أحداث سجلّ Gmail

بصفتك مشرفًا في مؤسستك، يمكنك إجراء عمليات بحث ذات صلة بأحداث سجلّ Gmail واتّخاذ إجراءات بناءً على نتائج البحث. يمكنك الاطّلاع على الإجراءات لمراجعة نشاط المستخدم والمشرف في مؤسستك في Gmail، على سبيل المثال، عندما يتم تصنيف الرسائل الإلكترونية كرسائل غير مرغوب فيها أو يتم إخراجها من وحدة العزل أو إرسالها إلى وحدة عزل المشرف. يمكنك بعد ذلك استخدام أداة التحقيق الأمني لاتخاذ الإجراءات، على سبيل المثال، لحذف رسائل محدَّدة أو وضع علامة على الرسائل كرسائل غير مرغوب فيها أو كتصيّد احتيالي أو إرسال الرسائل إلى وحدة العزل أو إلى صناديق البريد الوارد للمستخدمين.

لمحة عن عرض محتوى رسالة Gmail

إذا كانت لديك الأذونات المميّزة المناسبة في أداة التحقيق وإصدار Google Workspace المطلوب، يمكنك أيضًا الاطّلاع على محتوى رسالة Gmail كجزء من التحقيق. لمعرفة التفاصيل، يُرجى الانتقال إلى استخدام أداة التحقيق للاطّلاع على المحتوى الحسّاس.

تعتمد إمكانية إجراء عملية بحث على إصدار Google والامتيازات الإدارية ومصادر البيانات التي تمتلكها. يمكنك إجراء بحث على جميع المستخدمين، بغض النظر عن إصدار Google Workspace الذي يستخدمونه.

أداة التدقيق والتحقيق

للبحث عن أحداث السجلّ، اختَر أولاً مصدر بيانات. بعد ذلك، يمكنك اختيار فلتر أو أكثر لبحثك.

  1. في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" ثم إعداد التقارير ثمالتدقيق والتحقيق ثمأحداث سجلّ Gmail.

    يتطلب امتلاك امتياز المشرف التدقيق والتحقيق.

  2. لفلترة الأحداث التي حدثت قبل تاريخ معيّن أو بعده، يمكنك اختيار قبل أو بعد في حقل التاريخ. تظهر تلقائيًا أحداث آخر 7 أيام. يمكنك اختيار نطاق زمني مختلف أو النقر على لإزالة فلتر التاريخ.

  3. انقر على إضافة فلتر ثماختَر سمة. على سبيل المثال، للفلترة حسب نوع حدث معيّن، اختَر حدث.
  4. اختَر عامل تشغيل ثماختَر قيمة ثمانقر على تطبيق.
    • (اختياري) كرِّر هذه الخطوة لإنشاء فلاتر متعددة لبحثك.
    • (اختياري) لإضافة عامل تشغيل بحث، اختَر AND أو OR فوق إضافة فلتر.
  5. انقر على بحث. ملاحظة: باستخدام علامة التبويب فلترة، يمكنك تضمين أزواج قيم ومَعلمات بسيطة لفلترة نتائج البحث. يمكنك أيضًا استخدام علامة التبويب أداة إنشاء الشروط، حيث يتم تمثيل الفلاتر كشروط مع عوامل التشغيل AND/OR.

أداة التحقيق الأمني

الإصدارات المتوافقة مع هذه الميزة: Frontline Standard وFrontline Plus وEnterprise Standard وEnterprise Plus وEducation Standard وEducation Plus وEnterprise Essentials Plus والنسخة المدفوعة من Cloud Identity. مقارنة إصدارك

لإجراء عملية بحث في "أداة التحقيق الأمني"، اختَر أولاً مصدر بيانات. بعد ذلك، اختَر شرطًا واحدًا أو أكثر لبحثك. بالنسبة إلى كل شرط، اختَر سمة وعامل تشغيل وقيمة.

  1. في "وحدة تحكّم المشرف في Google"، انتقِل إلى "القائمة" ثم الأمان ثممركز الأمان ثمأداة التحقيق.

    يتطلب ذلك الحصول على امتياز مشرف مركز الأمان.

  2. انقر على مصدر البيانات واختَر أحداث سجلّ Gmail.

  3. لفلترة الأحداث التي حدثت قبل تاريخ معيّن أو بعده، يمكنك اختيار قبل أو بعد في حقل التاريخ. تظهر تلقائيًا أحداث آخر 7 أيام. يمكنك اختيار نطاق زمني مختلف أو النقر على لإزالة فلتر التاريخ.

