您可能可以使用具有更多高级功能的安全调查工具,具体取决于您的 Google Workspace 版本。例如,超级用户可以识别安全和隐私问题、适当分类并采取应对措施。了解详情
作为组织的管理员,您可以搜索云端硬盘日志事件,并根据搜索结果对这些事件采取措施。例如,您可以查看操作记录,了解组织中的用户在云端硬盘中的活动情况。云端硬盘日志事件中包含用户在 Google 文档、表格、幻灯片和其他 Google Workspace 应用中创建的内容,以及用户上传到云端硬盘中的内容,例如 PDF 和 Microsoft Word 文件。
您可以使用 Activity API 访问基本报告数据。如果您的 Google Workspace 版本支持,您可以使用 Reports API 访问高级 Google Workspace 报告数据。
重要提示:
- 系统不会记录云端硬盘中的所有活动。如需查看日志包含的内容列表,请参阅已记录和未记录的事件。
- 如要详细了解数据在何时可供查看以及可保留多长时间,请参阅数据保留时间和延迟时间。
- 只有文件所有者使用的是受支持的版本时,系统才会记录大多数云端硬盘审核事件。不过,如果启动访问网址的 Google Apps 脚本的用户属于您的组织且使用受支持的版本,则系统会记录“网址被访问过”事件。
本页内容
搜索日志事件
能否执行搜索取决于您所使用的 Google 版本、所具备的管理员权限以及所涉及的数据源。您可以对所有用户执行搜索,不受其所使用的 Google Workspace 版本影响。
审核和调查工具
如需搜索日志事件,请先选择数据源,然后选择一个或多个搜索过滤条件。
-
在 Google 管理控制台中,依次点击“菜单”图标
报告
审核和调查
云端硬盘日志事件。需要拥有审核与调查管理员权限。
-
如要过滤在特定日期之前或之后发生的事件,请针对日期选择之前或之后。默认情况下,系统会显示过去 7 天内的事件。您可以选择其他日期范围,也可以点击
移除日期过滤条件。 -
点击添加过滤条件
选择一个属性。例如,如需按特定事件类型进行过滤,请选择事件。
-
选择一个运算符
选择一个值
点击应用。
- (可选)如需创建多个过滤条件来执行搜索,请重复此步骤。
- (可选)如需添加搜索运算符,请在添加过滤条件上方选择 AND 或 OR。
- 点击搜索。 注意:您可以使用过滤条件标签页来添加简单的参数和值对,以便过滤搜索结果。您还可以使用条件构建器标签页,其中的过滤条件会以带有“AND”/“OR”运算符的条件呈现。
安全调查工具
如要在安全调查工具中执行搜索,请先选择数据源。然后选择一个或多个搜索条件。请为每个条件分别选择属性、运算符和值。
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性
安全中心
调查工具。需要拥有“安全中心”管理员权限。
- 点击数据源,然后选择云端硬盘日志事件。
-
如要过滤在特定日期之前或之后发生的事件,请针对日期选择之前或之后。默认情况下,系统会显示过去 7 天内的事件。您可以选择其他日期范围,也可以点击
移除日期过滤条件。 -
点击添加条件。
提示:您可以添加一种或多种搜索条件,或使用嵌套查询自定义搜索。如需了解详情,请参阅使用嵌套查询自定义搜索。 -
点击属性
选择一个选项。例如,如需按特定事件类型进行过滤,请选择事件。
如需查看完整的属性列表,请参阅属性说明部分。 - 选择所需运算符。
- 输入一个值或从列表中选择一个值。
- (可选)如需添加更多搜索条件,请重复上述步骤。
-
点击搜索。
您可以在页面底部的表格中查看调查工具的搜索结果。 -
(可选)如需保存调查,请点击“保存”图标
输入标题和说明
点击保存。
备注
- 在条件构建器标签页中,过滤条件会以带有“AND”/“OR”运算符的条件呈现。您还可以使用过滤器标签页,通过添加简单的参数和值对来过滤搜索结果。
- 如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com相关的事件。
- 您只能搜索尚未从“已删除邮件”中删除的邮件中的数据。
属性说明
对于此数据源,您可以在搜索日志事件数据时使用以下属性。
用于搜索日志数据的属性
注意:
- 并非所有事件都会报告以下列表中的所有属性。
