Sự kiện trong nhật ký Drive

Để tìm kiếm sự kiện trong nhật ký, trước tiên, hãy chọn một nguồn dữ liệu. Sau đó, hãy chọn một hoặc nhiều bộ lọc cho nội dung bạn muốn tìm.

1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn Báo cáo Kiểm tra và điều tra Sự kiện trong nhật ký Drive.

   Chuyển đến phần Sự kiện trong nhật ký Drive

   Bạn phải có đặc quyền Kiểm tra và điều tra của quản trị viên.

2. Để lọc những sự kiện xảy ra trước hoặc sau một ngày cụ thể, đối với Ngày, hãy chọn Trước hoặc Sau. Theo mặc định, các sự kiện trong 7 ngày qua sẽ xuất hiện. Bạn có thể chọn một phạm vi ngày khác hoặc nhấp vào biểu tượng để xoá bộ lọc ngày.

3. Nhấp vào Thêm bộ lọc chọn một thuộc tính. Ví dụ: để lọc theo một loại sự kiện cụ thể, hãy chọn Sự kiện.
4. Chọn một toán tử chọn một giá trị nhấp vào Áp dụng.
   • (Không bắt buộc) Để tạo nhiều bộ lọc cho nội dung tìm kiếm, hãy lặp lại bước này.
   • (Không bắt buộc) Để thêm toán tử tìm kiếm, ở phía trên phần Thêm bộ lọc, hãy chọn AND hoặc OR.
5. Nhấp vào Tìm kiếm. Lưu ý: Khi sử dụng thẻ Bộ lọc, bạn có thể thêm các cặp giá trị và tham số đơn giản để lọc kết quả tìm kiếm. Bạn cũng có thể sử dụng thẻ Trình tạo điều kiện, trong đó các bộ lọc được biểu thị dưới dạng điều kiện bằng toán tử AND/OR.

Để chạy một lượt tìm kiếm trong công cụ điều tra bảo mật, trước tiên, hãy chọn một nguồn dữ liệu. Sau đó, hãy chọn một hoặc nhiều điều kiện cho nội dung bạn muốn tìm. Đối với mỗi điều kiện, hãy chọn một thuộc tính, một toán tử và một giá trị.

1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn Bảo mật Trung tâm bảo mật Công cụ điều tra.

   Chuyển đến Công cụ điều tra

   Bạn phải có đặc quyền của quản trị viên đối với Trung tâm bảo mật.

2. Nhấp vào Nguồn dữ liệu rồi chọn Sự kiện trong nhật ký Drive.

3. Để lọc những sự kiện xảy ra trước hoặc sau một ngày cụ thể, đối với Ngày, hãy chọn Trước hoặc Sau. Theo mặc định, các sự kiện trong 7 ngày qua sẽ xuất hiện. Bạn có thể chọn một phạm vi ngày khác hoặc nhấp vào biểu tượng để xoá bộ lọc ngày.

4. Nhấp vào Thêm điều kiện.
   Lưu ý: Bạn có thể thêm một hoặc nhiều điều kiện vào nội dung tìm kiếm hoặc tuỳ chỉnh nội dung tìm kiếm bằng các truy vấn lồng ghép. Để biết thông tin chi tiết, hãy xem bài viết Tuỳ chỉnh nội dung tìm kiếm bằng các truy vấn lồng ghép.
5. Nhấp vào Thuộc tính chọn một lựa chọn. Ví dụ: để lọc theo một loại sự kiện cụ thể, hãy chọn Sự kiện.
   Để xem danh sách đầy đủ các thuộc tính, hãy chuyển đến phần Nội dung mô tả thuộc tính.
6. Chọn một toán tử.
7. Nhập một giá trị hoặc chọn một giá trị trong danh sách.
8. (Không bắt buộc) Để thêm các điều kiện tìm kiếm khác, hãy lặp lại các bước trên.
9. Nhấp vào Tìm kiếm.
   Bạn có thể xem kết quả tìm kiếm từ công cụ điều tra trong một bảng ở cuối trang.
10. (Không bắt buộc) Để lưu thông tin điều tra, hãy nhấp vào biểu tượng Lưu nhập tiêu đề và nội dung mô tả nhấp vào Lưu.

