Gmail 로그 이벤트

조직의 관리자는 Gmail 로그 이벤트와 관련된 검색을 실행하고 검색 결과에 따라 조치를 취할 수 있습니다. 조직의 사용자 및 관리자 활동을 검토하기 위한 조치 내역을 확인할 수 있습니다. 예를 들어 이메일이 스팸으로 분류되거나, 스팸 격리 저장소에서 해제되거나, 관리 스팸 격리 저장소로 전송된 경우 등을 확인할 수 있습니다. 그런 다음 보안 조사 도구를 사용해 특정 메일을 삭제하거나, 메일을 스팸 또는 피싱으로 표시하거나, 스팸 격리 저장소로 보내거나, 사용자의 받은편지함으로 보내는 등의 조치를 취할 수 있습니다.

Gmail 메일 콘텐츠 보기 정보

조사 도구에서 적절한 권한을 갖고 있고 필요한 Google Workspace 버전을 사용 중이라면 조사의 일환으로 Gmail 메일의 콘텐츠를 확인할 수도 있습니다. 자세한 내용은 조사 도구를 사용하여 민감한 콘텐츠 보기를 참고하세요.

로그 이벤트 검색 실행하기

검색 실행 가능 여부는 Google 버전, 관리 권한, 데이터 소스에 따라 달라집니다. Google Workspace 버전과 관계없이 모든 사용자를 대상으로 검색을 실행할 수 있습니다.

감사 및 조사 도구

로그 이벤트를 검색하려면 먼저 데이터 소스를 선택하세요. 그런 다음 하나 이상의 검색 필터를 선택합니다.

Google 관리 콘솔에서 메뉴 보고 감사 및 조사 Gmail 로그 이벤트로 이동합니다.

Gmail 로그 이벤트로 이동

감사 및 조사 관리자 권한이 필요합니다.
특정 날짜 전후에 발생한 이벤트를 필터링하려면 날짜에서 이전 또는 이후를 선택합니다. 기본적으로 지난 7일간의 이벤트가 표시됩니다. 다른 기간을 선택하거나 아이콘을 클릭하여 날짜 필터를 삭제할 수 있습니다.
필터 추가를 클릭하고 속성을 선택합니다. 예를 들어 특정 이벤트 유형을 기준으로 필터링하려면 이벤트를 선택합니다.
연산자를 선택하고 값을 선택한 다음 적용을 클릭합니다.
- (선택사항) 검색 필터를 여러 개 만들려면 이 단계를 반복합니다.
- (선택사항) 검색 연산자를 추가하려면 필터 추가 위에서 AND 또는 OR을 선택합니다.
검색을 클릭합니다. 참고: 필터 탭에서 간단한 매개변수 및 값 쌍을 포함하여 검색 결과를 필터링할 수 있습니다. 필터가 AND/OR 연산자로 조건으로 표시되는 조건 작성 도구 탭을 사용할 수도 있습니다.

보안 조사 도구

이 기능이 지원되는 버전: Frontline Standard 및 Frontline Plus, Enterprise Standard 및 Enterprise Plus, Education Standard 및 Education Plus, Enterprise Essentials Plus, Cloud ID Premium 사용 중인 버전 비교하기

보안 조사 도구에서 검색을 실행하려면 먼저 데이터 소스를 선택합니다. 그런 다음 하나 이상의 검색 조건을 선택합니다. 각 조건에서 속성, 연산자, 값을 선택합니다.

Google 관리 콘솔에서 메뉴 보안 보안 센터 조사 도구로 이동합니다.

조사 도구로 이동

보안 센터 관리자 권한이 필요합니다.
데이터 소스를 클릭하고 Gmail 로그 이벤트를 선택합니다.
특정 날짜 전후에 발생한 이벤트를 필터링하려면 날짜에서 이전 또는 이후를 선택합니다. 기본적으로 지난 7일간의 이벤트가 표시됩니다. 다른 기간을 선택하거나 아이콘을 클릭하여 날짜 필터를 삭제할 수 있습니다.
조건 추가를 클릭합니다.
도움말: 검색에 조건을 하나 이상 포함하거나 중첩된 쿼리로 검색을 맞춤설정할 수 있습니다. 자세한 내용은 중첩된 쿼리로 검색 맞춤설정하기를 참고하세요.
속성을 클릭하고 옵션을 선택합니다. 예를 들어 특정 이벤트 유형을 기준으로 필터링하려면 이벤트를 선택합니다.
전체 속성 목록을 보려면 속성 설명 섹션으로 이동하세요.
연산자를 선택합니다.
값을 입력하거나 목록에서 값을 선택합니다.
(선택사항) 검색 조건을 더 추가하려면 단계를 반복합니다.
검색을 클릭합니다.
페이지 하단의 표에서 조사 도구의 검색 결과를 검토할 수 있습니다.
(선택사항) 조사를 저장하려면 저장 을 클릭하고 제목과 설명을 입력한 다음 저장을 클릭합니다.

