您可能可以使用具有更多高级功能的安全调查工具,具体取决于您的 Google Workspace 版本。例如,超级用户可以识别安全和隐私问题、适当分类并采取应对措施。了解详情
作为组织的管理员,您可以搜索情境感知访问权限日志事件,并根据搜索结果采取相应措施。例如,您可以查看操作记录,以排查用户被拒绝或获准访问应用的问题。相关条目通常会在用户被拒后 1 小时内显示。
如需了解详情,请参阅情境感知访问权限概览。
搜索日志事件
能否执行搜索取决于您所使用的 Google 版本、所具备的管理员权限以及所涉及的数据源。您可以对所有用户执行搜索,不受其所使用的 Google Workspace 版本影响。
审核和调查工具
如需搜索日志事件,请先选择数据源,然后选择一个或多个搜索过滤条件。
-
在 Google 管理控制台中,依次点击“菜单”图标
报告
审核和调查
情境感知访问权限日志事件。需要拥有审核与调查管理员权限。
-
如要过滤在特定日期之前或之后发生的事件,请针对日期选择之前或之后。默认情况下,系统会显示过去 7 天内的事件。您可以选择其他日期范围,也可以点击
移除日期过滤条件。 -
点击添加过滤条件
选择一个属性。例如,如需按特定事件类型进行过滤,请选择事件。
-
选择一个运算符
选择一个值
点击应用。
- (可选)如需创建多个过滤条件来执行搜索,请重复此步骤。
- (可选)如需添加搜索运算符,请在添加过滤条件上方选择 AND 或 OR。
- 点击搜索。 注意:您可以使用过滤条件标签页来添加简单的参数和值对,以便过滤搜索结果。您还可以使用条件构建器标签页,其中的过滤条件会以带有“AND”/“OR”运算符的条件呈现。
安全调查工具
如要在安全调查工具中执行搜索,请先选择数据源。然后选择一个或多个搜索条件。请为每个条件分别选择属性、运算符和值。
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性
安全中心
调查工具。需要拥有“安全中心”管理员权限。
- 点击数据源,然后选择情境感知访问权限日志事件。
-
点击添加条件。
提示:您可以添加一种或多种搜索条件,或使用嵌套查询自定义搜索。如需了解详情,请参阅使用嵌套查询自定义搜索。 -
点击属性
选择一个选项。例如,如需按特定事件类型进行过滤,请选择事件。
如需查看完整的属性列表,请参阅属性说明部分。 - 选择一个运算符。
- 输入一个值或从列表中选择一个值。
- (可选)如需添加更多搜索条件,请重复上述步骤。
-
点击搜索。
您可以在页面底部的表格中查看调查工具的搜索结果。 -
(可选)如需保存调查,请执行以下操作:点击“保存”图标
输入标题和说明
点击保存。
备注
- 在条件构建器标签页中,过滤条件会以带有“AND”/“OR”运算符的条件呈现。您还可以使用过滤器标签页,通过添加简单的参数和值对来过滤搜索结果。
- 如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com相关的事件。
- 您只能搜索尚未从“已删除邮件”中删除的邮件中的数据。
属性说明
对于此数据源,您可以在搜索日志事件数据时使用以下属性。
| 属性 | 说明 |
|---|---|
| 应用访问权限级别 | 管理员为特定应用所应用的访问权限级别。如果用户满足其中一个级别的要求,系统就会授予用户访问权限。 |
| 符合的访问权限级别 |
用户在访问权限评估期间成功符合的所有已应用访问权限级别。如果此列表为空,则表示未授予访问权限。 如果应用的属性中的至少一个访问权限级别属于符合的访问权限级别,则表示是访问权限授予事件。此事件在情境感知访问权限审核日志中显示为已评估访问权限。 |
| 不符合的访问权限级别 |
用户在访问权限评估期间未符合的所有已应用访问权限级别。如果已应用的访问权限级别属性中的所有访问权限级别都显示在此列表中,则系统会拒绝用户的访问。 注意:此列表中仅会显示已应用的访问权限级别。管理控制台中定义的其他未应用的访问权限级别不会显示。 |
| Actor | 执行此操作的用户的电子邮件地址 |
| 执行者群组名称 |
