เหตุการณ์ในบันทึกการดำเนินการเกี่ยวกับข้อมูลของผู้ดูแลระบบ

ในฐานะผู้ดูแลระบบขององค์กร คุณสามารถเรียกใช้การค้นหาและดำเนินการกับปัญหาด้านความปลอดภัยที่เกี่ยวข้องกับเหตุการณ์ในบันทึกการดำเนินการกับข้อมูลของผู้ดูแลระบบ โดยคุณสามารถดูบันทึก การดำเนินการที่ทำในคอนโซลผู้ดูแลระบบของ Google หรือ Reports API ของ Google Workspace Admin SDK ได้ เช่น เวลาที่ผู้ดูแลระบบเข้าถึง กู้คืน และนำข้อมูลที่ละเอียดอ่อนออกจาก เหตุการณ์ต่างๆ

ส่งต่อข้อมูลเหตุการณ์ในบันทึกไปยัง Google Cloud

คุณสามารถเลือกแชร์ข้อมูลเหตุการณ์ในบันทึกกับ Google Cloud ได้ หากคุณเปิดการแชร์ ข้อมูลจะส่งต่อไปยัง Cloud Logging ซึ่งคุณสามารถค้นหาและดูบันทึก รวมทั้งควบคุมการกำหนดเส้นทางและการจัดเก็บบันทึกของคุณได้

ประเภทข้อมูลเหตุการณ์ในบันทึกที่คุณแชร์กับ Google Cloud ได้จะขึ้นอยู่กับบัญชี Google Workspace, Cloud Identity หรือ Essentials ของคุณ

เรียกใช้การค้นหาเหตุการณ์ในบันทึก

(ขั้นสูง) หากต้องการให้การค้นหาเป็นแบบอัตโนมัติเมื่อเรียกใช้การค้นหา คุณสามารถใช้ Admin SDK Reports API แทน โปรดดูรายละเอียดที่หัวข้อภาพรวมของ Reports API

ความสามารถในการเรียกใช้การค้นหาจะขึ้นอยู่กับรุ่นของ Google, สิทธิ์ของผู้ดูแลระบบ และแหล่งข้อมูล คุณสามารถค้นหาผู้ใช้ทุกคนได้ ไม่ว่าผู้ใช้จะใช้ Google Workspace รุ่นใดก็ตาม

เครื่องมือตรวจสอบ

หากต้องการค้นหาเหตุการณ์ในบันทึก ให้เลือกแหล่งข้อมูลก่อน จากนั้นเลือกตัวกรองสำหรับการค้นหาอย่างน้อย 1 รายการ

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น การรายงาน จากนั้น การตรวจสอบและการสืบสวน จากนั้น เหตุการณ์ในบันทึกการดำเนินการกับข้อมูลของผู้ดูแลระบบ

    ต้องมีสิทธิ์ของผู้ดูแลระบบสำหรับการตรวจสอบและการสืบสวน

  2. หากต้องการกรองเหตุการณ์ที่เกิดขึ้นก่อนหรือหลังวันใดวันหนึ่ง ให้เลือกก่อนหรือหลังสำหรับวันที่ โดยค่าเริ่มต้น ระบบจะแสดงเหตุการณ์ในช่วง 7 วันที่ผ่านมา คุณสามารถเลือกช่วงวันที่อื่นหรือคลิก เพื่อนำตัวกรองวันที่ออก

  3. คลิกเพิ่มตัวกรอง จากนั้น เลือกแอตทริบิวต์ เช่น หากต้องการกรองตามประเภทเหตุการณ์ที่เฉพาะเจาะจง ให้เลือกเหตุการณ์
  4. เลือกโอเปอเรเตอร์ จากนั้น เลือกค่า จากนั้น คลิกใช้
    • (ไม่บังคับ) หากต้องการสร้างตัวกรองหลายรายการสำหรับการค้นหา ให้ทำขั้นตอนนี้ซ้ำ
    • (ไม่บังคับ) หากต้องการเพิ่มโอเปอเรเตอร์การค้นหา ให้เลือก AND หรือ OR เหนือเพิ่มตัวกรอง
  5. คลิกค้นหา หมายเหตุ: คุณใช้แท็บตัวกรองเพื่อใส่พารามิเตอร์และค่าคู่ที่เรียบง่ายเพื่อกรองผลการค้นหาได้ และยังใช้แท็บเครื่องมือสร้างเงื่อนไข ซึ่งมีตัวกรองที่แสดงเงื่อนไขเป็นโอเปอเรเตอร์ AND/OR ได้ด้วย

