

如需搜索日志事件,请先选择数据源,然后选择一个或多个搜索过滤条件。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 报告 然后审核和调查 然后访问评估日志事件

    需要拥有“报告”管理员权限。

  2. 如要过滤在特定日期之前或之后发生的事件,请针对日期选择之前之后。默认情况下,系统会显示过去 7 天内的事件。您可以选择其他日期范围,也可以点击 移除日期过滤条件。

  3. 点击添加过滤条件 然后选择一个属性。例如,如需按特定事件类型进行过滤,请选择事件
  4. 选择一个运算符 然后选择一个值 然后点击应用
    • (可选)如需创建多个过滤条件来执行搜索,请重复此步骤。
    • (可选)如需添加搜索运算符,请在添加过滤条件上方选择 ANDOR
  5. 点击搜索注意您可以使用过滤条件标签页来添加简单的参数和值对,以便过滤搜索结果。您还可以使用条件构建器标签页,其中的过滤条件会以带有“AND”/“OR”运算符的条件呈现。

安全调查工具

支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 版本对比

如要在安全调查工具中执行搜索,请先选择数据源。然后选择一个或多个搜索条件。请为每个条件分别选择属性、运算符和值

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后安全中心 然后调查工具

    需要拥有“安全中心”管理员权限。

  2. 点击数据源,然后选择访问评估日志事件

  3. 如要过滤在特定日期之前或之后发生的事件,请针对日期选择之前之后。默认情况下,系统会显示过去 7 天内的事件。您可以选择其他日期范围,也可以点击 移除日期过滤条件。

  4. 点击添加条件
    提示:您可以添加一种或多种搜索条件,或使用嵌套查询自定义搜索。如需了解详情,请参阅使用嵌套查询自定义搜索
  5. 点击属性 然后选择一个选项。例如,如需按特定事件类型进行过滤,请选择事件
    如需查看完整的属性列表,请参阅属性说明部分。
  6. 选择所需运算符。
  7. 输入一个值或从列表中选择一个值。
  8. (可选)如需添加更多搜索条件,请重复上述步骤。
  9. 点击搜索
    您可以在页面底部的表格中查看调查工具的搜索结果。
  10. (可选)如需保存调查,请点击“保存”图标 然后 输入标题和说明 然后 点击保存

备注

  • 条件构建器标签页中,过滤条件会以带有“AND”/“OR”运算符的条件呈现。您还可以使用过滤器标签页,通过添加简单的参数和值对来过滤搜索结果。
  • 如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com相关的事件。
  • 您只能搜索尚未从“已删除邮件”中删除的邮件中的数据。

属性说明

您的组织可能有来自不同来源的多项安全政策会影响用户访问权限。访问评估日志可帮助您了解这些政策的综合影响,以及您可能需要更改哪些具体政策。

例如,如果未经授权的用户访问了即时通讯应用,访问评估日志事件可帮助您了解使用了哪些政策。如果您更改了政策,日志事件将会显示相应更改的结果。

您还可以使用访问评估日志事件来调查组织的安全状况。例如:

  • 监控可疑活动:您可以使用这些日志来监控可疑活动,例如用户尝试访问敏感数据或从禁止访问的位置访问数据。
  • 审核组织的安全状况:您可以使用这些日志来审核组织的安全状况,确保您的数据受到保护。

系统会为 24 小时内的第一个事件创建日志条目。24 小时过后,才会记录包含相同信息的重复事件。例如,如果在时间 X 时刻出现包含 User1、Client1 和 IP1 的条目,则在 24 小时过后,系统才会记录包含相同信息的重复事件。

注意:每条日志条目都可能包含以下部分信息,但不一定包含全部信息。例如,除非是通过服务账号执行访问,否则服务账号字段通常为空。

列名称 注释 示例
事件 事件名称
  • 访问令牌请求(成功颁发 OAuth 令牌时)
  • 允许令牌模拟(通过服务账号访问时)
  • 允许 Cookie 验证请求(当与 Cookie 关联的凭证在应用访问期间成功通过安全政策验证时)
说明 活动说明 允许 <姓名> 向 Myapp 请求特定范围内的访问权限
日期 评估请求的日期和时间 2022-08-11T10:00:53-07:00
Actor 这是一个用户邮箱,表示是为哪个用户请求并允许了评估。 firstlast@sample-win.info
应用名称 所访问应用的名称 Reddit
IP 地址 用户请求访问权限评估时所用的 IP 地址 2601:600:8780:19d0:925:e630:d20e:b1cc

IP ASN

您需要将此列添加到搜索结果中。如需了解相关步骤,请参阅管理搜索结果列数据

与日志条目关联的 IP 自治系统编号 (ASN)、细分和区域。

如需查看发生活动的 IP ASN、细分和区域代码,请点击搜索结果中的名称。

IP ASN:12345

细分代码:IN-KA

地区代码:IN
OAuth 客户端 ID

这是一个客户端 ID,表示是为哪个应用评估了访问权限

注意:此属性仅适用于“访问令牌请求”和“允许令牌模拟”事件。

 705819728788-b2c1kcs7tst3b7ghv7at0hkqmtc68ckl.apps.google.sample.com
范围

已获授权的请求的范围

注意:Google 自有应用不会显示 OAuth 范围信息。

 https://www.googleapis.com/auth/userinfo.email、https://www.googleapis.com/auth/userinfo.profile、openid
配置来源