执行者所属群组的名称。如需了解详情,请参阅按 Google 群组过滤结果。 如需将群组添加到过滤群组许可名单,请执行以下操作:
|
| 执行者组织部门 | 执行者所属的组织部门 |
| 应用 | 可以是以下任意一项:
|
| 禁止了 API 访问权限 |
拒绝用户访问的应用的 API。对于 API 访问,调用应用被禁止访问的 API。 (仅适用于处于活跃和监控模式下的拒绝审核) |
| 日期 | 事件发生的日期和时间(以您浏览器的默认时区显示) |
| 设备 ID |
设备 ID,如管理控制台首页
如果无法检测到设备,此值可能为未知。 |
| 设备状态 |
用于执行此访问的设备的状态,例如“正常”“不同步”(过时或较旧)、“跨组织”(设备不属于您的组织)或“无设备信号”(无法检测到设备)。 如果设备 ID 未知且“设备状态”属性显示“无设备信号”,则表示用户的设备没有报告代理,例如端点验证或移动设备管理 (MDM)。 |
| 设备风险 | 设备上存在的安全风险,导致系统根据保护应用访问权限的安全顾问政策向用户发出警告或屏蔽用户。 |
| 事件 | 记录的事件操作:
|
| IP 地址 | 执行者的 IP 地址 |
|
IP ASN 您需要将此列添加到搜索结果中。如需了解相关步骤,请参阅管理搜索结果列数据。 |
与日志条目关联的 IP 自治系统编号 (ASN)、细分和区域。 如需查看发生活动的 IP ASN、细分和区域代码,请点击搜索结果中的名称。 |
| 受保护的 API 访问权限 |
情境感知访问权限授予用户访问权限的应用的 API。 对于 API 访问,则为情境感知访问权限授予调用应用访问权限的 API。 |
管理日志事件数据
了解“访问遭拒”日志事件
有时,即使某用户未报告看到访问遭拒页面,情境感知访问权限日志事件中也可能会显示该用户的访问遭拒条目。
为什么会出现这种情况
- 在多台设备上登录:如果用户在多台设备上登录了自己的账号,可能会出现此问题。如果其中一台设备未启用端点验证或与其他账号相关联,则尤其可能出现这种情况。例如,他们可能在个人设备上或通过其他 Chrome 浏览器个人资料登录了账号。
- 辅助账号登录:另一种情况是,用户在其他设备上以辅助账号的形式登录了公司账号。在这种情况下,主设备上可能不会显示访问遭拒页面。不过,日志事件会捕获在辅助设备上遭拒的访问尝试。如需了解详情,请参阅同时登录多个账号。
具体操作
- 检查用户是否在其他设备上登录了公司账号。
- 确保在用户访问公司账号的所有设备上正确安装并配置了端点验证。
- 查看日志事件中的设备信息和 IP 地址,以便确定被拒访问尝试的来源。
根据搜索结果执行操作
创建活动规则和设置提醒
根据搜索结果执行操作
支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 版本对比
在安全调查工具中执行搜索后,您可以根据搜索结果采取行动。举例来说,您可以搜索 Gmail 日志事件,然后使用该工具删除特定邮件,或者将邮件发送至隔离区或用户的收件箱。如需了解详情,请参阅根据搜索结果执行操作。
管理调查
支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 版本对比
查看您的调查列表
如需查看您自己的调查列表以及其他人与您共享的调查列表,请点击“查看调查”图标 
。调查列表中包含调查的名称、说明和负责人,以及最后修改日期。
在此列表中,您可以对所拥有的任意调查执行操作(例如删除调查)。只需选中相应调查的复选框,然后点击操作。
注意:您可以在调查列表正上方的快速访问下,查看已保存的调查。
为调查配置设置
作为超级用户,您可以点击“设置”图标
,以便执行以下操作:
- 更改调查的时区,而搜索条件和结果会采用您设置的时区。
- 开启或关闭需要审核者。有关详情,请参阅需要审核者批准进行批量操作。
- 开启或关闭查看内容。开启后,拥有适当权限的管理员可以查看内容。
- 开启或关闭需要输入执行操作的原因。
如需了解详情,请参阅为调查配置设置。
保存、共享、删除和复制调查
如要保存搜索条件或与他人共享搜索条件,您可以创建并保存调查,然后共享、复制或删除调查。
有关详情,请参阅保存、共享、删除和复制调查。