เครื่องมือตรวจสอบความปลอดภัย

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard และ Frontline Plus; Enterprise Standard และ Enterprise Plus; Education Standard และ Education Plus; Enterprise Essentials Plus; Cloud Identity Premium เปรียบเทียบรุ่นของคุณ

หากต้องการเรียกใช้การค้นหาในเครื่องมือตรวจสอบความปลอดภัย ให้เลือกแหล่งข้อมูลก่อน จากนั้นเลือกเงื่อนไขสำหรับการค้นหาอย่างน้อย 1 รายการ สำหรับเงื่อนไขแต่ละรายการ ให้เลือกแอตทริบิวต์ โอเปอเรเตอร์ และค่า

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น ความปลอดภัย จากนั้น ศูนย์ความปลอดภัย จากนั้น เครื่องมือตรวจสอบ

    ต้องมีสิทธิ์ของผู้ดูแลระบบของศูนย์ความปลอดภัย

  2. คลิกแหล่งข้อมูล แล้วเลือกเหตุการณ์ในบันทึกของการดำเนินการกับข้อมูลของผู้ดูแลระบบ

  3. หากต้องการกรองเหตุการณ์ที่เกิดขึ้นก่อนหรือหลังวันใดวันหนึ่ง ให้เลือกก่อนหรือหลังสำหรับวันที่ โดยค่าเริ่มต้น ระบบจะแสดงเหตุการณ์ในช่วง 7 วันที่ผ่านมา คุณสามารถเลือกช่วงวันที่อื่นหรือคลิก เพื่อนำตัวกรองวันที่ออก

  4. คลิกเพิ่มเงื่อนไข
    เคล็ดลับ: คุณจะกำหนดเงื่อนไขในการค้นหาได้มากกว่า 1 รายการ หรือปรับแต่งการค้นหาด้วยการค้นหาแบบซ้อน โปรดดูรายละเอียดที่หัวข้อปรับแต่งการค้นหาด้วยการค้นหาแบบซ้อน
  5. คลิกแอตทริบิวต์ จากนั้น เลือกตัวเลือกที่ต้องการ เช่น หากต้องการกรองตามประเภทเหตุการณ์ที่เฉพาะเจาะจง ให้เลือกเหตุการณ์
    หากต้องการดูรายการแอตทริบิวต์ทั้งหมด ให้ไปที่ส่วนคำอธิบายแอตทริบิวต์
  6. เลือกโอเปอเรเตอร์
  7. ป้อนค่าหรือเลือกค่าจากรายการ
  8. (ไม่บังคับ) หากต้องการเพิ่มเงื่อนไขการค้นหา ให้ทำขั้นตอนเดิมซ้ำ
  9. คลิกค้นหา
    คุณดูผลการค้นหาจากเครื่องมือตรวจสอบได้ในตารางที่ด้านล่างของหน้า
  10. (ไม่บังคับ) หากต้องการบันทึกการตรวจสอบ ให้คลิกบันทึก จากนั้น ป้อนชื่อและคำอธิบาย จากนั้น คลิกบันทึก

หมายเหตุ

  • ในแท็บเครื่องมือสร้างเงื่อนไข ตัวกรองจะแสดงเป็นเงื่อนไขที่มีโอเปอเรเตอร์ AND/OR นอกจากนี้ คุณยังใช้แท็บตัวกรองเพื่อใส่พารามิเตอร์และคู่ค่าแบบง่ายๆ เพื่อกรองผลการค้นหาได้อีกด้วย
  • หากคุณมอบชื่อใหม่ให้กับผู้ใช้ คุณจะไม่เห็นผลการค้นหาหากใช้ชื่อเก่าของผู้ใช้ เช่น หากคุณเปลี่ยนชื่อ OldName@example.com เป็น NewName@example.com คุณจะมองไม่เห็นผลลัพธ์สำหรับเหตุการณ์ที่เกี่ยวข้องกับ OldName@example.com
  • คุณสามารถค้นหาได้เฉพาะข้อมูลในข้อความที่ยังไม่ได้ลบออกจากถังขยะ

คำอธิบายแอตทริบิวต์

สำหรับแหล่งข้อมูลนี้ คุณจะใช้แอตทริบิวต์ต่อไปนี้เมื่อค้นหาข้อมูลเหตุการณ์ในบันทึกได้

แอตทริบิวต์ คำอธิบาย
ผู้ดำเนินการ อีเมลของผู้ใช้ที่เป็นผู้ดำเนินการ
แหล่งข้อมูลเหตุการณ์เป้าหมาย

