Chrome 日志事件

在 Google 管理控制台中查看 Chrome 事件

您可能可以使用具有更多高级功能的安全调查工具,具体取决于您的 Google Workspace 版本。例如,超级用户可以识别安全和隐私问题、适当分类并采取应对措施。了解详情

作为组织的管理员,您可以搜索 Chrome 日志事件,并针对与这些事件相关的安全问题采取措施。例如,您可以查看操作记录,以跟踪与受管理的 Chrome 浏览器和 ChromeOS 设备相关的事件。您还可以查看何时访问了不安全的网站。

准备工作

查看所有 Chrome 事件的条件:

能否执行搜索取决于您所使用的 Google 版本、所具备的管理员权限以及所涉及的数据源。您可以对所有用户执行搜索,不受其所使用的 Google Workspace 版本影响。

审核和调查工具

如需搜索日志事件,请先选择数据源,然后选择一个或多个搜索过滤条件。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 报告 然后审核和调查 然后Chrome 日志事件

    需要拥有审核与调查管理员权限。

  2. 如要过滤在特定日期之前或之后发生的事件,请针对日期选择之前之后。默认情况下,系统会显示过去 7 天内的事件。您可以选择其他日期范围,也可以点击 移除日期过滤条件。

  3. 点击过滤条件标签页。
  4. 点击添加过滤条件 然后选择一个属性。例如,如需按特定事件类型进行过滤,请选择事件
  5. 选择一个运算符 然后选择一个值 然后点击应用
  6. (可选)如需创建多个过滤条件来执行搜索,请重复第 3 步至第 5 步。
  7. 点击搜索注意您可以使用过滤条件标签页来添加简单的参数和值对,以便过滤搜索结果。您还可以使用条件构建器标签页,其中的过滤条件会以带有“AND”/“OR”运算符的条件呈现。

安全调查工具

支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 比较您的版本

如要在安全调查工具中执行搜索,请先选择数据源。然后选择一个或多个搜索条件。请为每个条件分别选择属性、运算符和值

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后安全中心 然后调查工具

    需要拥有“安全中心”管理员权限。

  2. 点击数据源,然后选择 Chrome 日志事件

  3. 如要过滤在特定日期之前或之后发生的事件,请针对日期选择之前之后。默认情况下,系统会显示过去 7 天内的事件。您可以选择其他日期范围,也可以点击 移除日期过滤条件。

  4. 点击添加条件
    提示:您可以添加一种或多种搜索条件,或使用嵌套查询自定义搜索。如需了解详情,请参阅使用嵌套查询自定义搜索
  5. 点击属性 然后选择一个选项。例如,如需按特定事件类型进行过滤,请选择事件
    如需查看完整的属性列表,请参阅属性说明部分。
  6. 选择所需运算符。
  7. 输入一个值或从列表中选择一个值。
  8. (可选)如需添加更多搜索条件,请重复上述步骤。
  9. 点击搜索
    您可以在页面底部的表格中查看调查工具的搜索结果。
  10. (可选)如需保存调查,请点击“保存”图标 然后 输入标题和说明 然后 点击保存

备注

  • 条件构建器标签页中,过滤条件会以带有“AND”/“OR”运算符的条件呈现。您还可以使用过滤器标签页,通过添加简单的参数和值对来过滤搜索结果。
  • 如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com相关的事件。
  • 您只能搜索尚未从“已删除邮件”中删除的邮件中的数据。

属性说明

对于此数据源,您可以在搜索日志事件数据时使用以下属性。

属性 说明
执行者群组名称

执行者所属群组的名称。如需了解详情,请参阅按 Google 群组过滤结果

如需将群组添加到过滤群组许可名单,请执行以下操作:

  1. 选择执行者群组名称
  2. 点击过滤群组
    此时,系统会显示“过滤群组”页面。
  3. 点击添加群组
  4. 输入群组名称或电子邮件地址的前几个字符以搜索群组。当您看到所需群组时,请将其选中。
  5. (可选)如果您还想添加其他群组,请搜索并选择相应群组。
  6. 选择好群组后,点击添加
  7. (可选)如需移除群组,请点击“移除群组”图标
  8. 点击保存
执行者组织部门 执行者的组织部门。
应用名称 Chrome 应用商店中显示的扩展程序名称。
浏览器版本 分配给 Chrome 浏览器版本的数字,例如 123.0.6312.59
客户端类型

