日曆記錄事件

查看及追蹤 Google 日曆中的使用者活動異動

視您的 Google Workspace 版本而定，您或許可以使用安全調查工具，享有更多進階功能。舉例來說，超級管理員可以找出安全性和隱私權問題，然後加以分類並採取適當措施。瞭解詳情

組織管理員可以搜尋日曆記錄事件，並對相關的安全問題採取行動。舉例來說，您可以查看動作記錄，追蹤日曆、活動和訂閱項目的變更，此外，您也可以追蹤和這些動作相關的電子郵件通知。如果您需要排解問題，或使用者發現自己的日曆、共用日曆或特定日曆活動出現不一致/未預期的變更，就可以參考這些資訊。記錄項目通常會在使用者執行動作後的半小時內顯示。

針對「日曆記錄事件」執行搜尋

搜尋權限取決於您的 Google 版本、管理員權限和資料來源。您可以對所有使用者執行搜尋作業，不論對方擁有的 Google Workspace 版本為何。

稽核與調查工具

如要針對記錄事件執行搜尋，請先選擇資料來源，然後選擇一或多個搜尋篩選器。

在 Google 管理控制台中，依序點選「選單」圖示「報表」圖示「稽核與調查」「日曆記錄事件」。

前往「日曆記錄事件」

必須具備稽核與調查管理員權限。
如要篩選特定日期之前或之後的事件，請在「日期」部分選取「早於」或「晚於」。系統預設會顯示過去 7 天的事件。您可以選取其他日期範圍，或點選移除日期篩選器。
按一下「新增篩選器」選取屬性。舉例來說，如要篩選特定事件類型，請選取「事件」。
選取運算子選取值按一下「套用」。
- (選用) 如要建立多個搜尋篩選器，請重複執行這個步驟。
- (選用) 如要新增搜尋運算子，請選取「新增篩選器」上方的「AND」或「OR」。
按一下「搜尋」。注意：您可以在「篩選器」分頁中加入簡單的參數和值組來篩選搜尋結果；您也可以使用「條件建構工具」分頁，讓篩選器以 AND/OR 運算子表示條件。

安全調查工具

支援這項功能的版本：Frontline Standard 和 Frontline Plus；Enterprise Standard 和 Enterprise Plus；Education Standard 和 Education Plus；Enterprise Essentials Plus；Cloud Identity 進階版。版本比較

如要使用安全調查工具執行搜尋，請先選擇「資料來源」，接著選擇一或多項搜尋「條件」，再分別選擇每個條件的「屬性」、「運算子」和「值」。

在 Google 管理控制台中，依序點選「選單」圖示「安全性」「安全中心」「調查工具」。

前往調查工具

必須擁有安全中心管理員權限。
按一下「資料來源」，然後選取「日曆記錄事件」。
如要篩選特定日期之前或之後的事件，請在「日期」部分選取「早於」或「晚於」。系統預設會顯示過去 7 天的事件。您可以選取其他日期範圍，或點選移除日期篩選器。
按一下「新增條件」。
提示：您可以加入一或多項搜尋條件，或是使用「巢狀查詢」自訂搜尋方式。詳情請參閱「使用巢狀查詢自訂搜尋方式」。
按一下「屬性」選取所需選項。舉例來說，如要篩選特定事件類型，請選取「事件」。
如需完整的屬性清單，請參閱「屬性說明」一節。
選取運算子。
輸入或從清單選取值。
(選用) 如要新增更多搜尋條件，請重複以上步驟。
按一下「搜尋」。
調查工具會在頁面底部的表格中顯示搜尋結果。
(選用) 如要儲存調查項目，請按一下「儲存」圖示輸入標題和說明按一下「儲存」。

注意事項

在「條件建構工具」分頁中，篩選器會以 AND/OR 運算子表示條件。您也可以在「篩選器」分頁中加入簡單的參數和值組，用來篩選搜尋結果。
如果您為使用者設定新名稱，查詢結果中就不會包含與舊名稱相關的事件。舉例來說，如果您將 <舊名稱>@example.com 重新命名為 <新名稱>@example.com，就不會看見與 <舊名稱>@example.com 相關的事件結果。
您只能搜尋尚未從「垃圾桶」刪除的郵件資料。

