日曆記錄事件

查看及追蹤 Google 日曆中的使用者活動異動

視您的 Google Workspace 版本而定,您或許可以使用安全調查工具,享有更多進階功能。舉例來說,超級管理員可以找出安全性和隱私權問題,然後加以分類並採取適當措施。瞭解詳情

組織管理員可以搜尋日曆記錄事件,並對相關的安全問題採取行動。舉例來說,您可以查看動作記錄,追蹤日曆、活動和訂閱項目的變更,也可以追蹤與這些動作相關的電子郵件通知。如果您需要排解問題,或使用者發現自己的日曆、共用日曆或特定日曆活動出現不一致/未預期的變更,就可以參考這些資訊。記錄項目通常會在使用者執行動作後的半小時內顯示。

能否執行搜尋取決於您的 Google 版本、管理員權限和資料來源。您可以對所有使用者進行搜尋,不論對方使用的 Google Workspace 版本為何,都是如此。

稽核與調查工具

如要搜尋記錄事件,請先選擇資料來源,然後選擇一或多個搜尋篩選器。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「報告」接下來「稽核與調查」接下來「日曆記錄事件」

    必須具備稽核與調查管理員權限。

  2. 如要篩選特定日期之前或之後發生的事件,請選取「日期」的「之前」或「之後」。系統預設會顯示過去 7 天的事件。您可以選取其他日期範圍,或按一下 移除日期篩選器。

  3. 按一下「新增篩選器」 接下來選取屬性。舉例來說,如要依特定事件類型篩選,請選取「事件」
  4. 選取運算子 接下來選取值 接下來按一下「套用」
    • (選用) 如要建立多個搜尋篩選器,請重複執行這個步驟。
    • (選用) 如要新增搜尋運算子,請選取「新增篩選器」上方的「AND」或「OR」
  5. 按一下「搜尋」注意您可以在「篩選器」分頁中加入簡單的參數和值組來篩選搜尋結果。您也可以使用「條件建構工具」分頁,讓篩選器以 AND/OR 運算子表示條件。

安全調查工具

支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較

如要使用安全調查工具執行搜尋,請先選擇「資料來源」,然後選擇一或多個搜尋篩選「條件」。再針對每個條件分別選擇「屬性」、「運算子」和「值」

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「安全性」接下來「安全中心」接下來「調查工具」

    必須具備安全中心管理員權限。

  2. 按一下「資料來源」,然後選取「日曆記錄事件」

  3. 如要篩選特定日期之前或之後發生的事件,請選取「日期」的「之前」或「之後」。系統預設會顯示過去 7 天的事件。您可以選取其他日期範圍,或按一下 移除日期篩選器。

  4. 按一下 [Add Condition]
    提示:您可以加入一或多個搜尋條件,或是使用「巢狀查詢」自訂搜尋方式。詳情請參閱「使用巢狀查詢自訂搜尋方式」。
  5. 按一下「屬性」 接下來選取所需選項。舉例來說,如要依特定事件類型篩選,請選取「事件」
    如需完整的屬性清單,請參閱「屬性說明」一節。
  6. 選取運算子。
  7. 輸入值或從清單中選取值。
  8. (選用) 如要新增更多搜尋條件,請重複以上步驟。
  9. 按一下「搜尋」
    您可以在頁面底部的表格中,查看調查工具的搜尋結果。
  10. (選用) 如要儲存調查,請按一下「儲存」 接下來輸入標題和說明 接下來按一下「儲存」

附註

  • 在「條件建構工具」分頁中,篩選器會以 AND/OR 運算子表示條件。您也可以使用「篩選器」分頁加入簡單的參數和值組合,篩選搜尋結果。
  • 如果為使用者設定新名稱,查詢結果中不會包含與舊名稱相關的事件。舉例來說,如果您將 <舊名稱>@example.com 重新命名為 <新名稱>@example.com,就不會看見與 <舊名稱>@example.com 相關的事件結果。
  • 您只能搜尋尚未從垃圾桶刪除的郵件資料。

屬性說明

搜尋此資料來源的記錄事件資料時,您可以利用下列屬性設定搜尋條件:

屬性 說明
存取層級

日曆或活動的存取層級 (即別人能存取哪些資訊)。請輸入下列其中一個值:

  • 編輯者 - 日曆編輯者具備完整擁有者權限,但無法修改存取權控管設定;活動編輯者可以編輯活動。
  • 有空/忙碌 - 只能查看相應時段是否有空
  • 擁有者 - 具備日曆屬性、存取權控管設定和活動的完整存取權
  • 讀取 - 具備日曆屬性、存取權控管設定和活動的讀取權限
  • 根層級 - 具備完整的擁有者權限,並能存取偏好設定;供網域管理員使用。
  • - 無法查看日曆或活動
Actor 執行動作的使用者電子郵件地址。