说明是否因 Google Workspace 政策明确允许用户访问此应用 ID 而允许客户端 ID

注意:此属性仅适用于“访问令牌请求”和“允许令牌模拟”事件。

 如需了解详情,请参阅本页下文中的配置来源说明
客户端类型

评估了访问权限的应用的类型

注意:此属性仅适用于“访问令牌请求”和“允许令牌模拟”事件。

 Web 版、Android 版、iOS 版等
服务账号

服务账号邮箱(如果该账号被用于冒充任何用户)

注意:此属性仅适用于“允许令牌模拟”事件。

 abc-alpha@gserviceaccount.com

配置来源说明

“配置来源”将说明是否因 Google Workspace 政策明确允许用户访问此应用 ID 而允许客户端 ID。

注意:这些场景仅适用于与 OAuth 相关的“访问令牌请求”或“允许令牌模拟”访问事件。

场景 说明
无应用配置

允许访问是因为管理员没有设置任何使用 API 控件且禁止访问客户端 ID 的政策。

如需添加禁止访问的政策,请参阅控制哪些应用可以访问 Google Workspace 数据
API 控件配置

允许访问是因为应用在使用 API 控件的政策中受到信任或限制。

如需了解详情,请参阅控制哪些应用可以访问 Google Workspace 数据
端点管理配置

允许访问是因为应用在使用 Google 端点管理功能的政策中受到信任或限制。

如需了解详情,请参阅概览:使用 Google 端点管理服务管理设备
Workspace Marketplace 配置

允许访问是因为该应用是通过 Google Workspace Marketplace 安装的。

如需了解详情,请参阅在 Marketplace 中查找并安装应用
全网域委托配置

允许访问是因为该应用已进行全网域委托。

如需了解详情,请参阅使用全网域授权功能控制 API 访问权限

管理日志事件数据

管理搜索结果列数据

您可以控制在搜索结果中显示哪些数据列。

  1. 在搜索结果表格的右上角,点击“管理列”图标
  2. (可选)如要移除当前列,请点击“移除”图标
  3. (可选)如要添加列,请点击新增列旁边的向下箭头 ,然后选择相应数据列。
    根据需要重复上述步骤。
  4. (可选)如要更改列的顺序,请拖动数据列名称。
  5. 点击保存

导出搜索结果数据

您可以将搜索结果导出为 Google 表格文件或 CSV 文件。

  1. 点击搜索结果表格顶部的全部导出
  2. 输入名称 然后 点击导出
    导出内容会显示在搜索结果表格的导出操作结果下方。
  3. 如要查看数据,请点击导出结果的名称。
    导出结果会在 Google 表格中打开。

导出限制因情况而异:

  • 导出结果总数上限为 10 万行。
  • 支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 版本对比

    如果您拥有安全调查工具,则导出结果总数上限为 3, 000 万行。

如需了解详情,请参阅导出搜索结果

何时可以查看数据?数据会保留多久?

根据搜索结果执行操作

创建活动规则和设置提醒

  • 您可以使用报告规则设置基于日志事件数据的提醒。如需了解相关说明,请参阅创建和管理报告规则
  • 支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 比较您的版本

    为了高效地防范、检测和解决安全问题,您可以通过创建活动规则,在安全调查工具中自动执行操作和设置提醒。设置规则时,请先设置规则的条件,然后指定在条件满足时要执行的操作。如需了解详情,请参阅创建和管理活动规则

根据搜索结果执行操作

支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 版本对比

在安全调查工具中执行搜索后,您可以根据搜索结果采取行动。举例来说,您可以搜索 Gmail 日志事件,然后使用该工具删除特定邮件,或者将邮件发送至隔离区或用户的收件箱。如需了解详情,请参阅根据搜索结果执行操作

管理调查

支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 版本对比

查看您的调查列表

如需查看您自己的调查列表以及其他人与您共享的调查列表,请点击“查看调查”图标 。调查列表中包含调查的名称、说明和负责人,以及最后修改日期。

在此列表中,您可以对所拥有的任意调查执行操作(例如删除调查)。只需选中相应调查的复选框,然后点击操作

注意:您可以在调查列表正上方的快速访问下,查看已保存的调查。

为调查配置设置

作为超级用户,您可以点击“设置”图标 ,以便执行以下操作:

  • 更改调查的时区,而搜索条件和结果会采用您设置的时区。
  • 开启或关闭需要审核者。有关详情,请参阅需要审核者批准进行批量操作
  • 开启或关闭查看内容。开启后,拥有适当权限的管理员可以查看内容。
  • 开启或关闭需要输入执行操作的原因

如需了解详情,请参阅为调查配置设置

保存、共享、删除和复制调查

如要保存搜索条件或与他人共享搜索条件,您可以创建并保存调查,然后共享、复制或删除调查。

有关详情,请参阅保存、共享、删除和复制调查