แอปพลิเคชันที่มีการเข้าถึง กู้คืน หรือนำข้อมูลออก

ระบบจะระบุเหตุการณ์ได้ไม่ซ้ำกันด้วยช่อง 3 ช่องต่อไปนี้

  • รหัสเหตุการณ์
  • ชื่อแหล่งข้อมูล
  • เวลาที่เกิดเหตุการณ์ขึ้น
วันที่ วันที่และเวลาของเหตุการณ์ (ตามที่แสดงในเขตเวลาเริ่มต้นของเบราว์เซอร์)

IP ASN

คุณต้องเพิ่มคอลัมน์นี้ลงในผลการค้นหา โปรดดูขั้นตอนที่หัวข้อจัดการข้อมูลคอลัมน์ผลการค้นหา

หมายเลขระบบเครือข่ายอัตโนมัติ (ASN) ของ IP รวมถึงเขตย่อยและภูมิภาคที่เชื่อมโยงกับรายการบันทึก

หากต้องการตรวจสอบ ASN ของ IP รวมถึงรหัสเขตย่อยและรหัสภูมิภาคที่เกิดเหตุการณ์ ให้คลิกชื่อในผลการค้นหา
รหัสเหตุการณ์เป้าหมาย

รหัสเหตุการณ์ของข้อมูลที่มีการเข้าถึง กู้คืน หรือนำออก

ระบบจะระบุเหตุการณ์ได้ไม่ซ้ำกันด้วยช่อง 3 ช่องต่อไปนี้

  • รหัสเหตุการณ์
  • ชื่อแหล่งข้อมูล
  • เวลาที่เกิดเหตุการณ์ขึ้น
ข้อความค้นหา ตัวกรองที่ใช้ในการค้นหาซึ่งใช้เพื่อดึงข้อมูลหรือประมวลผลข้อมูล
เหตุผลรองรับ หากจำเป็นต้องมีเหตุผลรองรับการดำเนินการ ผู้ดูแลระบบต้องเป็นผู้ให้คำอธิบาย
วันที่ของเหตุการณ์เป้าหมาย

วันที่เกิดเหตุการณ์เป้าหมาย

ระบบจะระบุเหตุการณ์ได้ไม่ซ้ำกันด้วยช่อง 3 ช่องต่อไปนี้

  • รหัสเหตุการณ์
  • ชื่อแหล่งข้อมูล
  • เวลาที่เกิดเหตุการณ์ขึ้น

จัดการข้อมูลเหตุการณ์ในบันทึก

จัดการข้อมูลคอลัมน์ผลการค้นหา

คุณควบคุมได้ว่าจะให้คอลัมน์ข้อมูลใดปรากฏในผลการค้นหา

  1. คลิกจัดการคอลัมน์ ที่ด้านขวาบนของตารางผลการค้นหา
  2. (ไม่บังคับ) หากต้องการนำคอลัมน์ปัจจุบันออก ให้คลิกนำออก
  3. (ไม่บังคับ) หากต้องการเพิ่มคอลัมน์ ให้คลิกลูกศรลง ถัดจากเพิ่มคอลัมน์ใหม่ แล้วเลือกคอลัมน์ข้อมูล
    ทำซ้ำตามที่จำเป็น
  4. (ไม่บังคับ) หากต้องการเปลี่ยนลำดับของคอลัมน์ ให้ลากชื่อคอลัมน์ข้อมูล
  5. คลิกบันทึก

ส่งออกข้อมูลผลการค้นหา

คุณสามารถส่งออกผลการค้นหาไปยังชีตหรือไฟล์ CSV ได้

  1. คลิกส่งออกทั้งหมดที่ด้านบนของตารางผลการค้นหา
  2. ป้อนชื่อ จากนั้น คลิกส่งออก
    การส่งออกจะแสดงใต้ตารางผลการค้นหาในส่วนส่งออกผลลัพธ์การดำเนินการ
  3. หากต้องการดูข้อมูล ให้คลิกชื่อการส่งออก
    การส่งออกจะเปิดขึ้นในชีต

ขีดจำกัดการส่งออกจะแตกต่างกันไปดังนี้

  • ผลการส่งออกทั้งหมดจำกัดอยู่ที่ 100,000 แถว
  • รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard และ Frontline Plus; Enterprise Standard และ Enterprise Plus; Education Standard และ Education Plus; Enterprise Essentials Plus; Cloud Identity Premium เปรียบเทียบรุ่นของคุณ