執行者應用程式名稱

您需要在搜尋結果加入這個資料欄,相關步驟請參閱「管理搜尋結果資料欄」。

執行動作所用應用程式的詳細資料。如要查看下列資訊,請在搜尋結果中點選應用程式名稱:

  • 執行者應用程式名稱:執行動作所用應用程式的名稱 (第三方應用程式和某些第一方應用程式 (例如 Gmail) 會顯示此資料)
  • 執行者 OAuth 用戶端 ID:執行動作所用第三方應用程式的 ID
  • 冒用他人身分:應用程式是否假冒使用者身分

如果將資訊匯出為逗號分隔值 (CSV) 檔案或 Google 試算表,資料會以單一文字區塊的形式儲存在同一個儲存格中。
執行者群組名稱

執行者的群組名稱。詳情請參閱「依 Google 群組篩選結果」。

如要將群組新增至篩選條件群組許可清單,請按照下列步驟操作:

  1. 選取「執行者群組名稱」
  2. 按一下「篩選條件群組」
    系統隨即顯示「篩選條件群組」頁面。
  3. 按一下「新增群組」
  4. 搜尋群組 (輸入群組名稱/群組電子郵件地址的前幾個字元),並在找到後選取該群組。
  5. (選用) 如要新增其他群組,請搜尋並選取群組。
  6. 選好群組後,按一下「新增」
  7. (選用) 如要移除群組,請按一下「移除群組」圖示
  8. 按一下 [儲存]
執行者機構單位 執行者的機構單位。
API 類型 執行系統所記錄活動時所使用的 API。選項包括:
  • Android (第一方和第三方日曆應用程式)
  • CalDAV (通常為 Apple 裝置)
  • Calendar API
  • Google 日曆 iOS 版
  • Google 日曆線上版
  • Gmail ICS 剖析器 (來自其他日曆系統的活動電子郵件)
  • Gmail 中的活動
  • EWS (由日曆協同整合服務使用)
預約時間表標題 預約時間表的標題。
日曆 ID 發生所記錄動作的日曆使用的 ID。例如,使用者於其中建立活動或可以訂閱的日曆所用的 ID。此屬性的值通常是使用者的電子郵件地址,例如 <使用者名稱>@example.comuser@example.com
用戶端加密 說明日曆活動是否經過用戶端加密。
日期 事件發生的日期和時間 (以您瀏覽器的預設時區為準)。
活動 記錄的事件動作,例如「已刪除活動」、「已變更日曆標題」或「已移除活動邀請對象」
活動結束時間&ast; 活動結束的時間。
活動 ID 日曆活動的 ID。
活動開始時間&ast; 活動開始時間。
活動名稱 日曆活動的名稱。
事件類型

日曆活動類型,例如 birthdaydefaultfocusTimefromGmailoutOfOfficeworkingLocation。詳情請參閱開發人員說明文件中的「活動類型」。
邀請對象回覆狀態 邀請對象對日曆邀請的回覆,例如「已接受」、「已拒絕」或「不確定」
協同整合錯誤代碼 與失敗的要求相關聯的錯誤代碼。需啟用日曆協同整合服務才會提供。
IP 位址 與系統所記錄動作相關聯的網際網路通訊協定位址 (IP)。這個位址通常會反映使用者的實際所在位置,但也可能是 Proxy 伺服器或虛擬私人網路 (VPN) 位址。

IP ASN

您需要在搜尋結果加入這個資料欄,相關步驟請參閱「管理搜尋結果資料欄」。

與記錄項目相關聯的 IP 自治系統編號 (ASN)、行政分區和區域。

如要查看活動發生的 IP ASN、行政分區和區域代碼,請在搜尋結果中點選名稱。
新值&ast; 屬性的新值。例如,輸入新日曆的標題、說明或新地點。
通知訊息 ID 電子郵件通知的 ID。
通知方式 通知傳送媒介。請選取下列任一值:
  • 快訊 - 彈出式視窗或警告訊息通知
  • 預設 - 日曆預設通知機制
  • 電子郵件
通知類型 設定的通知類型,例如「已授予日曆存取權」、「已取消活動」或「新活動」
舊活動名稱 如果日曆活動的名稱已變更,這是先前的活動名稱。
主辦人日曆 ID 活動發起人的日曆 ID。
重複規則 如果是週期性日曆活動,這個欄位會定義活動重複方式,例如每天、每週、每月、每年重複,或在每週、每月或每年的某幾天重複。如要進一步瞭解「重複規則」欄位,請參閱開發人員說明文件
週期性 日曆活動為週期性活動。
遠端 Exchange 伺服器網址&ast; Exchange Web 服務 (EWS) 端點網址。需啟用日曆協同整合工具才會提供。
要求期間結束時間&ast; 如果所記錄的動作是於某段期間發生,此欄位會包含該期間的結束時間。例如:在日曆協同整合工具中查詢有空與否狀態的結束時間。
要求期間開始時間&ast; 如果所記錄的動作是於某段期間發生,此欄位會包含該期間的開始時間。例如:在日曆協同整合工具中查詢有空與否狀態的開始時間。
資源