发生事件的受管理 Chrome 表面。
内容哈希 内容的 SHA256 哈希。
内容名称 已下载内容的名称,例如文件名。
内容风险等级 由 Google 安全浏览提供支持的总体内容风险等级。
内容大小&ast; 已下载内容的大小(以字节为单位)。
内容类型 已下载内容的媒体 (MIME) 类型,例如 text/html
日期 事件发生的日期和时间(以您浏览器的默认时区显示)。
目的地 文件传输事件的目标文件系统。对于数据控制事件,是文件上传或复制和粘贴操作的目标文件系统或目标网址。
设备名称 设备的名称。
设备平台 运行浏览器的操作系统。
设备用户 操作系统所报告的用户名。
Directory API ID Directory API 返回的设备 ID。
网域&ast; 发生操作的网域。
扩展程序操作类型 触发事件的 Chrome 扩展程序操作的类型。可以是安装卸载更新
扩展程序来源 安装 Chrome 扩展程序的来源。可以是 Chrome 应用商店外部组件未指定
扩展程序版本 扩展程序的版本。
事件 记录的事件操作,例如内容未经扫描访问不安全的网站重复使用密码、敏感数据传输传输恶意软件传输内容
活动原因&ast; 操作的详细信息,例如“文件受密码保护”
活动结果 根据设置的政策和规则产生的事件结果。可能为已绕过已屏蔽已警告已允许已检测到
iframe 网址 事件发生时捕获的 iframe 网址。供 DLP 规则用于匹配网址条件。
注意:由于 iframe DLP 功能不支持访问过的网址触发器,因此控制网站导航(例如,阻止/允许访问网站)的 DLP 规则不会使用此属性。
iframe 网址类别 iframe 网址的内容类别。可能包含生成该事件的多个类别。供 DLP 规则用于匹配网址类别条件。
注意:由于 iframe DLP 功能不支持访问过的网址触发器,因此控制网站导航(例如,阻止/允许访问网站)的 DLP 规则不会使用此属性。

IP ASN

您需要将此列添加到搜索结果中。如需了解相关步骤,请参阅管理搜索结果列数据

与日志条目关联的 IP 自治系统编号 (ASN)、细分和区域。

如需查看发生活动的 IP ASN、细分和区域代码,请点击搜索结果中的名称。
已加密 内容是否已加密。
本地 IP 设备的 IP 地址。
Pehash Sha256 基于 Google 安全浏览的 peHash 的 PEdata 的 SHA-256 哈希值。
资料用户 Chrome 浏览器的个人资料用户名。
推荐网址 促使事件被触发的引荐网址列表。
远程 IP 设备正在与之通信的服务器的公共 IP 地址。
扫描 ID 触发事件的内容分析扫描的扫描 ID。
来源

与事件相关的来源:

  • 文件传输事件 - 来源文件系统。
  • 数据控制事件 - 文件上传或复制和粘贴操作的来源网址。
  • 网络内容上传事件 - 复制数据的来源。它可以是网址或来源类型,例如无痕模式、其他 Chrome 配置文件或计算机的剪贴板。
已登录源 Web 应用的账号 登录到包含内容来源(用户复制内容的应用)的 Web 应用的用户的电子邮件地址。这仅适用于粘贴了内容事件。目前仅支持个人 Google 账号和受管理的 Google 账号。
标签页网址

下载文件时,标签页会重定向到的网址。

此网址可能会触发文件已下载数据泄露防护 (DLP) 规则。例如,当用户从 Google 云端硬盘下载文件时,标签页网址 (drive.google.com) 或下载网址 (googleusercontent.com) 可能会触发规则。

注意:除了下载内容以外,标签页网址网址完全相同。
触发器类型 触发事件的用户操作,例如未知打印了页面文件上传文件下载Web 内容上传文件传输
触发用户 与事件相关的用户名:
  • 重复使用密码 - 密码所属的用户名
  • 密码已重设 - 重置密码的用户名
网址 生成事件的网址。
网址类别 生成事件的网址的内容类别
网址风险等级 由 Google 安全浏览提供支持的总体网址风险等级。
用户代理 用于访问内容的浏览器用户代理字符串。例如,Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4140.0 Safari/537.36
虚拟设备 ID&ast; 设备的 ID。该值与平台相关。
已登录 Web 应用的账号 用户事件发生时,用户账号当前登录的 Web 应用(例如 Gmail 或云端硬盘)的电子邮件地址。这适用于粘贴访问过的网址文件下载文件上传打印事件。目前仅支持个人 Google 账号和受管理的 Google 账号
&ast; 您无法使用这些过滤条件创建报告规则。详细了解报告规则与活动规则

