雲端硬碟記錄事件

查看使用者的 Google 雲端硬碟檔案活動

視您的 Google Workspace 版本而定,您或許可以使用安全調查工具,享有更多進階功能。舉例來說,超級管理員可以找出安全性和隱私權問題,然後加以分類並採取適當措施。瞭解詳情

機構管理員可以針對雲端硬碟記錄事件執行搜尋並採取行動。舉例來說,管理員可以查看動作記錄,瞭解貴機構使用者在雲端硬碟中的活動。雲端硬碟記錄事件包含使用者在 Google 文件、試算表、簡報和其他 Google Workspace 應用程式中建立的內容,以及上傳到雲端硬碟的內容,例如 PDF 和 Microsoft Word 檔案。

您可以使用 Activity API 存取基本報表資料。如果您的 Google Workspace 版本支援,可以使用 Reports API 存取進階的 Google Workspace 報表資料。

重要事項:

  • 系統不會記錄雲端硬碟中的任何活動。如要瞭解會記錄哪些項目,請參閱「會記錄和不會記錄的事件」。
  • 如要進一步瞭解資料的收集作業所需時間及保留時間,請參閱「資料保留和延遲時間」。
  • 使用者必須具備支援版本,系統才會針對使用者擁有的檔案來記錄雲端硬碟稽核事件。不過,如果使用者啟動會存取網址的 Google Apps Script 指令碼,而該使用者隸屬於貴機構且擁有支援的版本,系統就會記錄「已存取網址」事件。

本頁內容

能否執行搜尋取決於您的 Google 版本、管理員權限和資料來源。您可以對所有使用者進行搜尋,不論對方使用的 Google Workspace 版本為何,都是如此。

稽核與調查工具

如要搜尋記錄事件,請先選擇資料來源,然後選擇一或多個搜尋篩選器。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「報告」接下來「稽核與調查」接下來「雲端硬碟記錄事件」

    必須具備稽核與調查管理員權限。

  2. 如要篩選特定日期之前或之後發生的事件,請選取「日期」的「之前」或「之後」。系統預設會顯示過去 7 天的事件。您可以選取其他日期範圍,或按一下 移除日期篩選器。

  3. 按一下「新增篩選器」 接下來選取屬性。舉例來說,如要依特定事件類型篩選,請選取「事件」
  4. 選取運算子 接下來選取值 接下來按一下「套用」
    • (選用) 如要建立多個搜尋篩選器,請重複執行這個步驟。
    • (選用) 如要新增搜尋運算子,請選取「新增篩選器」上方的「AND」或「OR」
  5. 按一下「搜尋」注意您可以在「篩選器」分頁中加入簡單的參數和值組來篩選搜尋結果。您也可以使用「條件建構工具」分頁,讓篩選器以 AND/OR 運算子表示條件。

安全調查工具

支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較

如要使用安全調查工具執行搜尋,請先選擇「資料來源」,然後選擇一或多個搜尋篩選「條件」。再針對每個條件分別選擇「屬性」、「運算子」和「值」

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「安全性」接下來「安全中心」接下來「調查工具」

    必須具備安全中心管理員權限。

  2. 按一下「資料來源」,然後選取「雲端硬碟記錄事件」

  3. 如要篩選特定日期之前或之後發生的事件,請選取「日期」的「之前」或「之後」。系統預設會顯示過去 7 天的事件。您可以選取其他日期範圍,或按一下 移除日期篩選器。

  4. 按一下 [Add Condition]
    提示:您可以加入一或多個搜尋條件,或是使用「巢狀查詢」自訂搜尋方式。詳情請參閱「使用巢狀查詢自訂搜尋方式」。
  5. 按一下「屬性」 接下來選取所需選項。舉例來說,如要依特定事件類型篩選,請選取「事件」
    如需完整的屬性清單,請參閱「屬性說明」一節。
  6. 選取運算子。
  7. 輸入值或從清單中選取值。
  8. (選用) 如要新增更多搜尋條件,請重複以上步驟。
  9. 按一下「搜尋」
    您可以在頁面底部的表格中,查看調查工具的搜尋結果。
  10. (選用) 如要儲存調查,請按一下「儲存」 接下來輸入標題和說明 接下來按一下「儲存」

附註

  • 在「條件建構工具」分頁中,篩選器會以 AND/OR 運算子表示條件。您也可以使用「篩選器」分頁加入簡單的參數和值組合,篩選搜尋結果。
  • 如果為使用者設定新名稱,查詢結果中不會包含與舊名稱相關的事件。舉例來說,如果您將 <舊名稱>@example.com 重新命名為 <新名稱>@example.com,就不會看見與 <舊名稱>@example.com 相關的事件結果。
  • 您只能搜尋尚未從垃圾桶刪除的郵件資料。