與動作相關的資源清單。按一下資源即可查看下列詳細資料:

  • 資源 ID:資源的 ID
  • 資源標題:資源的標題
  • 資源類型:Google 雲端硬碟項目、電子郵件、快訊、規則等
  • 資源關係:資源與事件的關係

  • 資源標籤:資源的分類標籤清單,包括資源標籤 ID資源標籤名稱資源標籤欄位

    資源標籤欄位包含:

    • 標籤欄位 ID
    • 標籤欄位名稱
    • 標籤欄位類型 - 標籤欄位的資料類型,例如:
      • Text
      • Number
      • 選項 - 包含:ID、顯示名稱、是否加上標記
      • 選項清單
      • 使用者 - 包含:電子郵件地址
      • 使用者清單
      • 日期

如果將資訊匯出為逗號分隔值 (CSV) 檔案或 Google 試算表,資料會以單一文字區塊的形式儲存在同一個儲存格中。
訂閱者日曆 ID 如果使用者訂閱了日曆,這個欄位會擷取該使用者的日曆 ID。
目標&ast; 發生存取權異動或收件者電子郵件地址異動時,這可能是授權對象的電子郵件地址或邀請對象的電子郵件地址。
使用者代理程式 與日曆活動相關聯的使用者代理程式軟體。
&ast; 您無法使用這些篩選條件建立報表規則。進一步瞭解報告規則與活動規則的比較

管理記錄事件資料

管理搜尋結果資料欄

您可以控制搜尋結果中要顯示哪些資料欄。

  1. 按一下搜尋結果表格右上方的「管理資料欄」圖示
  2. (選用) 如要移除目前的資料欄,請按一下「移除」圖示
  3. (選用) 如要新增資料欄,請按一下「新增資料欄」旁邊的向下箭頭 ,然後選取資料欄。
    視需要重複上述步驟。
  4. (選用) 如要變更資料欄的順序,請拖曳資料欄名稱。
  5. 按一下 [儲存]

匯出搜尋結果資料

您可以將搜尋結果匯出為 Google 試算表或 CSV 檔案。

  1. 按一下搜尋結果表格頂端的「全部匯出」
  2. 輸入名稱 接下來 按一下「匯出」
    匯出結果會顯示在搜尋結果表格的「匯出動作執行結果」下方。
  3. 如要查看資料,請按一下匯出項目的名稱。
    匯出項目會在試算表中開啟。

匯出上限因情況而異:

  • 匯出結果總上限為 100,000 列。
  • 支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較

    如果您使用安全調查工具,匯出結果總上限為 3, 000 萬列。

詳情請參閱「匯出搜尋結果」。

資料要處理多久?保留時間有多長?

請參閱「資料保留和延遲時間」。

依據搜尋結果採取行動

建立活動規則及設定快訊

  • 您可以透過報告規則,根據記錄事件資料設定快訊。如需操作說明,請參閱「建立及管理報告規則」。
  • 支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較

    為了有效地預防、偵測及修正安全問題,您可以建立「活動規則」,讓安全調查工具依此自動執行作業及傳送快訊。設定規則時,您需要先設定觸發規則的條件,再指定符合條件時要執行的動作。詳情請參閱「建立及管理活動規則」。

依據搜尋結果採取行動

支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較

使用安全調查工具執行搜尋後,您可以對搜尋結果採取行動,舉例來說,您可以根據 Gmail 記錄事件執行搜尋,然後透過工具刪除特定郵件、將郵件傳送至隔離區,或將郵件傳送至使用者的收件匣。詳情請參閱「根據搜尋結果執行動作」。

管理調查項目

支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較

查看調查清單

如要查看調查清單,一覽您本身擁有及接受他人共用的調查項目,請按一下「查看調查」圖示 。這份清單會列出調查項目的名稱、說明、擁有者和上次修改日期。

您可以在這份清單中對自己擁有的調查項目執行動作 (例如刪除調查項目),方法是勾選調查項目旁的方塊,然後按一下「動作」

注意:您可以在「快速存取」下方 (調查清單正上方) 查看已儲存的調查項目。

配置調查設定

超級管理員可以點選「設定」圖示 ,執行下列操作:

  • 變更調查項目的時區。搜尋條件和結果會套用這項時區設定。
  • 開啟或關閉「需要審查者」。詳情請參閱「要求為大量動作指派審查者」。
  • 開啟或關閉「查看內容」。這項設定可讓具備適當權限的管理員查看內容。
  • 開啟或關閉「請啟用動作執行原因」設定。

詳情請參閱「進行調查設定」。

儲存、共用、刪除及複製調查項目

如要儲存搜尋條件或與他人共用,您可以選擇建立並儲存調查項目,接著即可共用、複製或刪除這個調查項目。

詳情請參閱「儲存、共用、刪除及複製調查項目」。