Lưu ý

• Trong thẻ Trình tạo điều kiện, các bộ lọc được biểu thị dưới dạng điều kiện bằng toán tử AND/OR. Bạn cũng có thể sử dụng thẻ Bộ lọc để thêm các cặp giá trị và tham số đơn giản nhằm lọc kết quả tìm kiếm.
• Nếu đã đổi tên cho một người dùng, bạn sẽ không thấy kết quả truy vấn theo tên cũ của người dùng đó. Ví dụ: nếu đổi tên OldName@example.com thành NewName@example.com, bạn sẽ không thấy kết quả cho các sự kiện liên quan đến OldName@example.com.
• Bạn chỉ có thể tìm kiếm dữ liệu trong những tin nhắn chưa bị xoá khỏi Thùng rác.

Lưu ý:

• Không phải tất cả thuộc tính trong danh sách sau đều được báo cáo cho tất cả sự kiện.
• Danh sách sau đây chưa đầy đủ và có thể thay đổi. Để biết thêm thông tin chi tiết về sự kiện trong nhật ký Drive, hãy truy cập vào Sự kiện hoạt động kiểm tra trên Drive trên trang web Google Workspace Admin SDK.

Lưu ý: Nếu đã đổi tên người dùng, bạn sẽ không thấy kết quả truy vấn có tên cũ của người dùng đó. Ví dụ: nếu đổi tên OldName@example.com thành NewName@example.com, bạn sẽ không thấy kết quả cho các sự kiện liên quan đến OldName@example.com.

Những tệp bị Drive tự động xoá hoặc bị xoá khỏi Thùng rác đều được ghi lại.

Khi một tệp được sao chép, các sự kiện Tạo và Sao chép sẽ được ghi lại cho tệp mới, còn sự kiện Sao chép nguồn sẽ được ghi lại cho tệp gốc.

Khi một người dùng bên ngoài tổ chức của bạn sao chép một tệp sang một vị trí bên ngoài, tổ chức của bạn sẽ không ghi nhật ký các sự kiện Tạo và Sao chép vì tệp mới nằm bên ngoài. Tuy nhiên, nhật ký của bạn có sự kiện Sao chép nguồn trên tệp gốc với Loại bản sao là Bên ngoài. Để theo dõi thời điểm dữ liệu được sao chép ra khỏi tổ chức của bạn, bạn có thể xem xét các sự kiện Sao chép nguồn có loại sao chép là Bên ngoài.

Sự kiện In không được ghi lại khi người dùng in một tệp được mở ở định dạng tệp của Google (Tài liệu, Trang tính, Trang trình bày, Bản vẽ và Biểu mẫu).

Khi in tệp bằng ứng dụng Drive trên Apple iPhone và iPad hoặc thiết bị Android, các sự kiện In có thể được ghi nhật ký là sự kiện Tải xuống.

Hầu hết các lượt tải xuống đều được ghi lại, kể cả khi tệp được sao chép giữa Drive và một thiết bị cục bộ bằng ứng dụng Google Drive cho máy tính.

Các thao tác Xem sau đây được ghi nhật ký dưới dạng sự kiện Tải xuống:

• Xem trước tệp trong ứng dụng Drive trên thiết bị di động
• Xem trước một tệp (chẳng hạn như tệp PDF) mà bạn không thể mở trực tiếp trong Tài liệu hoặc các ứng dụng khác của Google
• Gửi tệp dưới dạng tệp đính kèm vào email từ một ứng dụng của Google, chẳng hạn như Tài liệu

Hệ thống không ghi lại lượt tải xuống từ các nguồn sau:

• Nội dung tải xuống từ Google Takeout (thay vào đó, hãy tìm kiếm Sự kiện trong nhật ký của Takeout)
• Tải xuống bộ nhớ đệm của trình duyệt khi không có mạng
• Ảnh được đồng bộ hoá, tải xuống hoặc xem bằng Google Photos
• Các tệp trên Drive được gửi qua email từ Gmail dưới dạng tệp đính kèm