按威胁或数据保护事件过滤数据

  1. 按照前面审核和调查工具部分中的说明打开日志事件。
  2. 点击过滤条件标签页。
  3. 依次点击添加过滤条件 然后事件
  4. 在弹出式窗口中,依次选择运算符 然后选择事件 然后点击应用
  5. (可选)如需创建多个过滤条件,请重复第 2 步至第 4 步。

Chrome 威胁事件说明

事件价值 说明 报告连接器支持
崩溃事件 检测到标签页或浏览器崩溃了。 Chrome 浏览器 112 及更高版本支持报告连接器
扩展程序安装 通过用户操作或由管理员安装了浏览器扩展程序。 Chrome 浏览器 110 及更高版本支持报告连接器
传输恶意软件 用户上传或下载的内容属于恶意、危险或垃圾内容。 Chrome 浏览器 104 及更高版本支持此事件
登录事件

注意:如需报告此事件,必须启用密码管理工具。

用户成功登录报告连接器设置中指定的网址对应的网域。您可以在 Google 安全中心内查看该事件。系统不会报告登录失败的情况。

 Chrome 浏览器 105 及更高版本支持此事件
密码泄露

注意:如需报告此事件,必须启用密码管理工具。

当用户在某个网站中输入其用户名和密码时,如果他们的密码因其他网站或应用中的数据泄露而被破解,Chrome 会发出警告。有关详情,请参阅更改 Google 账号中的不安全密码

Chrome 还会建议用户在每个网站或应用上更改密码。如果密码已保存在密码管理工具中,您可以在 Chrome 威胁防护措施摘要报告的安全中心内查看相应网址。每个网址都会显示为单独的记录。

 Chrome 浏览器 105 及更高版本支持此事件
密码已更改

用户重置了首次登录的用户账号的密码。

 Chrome 浏览器 104 及更高版本支持此事件
密码重复使用 用户在未列入企业登录网址许可名单的网址中输入了密码。 Chrome 浏览器 104 及更高版本支持此事件
可疑网址事件 用户所访问的网址被视为中等风险或更高风险的网址。 Chrome 浏览器 138 及更高版本支持此事件
访问不安全的网站 用户所访问的网址属于欺骗性或恶意网址。 Chrome 浏览器 104 及更高版本支持此事件

Chrome 数据保护事件说明

Chrome 数据保护事件仅适用于 Chrome Enterprise Premium 客户。

如需详细了解 Chrome Enterprise Premium 以及如何设置,请参阅使用 Chrome Enterprise Premium 威胁和数据防护功能保护 Chrome 用户

事件价值 说明 报告连接器支持
内容转移 将从 Chrome 上传、下载或打印的内容送交扫描,以确认是否含有恶意软件或敏感数据

Chrome 浏览器 104 及更高版本支持此事件

需要 Chrome 企业进阶版
未扫描的内容 文件未经扫描的原因有多种,包括:
  • 文件受密码保护
  • 文件过大
  • DLP 扫描失败
  • 恶意软件扫描失败
  • 恶意软件扫描不支持的文件类型
  • 服务不可用

Chrome 浏览器 104 及更高版本支持此事件

需要 Chrome 企业进阶版
敏感数据传输 经数据保护规则检测,用户上传、下载、打印或粘贴的内容被认定为包含敏感数据。

Chrome 浏览器 104 及更高版本支持此事件

需要 Chrome 企业进阶版
网址过滤 用户尝试访问与管理员设置的数据保护规则匹配的网址。

Chrome 浏览器 113 及更高版本支持此事件

需要 Chrome 企业进阶版
重要提示:对于 Chrome 数据保护事件,系统会记录内容上传尝试,而不是已完成的上传。上传可能由于服务器故障、网络连接错误、用户取消上传或不支持文件或文件夹上传的网站而失败。

