您或许可以使用具有更多高级功能的安全调查工具,具体取决于您的 Google Workspace 版本。例如,超级用户可以识别安全和隐私问题、对其进行分级处理并采取应对措施。了解详情
作为组织的管理员,您可以搜索 Chat 日志事件,并针对与这些事件相关的安全问题采取措施。例如,您可以查看操作记录,以监控组织中的对话和讨论活动。您还可以查看用户何时发送了私信或何时创建了聊天室。
搜索日志事件
能否执行搜索取决于您的 Google 版本、管理员权限和数据源。无论用户使用何种 Google Workspace 版本,您都可以对所有用户执行搜索。
审核和调查工具
如需搜索日志事件,请先选择数据源,然后选择一个或多个搜索过滤条件。
-
在 Google 管理控制台中,依次点击“菜单”图标
报告 审核和调查 Chat 日志事件。您需要拥有审核和调查管理员权限。
-
如要过滤在特定日期之前或之后发生的事件,请针对日期选择之前或之后。默认情况下,系统会显示过去 7 天内的事件。您可以选择其他日期范围,也可以点击
移除日期过滤条件。 -
点击添加过滤条件 选择一个属性。例如,如需按特定事件类型过滤,请选择事件。
-
选择一个运算符 选择一个值 点击应用。
- (可选)如需创建多个过滤条件来执行搜索,请重复此步骤。
- (可选)如需添加搜索运算符,请在添加过滤条件上方选择且或者或。
- 点击搜索。 注意:您可以使用过滤条件标签页来添加简单的参数和值对,以便过滤搜索结果。您还可以使用条件构建器标签页,其中的过滤条件由“且”/“或”运算符连接的条件表示。
安全调查工具
如要在安全调查工具中执行搜索,请先选择数据源,然后选择一个或多个搜索条件。请为每个条件分别选择属性、运算符,以及值。
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性 安全中心 调查工具。需要拥有安全中心管理员权限。
- 点击数据源,然后选择 Chat 日志事件。
-
如要过滤在特定日期之前或之后发生的事件,请针对日期选择之前或之后。默认情况下,系统会显示过去 7 天内的事件。您可以选择其他日期范围,也可以点击
移除日期过滤条件。 -
点击添加条件。
提示:您可以添加一种或多种搜索条件,或使用嵌套查询自定义搜索。如需了解详情,请参阅使用嵌套查询自定义搜索。 -
点击属性 选择一个选项。例如,如需按特定事件类型过滤,请选择事件。
如需查看完整的属性列表,请参阅下文中的属性说明部分。 - 选择一个运算符。
- 输入一个值或从列表中选择一个值。
- (可选)如需添加更多搜索条件,请重复上述步骤。
-
点击搜索。
您可以在页面底部的表格中查看调查工具的搜索结果。 -
(可选)如需保存调查,请点击“保存”图标
输入标题和说明 点击保存。
备注
- 在条件构建器标签页中,过滤条件由“且”/“或”运算符连接的条件表示。您还可以使用过滤条件标签页来添加简单的参数和值对,以便过滤搜索结果。
- 如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com 相关的事件。
- 您只能搜索尚未从“回收站”中删除的邮件中的数据。
属性说明
对于此数据源,您可以在搜索日志事件数据时使用以下属性。
| 属性 | 说明 |
|---|---|
| 执行者 | 执行此操作的用户的电子邮件地址。 |
|
执行者应用名称 您需要将此列添加到搜索结果中。如需了解相关步骤,请参阅管理搜索结果列数据。 |
执行操作所用应用的详细信息。如需查看以下信息,请点击搜索结果中的名称:
如果您将信息导出到逗号分隔值 (CSV) 文件或 Google 表格,该信息将作为单个文本块保存在单元格中。 |
| 执行者群组名称 |
执行者所属群组的名称。如需了解详情,请参阅按 Google 群组过滤结果。 如需将群组添加到过滤群组许可名单,请执行以下操作:
|
| 执行者组织部门 | 执行者所属的组织部门 |
| 执行者类型 | 执行相应操作的用户角色,例如管理员或非管理员 |
| 附件哈希 | 聊天附件的 SHA-256 哈希 |
| 附件名称 | 在 Chat 消息中发送的附件的名称 |