참고

조건 작성 도구 탭에서 필터는 AND/OR 연산자로 조건으로 표시됩니다. 필터 탭에서 간단한 매개변수 및 값 쌍을 포함하여 검색 결과를 필터링할 수도 있습니다.
사용자에게 새 이름을 부여한 경우, 사용자의 기존 이름을 사용하면 쿼리 결과가 표시되지 않습니다. 예를 들어 OldName@example.com을 NewName@example.com으로 바꾸는 경우, OldName@example.com과 관련된 이벤트 결과는 표시되지 않습니다.
휴지통에서 아직 삭제되지 않은 메일의 데이터만 검색할 수 있습니다.

속성 설명

이 데이터 소스의 경우 로그 이벤트 데이터를 검색할 때 다음 속성을 사용할 수 있습니다.

속성	설명
작업 수행자 애플리케이션 이름 이 열을 검색 결과에 추가해야 합니다. 자세한 단계는 검색 결과 열 데이터 관리하기를 참고하세요.	작업을 실행하는 데 사용된 애플리케이션에 관한 세부정보입니다. 다음 정보를 검토하려면 검색 결과에서 이름을 클릭합니다. 작업 수행자 애플리케이션 이름: 작업을 실행하는 데 사용된 애플리케이션의 이름입니다 (서드 파티 앱의 경우 채워지고 Gmail과 같은 퍼스트 파티 앱의 경우에도 채워짐). 작업 수행자 OAuth 클라이언트 ID: 작업을 실행하는 데 사용된 서드 파티 앱의 식별자 명의 도용: 앱이 사용자를 가장했는지 여부 정보를 쉼표로 구분된 값 (CSV) 파일 또는 Google Sheets로 내보내면 정보가 셀 내에 단일 텍스트 블록으로 저장됩니다.
첨부파일 광고 확장	Chrome 브라우저 ID입니다.
첨부파일 해시	첨부파일의 SHA256 해시입니다.
첨부파일 멀웨어 패밀리	메일을 처리할 때 감지되는 멀웨어 범주(예: 유해할 수 있는 콘텐츠, 알려진 악성 프로그램 또는 바이러스/웜)
첨부파일 이름	첨부파일의 이름
클라이언트 유형	Gmail 클라이언트 유형(예: 웹, Android, iOS 또는 POP3)
날짜	이벤트 날짜 및 시간 (브라우저의 기본 시간대로 표시됨)
위임	소유자를 대신하여 작업을 수행한 위임 사용자의 이메일 주소
기기 세션 식별자	메일 클라이언트 사용자 세션에 대해 생성된 고유 ID
DKIM 도메인	DKIM (도메인 키 확인 메일) 메커니즘으로 인증된 도메인
도메인	작업이 발생한 도메인입니다.
이벤트	기록된 이벤트 작업(예: 첨부파일 다운로드, 링크 클릭, 보내기 또는 보기)
보낸사람 (메일)	발신자의 엔벨로프 주소
보낸사람 (헤더 주소)	메일 헤더에 표시되는 발신자의 헤더 주소(예: user@example.com)
보낸사람 (헤더 이름)	메일 헤더에 표시되는 발신자 헤더 표시 이름
지리적 위치	릴레이 IP를 기반으로 한 ISO 국가 코드
첨부파일 있음	이메일에 첨부파일이 포함되어 있습니다.
대리인 있음	소유자를 대신하여 작업을 수행한 위임 사용자의 유무
IP 주소	메일이 시작되거나 메일에서 상호작용한 메일 클라이언트의 IP 주소
IP ASN 이 열을 검색 결과에 추가해야 합니다. 자세한 단계는 검색 결과 열 데이터 관리하기를 참고하세요.	로그 항목과 연결된 IP 자율 시스템 번호 (ASN), 하위 구분, 지역입니다. 활동이 발생한 IP ASN, 하위 구분, 지역 코드를 검토하려면 검색 결과에서 이름을 클릭합니다.
도메인 연결	메일 본문의 링크 URL에서 추출한 도메인
메시지 ID	메일 헤더에 있는 고유한 메일 ID
OAuth 프로젝트 ID	OAuth로 인증한 개발자의 Cloud 콘솔 프로젝트 ID
소유자	이메일 소유자. 수신 메일의 경우 수신자 발신 메일의 경우 발신자입니다.
리소스	작업과 연결된 리소스 목록입니다. 리소스를 클릭하여 다음 세부정보를 확인합니다. 리소스 ID: 리소스 식별자 리소스 제목: 리소스 제목 리소스 유형: Google Drive 항목, 이메일, 알림, 규칙 등 리소스 관계: 이벤트와 리소스의 관계 리소스 라벨: 리소스 라벨 ID, 리소스 라벨 제목, 리소스 라벨 필드를 포함한 리소스의 분류 라벨 목록입니다. 리소스 라벨 필드에는 다음이 포함됩니다. 라벨 필드 ID 라벨 필드 이름 라벨 필드 유형: 라벨 필드의 데이터 유형입니다. 예를 들면 다음과 같습니다. 텍스트 숫자 선택: ID, 표시 이름, 배지 포함 여부가 포함됩니다. 선택 목록 사용자: 이메일이 포함됩니다. 사용자 목록 날짜 정보를 쉼표로 구분된 값 (CSV) 파일 또는 Google Sheets로 내보내면 정보가 셀 내에 단일 텍스트 블록으로 저장됩니다.
발신자 도메인	발신자의 도메인
스팸 분류	이메일의 스팸 분류(예: 스팸, 멀웨어, 피싱, 의심스러운 메일 또는 안전한 메일(스팸 아님))
스팸 분류 이유	메일이 스팸으로 분류되는 이유(예: 노골적인 스팸, 맞춤 규칙, 발신자 평판, 의심스러운 첨부파일)
SPF 도메인	SPF (Sender Policy Framework) 인증에 사용되는 도메인 이름
제목	이메일 제목
대상 첨부파일 해시	사용자가 메일의 첨부파일과 상호작용하는 경우 SHA256 첨부파일 해시에 관한 정보
대상 첨부파일 멀웨어 패밀리	사용자가 메일의 첨부파일과 상호작용하는 경우 첨부파일 멀웨어 패밀리에 대한 정보(예: 유해할 수 있는 콘텐츠, 알려진 악성 프로그램 또는 바이러스/웜)
대상 연결 이름	사용자가 메일의 첨부파일과 상호작용하는 경우 첨부파일 이름에 대한 정보
대상 드라이브 ID	사용자가 메일의 Drive 항목과 상호작용하는 경우 Drive ID에 대한 정보
타겟 링크 URL	사용자가 메일의 링크와 상호작용하는 경우 링크 URL에 관한 정보
받는사람 (메일)	수신자의 엔벨로프 주소
트래픽 소스	이메일이 내부 (도메인 내) 또는 외부에서 발신/수신되었는지 표시