  4. انقر على إضافة شرط.
    ملاحظة: يمكنك تضمين شرط واحد أو أكثر في بحثك أو تخصيص بحثك باستخدام طلبات البحث المتداخلة. لمعرفة التفاصيل، انتقِل إلى تخصيص البحث باستخدام طلبات البحث المتداخلة.
  5. انقر على السمة ثمحدِّد خيارًا. على سبيل المثال، للفلترة حسب نوع حدث معيّن، اختَر حدث.
    للحصول على قائمة كاملة بالسمات، انتقِل إلى قسم أوصاف السمات.
  6. اختَر عامل تشغيل.
  7. أدخِل قيمة أو اختَر قيمة من القائمة.
  8. (اختياري) لإضافة المزيد من شروط البحث، كرِّر الخطوات.
  9. انقر على بحث.
    يمكنك مراجعة نتائج البحث من أداة التحقيق في جدول أسفل الصفحة.
  10. (اختياري) لحفظ التحقيق، انقر على "حفظ" ثمأدخِل عنوانًا ووصفًا ثمانقر على حفظ.

ملاحظات

  • في علامة التبويب أداة إنشاء الشروط، يتم تمثيل الفلاتر كشروط مع عوامل التشغيل AND/OR. يمكنك أيضًا استخدام علامة التبويب فلترة لتضمين أزواج قيم ومَعلمات بسيطة لفلترة نتائج البحث.
  • إذا منحت مستخدم اسمًا جديدًا، لن تظهر لك نتائج طلبات البحث باسم المستخدم القديم. على سبيل المثال، في حال إعادة تسمية OldName@example.com إلى NewName@example.com، لن تظهر لك نتائج أحداث OldName@example.com.
  • يمكنك البحث عن البيانات في الرسائل التي لم يتم حذفها بعد من "المهملات".

أوصاف السمات

بالنسبة إلى مصدر البيانات هذا، يمكنك استخدام السمات التالية عند البحث عن بيانات أحداث السجلات.

السمة الوصف

اسم التطبيق الذي نفّذ الإجراء

يجب إضافة هذا العمود إلى نتائج البحث. لمعرفة الخطوات، يُرجى الانتقال إلى إدارة بيانات أعمدة نتائج البحث.

تفاصيل حول التطبيق المستخدَم لتنفيذ الإجراء: لمراجعة المعلومات التالية، يمكنك النقر على الاسم في نتائج البحث:

  • اسم التطبيق الذي نفّذ الإجراء: اسم التطبيق المستخدَم لتنفيذ الإجراء (يتم ملء هذا الحقل للتطبيقات الخارجية وبعض التطبيقات غير الخارجية، مثل Gmail)
  • معرّف عميل OAuth الذي نفّذ الإجراء: معرّف التطبيق الخارجي المستخدَم لتنفيذ الإجراء
  • انتحال الهوية: ما إذا كان التطبيق ينتحل هوية مستخدم

في حال تصدير المعلومات إلى ملف قيم مفصولة بفواصل (CSV) أو "جداول بيانات Google"، يتم حفظ المعلومات ككتلة نصية واحدة داخل الخلية.
إضافة المرفقات رقم تعريف متصفّح Chrome
تجزئة المرفق تجزئة SHA256 للمرفق
عائلة البرنامج الضار للمُرفق فئة البرامج الضارة إذا تم رصدها عند معالجة الرسالة، مثلاً قد يكون المحتوى ضارًا أو برنامجًا ضارًا معروفًا أو فيروسًا/فيروسًا متنقلًا
اسم المرفق اسم المرفق
نوع العميل نوع برنامج Gmail: على سبيل المثال، Web أو Android أو iOS أو POP3.
التاريخ تاريخ الحدث ووقته (يُعرضَان بتوقيت المنطقة الزمنية التلقائية للمُتصفِّح)
تفويض عنوان البريد الإلكتروني للمستخدم المفوَّض الذي نفّذ الإجراء نيابةً عن المالك.
معرّف الجلسة للجهاز المعرّف الفريد الذي تم إنشاؤه لجلسة مستخدم برنامج البريد
نطاق DKIM النطاق الذي تمت مصادقته باستخدام آلية "البريد المعرَّف بمفاتيح النطاق" (DKIM)
النطاق النطاق الذي حدث فيه الإجراء
الحدث إجراء الحدث الذي تم تسجيله، مثل تنزيل مرفق أو النقر على رابط أو إرساله أو عرضه
من (المغلف) عنوان مغلّف المُرسِل
من (عنوان الرأس) عنوان رأس المُرسِل كما يظهر في عناوين الرسائل، مثل user@example.com
من (اسم العنوان) الاسم المعروض لعنوان المُرسِل كما يظهر في رأس الرسالة
الموقع الجغرافي رمز البلد ISO بناءً على عنوان IP للإرسال
تتضمّن مرفقًا تتضمّن الرسالة الإلكترونية مرفقًا
له مفوَّض يحدد ما إذا كان هناك مستخدم مفوَّض نفّذ الإجراء نيابةً عن المالك أم لا
عنوان IP عنوان IP لبرنامج البريد الذي بدأ الرسالة أو تفاعل معها