| 附件状态 | 相应消息是否包含附件 |
| 附件网址 | 在 Chat 消息中发送的附件的下载网址 |
| 对话所有权 |
对话所有权归客户所有(内部所有)还是归其他客户所有(外部所有) |
| 对话类型 |
对话类型,例如:
|
| 数据泄露防护扫描状态* | 借助适用于 Chat 的数据泄露防护功能,您可以创建数据保护规则,防止 Chat 消息和附件(上传的文件)发生数据泄露。DLP 扫描状态包括“失败”“已部分扫描”和“已扫描”等值。 |
| 日期 | 事件发生的日期和时间(以您浏览器的默认时区显示) |
| 事件 | 记录的事件操作,例如“发送了消息”“上传了附件”或“发送了私信”。 |
| 外部聊天室* | 组织外部的成员是否可以加入聊天室 |
|
IP ASN 您需要将此列添加到搜索结果中。如需了解相关步骤,请参阅管理搜索结果列数据。 |
与日志条目关联的 IP 自治系统编号 (ASN)、细分和区域。 如需查看发生活动的 IP ASN、细分和区域代码,请点击搜索结果中的名称。 |
| 消息 ID |
Chat 消息的 ID |
| 消息类型 |
消息类型,例如:
|
| 新角色 | 接收者的新角色类型,例如聊天室管理员或成员 |
| 收件人* | 聊天消息的收件人。当发生以下事件时,系统会记录此属性:
|
| 报告 ID | Chat 消息报告的 ID |
| 报告类别* | Chat 消息报告的类别,例如垃圾内容、机密信息或敏感信息 |
| 资源 |
与操作关联的资源列表。点击资源可查看以下详细信息:
如果您将信息导出到逗号分隔值 (CSV) 文件或 Google 表格,该信息将作为单个文本块保存在单元格中。 |
| 房间历史记录设置 | 聊天室历史记录处于启用还是停用状态 |
| 会议室 ID | 聊天室 ID |
| 会议室名称 | 聊天室名称 |
注意:如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com相关的事件。
管理日志事件数据
管理搜索结果列数据
您可以控制在搜索结果中显示哪些数据列。
- 在搜索结果表格的右上角,点击“管理列”图标
。 - (可选)如要移除当前列,请点击“移除”图标 。
- (可选)如要添加列,请点击新增列旁边的向下箭头
,然后选择相应数据列。
根据需要重复上述步骤。 - (可选)如要更改列的顺序,请拖动数据列名称。
- 点击保存。
导出搜索结果数据
何时可以查看数据?数据会保留多久?
请参阅数据保留时间和延迟时间。
根据搜索结果执行操作
创建活动规则和设置提醒
根据搜索结果执行操作
支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。比较您的版本
在安全调查工具中执行搜索后,您可以根据搜索结果执行操作。举例来说,您可以搜索 Gmail 日志事件,然后使用安全调查工具删除特定邮件,或者将邮件发送至隔离区或用户的收件箱。如需了解详情,请参阅根据搜索结果执行操作。
管理调查
支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。比较您的版本
查看调查列表
如需查看您自己的调查列表以及他人与您共享的调查列表,请点击“查看调查”图标 
。调查列表中包含调查的名称、说明和负责人,以及最后修改日期。
在此列表中,您可以对所拥有的任意调查执行操作(例如删除调查)。只需选中相应调查的复选框,然后点击操作即可。
注意:您可以在调查列表正上方的快速访问下,查看已保存的调查。
为调查配置设置
作为超级用户,您可以点击“设置”图标 
,以便执行以下操作:
- 更改调查的时区,搜索条件和结果会采用您设置的时区。
- 开启或关闭需要审核者。如需了解详情,请参阅需要审核者批准进行批量操作。
- 开启或关闭查看内容。开启后,拥有适当权限的管理员可以查看内容。
- 开启或关闭需要输入执行操作的原因。
如需了解详情,请参阅为调查配置设置。
保存、共享、删除和复制调查
如要保存搜索条件或与他人共享搜索条件,您可以创建并保存调查,然后共享、复制或删除调查。
如需了解详情,请参阅保存、共享、删除和复制调查。