Sự kiện trong nhật ký về Quyền truy cập theo bối cảnh

Để tìm kiếm sự kiện trong nhật ký, trước tiên, hãy chọn một nguồn dữ liệu. Sau đó, hãy chọn một hoặc nhiều bộ lọc cho nội dung bạn muốn tìm.

1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn Báo cáo Kiểm tra và điều tra Sự kiện trong nhật ký Quyền truy cập dựa trên bối cảnh.

   Chuyển đến phần Sự kiện trong nhật ký Quyền truy cập dựa trên bối cảnh

   Bạn phải có đặc quyền Kiểm tra và điều tra của quản trị viên.

2. Để lọc những sự kiện xảy ra trước hoặc sau một ngày cụ thể, đối với Ngày, hãy chọn Trước hoặc Sau. Theo mặc định, các sự kiện trong 7 ngày qua sẽ xuất hiện. Bạn có thể chọn một phạm vi ngày khác hoặc nhấp vào biểu tượng để xoá bộ lọc ngày.

3. Nhấp vào Thêm bộ lọc chọn một thuộc tính. Ví dụ: để lọc theo một loại sự kiện cụ thể, hãy chọn Sự kiện.
4. Chọn một toán tử chọn một giá trị nhấp vào Áp dụng.
   • (Không bắt buộc) Để tạo nhiều bộ lọc cho nội dung tìm kiếm, hãy lặp lại bước này.
   • (Không bắt buộc) Để thêm toán tử tìm kiếm, ở phía trên phần Thêm bộ lọc, hãy chọn AND hoặc OR.
5. Nhấp vào Tìm kiếm. Lưu ý: Khi sử dụng thẻ Bộ lọc, bạn có thể thêm các cặp giá trị và tham số đơn giản để lọc kết quả tìm kiếm. Bạn cũng có thể sử dụng thẻ Trình tạo điều kiện, trong đó các bộ lọc được biểu thị dưới dạng điều kiện bằng toán tử AND/OR.

Để chạy một lượt tìm kiếm trong công cụ điều tra bảo mật, trước tiên, hãy chọn một nguồn dữ liệu. Sau đó, hãy chọn một hoặc nhiều điều kiện cho nội dung bạn muốn tìm. Đối với mỗi điều kiện, hãy chọn một thuộc tính, một toán tử và một giá trị.

1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn Bảo mật Trung tâm bảo mật Công cụ điều tra.

   Chuyển đến Công cụ điều tra

   Bạn phải có đặc quyền của quản trị viên đối với Trung tâm bảo mật.

2. Nhấp vào Nguồn dữ liệu rồi chọn Sự kiện trong nhật ký Quyền truy cập dựa trên bối cảnh.
3. Nhấp vào Thêm điều kiện.
   Lưu ý: Bạn có thể thêm một hoặc nhiều điều kiện vào nội dung tìm kiếm hoặc tuỳ chỉnh nội dung tìm kiếm bằng các truy vấn lồng ghép. Để biết thông tin chi tiết, hãy xem bài viết Tuỳ chỉnh nội dung tìm kiếm bằng các truy vấn lồng ghép.
4. Nhấp vào Thuộc tính chọn một lựa chọn. Ví dụ: để lọc theo một loại sự kiện cụ thể, hãy chọn Sự kiện.
   Để xem danh sách đầy đủ các thuộc tính, hãy chuyển đến phần Nội dung mô tả thuộc tính.
5. Chọn một toán tử.
6. Nhập một giá trị hoặc chọn một giá trị trong danh sách.
7. (Không bắt buộc) Để thêm các điều kiện tìm kiếm khác, hãy lặp lại các bước trên.
8. Nhấp vào Tìm kiếm.
   Bạn có thể xem kết quả tìm kiếm từ công cụ điều tra trong một bảng ở cuối trang.
9. (Không bắt buộc) Để lưu thông tin điều tra, hãy nhấp vào biểu tượng Lưu nhập tiêu đề và nội dung mô tả nhấp vào Lưu.

Lưu ý

• Trong thẻ Trình tạo điều kiện, các bộ lọc được biểu thị dưới dạng điều kiện bằng toán tử AND/OR. Bạn cũng có thể sử dụng thẻ Bộ lọc để thêm các cặp giá trị và tham số đơn giản nhằm lọc kết quả tìm kiếm.
• Nếu đã đổi tên cho một người dùng, bạn sẽ không thấy kết quả truy vấn theo tên cũ của người dùng đó. Ví dụ: nếu đổi tên OldName@example.com thành NewName@example.com, bạn sẽ không thấy kết quả cho các sự kiện liên quan đến OldName@example.com.
• Bạn chỉ có thể tìm kiếm dữ liệu trong những tin nhắn chưa bị xoá khỏi Thùng rác.

Đôi khi, bạn có thể thấy mục Truy cập bị từ chối trong nhật ký sự kiện về Quyền truy cập theo ngữ cảnh của một người dùng, mặc dù họ không báo cáo rằng mình đã thấy trang Truy cập bị từ chối.

