作为组织的管理员,您可以执行与 Gmail 日志事件相关的搜索,并根据搜索结果采取行动。您可以查看操作记录,了解贵组织的用户和管理员在 Gmail 中的活动情况,例如何时将电子邮件归类为垃圾邮件、从隔离区中释放电子邮件或将电子邮件发送到管理员隔离区。然后,您可以使用安全调查工具采取行动,例如删除特定邮件,将邮件标记为垃圾邮件或钓鱼式攻击邮件,或者将邮件发送至隔离区或用户的收件箱。
查看 Gmail 邮件内容的相关信息
如果您在调查工具中拥有相应权限并具备所需的 Google Workspace 版本,还可以在调查中查看 Gmail 邮件内容。如需了解详情,请参阅使用调查工具查看敏感内容。
搜索日志事件
能否执行搜索取决于您所使用的 Google 版本、所具备的管理员权限以及所涉及的数据源。您可以对所有用户执行搜索,不受其所使用的 Google Workspace 版本影响。
审核和调查工具
如需搜索日志事件,请先选择数据源,然后选择一个或多个搜索过滤条件。
-
在 Google 管理控制台中,依次点击“菜单”图标
报告
审核和调查
Gmail 日志事件。需要拥有审核与调查管理员权限。
-
如要过滤在特定日期之前或之后发生的事件,请针对日期选择之前或之后。默认情况下,系统会显示过去 7 天内的事件。您可以选择其他日期范围,也可以点击
移除日期过滤条件。 -
点击添加过滤条件
选择一个属性。例如,如需按特定事件类型进行过滤,请选择事件。
-
选择一个运算符
选择一个值
点击应用。
- (可选)如需创建多个过滤条件来执行搜索,请重复此步骤。
- (可选)如需添加搜索运算符,请在添加过滤条件上方选择 AND 或 OR。
- 点击搜索。 注意:您可以使用过滤条件标签页来添加简单的参数和值对,以便过滤搜索结果。您还可以使用条件构建器标签页,其中的过滤条件会以带有“AND”/“OR”运算符的条件呈现。
安全调查工具
如要在安全调查工具中执行搜索,请先选择数据源。然后选择一个或多个搜索条件。请为每个条件分别选择属性、运算符和值。
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性
安全中心
调查工具。需要拥有“安全中心”管理员权限。
- 点击数据源,然后选择 Gmail 日志事件。
-
如要过滤在特定日期之前或之后发生的事件,请针对日期选择之前或之后。默认情况下,系统会显示过去 7 天内的事件。您可以选择其他日期范围,也可以点击
移除日期过滤条件。 -
点击添加条件。
提示:您可以添加一种或多种搜索条件,或使用嵌套查询自定义搜索。如需了解详情,请参阅使用嵌套查询自定义搜索。 -
点击属性
选择一个选项。例如,如需按特定事件类型进行过滤,请选择事件。
如需查看完整的属性列表,请参阅属性说明部分。 - 选择一个运算符。
- 输入一个值或从列表中选择一个值。
- (可选)如需添加更多搜索条件,请重复上述步骤。
-
点击搜索。
您可以在页面底部的表格中查看调查工具的搜索结果。 -
(可选)如需保存调查,请执行以下操作:点击“保存”图标
输入标题和说明
点击保存。
备注
- 在条件构建器标签页中,过滤条件会以带有“AND”/“OR”运算符的条件呈现。您还可以使用过滤器标签页,通过添加简单的参数和值对来过滤搜索结果。
- 如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com相关的事件。
- 您只能搜索尚未从“已删除邮件”中删除的邮件中的数据。
属性说明
对于此数据源,您可以在搜索日志事件数据时使用以下属性。
| 属性 | 说明 |
|---|---|
|
执行者应用名称 您需要将此列添加到搜索结果中。如需了解相关步骤,请参阅管理搜索结果列数据。 |
执行操作所用应用的详细信息。如需查看以下信息,请点击搜索结果中的名称:
如果您将信息导出到逗号分隔值 (CSV) 文件或 Google 表格,该信息将作为单个文本块保存在单元格中。 |
| 附件扩展程序 | Chrome 浏览器的 ID |
| 附件哈希 | 附件的 SHA256 哈希值 |
| 附件恶意软件系列 | 恶意软件类别(如果在处理邮件时检测到恶意软件),例如“可能有害的内容、已知的恶意程序”或“病毒/蠕虫” |
| 附件名称 | 附件的名称 |
| 客户端类型 | Gmail 客户端类型,例如 Web、Android、iOS 或 POP3。 |
| 日期 | 事件发生的日期和时间(以您浏览器的默认时区显示) |
| 委托 | 代表所有者执行操作的受托人用户的电子邮件地址 |
| 设备会话标识符 | 为邮件客户端用户会话生成的唯一 ID |
| DKIM 域名 | 通过 DKIM(域名密钥标识邮件)机制进行身份验证的域名 |