屬性說明

搜尋此資料來源的記錄事件資料時，您可以利用下列屬性設定搜尋條件：

屬性	說明
存取層級	日曆或活動的存取層級 (即別人能存取哪些資訊)。請輸入下列其中一個值：編輯者 - 日曆編輯者具備完整擁有者權限，但無法修改存取權控管設定；活動編輯者可以編輯活動。有空/忙碌 - 只能查看相應時段是否有空擁有者 - 具備日曆屬性、存取權控管設定和活動的完整存取權讀取 - 具備日曆屬性、存取權控管設定和活動的讀取權限根層級 - 具備完整的擁有者權限，並能存取偏好設定；此為網域管理員專用。無 - 無法查看日曆或活動
執行者	動作執行者的電子郵件地址。
操作者應用程式名稱您需要在搜尋結果加入這個資料欄，相關步驟請參閱「管理搜尋結果資料欄」。	執行動作所用應用程式的詳細資料。如要查看下列資訊，請在搜尋結果中點選應用程式名稱：執行者應用程式名稱：執行動作所用應用程式的名稱 (第三方應用程式和某些第一方應用程式 (例如 Gmail) 會顯示此資料) 執行者 OAuth 用戶端 ID：執行動作所用第三方應用程式的 ID 冒用他人身分：應用程式是否假冒使用者身分如果將資訊匯出為逗號分隔值 (CSV) 檔案或 Google 試算表，資料會以單一文字區塊的形式儲存在同一個儲存格中。
執行者群組名稱	執行者的群組名稱。詳情請參閱「依 Google 群組篩選結果」。如要將群組新增至篩選條件群組許可清單，請按照下列步驟操作：選取「執行者群組名稱」。按一下「篩選條件群組」。系統會顯示「篩選條件群組」頁面。按一下「新增群組」。搜尋群組 (輸入群組名稱/群組電子郵件地址的前幾個字元)，並在找到後選取該群組。 (選用) 若要新增其他群組，請搜尋並選取群組。選好群組後，按一下 [新增]。 (選用) 如要移除群組，請按一下「移除群組」圖示。按一下「儲存」。
執行者組織單位	執行者的組織單位。
API 類型	執行系統所記錄活動時所使用的 API。選項包括： Android (第一方和第三方日曆應用程式) CalDAV (通常為 Apple 裝置) Calendar API Google 日曆 iOS 版 Google 日曆網頁版 Gmail ICS 剖析器 (來自其他日曆系統的活動電子郵件) Gmail 中的活動 EWS (由日曆協同整合服務使用)
預約時間表標題	預約時間表的標題。
日曆 ID	發生所記錄動作的日曆使用的 ID。例如，使用者於其中建立活動或可以訂閱的日曆所用的 ID。此屬性的值通常是使用者的電子郵件地址，例如 <使用者名稱>@example.com。
用戶端加密	說明日曆活動是否經過用戶端加密。
日期	事件發生的日期和時間 (以您瀏覽器的預設時區為準)。
事件	記錄的事件動作，例如「已刪除活動」、「已變更日曆標題」或「已移除活動邀請對象」
活動結束時間&ast;	活動結束的時間。
活動 ID	日曆活動的 ID。
活動開始時間&ast;	活動開始的時間。
活動名稱	日曆活動的名稱。
活動類型	日曆活動類型，例如 `birthday`、`default`、`focusTime`、`fromGmail`、`outOfOffice` 和 `workingLocation`。詳情請參閱開發人員說明文件中的「活動類型」。
邀請對象回覆狀態	邀請對象對日曆邀請的回覆，例如「已接受」、「已拒絕」或「不確定」。
協同整合錯誤代碼	與失敗要求相關聯的錯誤代碼。需啟用日曆協同整合工具才會提供。
IP 位址	與系統所記錄動作相關聯的網際網路通訊協定位址 (IP)。這個位址通常會反映使用者的實際所在位置，但也可能是 Proxy 伺服器或虛擬私人網路 (VPN) 位址。
IP ASN 您需要在搜尋結果加入這個資料欄，相關步驟請參閱「管理搜尋結果資料欄」。	與記錄項目相關聯的 IP 自治系統編號 (ASN)、行政分區和區域。如要查看活動發生的 IP ASN、行政分區和區域代碼，請在搜尋結果中點選名稱。
新值&ast;	屬性的新值。例如，輸入新日曆的標題、說明或新地點。
通知訊息 ID	電子郵件通知的 ID。
通知方式	通知傳送媒介。請選取下列任一值：快訊 - 彈出式視窗或警告訊息通知預設 - 日曆預設通知機制電子郵件
通知類型	設定的通知類型，例如「已授予日曆存取權」、「已取消活動」或「新活動」。
舊活動名稱	如果日曆活動的名稱已變更，這是先前的活動名稱
主辦者日曆 ID	活動發起人的日曆 ID。
重複規則	如果是週期性日曆活動，這個欄位會定義活動重複方式，例如每天、每週、每月、每年重複，或在每週、每月或每年的某幾天重複。如要進一步瞭解「重複規則」欄位，請參閱開發人員說明文件。
週期性	日曆活動為週期性活動
遠端 Exchange 伺服器網址&ast;	Exchange Web Services (EWS) 端點網址。需啟用日曆協同整合工具才會提供。
要求期間結束時間&ast;	如果所記錄的動作是於某段期間發生，此欄位會包含該期間的結束時間。例如：在日曆協同整合工具中查詢有空與否狀態的結束時間。
要求期間開始時間&ast;	如果所記錄的動作是於某段期間發生，此欄位會包含該期間的開始時間。例如：在日曆協同整合工具中查詢有空與否狀態的開始時間。
資源	與動作相關聯的資源清單。按一下資源即可查看下列詳細資料：資源 ID：資源的 ID 資源名稱：資源的名稱資源類型：Google 雲端硬碟項目、電子郵件、快訊、規則等資源關係：資源與事件的關係資源標籤：資源的分類標籤清單，包括資源標籤 ID、資源標籤名稱和資源標籤欄位。資源標籤欄位包含：標籤欄位 ID 標籤欄位名稱標籤欄位類型 - 標籤欄位的資料類型，例如： Text 數字選項 - 包含：ID、顯示名稱、是否加上標記選項清單使用者 - 包含：電子郵件地址使用者清單日期如果將資訊匯出為逗號分隔值 (CSV) 檔案或 Google 試算表，資料會以單一文字區塊的形式儲存在同一個儲存格中。
訂閱者日曆 ID	如果使用者訂閱了日曆，這個欄位會擷取該使用者的日曆 ID。
目標&ast;	發生存取權異動或收件者電子郵件地址異動時，這可能是授權對象的電子郵件地址或邀請對象的電子郵件地址。
使用者代理程式	與日曆活動相關聯的使用者代理程式軟體。