Lý do xảy ra lỗi này

• Đăng nhập trên nhiều thiết bị: Vấn đề này có thể xảy ra khi người dùng đăng nhập vào tài khoản của họ trên nhiều thiết bị. Điều này đặc biệt có khả năng xảy ra nếu một trong các thiết bị này thiếu tính năng xác minh điểm cuối hoặc được liên kết với một tài khoản khác. Ví dụ: họ có thể đăng nhập trên thiết bị cá nhân hoặc một hồ sơ trình duyệt Chrome khác.
• Đăng nhập bằng tài khoản phụ: Một trường hợp khác liên quan đến những người dùng đã đăng nhập vào tài khoản công ty của họ dưới dạng tài khoản phụ trên một thiết bị khác. Trong trường hợp này, trang Truy cập bị từ chối có thể không xuất hiện trên thiết bị chính của họ. Tuy nhiên, các sự kiện nhật ký sẽ ghi lại nỗ lực truy cập bị từ chối trên thiết bị phụ. Để biết thông tin chi tiết, hãy xem bài viết Đăng nhập vào nhiều tài khoản cùng một lúc.

Việc nên làm

• Kiểm tra xem người dùng có đăng nhập vào tài khoản công ty của họ trên một thiết bị khác hay không.
• Đảm bảo bạn đã cài đặt và định cấu hình đúng cách tính năng xác minh thiết bị đầu cuối trên tất cả thiết bị mà người dùng truy cập vào tài khoản công ty của họ.
• Xem xét sự kiện nhật ký để biết thông tin về thiết bị và địa chỉ IP nhằm xác định nguồn gốc của lần truy cập bị từ chối.

• Bạn có thể thiết lập cảnh báo dựa trên dữ liệu sự kiện trong nhật ký bằng cách sử dụng quy tắc báo cáo. Để xem hướng dẫn, hãy chuyển đến phần Tạo và quản lý quy tắc báo cáo.
• Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

  Để ngăn chặn, phát hiện và khắc phục các vấn đề bảo mật một cách hiệu quả, bạn có thể tự động hoá các hành động trong công cụ điều tra bảo mật và thiết lập cảnh báo bằng cách tạo quy tắc hoạt động. Để thiết lập một quy tắc, hãy thiết lập các điều kiện cho quy tắc đó, rồi chỉ định những hành động cần thực hiện khi các điều kiện được đáp ứng. Để biết thêm thông tin chi tiết, hãy xem bài viết Tạo và quản lý quy tắc hoạt động.

Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

Sau khi chạy một cụm từ tìm kiếm trong công cụ điều tra bảo mật, bạn có thể thực hiện hành động đối với kết quả tìm kiếm. Ví dụ: bạn có thể chạy một tìm kiếm dựa trên các sự kiện trong nhật ký Gmail, sau đó dùng công cụ này để xoá thư cụ thể, gửi thư đến vùng cách ly hoặc gửi thư đến hộp thư đến của người dùng. Để biết thêm thông tin chi tiết, hãy xem bài viết Xử lý dựa trên kết quả tìm kiếm.

Để xem danh sách các cuộc điều tra mà bạn sở hữu và các cuộc điều tra được chia sẻ với bạn, hãy nhấp vào biểu tượng Xem các cuộc điều tra . Danh sách điều tra bao gồm tên, nội dung mô tả, chủ sở hữu của các cuộc điều tra và ngày sửa đổi gần đây nhất.

Trong danh sách này, bạn có thể thực hiện hành động đối với bất kỳ cuộc điều tra nào mà bạn sở hữu, chẳng hạn như xoá một cuộc điều tra. Đánh dấu vào hộp cho một cuộc điều tra rồi nhấp vào Thao tác.

Lưu ý: Bạn có thể xem các thông tin điều tra đã lưu trong phần Truy cập nhanh, ngay phía trên danh sách thông tin điều tra.

Là một quản trị viên cấp cao, hãy nhấp vào biểu tượng Cài đặt để:

• Thay đổi múi giờ cho các cuộc điều tra. Múi giờ áp dụng cho các điều kiện và kết quả tìm kiếm.
• Bật hoặc tắt chế độ Yêu cầu người đánh giá. Để biết thêm thông tin chi tiết, hãy xem bài viết Yêu cầu người đánh giá cho các thao tác hàng loạt.
• Bật hoặc tắt chế độ Xem nội dung. Chế độ cài đặt này cho phép những quản trị viên có đặc quyền thích hợp xem nội dung.
• Bật hoặc tắt chế độ Bật lý do thực hiện hành động.

Để biết thêm thông tin chi tiết, hãy xem bài viết Định cấu hình chế độ cài đặt cho hoạt động điều tra.

Để lưu tiêu chí tìm kiếm hoặc chia sẻ tiêu chí đó với người khác, bạn có thể tạo và lưu một cuộc điều tra, sau đó chia sẻ, sao chép hoặc xoá cuộc điều tra đó.

Để biết thông tin chi tiết, hãy xem bài viết Lưu, chia sẻ, xoá và sao chép các cuộc điều tra.