- 以下列表并非详尽无遗,可能会发生变化。如需详细了解云端硬盘日志事件,请参阅 Google Workspace Admin SDK 网站上的云端硬盘审核活动事件。
| 属性 | 说明 |
|---|---|
| Actor |
执行操作的用户的电子邮件地址。系统会以匿名方式显示网域外部的用户,除非他们以个人或特定群组成员的身份查看或修改明确与之共享的文档。 注意:如果用户同时拥有主电子邮件地址和别名地址,则日志事件数据会记录主电子邮件地址,即使事件(例如内容分享)涉及别名也是如此。 |
| 执行者群组名称 |
执行者所属群组的名称。如需了解详情,请参阅按 Google 群组过滤结果。 如需将群组添加到过滤群组许可名单,请执行以下操作:
|
| 执行者组织部门 | 执行者所属的组织部门 |
| API 方法 | 通过第三方应用执行的“下载”和“访问了项目内容”操作所使用的 API 方法,例如 drive.files.export。 |
| 应用 ID | 执行了相应操作的第三方应用的 OAuth 客户端 ID |
| 应用名称 | 执行了相应操作的应用 |
| 观众群 | 目标网域(如果审核日志用于更改公开范围) |
| 可结算 | (仅限基本功能版)用户操作是否为付费活动 |
| 日期 |
事件发生的日期和时间(以您浏览器的默认时区显示) 注意:大多数事件都会在完成后被记入日志。有时,大型上传操作可能需要一段时间才能记入日志。 |
| 文档 ID |
与活动相关的云端硬盘内容的唯一标识符(可在相应文件的网址链接中找到) 注意:这仅针对“网址被访问过”事件、文档 ID 和其他文件相关字段(例如文档类型和所有者)的某些操作进行报告。如需了解详情,请参阅网址被访问过。 |
| 文档类型 | 活动涉及的文件格式,例如文档、表格、幻灯片、JPEG、PDF、PNG、MP4、Microsoft Word、Excel、PowerPoint、txt、HTML、MPEG 音频、QuickTime 视频、文件夹或共享云端硬盘 |
| 网域* | 发生操作的网域 |
| 已加密* | 文件是否经过客户端加密 |
| 事件名称 |
事件,例如查看、重命名、创建、修改、打印、删除、上传和下载 大多数操作在用户执行后会立即被记入日志。不过,云端硬盘查看器中发生的打印事件可能会延迟 12 小时或更久才会被记录。系统会记录云端硬盘删除或从回收站清空的文件。其他事件(例如上传文件)一经执行就会立即被记录。 |
| 冒充别人 |
应用使用全网域授权代表用户发出请求。True 表示事件是代表用户执行的。您可以查看执行者,找到用户的电子邮件地址以及应用 ID 和应用名称,以识别应用。 详细了解全网域授权。 |
| IP 地址* |
用户执行活动的地址。这可能是用户的实际位置,但也可能是代理服务器或虚拟专用网 (VPN) 地址。 系统不会记录下列事件的 IP 地址:
|
|
IP ASN 您需要将此列添加到搜索结果中。如需了解相关步骤,请参阅管理搜索结果列数据。 |
与日志条目关联的 IP 自治系统编号 (ASN)、细分和区域。 如需查看发生活动的 IP ASN、细分和区域代码,请点击搜索结果中的名称。 |
| 发布内容公开范围的新值 | 文档的新公开范围 |
| 新值* | 更改的设置的新值 |
| 新值 ID* | 标签字段的新值 |
| 发布内容公开范围的旧值 | 如果活动是更改公开范围,则为文档的原始公开范围 |
| 旧值* | 更改的设置的旧值 |
| 旧值 ID* | 标签字段的旧值 |
| Owner |
文件所有者 |
| 之前的公开范围 | 在可见性更改的情况下文档的先前可见性 |
| 收件人* | 收件人的电子邮件地址 |
| 资源 |
与操作关联的资源列表。点击资源可查看以下详细信息:
如果您将信息导出到逗号分隔值 (CSV) 文件或 Google 表格,该信息将作为单个文本块保存在单元格中。 |
| 共享云端硬盘 ID | 包含相应文件的共享云端硬盘的 ID。如果相应文件不在共享云端硬盘中,则系统不会填充此字段。 |
| 目标 | 访问权限被更改的用户 |
| 标题 | 文档的标题 |
| 公开范围 | 与活动相关的云端硬盘内容的公开范围 |
| 公开范围变更 | 云端硬盘内容在活动发生之前的公开范围 |