ChromeOS 安全性事件说明

事件价值 说明 报告连接器支持 必需的政策
ChromeOS 登录失败 用户未能登录其 ChromeOS 设备。 支持 报告设备遥测 然后登录/退出登录状态
ChromeOS 登录成功 用户已成功登录其 ChromeOS 设备。 支持
ChromeOS 注销 用户已成功退出其 ChromeOS 设备。 支持
添加了 ChromeOS 用户 为 ChromeOS 设备添加了用户账号。 支持
移除了 ChromeOS 用户 从 ChromeOS 设备中移除了用户账号。 支持
ChromeOS 锁定成功 ChromeOS 设备的屏幕已锁定。 不支持
ChromeOS 解锁成功 ChromeOS 设备的屏幕已解锁。 不支持
ChromeOS 解锁失败 尝试解锁 ChromeOS 设备失败。 不支持
ChromeOS 设备的启动状态发生变化

ChromeOS 设备的启动状态已切换为开发者模式或已验证模式。

  • 在切换启动状态之前和之后,设备都必须在受管网域中注册才能生成启动状态更改事件。
 不支持 报告设备操作系统信息 然后操作系统启动模式
ChromeOS 添加了 USB 设备

为 ChromeOS 设备添加了一个 USB 设备。此事件仅会针对关联用户进行报告。

 支持 报告设备操作系统信息 然后USB 外围设备状态
ChromeOS USB 设备已移除 已将 USB 设备从 ChromeOS 设备中移除。此事件仅会针对关联用户进行报告。 支持
ChromeOS USB 状态更改 当关联用户登录设备时,系统将报告所有现有 USB 连接。 支持
ChromeOS CRD 主机已启动 有关联用户在受管设备上发起了 Chrome Report Desktop (CRD) 主机会话。 支持 报告设备操作系统信息 然后CRD 会话
ChromeOS CRD 客户端已连接

有用户连接到 Chrome Report Desktop (CRD) 会话。

 支持
ChromeOS CRD 客户端已断开连接 有用户断开与 Chrome Report Desktop (CRD) 会话的连接。 支持
ChromeOS CRD 主机已停止 有关联用户在受管设备上停止了 Chrome Report Desktop (CRD) 主机会话。 支持
ChromeOS 回滚成功 ChromeOS 设备完成了操作系统回滚。 不支持 报告设备操作系统信息 然后报告操作系统更新状态
ChromeOS 版本更新成功 用户已成功将 ChromeOS 设备更新到目标 ChromeOS 版本。 不支持
ChromeOS 版本更新失败 ChromeOS 设备未能更新到目标 ChromeOS 版本。 不支持
对 ChromeOS 设备执行了 Powerwash 操作 ChromeOS 设备执行了 Powerwash 操作。 不支持
数据访问权限控制 用户触发了管理员应用的 ChromeOS 数据控制规则。 支持 数据控制报告

管理日志事件数据

管理搜索结果列数据

您可以控制在搜索结果中显示哪些数据列。

  1. 在搜索结果表格的右上角,点击“管理列”图标
  2. (可选)如要移除当前列,请点击“移除”图标
  3. (可选)如要添加列,请点击新增列旁边的向下箭头 ,然后选择相应数据列。
    根据需要重复上述步骤。
  4. (可选)如要更改列的顺序,请拖动数据列名称。
  5. 点击保存

导出搜索结果数据

您可以将搜索结果导出为 Google 表格文件或 CSV 文件。

  1. 点击搜索结果表格顶部的全部导出
  2. 输入名称 然后 点击导出
    导出内容会显示在搜索结果表格的导出操作结果下方。
  3. 如要查看数据,请点击导出结果的名称。
    导出结果会在 Google 表格中打开。

导出限制因情况而异:

  • 导出结果总数上限为 10 万行。
  • 支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 版本对比

    如果您拥有安全调查工具,则导出结果总数上限为 3, 000 万行。

如需了解详情,请参阅导出搜索结果

何时可以查看数据?数据会保留多久?

