支持此功能的版本:教育标准版和教育 Plus 版。 版本对比
作为组织的管理员,您可以使用安全调查工具来进行与作业日志事件相关的搜索,然后根据搜索结果采取行动。例如,您可以:
- 查看常见活动,例如学生是否已加入课程或提交课程作业。
- 排查用户遇到的常见问题。
搜索作业日志事件
能否执行搜索取决于您所使用的 Google 版本、所具备的管理员权限以及所涉及的数据源。您可以对所有用户执行搜索,不受其所使用的 Google Workspace 版本影响。
如要在安全调查工具中执行搜索,请先选择数据源。然后选择一个或多个搜索条件。请为每个条件分别选择属性、运算符和值。
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性
安全中心
调查工具。需要拥有“安全中心”管理员权限。
- 点击数据源,然后选择作业日志事件。
-
点击添加条件。
提示:您可以添加一种或多种搜索条件,或使用嵌套查询自定义搜索。如需了解详情,请参阅使用嵌套查询自定义搜索。 -
点击属性
选择一个选项。例如,如需按特定事件类型进行过滤,请选择事件。
如需查看完整的属性列表,请参阅属性说明部分。 - 选择所需运算符。
- 输入一个值或从列表中选择一个值。
- (可选)如需添加更多搜索条件,请重复上述步骤。
-
点击搜索。
您可以在页面底部的表格中查看调查工具的搜索结果。 -
(可选)如需保存调查,请点击“保存”图标
输入标题和说明
点击保存。
备注
- 在条件构建器标签页中,过滤条件会以带有“AND”/“OR”运算符的条件呈现。您还可以使用过滤器标签页,通过添加简单的参数和值对来过滤搜索结果。
- 如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com相关的事件。
- 您只能搜索尚未从“已删除邮件”中删除的邮件中的数据。
属性说明
对于此数据源,您可以在搜索日志事件数据时使用以下属性。
| 属性 | 说明 |
|---|---|
| Actor | 执行相应操作的用户(如创建课程的用户或发布通知的用户)的电子邮件地址 |
| 执行者群组名称 |
执行者所属群组的名称。如需了解详情,请参阅按 Google 群组过滤结果。 如需将群组添加到过滤群组许可名单,请执行以下操作:
|
| 执行者组织部门 | 执行者所属的组织部门 |
| 课程 ID | 课程的唯一标识符 |
| 课程名称 | 课程名称 |
| 课程角色 | 用户是课程中的学生还是教师 |
| 课程作业标题 | 课业的标题 |
| 课程作业类型 | 课程作业的类型,例如“作业”或“题目“ |
| 日期 | 事件发生的日期和时间(以您浏览器的默认时区显示) |
| 事件 | 记录的事件操作,例如“发布了课程作业”或“用户加入了课程” |
| 有成绩 | 提交内容是否有成绩 |
| 受影响的用户 | 受影响的电子邮件地址的列表 |
| IP 地址 | 用于登录的 IP 地址。通常,该地址就是用户的实际地址,但也可能是代理服务器或虚拟专用网 (VPN) 地址。 |
|
IP ASN 您需要将此列添加到搜索结果中。如需了解相关步骤,请参阅管理搜索结果列数据。 |
与日志条目关联的 IP 自治系统编号 (ASN)、细分和区域。 如需查看发生活动的 IP ASN、细分和区域代码,请点击搜索结果中的名称。 |
| 迟交 | 提交内容是否迟交 |
| 发布 ID | 课程作业的唯一标识符 |
| 提交状态 | 课程作业的提交状态,例如“已创建”“已交”“已发回”“学生已收回”或“学生在上交后进行了修改” |
。按课程事件过滤数据
如需查看与课程成员资格、课程活动或课程作业相关的数据,请按事件过滤,然后选择事件值。
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性
安全中心
调查工具。需要拥有“安全中心”管理员权限。
- 点击数据源
选择作业日志事件。
- 点击添加条件。
- 点击属性
选择事件。
- 选择所需运算符。
- 输入一个值
-
点击搜索。
您可以在页面底部的表格中查看调查工具的搜索结果。
创建活动规则和设置提醒
根据搜索结果执行操作
支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 版本对比
在安全调查工具中执行搜索后,您可以根据搜索结果采取行动。举例来说,您可以搜索 Gmail 日志事件,然后使用该工具删除特定邮件,或者将邮件发送至隔离区或用户的收件箱。如需了解详情,请参阅根据搜索结果执行操作。