| 网域 | 发生操作的网域 |
| 事件 | 所记录的事件操作,例如“附件下载”“链接点击”“发送”或“查看”。 |
| 发件人(信封) | 发件人的信包地址 |
| 发件人(标头地址) | 邮件标头中显示的发件人标头地址,例如“user@example.com”user@example.com |
| 发件人(标头名称) | 邮件标头中显示的发件人标头显示名称 |
| 地理位置 | 根据中继 IP 确定的 ISO 国家/地区代码 |
| 包含附件 | 电子邮件包含附件 |
| 拥有委托人 | 是否有代表所有者执行操作的受托人用户 |
| IP 地址 | 最初发送邮件或与邮件交互的邮件客户端的 IP 地址 |
|
IP ASN 您需要将此列添加到搜索结果中。如需了解相关步骤,请参阅管理搜索结果列数据。 |
与日志条目关联的 IP 自治系统编号 (ASN)、细分和区域。 如需查看发生活动的 IP ASN、细分和区域代码,请点击搜索结果中的名称。 |
| 链接网域 | 从邮件正文中的链接网址中提取出来的域名 |
| 消息 ID | 邮件标头中显示的唯一邮件 ID |
| OAuth 项目 ID | 使用 OAuth 进行身份验证的开发者的 Cloud 控制台项目 ID |
| Owner | 电子邮件的所有者。对于入站邮件,它是收件人。对于出站邮件,它是发件人。 |
| 资源 |
与操作关联的资源列表。点击资源可查看以下详细信息:
如果您将信息导出到逗号分隔值 (CSV) 文件或 Google 表格,该信息将作为单个文本块保存在单元格中。 |
| 发件人网域 | 发件人的网域 |
| 垃圾邮件分类 | 电子邮件被归类为垃圾邮件的类型,例如“垃圾邮件”“恶意软件”“钓鱼邮件”“可疑邮件”或“安全邮件(非垃圾邮件)” |
| 垃圾邮件分类原因 | 邮件被归类为垃圾邮件的原因,例如明显的垃圾邮件、自定义规则、发件人声誉或可疑附件 |
| SPF 网域 | 用于进行发件人政策框架 (SPF) 身份验证的域名 |
| 主题 | 电子邮件主题行 |
| 目标附件哈希 | 如果用户与邮件的附件互动,则为有关 SHA256 附件哈希的信息 |
| 目标附件恶意软件系列 | 如果用户与邮件的附件互动,则为有关附件恶意软件系列的信息 - 例如“内容可能有害、已知的恶意程序”或“病毒/蠕虫” |
| 目标附件名称 | 如果用户与邮件的附件互动,则为有关附件名称的信息 |
| 目标云端硬盘 ID | 如果用户与邮件的云端硬盘内容互动,则为有关云端硬盘 ID 的信息 |
| 目标链接网址 | 如果用户与邮件的链接互动,则为有关链接网址的信息 |
| 收件人(信封) | 收件人的信包地址 |
| 流量来源 | 表明电子邮件是在内部(在您的网域内)还是在外部发送/接收 |
根据搜索结果执行操作
在安全调查工具中执行搜索后,您可以根据搜索结果采取行动。举例来说,您可以搜索 Gmail 日志事件,然后使用该工具删除特定邮件,或者将邮件发送至隔离区或用户的收件箱。如需详细了解可在安全调查工具中执行的操作,请参阅根据搜索结果执行操作。
管理调查
查看您的调查列表
如需查看您自己的调查列表以及其他人与您共享的调查列表,请点击“查看调查”图标 
。调查列表中包含调查的名称、说明和负责人,以及最后修改日期。
在此列表中,您可以对所拥有的任意调查执行操作(例如删除调查)。只需选中相应调查的复选框,然后点击操作。
注意:在调查列表正上方的快速访问部分,您可以查看最近保存的调查。
为调查配置设置
作为超级用户,您可以点击“设置”图标
,以便执行以下操作:
- 更改调查的时区,而搜索条件和结果会采用您设置的时区。
- 开启或关闭需要审核者。有关详情,请参阅需要审核者批准进行批量操作。
- 开启或关闭查看内容。开启后,拥有适当权限的管理员可以查看内容。
- 开启或关闭需要输入执行操作的原因。
有关说明和详细信息,请参阅为调查配置设置。
管理搜索结果中的列
您可以控制在搜索结果中显示哪些数据列。
- 在搜索结果表格的右上角,点击“管理列”图标
。 - (可选)如要移除当前列,请点击“移除内容”图标
。
- (可选)如要添加列,请点击“新增列”旁边的向下箭头
,然后选择相应数据列。
根据需要重复上述步骤。 - (可选)如要更改列的顺序,请拖动列名称。
- 点击保存。
导出搜索结果中的数据
您可以将安全调查工具中的搜索结果导出为 Google 表格文件或 CSV 文件。如需查看相关说明,请参阅导出搜索结果。
共享、删除和复制调查
如要保存搜索条件或与他人共享搜索条件,您可以创建并保存调查,然后共享、复制或删除调查。
有关详情,请参阅保存、共享、删除和复制调查。
何时可以查看数据?数据会保留多久?
如需详细了解数据源,请参阅数据保留时间和延迟时间。