Sự kiện trong nhật ký Gmail

Là quản trị viên của tổ chức, bạn có thể tiến hành tìm kiếm các sự kiện trong nhật ký Gmail và xử lý dựa trên kết quả tìm kiếm. Bạn có thể xem các thao tác để xem xét hoạt động của người dùng và quản trị viên trong tổ chức của bạn trên Gmail, chẳng hạn như khi email được phân loại là thư rác, được phát hành từ trạng thái cách ly hoặc được gửi đến trạng thái cách ly của quản trị viên. Sau đó, bạn có thể dùng công cụ điều tra bảo mật để xử lý, chẳng hạn như xoá thư cụ thể, đánh dấu thư là thư rác hoặc thư lừa đảo, gửi thư vào vùng cách ly hoặc gửi thư vào hộp thư đến của người dùng.

Giới thiệu về việc xem nội dung thư trong Gmail

Nếu có các đặc quyền phù hợp trong công cụ điều tra và phiên bản Google Workspace bắt buộc, bạn cũng có thể xem nội dung của một thư trong Gmail trong quá trình điều tra. Để biết thông tin chi tiết, hãy xem bài viết Sử dụng công cụ điều tra để xem nội dung nhạy cảm.

Khả năng chạy tìm kiếm tuỳ thuộc vào phiên bản Google, đặc quyền quản trị và nguồn dữ liệu của bạn. Bạn có thể tìm kiếm tất cả người dùng, bất kể phiên bản Google Workspace mà họ sử dụng.

Công cụ kiểm tra và điều tra

Để tìm kiếm sự kiện trong nhật ký, trước tiên, hãy chọn một nguồn dữ liệu. Sau đó, hãy chọn một hoặc nhiều bộ lọc cho nội dung bạn muốn tìm.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó Báo cáo sau đóKiểm tra và điều tra sau đóSự kiện trong nhật ký Gmail.

    Bạn phải có đặc quyền Kiểm tra và điều tra của quản trị viên.

  2. Để lọc những sự kiện xảy ra trước hoặc sau một ngày cụ thể, đối với Ngày, hãy chọn Trước hoặc Sau. Theo mặc định, các sự kiện trong 7 ngày qua sẽ xuất hiện. Bạn có thể chọn một phạm vi ngày khác hoặc nhấp vào biểu tượng để xoá bộ lọc ngày.

  3. Nhấp vào Thêm bộ lọc sau đóchọn một thuộc tính. Ví dụ: để lọc theo một loại sự kiện cụ thể, hãy chọn Sự kiện.
  4. Chọn một toán tử sau đóchọn một giá trị sau đónhấp vào Áp dụng.
    • (Không bắt buộc) Để tạo nhiều bộ lọc cho nội dung tìm kiếm, hãy lặp lại bước này.
    • (Không bắt buộc) Để thêm toán tử tìm kiếm, ở phía trên phần Thêm bộ lọc, hãy chọn AND hoặc OR.
  5. Nhấp vào Tìm kiếm. Lưu ý: Khi sử dụng thẻ Bộ lọc, bạn có thể thêm các cặp giá trị và tham số đơn giản để lọc kết quả tìm kiếm. Bạn cũng có thể sử dụng thẻ Trình tạo điều kiện, trong đó các bộ lọc được biểu thị dưới dạng điều kiện bằng toán tử AND/OR.

Công cụ điều tra bảo mật

Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

Để chạy một lượt tìm kiếm trong công cụ điều tra bảo mật, trước tiên, hãy chọn một nguồn dữ liệu. Sau đó, hãy chọn một hoặc nhiều điều kiện cho nội dung bạn muốn tìm. Đối với mỗi điều kiện, hãy chọn một thuộc tính, một toán tử và một giá trị.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến phần Trình đơn sau đó Bảo mật sau đóTrung tâm bảo mật sau đóCông cụ điều tra.

    Bạn phải có đặc quyền của quản trị viên đối với Trung tâm bảo mật.

  2. Nhấp vào Nguồn dữ liệu rồi chọn Sự kiện trong nhật ký Gmail.

  3. Để lọc những sự kiện xảy ra trước hoặc sau một ngày cụ thể, đối với Ngày, hãy chọn Trước hoặc Sau. Theo mặc định, các sự kiện trong 7 ngày qua sẽ xuất hiện. Bạn có thể chọn một phạm vi ngày khác hoặc nhấp vào biểu tượng để xoá bộ lọc ngày.