Các sự kiện được đồng bộ hoá nội dung của mục sẽ được ghi nhật ký trong những trường hợp sau đây và có sẵn cho hoạt động sau ngày 1 tháng 7 năm 2024:

• Một tệp được đồng bộ hoá từ Drive sang một thiết bị cục bộ bằng ứng dụng Drive cho máy tính. Những sự kiện này cũng được ghi lại dưới dạng sự kiện Tải xuống.
• Một tệp được đồng bộ hoá với thiết bị để truy cập khi không có mạng, bao gồm cả các hoạt động đồng bộ hoá đang diễn ra với phiên bản trực tuyến. Các sự kiện đồng bộ hoá nội dung của mục với ứng dụng di động Drive (Android và iOS) có thể được ghi lại dưới dạng sự kiện Tải xuống.

Sự kiện tìm nạp trước nội dung của mục cho biết rằng một ứng dụng của Google đã truy xuất dữ liệu trên Drive nhưng không hiển thị ngay cho người dùng. Ví dụ: việc xem trước một tệp trong Drive có thể dẫn đến việc tìm nạp trước các tệp lân cận. Người dùng có thể truy cập vào nội dung này nếu cần sau này.

Bạn có thể truy cập vào các tệp thay cho người dùng thông qua một ứng dụng sử dụng API Google Workspace, chẳng hạn như Google Drive API hoặc Google Trang tính API. Những hành động này không được ghi lại dưới dạng sự kiện Tải xuống hoặc Xem, mà chỉ được ghi lại dưới dạng sự kiện Truy cập vào nội dung của mặt hàng. Sự kiện Nội dung của mục được truy cập của Gemini chỉ được ghi lại khi nội dung tệp được truy cập bên ngoài tệp đang mở của người dùng trong Drive trên web.

Sự kiện truy cập vào nội dung của mục sẽ không được ghi lại khi người dùng xem hoặc mở một tệp trong Drive trên web, Drive trên thiết bị di động hoặc ứng dụng Drive cho máy tính.

Việc xem tệp bằng /htmlview, /embed, /revisions và các URL đặc biệt khác được ghi lại dưới dạng sự kiện Xem.

Sự kiện URL được truy cập được ghi lại khi một tập lệnh Apps Script truy cập vào một URL, kể cả khi tập lệnh được chạy từ Trang tổng quan Apps Script, chạy dưới dạng Tiện ích bổ sung hoặc chạy dưới dạng một hàm tuỳ chỉnh trong Trang tính. Sự kiện URL được truy cập không được ghi lại khi người dùng nhấp vào một đường liên kết trong tệp.

Các thuộc tính được báo cáo phụ thuộc vào cách tập lệnh được chạy và người sở hữu tập lệnh:

• Khi một tập lệnh được chạy dưới dạng hàm tuỳ chỉnh, mã nhận dạng tài liệu và các thuộc tính khác liên quan đến tài liệu sẽ phản ánh trang tính mà hàm được gọi.
• Khi một tập lệnh không chạy dưới dạng hàm tuỳ chỉnh, các thuộc tính liên quan đến tài liệu sẽ không được báo cáo.
• Mã tập lệnh sẽ được báo cáo nếu tập lệnh Apps Script thuộc sở hữu của tổ chức bạn.

Việc gọi một hàm Nhập của Trang tính (truy cập vào một URL) sẽ được ghi lại dưới dạng sự kiện URL Nhập của Trang tính. Một sự kiện được ghi lại khi nội dung của trang tính thay đổi do tính năng làm mới tự động hoặc khi người dùng mở trang tính.

Một số sự kiện liên quan đến người dùng, thư mục dùng chung hoặc bộ nhớ dùng chung bên ngoài tổ chức của bạn, chẳng hạn như khi một người dùng trong tổ chức của bạn chia sẻ tệp với một người dùng bên ngoài. Cả hai tổ chức đều ghi lại một sự kiện khi thay đổi quyền sở hữu của mặt hàng từ tổ chức này sang tổ chức khác.