رقم النظام المستقل (ASN) لعنوان IP

يجب إضافة هذا العمود إلى نتائج البحث. لمعرفة الخطوات، يُرجى الانتقال إلى إدارة بيانات أعمدة نتائج البحث.

رقم النظام المستقل (ASN) لعنوان IP والتقسيم الفرعي والمنطقة المرتبطة بإدخال السجلّ

لمراجعة رقم نظام ASN وعنوان IP والتقسيم الفرعي ورمز المنطقة التي حدث فيها النشاط، يمكنك النقر على الاسم في نتائج البحث.
ربط النطاق النطاق أو النطاقات المُستخرجة من عناوين URL للرابط في نص الرسالة
معرّف الرسالة رقم التعريف الفريد للرسالة الموجود في رأس الرسالة
رقم تعريف مشروع OAuth رقم تعريف مشروع Cloud Console الخاص بالمطوِّر الذي نفّذ عملية المصادقة باستخدام بروتوكول OAuth
المالك مالك رسالة البريد الإلكتروني ويكون المستلم في الرسالة الواردة، والمُرسِل في الرسالة الصادرة.
المراجع

قائمة بالموارد المرتبطة بالإجراء انقر على أحد المراجع للاطّلاع على التفاصيل التالية:

  • معرّف المورد: معرّف المورد
  • عنوان المرجع: عنوان المرجع
  • نوع المورد: ملف في Google Drive أو رسالة إلكترونية أو تنبيه أو قاعدة وما إلى ذلك
  • علاقة المورد: علاقة المورد بالحدث

  • تصنيف المرجع: قائمة بتسمية تصنيفات المرجع، بما في ذلك رقم تعريف تصنيف المرجع وعنوان تصنيف المرجع وحقل تصنيف المرجع

    يحتوي حقل تصنيف المرجع على ما يلي:

    • معرّف حقل التصنيف
    • اسم حقل التصنيف
    • نوع حقل التصنيف: نوع بيانات حقل التصنيف، مثل:
      • Text
      • Number
      • الاختيار: يتضمّن المعرّف والاسم المعروض وما إذا كان يحمل شارة أم لا.
      • قائمة الخيارات
      • المستخدم: يتضمّن البريد الإلكتروني
      • قائمة المستخدمين
      • التاريخ

في حال تصدير المعلومات إلى ملف قيم مفصولة بفواصل (CSV) أو "جداول بيانات Google"، يتم حفظ المعلومات ككتلة نصية واحدة داخل الخلية.
نطاق المُرسِل نطاق المُرسِل
تصنيف الرسائل غير المرغوب فيها تصنيف الرسائل الإلكترونية غير المرغوب فيها، مثلاً رسائل غير مرغوب فيها أو برامج ضارة أو تصيّد احتيالي أو رسالة مريبة أو نظيفة (ليست رسائل غير مرغوب فيها)
سبب تصنيف الرسائل غير المرغوب فيها سبب تصنيف الرسالة كرسالة غير مرغوب فيها، مثلاً رسالة غير مرغوب فيها فاضحة أو قاعدة مخصَّصة أو سمعة المُرسِل أو مرفق مريب
نطاق نظام التعرّف على هوية المرسل (SPF) اسم النطاق المستخدَم لمصادقة نظام التعرّف على هوية المرسل (SPF)
Subject سطر موضوع الرسالة الإلكترونية
تجزئة المُرفَق المستهدَف معلومات حول تجزئة المرفق SHA256 في حال تفاعل المستخدم مع مرفق رسالة
عائلة البرنامج الضار للمُرفَق المستهدَف معلومات حول مجموعة المرفقات الضارة إذا تفاعل المستخدمون مع مرفق رسالة، مثل قد يكون المحتوى ضارًا أو برنامجًا ضارًا معروفًا أو فيروسًا/فيروسًا متنقلًا
اسم المُرفَق المستهدَف معلومات حول اسم المرفق إذا تفاعل المستخدمون مع مرفق رسالة
معرِّف Drive المستهدَف معلومات حول رقم تعريف Drive في حال تفاعل المستخدمين مع عنصر على Drive في رسالة
عنوان URL للرابط المستهدف معلومات حول عنوان URL الرابط إذا تفاعل المستخدمون مع رابط في رسالة
إلى (المُغَلَّف) عنوان مغلف المستلِم
مصدر الزيارات يشير إلى ما إذا تم إرسال أو استلام رسالة إلكترونية داخليًا (داخل نطاقك) أو خارجيًا.