  4. Nhấp vào Thêm điều kiện.
    Lưu ý: Bạn có thể thêm một hoặc nhiều điều kiện vào nội dung tìm kiếm hoặc tuỳ chỉnh nội dung tìm kiếm bằng các truy vấn lồng ghép. Để biết thông tin chi tiết, hãy xem bài viết Tuỳ chỉnh nội dung tìm kiếm bằng các truy vấn lồng ghép.
  5. Nhấp vào Thuộc tính sau đóchọn một lựa chọn. Ví dụ: để lọc theo một loại sự kiện cụ thể, hãy chọn Sự kiện.
    Để xem danh sách đầy đủ các thuộc tính, hãy chuyển đến phần Nội dung mô tả thuộc tính.
  6. Chọn một toán tử.
  7. Nhập một giá trị hoặc chọn một giá trị trong danh sách.
  8. (Không bắt buộc) Để thêm các điều kiện tìm kiếm khác, hãy lặp lại các bước trên.
  9. Nhấp vào Tìm kiếm.
    Bạn có thể xem kết quả tìm kiếm từ công cụ điều tra trong một bảng ở cuối trang.
  10. (Không bắt buộc) Để lưu thông tin điều tra, hãy nhấp vào biểu tượng Lưu sau đónhập tiêu đề và nội dung mô tả sau đónhấp vào Lưu.

Lưu ý

  • Trong thẻ Trình tạo điều kiện, các bộ lọc được biểu thị dưới dạng điều kiện bằng toán tử AND/OR. Bạn cũng có thể sử dụng thẻ Bộ lọc để thêm các cặp giá trị và tham số đơn giản nhằm lọc kết quả tìm kiếm.
  • Nếu đã đổi tên cho một người dùng, bạn sẽ không thấy kết quả truy vấn theo tên cũ của người dùng đó. Ví dụ: nếu đổi tên OldName@example.com thành NewName@example.com, bạn sẽ không thấy kết quả cho các sự kiện liên quan đến OldName@example.com.
  • Bạn chỉ có thể tìm kiếm dữ liệu trong những tin nhắn chưa bị xoá khỏi Thùng rác.

Nội dung mô tả thuộc tính

Đối với nguồn dữ liệu này, bạn có thể sử dụng các thuộc tính sau khi tìm kiếm dữ liệu sự kiện trong nhật ký.

Thuộc tính Mô tả

Tên ứng dụng của đối tượng thực hiện

Bạn cần thêm cột này vào phần kết quả tìm kiếm. Để nắm các bước, hãy xem phần Quản lý dữ liệu cột trong kết quả tìm kiếm.

Thông tin chi tiết về ứng dụng được dùng để thực hiện hành động. Để xem thông tin sau, hãy nhấp vào tên trong kết quả tìm kiếm:

  • Tên ứng dụng của đối tượng thực hiện – Tên của ứng dụng được dùng để thực hiện hành động (được điền sẵn cho các ứng dụng bên thứ ba và một số ứng dụng bên thứ nhất, chẳng hạn như Gmail)
  • Mã ứng dụng OAuth của đối tượng thực hiện – Giá trị nhận dạng cho ứng dụng bên thứ ba dùng để thực hiện hành động
  • Hành vi mạo danh – Ứng dụng có mạo danh người dùng hay không

Nếu bạn xuất thông tin sang tệp giá trị được phân tách bằng dấu phẩy (CSV) hoặc Google Trang tính, thì thông tin sẽ được lưu dưới dạng một khối văn bản trong một ô.
Phần mở rộng về tệp đính kèm Mã nhận dạng của trình duyệt Chrome
Giá trị băm của tệp đính kèm Hàm băm SHA256 của tệp đính kèm
Nhóm phần mềm độc hại trong tệp đính kèm Danh mục phần mềm độc hại (nếu phát hiện thấy khi thư được xử lý) – ví dụ: Nội dung có thể gây hại, Chương trình độc hại đã biết hoặc Virus/sâu
Tên tệp đính kèm Tên tệp đính kèm
Loại ứng dụng Loại ứng dụng Gmail – ví dụ: Web, Android, iOS hoặc POP3.
Ngày Ngày và giờ diễn ra sự kiện (hiển thị theo múi giờ mặc định trong trình duyệt của bạn)
Uỷ quyền Địa chỉ email của người dùng được uỷ quyền đã thực hiện hành động thay cho chủ sở hữu
Giá trị nhận dạng phiên của thiết bị Mã nhận dạng riêng biệt được tạo cho một phiên hoạt động của người dùng ứng dụng email
Miền DKIM Miền được xác thực bằng cơ chế DKIM (Domain Keys Identified Mail)
Miền Miền nơi xảy ra hành động
Sự kiện Thao tác sự kiện được ghi lại, chẳng hạn như Tải tệp đính kèm xuống, Nhấp vào đường liên kết, Gửi hoặc Xem.
Từ (Phong bì) Địa chỉ người gửi trên phong bì
Từ (Địa chỉ trong tiêu đề) Địa chỉ trong tiêu đề của người gửi xuất hiện trong tiêu đề thư, ví dụ: user@example.com
Từ (Tên tiêu đề) Tên hiển thị trong tiêu đề của người gửi như xuất hiện trong tiêu đề thư
Vị trí địa lý Mã quốc gia theo tiêu chuẩn ISO dựa trên IP chuyển tiếp
Có tệp đính kèm Email có tệp đính kèm
Có người được uỷ quyền Có hay không người dùng được uỷ quyền đã thực hiện hành động thay mặt cho chủ sở hữu
Địa chỉ IP Địa chỉ IP của ứng dụng email đã bắt đầu hoặc tương tác với thư