Ví dụ về các sự kiện mà cả hai đều ghi lại:

• Một mục trên Drive thuộc quyền sở hữu của người dùng trong tổ chức của bạn được di chuyển sang một bộ nhớ dùng chung bên ngoài.
• Một mục trên Drive thuộc quyền sở hữu của người dùng bên ngoài tổ chức của bạn sẽ được di chuyển sang một bộ nhớ dùng chung thuộc quyền sở hữu của tổ chức của bạn.
• Người dùng sao chép tệp vào hoặc ra khỏi tổ chức của bạn. Tổ chức nhận sẽ ghi lại tên của tệp được sao chép, chứ không phải tên tệp gốc.

Ví dụ về các sự kiện mà tổ chức của bạn ghi lại nhưng miền bên ngoài không ghi lại:

• Một mục trên Drive thuộc quyền sở hữu của một người dùng trong tổ chức của bạn được chia sẻ với một người dùng bên ngoài.
• Một mục trên Drive thuộc quyền sở hữu của một người dùng trong tổ chức của bạn được chia sẻ với một nhóm cho phép người dùng bên ngoài, ngay cả khi không có người dùng bên ngoài nào là thành viên của nhóm.
• Người dùng bên ngoài xem, chỉnh sửa, tải xuống, in hoặc xoá một mục trên Drive do tổ chức của bạn sở hữu.
• Một người dùng bên ngoài tải tệp lên bộ nhớ dùng chung thuộc quyền sở hữu của tổ chức bạn.

Các sự kiện do miền bên ngoài ghi lại nhưng không phải do tổ chức của bạn ghi lại là trường hợp ngược lại với phần trước.

Đối với người dùng ẩn danh (người dùng chưa đăng nhập vào Tài khoản Google), hệ thống sẽ ghi nhật ký các hoạt động chỉnh sửa và tải xuống, nhưng không ghi nhật ký các hoạt động xem.

Những hành động do người dùng bên ngoài miền thực hiện sẽ xuất hiện dưới dạng ẩn danh, trừ phi mục đó được chia sẻ rõ ràng với họ (dưới dạng cá nhân hoặc là thành viên của một nhóm cụ thể).

Quản trị viên có thể hạn chế quyền truy cập của người dùng bên ngoài và người dùng ẩn danh bằng cách thiết lập chính sách chia sẻ của tổ chức hoặc chính sách Quy tắc tin cậy.

Khi các tệp được sao chép giữa Drive và một thiết bị cục bộ bằng ứng dụng Drive cho máy tính, các sự kiện Tải xuống và Nội dung của mục được đồng bộ hoá sẽ được ghi lại.

Khi người dùng thực hiện một lượt tìm kiếm trong Drive hoặc trong các API công khai của Drive, lượt tìm kiếm đó sẽ được ghi lại dưới dạng sự kiện Tìm kiếm mục đã thực hiện. Sự kiện này bao gồm thông tin về kết quả tìm kiếm và cụm từ tìm kiếm của người dùng.

Bạn có thể kiểm soát những cột dữ liệu sẽ xuất hiện trong phần kết quả tìm kiếm.

1. Ở góc trên cùng bên phải của bảng kết quả tìm kiếm, hãy nhấp vào biểu tượng Quản lý cột .
2. (Không bắt buộc) Để xoá các cột hiện tại, hãy nhấp vào biểu tượng Xoá .
3. (Không bắt buộc) Để thêm cột, bên cạnh phần Thêm cột mới, hãy nhấp vào biểu tượng Mũi tên xuống rồi chọn cột dữ liệu.
   Lặp lại bước trên nếu cần.
4. (Không bắt buộc) Để thay đổi thứ tự của các cột, hãy kéo tên của cột dữ liệu.
5. Nhấp vào Lưu.

Bạn có thể xuất kết quả tìm kiếm sang Trang tính hoặc sang một tệp CSV.

1. Ở phía trên cùng của bảng kết quả tìm kiếm, hãy nhấp vào Xuất tất cả.
2. Nhập tên nhấp vào Xuất.
   Bản dữ liệu xuất ra sẽ hiển thị bên dưới bảng kết quả tìm kiếm trong phần Kết quả của hành động xuất.
3. Để xem dữ liệu, hãy nhấp vào tên của bản dữ liệu xuất ra.
   Bản này sẽ được mở trong Trang tính.