| 访问者 | “是”表示活动来自非 Google 用户。“否”表示活动来自 Google 用户。详细了解如何与访问者共享文档。 |
注意:如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com相关的事件。
查看与网域外部人员共享的文件
“审核和调查”页面
已记录和未记录的事件
删除
系统会记录云端硬盘自动删除或从回收站清空的文件。
复制
复制文件时,系统会记录新文件的“创建”和“复制”事件,并记录原始文件的“来源复制”事件。
当贵组织以外的用户将文件复制到外部位置时,贵组织不会记录“创建”和“复制”事件,因为新文件是外部文件。然而,您的日志在原始文件上有“来源复制”事件,“复制类型”为“外部”。如需监控数据复制到贵组织外部的时间,您可以查看具有“外部”复制类型的“来源复制”事件。
打印
当用户打印以 Google 文件格式(文档、表格、幻灯片、绘图和表单)打开的文件时,系统不会记录“打印”事件。
通过 Apple iPhone 和 iPad 或 Android 设备的云端硬盘应用打印文件时,系统可能会将“打印”事件记录为“下载”事件。
下载
系统会记录大多数下载操作,包括使用桌面版 Google 云端硬盘在云端硬盘和本地设备之间复制文件的操作。
以下“查看”操作会记录为“下载”事件:
- 在移动设备上的云端硬盘应用中预览文件
- 预览无法直接在 Google 文档或其他 Google 应用中打开的文件(例如 PDF 文件)
- 通过 Google 应用(例如 Google 文档)将文件作为附件发送到电子邮件
系统不会记录通过以下来源执行的下载操作:
- Google 导出下载(改为搜索导出日志事件)
- 下载到离线浏览器缓存
- 同步到、下载自 Google 相册或使用 Google 相册查看的照片
- 作为电子邮件附件通过 Gmail 发送的云端硬盘内容
已同步项目内容
在以下情况下,系统会记录内容同步事件,并在 2024 年 7 月 1 日之后提供这些事件:
- 使用桌面版云端硬盘将文件从云端硬盘同步到本地设备。这些操作也会记录为下载事件。
- 文件会同步到设备以供离线访问,包括与在线版本持续同步。系统可能会将与云端硬盘移动应用(Android 版和 iOS 版)同步的项目内容事件记录为“下载”事件。
已预提取项目内容
“已预提取项目内容”事件表示某个 Google 应用检索了云端硬盘数据,但未立即向用户显示。例如,在云端硬盘中预览文件可能会导致系统预提取附近的文件。如果用户日后需要,可以随时获取相应内容。
访问了项目内容
您可以通过使用 Google Workspace API(例如 Google Drive API 或 Google Sheets API)的应用代表用户访问文件。系统不会将这些操作记录为下载或查看事件,而是只会记录为访问了项目内容事件。只有在用户在网页版云端硬盘中打开的文件之外访问文件内容时,系统才会记录 Gemini 的“访问了项目内容”事件。
当用户在网页版云端硬盘、移动设备版云端硬盘或桌面版云端硬盘中查看或打开文件时,系统不会记录“访问了项目内容”事件。
查看
系统会将使用 /htmlview、/embed、/revisions 和其他特殊网址查看文件的操作记录为“查看事件”。
网址被访问过
当 Apps 脚本访问网址时(包括当脚本从 Apps 脚本信息中心运行、作为插件运行或作为Google 表格中的自定义函数运行时),系统会记录“网址被访问过”事件。当用户点击文件中的链接时,系统不会记录“网址被访问过”事件。
报告的属性取决于脚本的运行方式和所有者:
- 脚本以自定义函数的形式运行时,文档 ID 和其他与文档相关的属性会反映调用该函数所在的工作表。
- 如果脚本未作为自定义函数运行,则不会报告与文档相关的属性。
- 如果 Apps 脚本归贵组织所有,系统会报告脚本 ID。
Google 表格导入网址
如果调用表格导入函数(此类函数会访问网址),则系统会将其记录为“表格导入网址”事件。当工作表的内容因自动刷新而发生更改或当用户打开工作表时,系统会记录事件。
涉及外部网域的事件
部分事件涉及组织以外的用户、共享文件夹或共享云端硬盘,例如当贵组织中的用户与外部用户共享文件时。当某个操作导致内容所有权从一个组织转移到另一个组织,这两个组织都会记录该事件。