ASN của IP

Bạn cần thêm cột này vào phần kết quả tìm kiếm. Để nắm các bước, hãy xem phần Quản lý dữ liệu cột trong kết quả tìm kiếm.

Số hiệu hệ thống tự trị (ASN), phân vùng và khu vực của IP được liên kết với mục nhập nhật ký.

Để xem ASN, phân vùng và mã khu vực của IP nơi hoạt động diễn ra, hãy nhấp vào tên đó trong phần kết quả tìm kiếm.
Liên kết miền (Các) miền được trích xuất từ URL đường liên kết trong nội dung thư
Mã nhận dạng thư Mã nhận dạng thư duy nhất nằm trong phần đầu thư
Mã dự án OAuth Mã dự án trên bảng điều khiển đám mây của nhà phát triển đã xác thực bằng OAuth
Chủ sở hữu Chủ sở hữu của thư email. Đối với thư đến, đó là người nhận. Đối với thư đi, đó là người gửi.
Tài nguyên

Danh sách các tài nguyên được liên kết với thao tác. Nhấp vào một tài nguyên để xem các thông tin chi tiết sau:

  • Mã tài nguyên – Giá trị nhận dạng tài nguyên
  • Tiêu đề tài nguyên – Tiêu đề của tài nguyên
  • Loại tài nguyên – Mục trên Google Drive, email, cảnh báo, quy tắc, v.v.
  • Mối quan hệ của tài nguyên – Mối quan hệ của tài nguyên với sự kiện

  • Nhãn tài nguyên – Danh sách nhãn phân loại cho một tài nguyên, bao gồm Mã nhãn tài nguyên, Tiêu đề nhãn tài nguyênTrường nhãn tài nguyên.

    Trường nhãn tài nguyên chứa:

    • Mã nhận dạng trường nhãn
    • Tên trường nhãn
    • Loại trường nhãn – Loại dữ liệu của trường nhãn, chẳng hạn như:
      • Văn bản
      • Number
      • Lựa chọn – Bao gồm: Mã nhận dạng, Tên hiển thị, Có huy hiệu
      • Danh sách lựa chọn
      • Người dùng – Đã bao gồm: Email
      • Danh sách người dùng
      • Ngày

Nếu bạn xuất thông tin sang tệp giá trị được phân tách bằng dấu phẩy (CSV) hoặc Google Trang tính, thì thông tin sẽ được lưu dưới dạng một khối văn bản trong một ô.
Miền của người gửi Miền của người gửi
Phân loại thư rác Phân loại thư rác của thư điện tử, ví dụ: Thư rác, Phần mềm độc hại, Lừa đảo, Đáng ngờ hoặc Sạch (không phải thư rác)
Lý do phân loại là nội dung rác Lý do thư bị phân loại là thư rác – ví dụ: Thư rác lộ liễu, Quy tắc tuỳ chỉnh, Danh tiếng của người gửi hoặc Tệp đính kèm đáng ngờ
Miền SPF Tên miền dùng để xác thực Khung chính sách về người gửi (SPF)
Tiêu đề Dòng tiêu đề của email
Hàm băm tệp đính kèm đích Thông tin về hàm băm tệp đính kèm SHA256 nếu người dùng tương tác với tệp đính kèm của một tin nhắn
Nhóm phần mềm độc hại trong tệp đính kèm đích Thông tin về nhóm phần mềm độc hại trong tệp đính kèm nếu người dùng tương tác với tệp đính kèm của một thư – ví dụ: Nội dung có thể gây hại, Chương trình độc hại đã biết hoặc Vi-rút/sâu
Tên tệp đính kèm đích Thông tin về tên tệp đính kèm nếu người dùng tương tác với tệp đính kèm của một thư
Mã nhận dạng ổ đĩa đích Thông tin về mã nhận dạng Drive nếu người dùng tương tác với một mục trên Drive trong tin nhắn
URL liên kết mục tiêu Thông tin về URL của đường liên kết nếu người dùng tương tác với đường liên kết trong một thông báo
Đến (Phong bì) Địa chỉ người nhận trên phong bì
Nguồn lưu lượng truy cập Cho biết email được gửi/nhận nội bộ (trong miền của bạn) hay bên ngoài