根据搜索结果执行操作

创建活动规则和设置提醒

  • 您可以使用报告规则设置基于日志事件数据的提醒。如需了解相关说明,请参阅创建和管理报告规则
  • 支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 比较您的版本

    为了高效地防范、检测和解决安全问题,您可以通过创建活动规则,在安全调查工具中自动执行操作和设置提醒。设置规则时,请先设置规则的条件,然后指定在条件满足时要执行的操作。如需了解详情,请参阅创建和管理活动规则

根据搜索结果执行操作

支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 版本对比

在安全调查工具中执行搜索后,您可以根据搜索结果采取行动。举例来说,您可以搜索 Gmail 日志事件,然后使用该工具删除特定邮件,或者将邮件发送至隔离区或用户的收件箱。如需了解详情,请参阅根据搜索结果执行操作

管理调查

支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 版本对比

查看您的调查列表

如需查看您自己的调查列表以及其他人与您共享的调查列表,请点击“查看调查”图标 。调查列表中包含调查的名称、说明和负责人,以及最后修改日期。

在此列表中,您可以对所拥有的任意调查执行操作(例如删除调查)。只需选中相应调查的复选框,然后点击操作

注意:您可以在调查列表正上方的快速访问下,查看已保存的调查。

为调查配置设置

作为超级用户,您可以点击“设置”图标 ,以便执行以下操作:

  • 更改调查的时区,而搜索条件和结果会采用您设置的时区。
  • 开启或关闭需要审核者。有关详情,请参阅需要审核者批准进行批量操作
  • 开启或关闭查看内容。开启后,拥有适当权限的管理员可以查看内容。
  • 开启或关闭需要输入执行操作的原因

如需了解详情,请参阅为调查配置设置

保存、共享、删除和复制调查

如要保存搜索条件或与他人共享搜索条件,您可以创建并保存调查,然后共享、复制或删除调查。

有关详情,请参阅保存、共享、删除和复制调查

Chrome 扩展程序遥测数据

仅面向购买了 Google Security Operations 许可的客户提供。

您可以在 Google Security Operations 中记录 Chrome 扩展程序遥测数据。请从 Chrome 中收集扩展程序遥测数据,并将其发送到 Google Security Operations,以便提供有关有风险的活动的即时分析和背景信息。

  1. 依次点击“菜单”图标 然后 Chrome 浏览器 > 设置。默认情况下,系统会打开用户和浏览器设置页面。

    需要拥有移动设备管理管理员权限。

  2. 找到浏览器报告功能
  3. 点击事件报告,然后选择启用事件报告功能
  4. 点击其他设置,然后选中扩展程序遥测报告复选框。
  5. 点击保存
  6. 依次点击“菜单”图标 然后 Chrome 浏览器 > 连接器

    需要拥有 Chrome 管理员权限

  7. 打开某个 Google Security Operations 配置 然后点击详细信息 然后点击修改
  8. 前往与用户和浏览器相关的事件,然后在可选事件类型中勾选扩展程序遥测报告复选框。或者,点击添加新提供商配置,创建一个您想要用于接收扩展程序遥测事件的新配置。
  9. 点击保存

如需详细了解 Google Security Operations 以及如何进行设置,请与 Google Cloud Security 团队联系。

Chrome 浏览器扩展程序遥测数据

对于下表中的所有扩展程序值:

  • Chrome 浏览器 129 及更高版本支持此 API 调用。
  • 需要拥有 Google Security Operations 许可才能查看遥测数据。
Chrome 浏览器扩展程序值 说明
chrome.cookies.get

检索单个 Cookie 的相关信息。

允许操控 Cookie 的 API。遥测服务会跟踪 API 调用和参数,以发现 Cookie 盗用行为。
chrome.cookies.get(All)

Chrome 扩展程序遥测信号。从单个 Cookie 存储区检索与给定信息匹配的所有 Cookie。

允许操控 Cookie 的 API。遥测服务会跟踪 API 调用和参数,以发现 Cookie 盗用行为。
chrome.tabs Chrome 扩展程序遥测信号。此 API 提供对标签页的控制功能。遥测服务会跟踪“创建”“更新”和“移除”API 方法的使用情况,以便发现搜索或浏览器黑客攻击。
联系过的远程主机 Chrome 扩展程序遥测信号。遥测服务会记录使用 http(s) 和 websocket 联系的所有远程主机。
非 Chrome 应用商店扩展程序 Chrome 扩展程序遥测信号。遥测服务会跟踪并非从 Chrome 应用商店安装的扩展程序的文件名和哈希值。