这两个组织记录的事件示例:
- 贵组织用户拥有的云端硬盘内容移到了外部共享云端硬盘。
- 贵组织之外的用户所拥有的云端硬盘内容移到了贵组织拥有的共享云端硬盘。
- 某个用户将一个文件复制到贵组织或从贵组织复制了一个文件。接收内容的组织会记录所复制的文件的名称,而不是原始文件名。
贵组织记录但外部网域不记录的事件示例:
- 贵组织用户将其拥有的云端硬盘内容与外部用户共享。
- 贵组织用户将其拥有的云端硬盘内容与允许外部用户加入的群组共享(即使该群组中没有外部用户)。
- 外部用户查看、修改、下载、打印或删除贵组织拥有的云端硬盘内容。
- 外部用户将文件上传至贵组织拥有的共享云端硬盘。
外部网域记录而贵组织不记录的事件情况与上文所述相反。
匿名用户和外部用户
对于匿名用户(未登录 Google 账号的用户),系统会记录修改次数和下载次数,但不会记录查看次数。
网域外部用户执行的操作会显示为匿名操作,除非内容明确与他们(作为个人或特定群组的一部分)共享。
管理员可以通过设置组织共享政策或信任规则政策来限制匿名访问和外部访问。
桌面版云端硬盘
使用桌面版云端硬盘在云端硬盘和本地设备之间复制文件时,系统会记录“下载”和“已同步项目内容”事件。
搜索活动
当用户在云端硬盘或公开 Drive API 中执行搜索时,系统会将相应搜索记录为项目 搜索 执行事件。该事件包含有关搜索结果和用户搜索查询的信息。
管理日志事件数据
管理搜索结果列数据
您可以控制在搜索结果中显示哪些数据列。
- 在搜索结果表格的右上角,点击“管理列”图标
。 - (可选)如要移除当前列,请点击“移除”图标 。
- (可选)如要添加列,请点击新增列旁边的向下箭头
,然后选择相应数据列。
根据需要重复上述步骤。 - (可选)如要更改列的顺序,请拖动数据列名称。
- 点击保存。
导出搜索结果数据
您可以将搜索结果导出为 Google 表格文件或 CSV 文件。
- 点击搜索结果表格顶部的全部导出。
- 输入名称
点击导出。
导出内容会显示在搜索结果表格的导出操作结果下方。 - 如要查看数据,请点击导出结果的名称。
导出结果会在 Google 表格中打开。
导出限制因情况而异:
- 导出结果总数上限为 10 万行。
-
支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。
版本对比
如果您拥有安全调查工具,则导出结果总数上限为 3, 000 万行。
如需了解详情,请参阅导出搜索结果。
何时可以查看数据?数据会保留多久?
请参阅数据保留时间和延迟时间。
根据搜索结果执行操作
创建活动规则和设置提醒
根据搜索结果执行操作
支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 版本对比
在安全调查工具中执行搜索后,您可以根据搜索结果采取行动。举例来说,您可以搜索 Gmail 日志事件,然后使用该工具删除特定邮件,或者将邮件发送至隔离区或用户的收件箱。如需了解详情,请参阅根据搜索结果执行操作。
管理调查
支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 版本对比
查看您的调查列表
如需查看您自己的调查列表以及其他人与您共享的调查列表,请点击“查看调查”图标 
。调查列表中包含调查的名称、说明和负责人,以及最后修改日期。
在此列表中,您可以对所拥有的任意调查执行操作(例如删除调查)。只需选中相应调查的复选框,然后点击操作。
注意:您可以在调查列表正上方的快速访问下,查看已保存的调查。
为调查配置设置
作为超级用户,您可以点击“设置”图标
,以便执行以下操作:
- 更改调查的时区,而搜索条件和结果会采用您设置的时区。
- 开启或关闭需要审核者。有关详情,请参阅需要审核者批准进行批量操作。
- 开启或关闭查看内容。开启后,拥有适当权限的管理员可以查看内容。
- 开启或关闭需要输入执行操作的原因。
如需了解详情,请参阅为调查配置设置。
保存、共享、删除和复制调查
如要保存搜索条件或与他人共享搜索条件,您可以创建并保存调查,然后共享、复制或删除调查。
有关详情,请参阅保存、共享、删除和复制调查。
相关主题
Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。