Xử lý dựa trên kết quả tìm kiếm

Sau khi chạy một cụm từ tìm kiếm trong công cụ điều tra bảo mật, bạn có thể thực hiện hành động đối với kết quả tìm kiếm. Ví dụ: bạn có thể chạy một tìm kiếm dựa trên các sự kiện trong nhật ký Gmail, sau đó dùng công cụ này để xoá thư cụ thể, gửi thư đến vùng cách ly hoặc gửi thư đến hộp thư đến của người dùng. Để biết thêm thông tin chi tiết về các thao tác trong công cụ điều tra bảo mật, hãy xem phần Xử lý dựa trên kết quả tìm kiếm.

Quản lý các cuộc điều tra

Xem danh sách các cuộc điều tra

Để xem danh sách các cuộc điều tra mà bạn sở hữu và các cuộc điều tra được chia sẻ với bạn, hãy nhấp vào biểu tượng Xem các cuộc điều tra . Danh sách điều tra bao gồm tên, nội dung mô tả, chủ sở hữu của các cuộc điều tra và ngày sửa đổi gần đây nhất.

Trong danh sách này, bạn có thể thực hiện hành động đối với bất kỳ cuộc điều tra nào mà bạn sở hữu, chẳng hạn như xoá một cuộc điều tra. Đánh dấu vào hộp cho một hoạt động điều tra, rồi nhấp vào Thao tác.

Lưu ý: Ngay phía trên danh sách các hoạt động điều tra, trong mục Truy cập nhanh, bạn có thể xem các hoạt động điều tra đã lưu gần đây.

Định cấu hình chế độ cài đặt cho các hoạt động điều tra

quản trị viên cấp cao, hãy nhấp vào biểu tượng Cài đặt để :

  • Thay đổi múi giờ cho các cuộc điều tra. Múi giờ áp dụng cho các điều kiện và kết quả tìm kiếm.
  • Bật hoặc tắt chế độ Yêu cầu người đánh giá. Để biết thêm thông tin chi tiết, hãy xem bài viết Yêu cầu người đánh giá cho các thao tác hàng loạt.
  • Bật hoặc tắt chế độ Xem nội dung. Chế độ cài đặt này cho phép những quản trị viên có đặc quyền thích hợp xem nội dung.
  • Bật hoặc tắt chế độ Bật lý do thực hiện hành động.

Để xem hướng dẫn và thông tin chi tiết, hãy chuyển đến bài viết Định cấu hình chế độ cài đặt cho hoạt động điều tra.

Quản lý các cột trong kết quả tìm kiếm

Bạn có thể kiểm soát những cột dữ liệu sẽ xuất hiện trong phần kết quả tìm kiếm.

  1. Ở góc trên cùng bên phải của bảng kết quả tìm kiếm, hãy nhấp vào biểu tượng Quản lý cột .
  2. (Không bắt buộc) Để xoá các cột hiện tại, hãy nhấp vào biểu tượng Xoá mục .
  3. (Không bắt buộc) Để thêm cột, bên cạnh phần Thêm cột mới, hãy nhấp vào biểu tượng Mũi tên xuống rồi chọn cột dữ liệu.
    Lặp lại bước trên nếu cần.
  4. (Không bắt buộc) Để thay đổi thứ tự của các cột, hãy kéo tên cột.
  5. Nhấp vào Lưu.

Xuất dữ liệu từ kết quả tìm kiếm

Bạn có thể xuất kết quả tìm kiếm trong công cụ điều tra bảo mật sang Google Trang tính hoặc sang một tệp CSV. Để biết hướng dẫn, hãy xem bài viết Xuất kết quả tìm kiếm.

Chia sẻ, xoá và sao chép các cuộc điều tra

Để lưu tiêu chí tìm kiếm hoặc chia sẻ tiêu chí đó với người khác, bạn có thể tạo và lưu một cuộc điều tra, sau đó chia sẻ, sao chép hoặc xoá cuộc điều tra đó.

Để biết thông tin chi tiết, hãy xem bài viết Lưu, chia sẻ, xoá và sao chép các cuộc điều tra.

Khi nào sẽ có dữ liệu và dữ liệu sẽ xem được trong bao lâu?

Để biết thêm thông tin về nguồn dữ liệu, hãy xem bài viết Thời gian giữ lại dữ liệu và độ trễ.