검색 결과에 따라 조치 취하기

보안 조사 도구에서 검색을 실행한 후 검색 결과를 바탕으로 작업을 수행할 수 있습니다. 예를 들어 Gmail 로그 이벤트를 기반으로 검색을 실행한 다음 도구를 사용해 특정 메일을 삭제하거나 스팸 격리 저장소로 보내거나 사용자의 받은편지함으로 보낼 수 있습니다. 보안 조사 도구의 작업에 대한 자세한 내용은 검색 결과에 따라 작업하기를 참고하세요.

조사 관리하기

조사 목록 보기

소유하고 있는 조사 및 공유된 조사의 목록을 보려면 조사 보기 를 클릭합니다. 조사 목록에는 조사의 제목, 설명, 소유자, 최종 수정 날짜가 포함되어 있습니다.

이 목록에서 소유하는 모든 조사에 대한 작업(예: 조사 삭제)을 수행할 수 있습니다. 작업하려는 조사의 체크박스를 선택하고 작업을 클릭합니다.

참고: 조사 목록 바로 위에 있는 빠른 액세스에서 최근에 저장된 조사를 확인할 수 있습니다.

조사 설정 구성하기

최고 관리자는 설정 을 클릭하여 다음 작업을 수행할 수 있습니다.

조사의 시간대를 변경합니다. 시간대는 검색 조건과 검색 결과에 적용됩니다.
검토자 요청을 사용 또는 사용 중지합니다. 자세한 내용은 일괄 작업에 대해 검토자 요청하기를 참고하세요.
콘텐츠 보기를 사용 또는 사용 중지합니다. 이 설정을 사용하면 적절한 권한이 있는 관리자가 콘텐츠를 볼 수 있습니다.
작업 사유 입력 사용 설정을 사용 또는 사용 중지합니다.

안내 및 세부정보는 조사 설정 구성하기를 참고하세요.

검색 결과의 열 관리하기

검색 결과에 표시할 데이터 열을 설정할 수 있습니다.

검색 결과 표의 오른쪽 상단에서 열 관리 를 클릭합니다.
(선택사항) 현재 열을 삭제하려면 항목 삭제 를 클릭합니다.
(선택사항) 열을 추가하려면 '새 열 추가' 옆에 있는 아래쪽 화살표 를 클릭하고 데이터 열을 선택합니다.
필요한 경우 반복합니다.
(선택사항) 열 순서를 변경하려면 열 이름을 드래그합니다.
저장을 클릭합니다.

검색 결과에서 데이터 내보내기

보안 조사 도구의 검색 결과를 Google Sheets 또는 CSV 파일로 내보낼 수 있습니다. 자세한 내용은 검색 결과 내보내기를 참고하세요.

데이터는 언제 사용할 수 있으며 얼마 동안 제공되나요?

데이터 소스에 대한 자세한 내용은 데이터 보관 및 지연 시간을 참고하세요.

Gmail 로그 이벤트 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.