    หากคุณมีเครื่องมือตรวจสอบความปลอดภัย ผลการส่งออกทั้งหมดจะจำกัดอยู่ที่ 30 ล้านแถว

โปรดดูข้อมูลเพิ่มเติมที่หัวข้อส่งออกผลการค้นหา

ข้อมูลจะใช้ได้เมื่อใดและใช้ได้นานเพียงใด

ดำเนินการตามผลการค้นหา

สร้างกฎกิจกรรมและตั้งค่าการแจ้งเตือน

  • คุณสามารถตั้งค่าการแจ้งเตือนตามข้อมูลเหตุการณ์ในบันทึกได้โดยใช้กฎการรายงาน โปรดดูวิธีการที่หัวข้อสร้างและจัดการกฎการรายงาน
  • รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard และ Frontline Plus; Enterprise Standard และ Enterprise Plus; Education Standard และ Education Plus; Enterprise Essentials Plus; Cloud Identity Premium เปรียบเทียบรุ่นของคุณ

    คุณจะปรับให้การทำงานในเครื่องมือตรวจสอบความปลอดภัยเกิดขึ้นโดยอัตโนมัติและตั้งค่าการแจ้งเตือนได้โดยการสร้างกฎกิจกรรม ซึ่งจะช่วยป้องกัน ตรวจจับ และแก้ไขปัญหาด้านความปลอดภัยได้อย่างมีประสิทธิภาพมากขึ้น หากต้องการตั้งค่ากฎ ให้กำหนดเงื่อนไขสำหรับกฎ จากนั้นระบุการดำเนินการที่จะเกิดขึ้นเมื่อตรงตามเงื่อนไข โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อสร้างและจัดการกฎกิจกรรม

ดำเนินการตามผลการค้นหา

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard และ Frontline Plus; Enterprise Standard และ Enterprise Plus; Education Standard และ Education Plus; Enterprise Essentials Plus; Cloud Identity Premium เปรียบเทียบรุ่นของคุณ

หลังจากเรียกใช้การค้นหาในเครื่องมือตรวจสอบความปลอดภัยแล้ว คุณจะดำเนินการกับผลการค้นหาได้ เช่น คุณสามารถค้นหาตามเหตุการณ์ในบันทึกของ Gmail แล้วใช้เครื่องมือเพื่อลบข้อความที่ต้องการ ส่งข้อความไปยังเขตกักบริเวณ หรือส่งข้อความไปยังกล่องจดหมายของผู้ใช้ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อดำเนินการตามผลการค้นหา

จัดการการตรวจสอบ

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Standard และ Frontline Plus; Enterprise Standard และ Enterprise Plus; Education Standard และ Education Plus; Enterprise Essentials Plus; Cloud Identity Premium เปรียบเทียบรุ่นของคุณ

ดูรายการการตรวจสอบ

หากต้องการดูรายการการตรวจสอบที่คุณเป็นเจ้าของและรายการที่ผู้อื่นแชร์กับคุณ ให้คลิกดูการตรวจสอบ รายการการตรวจสอบประกอบด้วยชื่อ คำอธิบาย และเจ้าของการตรวจสอบ และวันที่แก้ไขล่าสุด

จากรายการนี้ คุณจะดำเนินการกับการตรวจสอบที่คุณเป็นเจ้าของได้ เช่น ลบการตรวจสอบ เลือกช่องสำหรับการตรวจสอบแล้วคลิกการดำเนินการ

หมายเหตุ: คุณสามารถดูการตรวจสอบที่บันทึกไว้ในส่วนการเข้าถึงด่วนที่ด้านบนของรายการการตรวจสอบ

กำหนดการตั้งค่าสำหรับการตรวจสอบ

ในฐานะผู้ดูแลระบบขั้นสูง ให้คลิกการตั้งค่า เพื่อดำเนินการดังนี้

  • เปลี่ยนเขตเวลาสำหรับการตรวจสอบ โดยเขตเวลาจะมีผลกับเงื่อนไขการค้นหาและผลการค้นหา
  • การเปิดหรือปิดต้องมีผู้ตรวจสอบ โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อต้องมีผู้ตรวจสอบสำหรับการดำเนินการหลายรายการพร้อมกัน
  • เปิดหรือปิดการดูเนื้อหา การตั้งค่านี้จะอนุญาตให้ผู้ดูแลระบบที่มีสิทธิ์ในระดับที่เหมาะสมดูเนื้อหาได้
  • เปิดหรือปิดการเปิดใช้เหตุผลรองรับการดำเนินการ

โปรดดูรายละเอียดเพิ่มเติมที่หัวข้อกำหนดการตั้งค่าสำหรับการตรวจสอบ

บันทึก แชร์ ลบ และทำซ้ำการตรวจสอบ

หากต้องการบันทึกเกณฑ์การค้นหาหรือแชร์กับคนอื่นๆ คุณสามารถสร้างและบันทึกการตรวจสอบ จากนั้นก็แชร์ ทำซ้ำ หรือลบออกได้

โปรดดูรายละเอียดที่หัวข้อบันทึก แชร์ ลบ และทำซ้ำการตรวจสอบ