屬性說明

搜尋此資料來源的記錄事件資料時,您可以利用下列屬性設定搜尋條件:

用於搜尋記錄資料的屬性

注意

  • 下列清單的屬性並未涵蓋所有事件。
  • 以下清單僅列舉部分內容,可能隨時變更。如要進一步瞭解雲端硬碟記錄事件,請參閱 Google Workspace Admin SDK 網站上的「雲端硬碟稽核活動事件」。
屬性 說明
Actor

執行動作的使用者電子郵件地址。網域外的使用者會匿名顯示,除非他們的動作是檢視或編輯明確與其共用的文件 (以個別使用者或特定群組成員身分)。

注意:如果使用者同時擁有主要電子郵件地址和別名地址,即使事件 (例如項目共用) 涉及別名,記錄事件資料時仍會記錄主要電子郵件地址。
執行者群組名稱

執行者的群組名稱。詳情請參閱「依 Google 群組篩選結果」。

如要將群組新增至篩選條件群組許可清單,請按照下列步驟操作:

  1. 選取「執行者群組名稱」
  2. 按一下「篩選條件群組」
    系統隨即顯示「篩選條件群組」頁面。
  3. 按一下「新增群組」
  4. 搜尋群組 (輸入群組名稱/群組電子郵件地址的前幾個字元),並在找到後選取該群組。
  5. (選用) 如要新增其他群組,請搜尋並選取群組。
  6. 選好群組後,按一下「新增」
  7. (選用) 如要移除群組,請按一下「移除群組」圖示
  8. 按一下 [儲存]
執行者機構單位 執行者的機構單位
API 方法 第三方應用程式執行「下載」和「已存取項目內容」動作時,該動作所用的 API 方法,例如 drive.files.export。
應用程式 ID 執行動作的第三方應用程式的 OAuth 用戶端 ID
應用程式名稱 執行動作的應用程式
觀眾 如果稽核記錄用於變更瀏覽權限,顯示目標網域
可計費 (僅限 Essentials 版本) 使用者動作是否為須付費的活動
日期

事件發生的日期和時間 (以您瀏覽器的預設時區為準)

注意:大部分事件會在完成後立即列入記錄。在某些情況下,系統可能需要花點時間才能將上傳大量資料的事件列入記錄。
文件 ID

活動相關雲端硬碟項目的專屬 ID;可從檔案的網址連結取得

注意:系統只會針對「已存取網址」事件的特定動作回報這項資訊,內容包括文件 ID 和其他檔案相關欄位 (例如文件類型和擁有者)。詳情請參閱「已存取網址」。
文件類型 發生活動的檔案格式,例如 Google 文件、試算表、簡報、JPEG、PDF、PNG、MP4、Microsoft Word、Excel、PowerPoint、txt、HTML、MPEG 音訊、QuickTime 影片、資料夾或共用雲端硬碟檔案
網域&ast; 動作發生的網域
已加密&ast; 檔案是否經過用戶端加密
事件名稱

「查看」、「重新命名」、「建立」、「編輯」、「列印」、「刪除」、「上傳」和「下載」等事件

系統會即時記錄大部分動作。但如果是雲端硬碟檢視器中發生的「列印」事件,可能會延遲 12 小時以上才列入記錄。檔案由 Google 雲端硬碟刪除或從「垃圾桶」移除時,系統會留下記錄。其他事件 (例如上傳檔案) 則會在完成時立即列入記錄。
冒用他人身分

應用程式以全網域委派的方式,代表使用者提出要求。True:表示事件是由他人代表使用者執行。您可以查看「執行者」來找出使用者的電子郵件地址,並根據「應用程式 ID」和「應用程式名稱」識別應用程式。

進一步瞭解全網域委派
IP 位址&ast;

使用者執行活動時的位址。這項資料可能反映使用者的實際所在位置,但也有可能是 Proxy 伺服器或虛擬私人網路 (VPN) 位址。

系統不會為下列事件記錄 IP 位址:

  • 由網域外部使用者觸發的事件
  • 特定服務的事件,這些服務的要求不會記錄 IP 位址
  • 與重新命名或刪除共用雲端硬碟相關的事件

IP ASN

您需要在搜尋結果加入這個資料欄,相關步驟請參閱「管理搜尋結果資料欄」。

與記錄項目相關聯的 IP 自治系統編號 (ASN)、行政分區和區域。

如要查看活動發生的 IP ASN、行政分區和區域代碼,請在搜尋結果中點選名稱。
新的發布內容瀏覽權限設定值 文件的新瀏覽權限
新值&ast; 已變更設定的新值
新值 ID&ast; 標籤欄位的新值
舊的發布內容瀏覽權限設定值 如果活動是瀏覽權限變更,則顯示文件先前的瀏覽權限
舊值&ast; 已變更設定的舊值
舊值 ID&ast; 標籤欄位的舊值
擁有者