اتخاذ إجراء بناءً على نتائج البحث

بعد إجراء عملية بحث في "أداة التحقيق الأمني"، يمكنك اتّخاذ إجراء بناءً على نتائج البحث. مثلاً، يمكنك إجراء عملية بحث بناءً على أحداث سجلّ Gmail، ثم استخدام الأداة بعد ذلك لحذف رسائل محدَّدة أو إرسال الرسائل إلى وحدة العزل أو إلى صناديق البريد الوارد للمستخدمين. لمعرفة المزيد من التفاصيل عن الإجراءات في "أداة التحقيق الأمني"، انتقِل إلى اتخاذ الإجراءات بناءً على نتائج البحث.

إدارة التحقيقات

عرض قائمة التحقيقات

لعرض قائمة بالتحقيقات التي تمتلكها والتي تمت مشاركتها معك، انقر على "عرض التحقيقات" . تتضمن هذه القائمة أسماء التحقيقات وأوصافها ومالكيها وتاريخ آخر تعديل.

من هذه القائمة، يمكنك اتخاذ إجراء بشأن أي تحقيقات تمتلكها، مثل حذف تحقيق. ضَع علامة في المربع بجانب التحقيق، ثم انقر على الإجراءات.

ملاحظة: أعلى قائمة التحقيقات مباشرةً، ضمن الوصول السريع، يمكنك عرض التحقيقات المحفوظة مؤخرًا.

ضبط إعدادات تحقيقاتك

بصفتك مشرفًا متميزًا، انقر على رمز الإعدادات لإجراء ما يلي :

  • تغيير المنطقة الزمنية للتحقيقات تنطبق المنطقة الزمنية على شروط البحث ونتائجه.
  • فعِّل إعداد المطالبة بمراجعين أو أوقِفه. لمزيد من التفاصيل، انتقِل إلى المطالبة بمراجعين لتنفيذ الإجراءات المُجمَّعة.
  • فعِّل إعداد عرض المحتوى أو أوقِفه. يسمح هذا الإعداد للمشرفين الذين يمتلكون الامتيازات المناسبة بعرض المحتوى.
  • فعِّل خيار تفعيل تبرير الإجراء أو أوقِفه.

للحصول على التعليمات والتفاصيل، يُرجى الانتقال إلى مقالة ضبط إعدادات التحقيقات.

إدارة الأعمدة في نتائج البحث

يمكنك التحكّم في أعمدة البيانات التي تظهر في نتائج البحث.

  1. في أعلى يسار جدول نتائج البحث، انقر على "إدارة الأعمدة" .
  2. (اختياري) لإزالة الأعمدة الحالية، انقر على "إزالة العنصر" .
  3. (اختياري) لإضافة أعمدة، بجانب "إضافة عمود جديد"، انقر على السهم المتجه للأسفل واختَر عمود البيانات.
    يمكنك تكرار هذه الخطوات عند الحاجة.
  4. (اختياري) لتغيير ترتيب الأعمدة، اسحب اسم العمود.
  5. انقر على حفظ.

تصدير البيانات من نتائج البحث

يمكنك تصدير نتائج البحث في "أداة التحقيق الأمني" إلى "جداول بيانات Google" أو إلى ملف CSV. للحصول على التعليمات، يُرجى الاطّلاع على مقالة كيفية تصدير نتائج البحث.

مشاركة التحقيقات وحذفها وتكرارها

لحفظ معايير البحث أو مشاركتها مع الآخرين، يمكنك إنشاء تحقيق وحفظه، ثم مشاركته أو تكراره أو حذفه.

لمعرفة التفاصيل، يُرجى الانتقال إلى حفظ التحقيقات ومشاركتها وحذفها وتكرارها.

متى تُتاح البيانات وما هي مدة إتاحتها؟

لمزيد من المعلومات عن مصادر البيانات، يُرجى الانتقال إلى مُدد الاحتفاظ بالبيانات ومُدد التأخُّر.