Giới hạn xuất có thể khác nhau:

• Tổng số kết quả xuất tối đa là 100.000 hàng.
• Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

  Nếu bạn có công cụ điều tra bảo mật, thì tổng số kết quả xuất ra có giới hạn là 30 triệu hàng.

Để biết thêm thông tin, hãy xem bài viết Xuất kết quả tìm kiếm.

Hãy đọc bài viết Thời gian giữ lại dữ liệu và độ trễ.

• Bạn có thể thiết lập cảnh báo dựa trên dữ liệu sự kiện trong nhật ký bằng cách sử dụng quy tắc báo cáo. Để xem hướng dẫn, hãy chuyển đến phần Tạo và quản lý quy tắc báo cáo.
• Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

  Để ngăn chặn, phát hiện và khắc phục các vấn đề bảo mật một cách hiệu quả, bạn có thể tự động hoá các hành động trong công cụ điều tra bảo mật và thiết lập cảnh báo bằng cách tạo quy tắc hoạt động. Để thiết lập một quy tắc, hãy thiết lập các điều kiện cho quy tắc đó, rồi chỉ định những hành động cần thực hiện khi các điều kiện được đáp ứng. Để biết thêm thông tin chi tiết, hãy xem bài viết Tạo và quản lý quy tắc hoạt động.

Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

Sau khi chạy một cụm từ tìm kiếm trong công cụ điều tra bảo mật, bạn có thể thực hiện hành động đối với kết quả tìm kiếm. Ví dụ: bạn có thể chạy một tìm kiếm dựa trên các sự kiện trong nhật ký Gmail, sau đó dùng công cụ này để xoá thư cụ thể, gửi thư đến vùng cách ly hoặc gửi thư đến hộp thư đến của người dùng. Để biết thêm thông tin chi tiết, hãy xem bài viết Xử lý dựa trên kết quả tìm kiếm.

Để xem danh sách các cuộc điều tra mà bạn sở hữu và các cuộc điều tra được chia sẻ với bạn, hãy nhấp vào biểu tượng Xem các cuộc điều tra . Danh sách điều tra bao gồm tên, nội dung mô tả, chủ sở hữu của các cuộc điều tra và ngày sửa đổi gần đây nhất.

Trong danh sách này, bạn có thể thực hiện hành động đối với bất kỳ cuộc điều tra nào mà bạn sở hữu, chẳng hạn như xoá một cuộc điều tra. Đánh dấu vào hộp cho một cuộc điều tra rồi nhấp vào Thao tác.

Lưu ý: Bạn có thể xem các thông tin điều tra đã lưu trong phần Truy cập nhanh, ngay phía trên danh sách thông tin điều tra.

Là một quản trị viên cấp cao, hãy nhấp vào biểu tượng Cài đặt để:

• Thay đổi múi giờ cho các cuộc điều tra. Múi giờ áp dụng cho các điều kiện và kết quả tìm kiếm.
• Bật hoặc tắt chế độ Yêu cầu người đánh giá. Để biết thêm thông tin chi tiết, hãy xem bài viết Yêu cầu người đánh giá cho các thao tác hàng loạt.
• Bật hoặc tắt chế độ Xem nội dung. Chế độ cài đặt này cho phép những quản trị viên có đặc quyền thích hợp xem nội dung.
• Bật hoặc tắt chế độ Bật lý do thực hiện hành động.

Để biết thêm thông tin chi tiết, hãy xem bài viết Định cấu hình chế độ cài đặt cho hoạt động điều tra.

Để lưu tiêu chí tìm kiếm hoặc chia sẻ tiêu chí đó với người khác, bạn có thể tạo và lưu một cuộc điều tra, sau đó chia sẻ, sao chép hoặc xoá cuộc điều tra đó.

Để biết thông tin chi tiết, hãy xem bài viết Lưu, chia sẻ, xoá và sao chép các cuộc điều tra.