擁有該檔案的使用者
先前的顯示設定 如果是瀏覽權限變更,顯示文件先前的瀏覽權限
收件者&ast; 接收者的電子郵件地址
資源

與動作相關的資源清單。按一下資源即可查看下列詳細資料:

  • 資源 ID:資源的 ID
  • 資源標題:資源的標題
  • 資源類型:Google 雲端硬碟項目、電子郵件、快訊、規則等
  • 資源關係:資源與事件的關係

  • 資源標籤:資源的分類標籤清單,包括資源標籤 ID資源標籤名稱資源標籤欄位

    資源標籤欄位包含:

    • 標籤欄位 ID
    • 標籤欄位名稱
    • 標籤欄位類型 - 標籤欄位的資料類型,例如:
      • Text
      • Number
      • 選項 - 包含:ID、顯示名稱、是否加上標記
      • 選項清單
      • 使用者 - 包含:電子郵件地址
      • 使用者清單
      • 日期

如果將資訊匯出為逗號分隔值 (CSV) 檔案或 Google 試算表,資料會以單一文字區塊的形式儲存在同一個儲存格中。
共用雲端硬碟 ID 含有該檔案的共用雲端硬碟 ID。如果檔案不在共用雲端硬碟中,系統就不會填入這個欄位。
目標 存取權有異動的使用者
標題 文件標題
瀏覽權限 活動相關雲端硬碟項目的顯示設定
瀏覽權限變更 相關雲端硬碟項目在活動前的顯示設定
訪客 「是」:進行活動的是非 Google 使用者。「否」:進行活動的是 Google 使用者。進一步瞭解如何與協作者共用文件
&ast; 您無法使用這些篩選條件建立報表規則。進一步瞭解報告規則與活動規則的比較

注意:如果您為使用者設定新名稱,查詢結果中就不會包含與舊名稱相關的事件。舉例來說,如果您將 <舊名稱>@example.com 重新命名為 <新名稱>@example.com,就不會看見與 <舊名稱>@example.com 相關的事件結果。

查看與網域外部共用的檔案

「稽核與調查」頁面

  1. 按照上方「針對記錄事件執行搜尋」一節的說明,開啟記錄事件。
  2. 依序點選「新增篩選器」 接下來「瀏覽權限」 接下來選取「對外共用」
  3. 按一下「搜尋」

關閉對外共用設定時,如果使用者與允許外部成員加入的群組共用資源,記錄中的資料將標示為「對外共用」。不過,該群組中的外部使用者並不能存取共用資源。另外,即使該群組沒有任何外部成員,記錄中仍會顯示共用資源為「對外共用」。

安全調查工具

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「安全性」接下來「安全中心」接下來「調查工具」

    必須具備安全中心管理員權限。

  2. 按一下「資料來源」 接下來選取「雲端硬碟記錄事件」
  3. 按一下 [Add Condition]
  4. 按一下「屬性」 接下來選取「瀏覽權限」
  5. 按一下「包含」 接下來選取「是」
  6. 按一下「瀏覽權限」 接下來選取「對外共用」
  7. 按一下「搜尋」
    您可以在頁面底部的表格中,查看調查工具的搜尋結果。

關閉對外共用設定時,如果使用者與允許外部成員加入的群組共用資源,記錄中的資料將標示為「對外共用」。不過,該群組中的外部使用者並不能存取共用資源。另外,即使該群組沒有任何外部成員,記錄中仍會顯示共用資源為「對外共用」。

會記錄和不會記錄的事件

刪除

系統會記錄 Google 雲端硬碟自動刪除或從「垃圾桶」中移除的檔案。

複製

複製檔案時,系統會記錄新檔案的「建立」和「複製」事件,以及原始檔案的「來源副本」事件。

機構外部使用者將檔案複製到外部位置時,由於新檔案屬於外部檔案,因此貴機構不會記錄「建立」和「複製」事件。不過,您的記錄在原始檔案上會有「來源副本」事件,且「副本類型」為「外部」。如要監控資料從貴機構複製到外部的時間,您可以查看包含「外部」副本類型的「來源副本」事件

