报告规则是一种自定义规则,通过设置这种规则,可以让系统根据审核和调查页面上显示的日志事件数据(以前称为“审核日志”)来发出提醒。
配置规则时,您需要为规则设置条件,并指定满足这些条件时要执行哪些操作。规则就是一种条件语句,即如果 x 发生,则自动执行 y。例如,您可以设置一项报告规则,当有用户在网上公开云端硬盘文件时,让系统向您发出提醒。 还可以通过设置规则,让系统在规则触发时向您发送电子邮件通知并在提醒中心显示提醒。
创建报告规则时,请注意以下事项:
- 您能否创建和查看报告规则取决于您的 Google Workspace 版本和管理员权限。此外,只有拥有网域的管理员才能使用报告规则。只有拥有网域的管理员才能接收报告规则提醒或电子邮件。有关详情,请参阅针对报告规则和活动规则的管理员访问权限。
- 使用 Google Workspace 高级版本(例如企业 Plus 版)的管理员不用创建报告规则,他们可通过安全调查工具创建更高级的活动规则。部分使用专业版的管理员可以创建报告规则,但仅针对特定数据源。如需了解详情,请参阅针对报告规则和活动规则的管理员访问权限以及使用调查工具创建活动规则。
- 如果您创建一项新的报告规则,则系统会默认为该规则启用在提醒中心显示提醒的选项。如果您想为现有报告规则启用或停用提醒,可以在提醒中心执行相应操作。如需了解相关说明,请参阅使用规则启用或停用提醒。
- 当您创建或更新报告规则后,相应规则最长可能需要 24 小时才能生效。
创建报告规则
您可以在 Google 管理控制台的“规则”页面创建报告规则。 您最多可以设置 50 条提醒。
请按照以下步骤操作:
- 在 Google 管理控制台首页,依次点击规则
创建规则 活动。 - 输入规则名称(例如“对外共享数据”)。
- 输入说明(例如“如果与公司外部人员共享文档,则发出通知”)。
- 点击下一步:查看条件。
- 选择数据源(例如管理员日志事件)。
- 点击添加过滤条件。
为过滤条件选择一个属性(例如执行者、设备类型或事件)。
注意:如需查看每个数据源的完整属性及属性说明列表,请参阅“审核和调查”页面的数据源,然后从数据源列表中选择帮助文章。
为过滤条件选择一个值(例如事件类型 [如转移文档所有权],或执行者的电子邮件地址)。
- 您只能为该属性添加一个值。例如,“执行者”只能包含一个用户。若要包含多个值,请使用条件构建器添加 OR 运算符,然后为同一个属性添加额外的值。
- 您可以再次点击添加过滤条件,选择属性,然后输入一个值,从而为规则添加多个过滤条件。
点击下一步:添加操作。
选择是否希望此规则在提醒中心触发提醒。
您可以选择严重程度高、中或低。您还可以选择发送电子邮件通知,为此,可以通过勾选所有超级用户复选框,并/或点击添加电子邮件收件人,以便在触发此规则时向选定的管理员发送电子邮件。
如需查看或修改规则详细信息,请点击下一步:检查。
点击创建规则。
注意:报告规则不支持通过 OR 运算符联接的条件。 设置报告规则时,您可以使用条件构建器标签页,在该标签页中,过滤条件会表示为使用 AND 运算符的条件。您还可以使用过滤条件标签页来添加简单的参数和值对,以便过滤搜索结果。
查看和修改报告规则
您可以在“规则”页面上查看或修改规则的详细信息。您还可以查看网域管理员创建的所有规则的列表。
在“规则”页面上,您可以执行以下操作:
- 点击添加过滤条件可过滤规则列表。
- 点击相应规则即可查看和修改该规则的详细信息。
- 删除规则。
- 创建新规则。
注意:如需创建、查看或修改报告规则,您需要具备“报告”权限。
电子邮件通知
如果您为规则设置了电子邮件通知,则系统会在触发规则时向指定的收件人发送电子邮件。电子邮件通知中包含触发提醒的规则的摘要,例如规则名称、阈值详细信息、源数据等。收到电子邮件通知的管理员可以点击查看提醒,前往提醒中心的“提醒详情”页面。
请注意,报告规则只能配置为向内部网域用户发送电子邮件。不过,管理员仍可以通过 Google 群组配置外部电子邮件提醒。