&ast; 您無法使用這些篩選器建立報告規則。如需報告規則與活動規則的詳細比較資訊，請參閱這篇文章。

管理記錄事件資料

管理搜尋結果資料欄

您可以控制搜尋結果中要顯示哪些資料欄。

按一下搜尋結果表格右上方的「管理資料欄」圖示。
(選用) 如要移除目前的資料欄，請按一下「移除」圖示。
(選用) 如要新增資料欄，請按一下「新增資料欄」旁邊的向下箭頭，然後選取資料欄。
視需要重複上述步驟。
(選用) 如要變更資料欄的順序，請拖曳資料欄名稱。
按一下「儲存」。

匯出搜尋結果資料

您可以將搜尋結果匯出為 Google 試算表或 CSV 檔案。

按一下搜尋結果表格頂端的「全部匯出」。
輸入名稱按一下「匯出」。
匯出結果會顯示在搜尋結果表格的「匯出動作執行結果」下方。
如要查看資料，請按一下匯出項目的名稱。
匯出項目會在試算表中開啟。

匯出上限因情況而異：

匯出結果總上限為 100,000 列。
支援這項功能的版本：Frontline Standard 和 Frontline Plus；Enterprise Standard 和 Enterprise Plus；Education Standard 和 Education Plus；Enterprise Essentials Plus；Cloud Identity 進階版。版本比較
如果您使用安全調查工具，匯出結果總上限為 3,000 萬列。

詳情請參閱「匯出搜尋結果」。

多久後可以看到資料？保留時間有多長？

請參閱「資料保留和延遲時間」。

依據搜尋結果採取行動

建立活動規則及設定快訊

您可以使用報告規則，根據記錄事件資料設定快訊。如需操作說明，請參閱「建立及管理報告規則」。
支援這項功能的版本：Frontline Standard 和 Frontline Plus；Enterprise Standard 和 Enterprise Plus；Education Standard 和 Education Plus；Enterprise Essentials Plus；Cloud Identity 進階版。版本比較
為了有效預防、偵測及修正安全問題，您可以建立「活動規則」，讓安全調查工具依此自動採取行動及傳送快訊。設定規則時，您需要先決定觸發條件，再指定符合條件時要執行的動作。詳情請參閱「建立及管理活動規則」。

依據搜尋結果採取行動

使用安全調查工具執行搜尋後，您可以對搜尋結果採取行動，舉例來說，您可以根據 Gmail 記錄事件執行搜尋，然後透過工具刪除特定郵件、將郵件傳送至隔離區，或將郵件傳送至使用者的收件匣。詳情請參閱「根據搜尋結果執行動作」。

管理調查項目

查看調查清單

如要查看調查清單，包括您擁有和與您共用的調查項目，請按一下「查看調查」圖示。這份清單會列出調查項目的名稱、說明、擁有者和上次修改日期。

您可以在清單中對自己擁有的調查項目執行動作 (例如刪除調查項目)，方法是勾選該項目旁邊的方塊，然後按一下「動作」。

注意：您可以在「快速存取」下方 (調查清單正上方) 查看已儲存的調查項目。

設定調查項目

超級管理員可以點選「設定」圖示執行下列操作：

變更調查項目的時區。搜尋條件和結果會套用這項時區設定。
開啟或關閉「需要審查者」。詳情請參閱「要求為大量動作指派審查者」。
開啟或關閉「查看內容」。這項設定可讓具備適當權限的管理員查看內容。
開啟或關閉「啟用動作執行理由」。

詳情請參閱「配置調查設定」。

日曆記錄事件 透過集合功能整理內容 你可以依據偏好儲存及分類內容。

針對「日曆記錄事件」執行搜尋

稽核與調查工具

安全調查工具

屬性說明

管理記錄事件資料

管理搜尋結果資料欄

匯出搜尋結果資料

多久後可以看到資料？保留時間有多長？

依據搜尋結果採取行動

建立活動規則及設定快訊

依據搜尋結果採取行動

管理調查項目

查看調查清單

設定調查項目

儲存、共用、刪除及複製調查項目

相關主題

日曆記錄事件