列印

如果使用者列印的是以 Google 檔案格式 (文件、試算表、簡報、繪圖和表單) 開啟的檔案,系統不會記錄「列印」事件。

透過 Apple iPhone、iPad 或 Android 裝置上的雲端硬碟應用程式列印檔案時,系統可能會將「列印」事件記錄為「下載」事件。

下載

系統會記錄大部分的下載事件,包括使用 Google 雲端硬碟電腦版在雲端硬碟和本機裝置之間複製檔案。

系統會將下列「檢視」動作記錄為「下載」事件:

  • 在行動裝置上使用雲端硬碟應用程式預覽檔案
  • 預覽無法直接以 Google 文件或其他 Google 應用程式開啟的檔案 (例如 PDF)
  • 從 Google 應用程式 (例如 Google 文件) 將檔案附加到電子郵件

系統不會記錄以下幾種下載事件:

  • Google 匯出下載內容 (請改為搜尋「匯出記錄事件」)
  • 將資料下載到瀏覽器的離線快取區
  • 將相片同步到 Google 相簿,或透過 Google 相簿下載/檢視相片
  • 以電子郵件附件形式從 Gmail 傳送的雲端硬碟項目

已同步處理項目內容

系統會在下列情況記錄商品內容同步處理事件,可記錄 2024 年 7 月 1 日後的事件:

  • 系統會使用 Google 雲端硬碟電腦版,將檔案從雲端硬碟同步到本機裝置。也會將這些事件記錄為「下載」事件。
  • 檔案會同步至裝置,以便離線存取,包括與線上版本持續同步。將項目內容同步處理至雲端硬碟行動應用程式 (Android 和 iOS 版) 時,可能會改記錄為「下載」事件。

預先擷取項目內容

「預先擷取項目內容」事件表示 Google 應用程式已擷取雲端硬碟資料,但未立即向使用者顯示。舉例來說,在雲端硬碟中預覽檔案時,系統可能會預先擷取附近的檔案。使用者日後需要時,即可存取這些內容。

已存取項目內容

您可以透過採用 Google Workspace API (例如 Google Drive API 或 Google Sheets API) 的應用程式,代表使用者存取檔案。這類動作不會記錄為「下載」或「查看」事件,只會記錄為「已存取項目內容」事件。當使用者存取雲端硬碟檔案內容的方式,並非在雲端硬碟網頁版中開啟檔案,系統才會記錄 Gemini 的「已存取項目內容」事件。

如果使用者透過雲端硬碟網頁版、雲端硬碟行動版,或雲端硬碟電腦版應用程式查看或開啟檔案,系統不會記錄「已存取項目內容」事件。

查看

系統會將透過 /htmlview、/embed、/revisions 和其他特殊網址查看檔案的動作記錄為「檢視」事件。

已存取網址

當 Apps Script 指令碼存取網址,包括從 Apps Script 資訊主頁執行、以外掛程式方式執行,或透過試算表中的自訂函式執行,系統就會將此動作記錄為「已存取網址」事件。當使用者點選檔案中的連結時,系統不會記錄「已存取網址」事件。

系統回報的屬性取決於指令碼的執行方式和擁有者:

  • 當指令碼以自訂函式的方式執行,文件 ID 和其他文件相關屬性會反映呼叫函式的工作表。
  • 如果指令碼並非以自訂函式的方式執行,系統就不會回報文件相關屬性。
  • 如果 Apps Script 指令碼為貴機構所有,系統會回報指令碼 ID。

試算表匯入網址

系統會將呼叫試算表匯入函式以存取網址的動作,記錄為「試算表匯入網址」事件。如果工作表內容因自動重新整理而變更,或使用者開啟工作表,系統就會記錄事件。

涉及外部網域的事件

有些事件會包含機構外的使用者、共用資料夾或共用雲端硬碟,例如貴機構中的使用者與外部使用者共用檔案時。當項目的擁有權從其中一個機構變更為另一個機構時,兩個機構都會記錄事件。

兩者都會記錄的事件範例:

  • 貴機構中使用者擁有的雲端硬碟項目移至外部共用雲端硬碟。
  • 機構外使用者擁有的雲端硬碟項目移至貴機構擁有的共用雲端硬碟中。
  • 使用者將檔案複製到貴機構內或機構外。接收機構會記錄複製檔案的名稱,而非原始檔案名稱。

貴機構記錄但外部網域未記錄的事件範例:

  • 貴機構中的使用者將檔案與外部使用者共用。
  • 貴機構使用者擁有的雲端硬碟項目可與允許外部使用者加入的群組共用,即使外部使用者不屬於該群組也沒問題。
  • 外部使用者檢視、編輯、下載、列印或刪除貴機構擁有的雲端硬碟項目。
  • 外部使用者將檔案上傳到貴機構擁有的共用雲端硬碟。

由外部網域記錄但非由貴機構記錄的事件,則與上述情況相反。

匿名使用者和外部使用者

對於匿名使用者 (未登入 Google 帳戶的使用者),系統會記錄編輯和下載動作,但不會記錄檢視動作。

如果是網域外使用者執行的動作,系統會以匿名方式顯示,除非他們的動作是針對明確與他們共用 (以個別使用者身分或特定群組的成員身分) 的項目。

管理員可設定機構共用政策或信任規則政策,限制匿名使用者和外部使用者的存取權。

雲端硬碟電腦版

使用雲端硬碟電腦版,在雲端硬碟和本機裝置之間複製檔案時,會記錄為「下載」和「已同步處理項目內容」事件。

搜尋活動

使用者在雲端硬碟或公開的 Drive API 中執行搜尋時,系統會記錄「項目」「搜尋」「執行」事件,其中包含搜尋結果和使用者搜尋查詢的相關資訊。

管理記錄事件資料

管理搜尋結果資料欄

您可以控制搜尋結果中要顯示哪些資料欄。

  1. 按一下搜尋結果表格右上方的「管理資料欄」圖示
  2. (選用) 如要移除目前的資料欄,請按一下「移除」圖示
  3. (選用) 如要新增資料欄,請按一下「新增資料欄」旁邊的向下箭頭 ,然後選取資料欄。
    視需要重複上述步驟。
  4. (選用) 如要變更資料欄的順序,請拖曳資料欄名稱。
  5. 按一下 [儲存]

匯出搜尋結果資料

您可以將搜尋結果匯出為 Google 試算表或 CSV 檔案。

  1. 按一下搜尋結果表格頂端的「全部匯出」
  2. 輸入名稱 接下來 按一下「匯出」
    匯出結果會顯示在搜尋結果表格的「匯出動作執行結果」下方。
  3. 如要查看資料,請按一下匯出項目的名稱。
    匯出項目會在試算表中開啟。

匯出上限因情況而異:

  • 匯出結果總上限為 100,000 列。
  • 支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較

    如果您使用安全調查工具,匯出結果總上限為 3, 000 萬列。

詳情請參閱「匯出搜尋結果」。

資料要處理多久?保留時間有多長?

請參閱「資料保留和延遲時間」。

依據搜尋結果採取行動

建立活動規則及設定快訊

  • 您可以透過報告規則,根據記錄事件資料設定快訊。如需操作說明,請參閱「建立及管理報告規則」。
  • 支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較

    為了有效地預防、偵測及修正安全問題,您可以建立「活動規則」,讓安全調查工具依此自動執行作業及傳送快訊。設定規則時,您需要先設定觸發規則的條件,再指定符合條件時要執行的動作。詳情請參閱「建立及管理活動規則」。

依據搜尋結果採取行動

支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較

使用安全調查工具執行搜尋後,您可以對搜尋結果採取行動,舉例來說,您可以根據 Gmail 記錄事件執行搜尋,然後透過工具刪除特定郵件、將郵件傳送至隔離區,或將郵件傳送至使用者的收件匣。詳情請參閱「根據搜尋結果執行動作」。

管理調查項目

支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較

查看調查清單

如要查看調查清單,一覽您本身擁有及接受他人共用的調查項目,請按一下「查看調查」圖示 。這份清單會列出調查項目的名稱、說明、擁有者和上次修改日期。

您可以在這份清單中對自己擁有的調查項目執行動作 (例如刪除調查項目),方法是勾選調查項目旁的方塊,然後按一下「動作」

注意:您可以在「快速存取」下方 (調查清單正上方) 查看已儲存的調查項目。

配置調查設定

超級管理員可以點選「設定」圖示 ,執行下列操作:

  • 變更調查項目的時區。搜尋條件和結果會套用這項時區設定。
  • 開啟或關閉「需要審查者」。詳情請參閱「要求為大量動作指派審查者」。
  • 開啟或關閉「查看內容」。這項設定可讓具備適當權限的管理員查看內容。
  • 開啟或關閉「請啟用動作執行原因」設定。

詳情請參閱「進行調查設定」。

儲存、共用、刪除及複製調查項目

如要儲存搜尋條件或與他人共用,您可以選擇建立並儲存調查項目,接著即可共用、複製或刪除這個調查項目。

詳情請參閱「儲存、共用、刪除及複製調查項目」。


Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標,所有其他公司和產品名稱則是與個別公司關聯的商標。