Gmail 記錄事件

組織管理員可以執行與 Gmail 記錄事件相關的搜尋,並根據搜尋結果採取行動。您可以查看動作,瞭解貴機構使用者和管理員在 Gmail 中的活動,例如將電子郵件歸類為垃圾郵件、從隔離區移出或傳送至管理員隔離區的時間點。接著還能透過安全調查工具採取行動,例如刪除特定郵件、將郵件標示為垃圾郵件或網路釣魚郵件、將郵件傳送至隔離區,或將郵件傳送至使用者的收件匣。

關於查看 Gmail 郵件內容

如果您具備調查工具的相應權限,並使用支援的 Google Workspace 版本,就能在調查時查看 Gmail 郵件內容。詳情請參閱「使用調查工具查看機密內容」。

能否執行搜尋取決於您的 Google 版本、管理員權限和資料來源。您可以對所有使用者進行搜尋,不論對方使用的 Google Workspace 版本為何,都是如此。

稽核與調查工具

如要搜尋記錄事件,請先選擇資料來源,然後選擇一或多個搜尋篩選器。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「報告」接下來「稽核與調查」接下來「Gmail 記錄事件」

    必須具備稽核與調查管理員權限。

  2. 如要篩選特定日期之前或之後發生的事件,請選取「日期」的「之前」或「之後」。系統預設會顯示過去 7 天的事件。您可以選取其他日期範圍,或按一下 移除日期篩選器。

  3. 按一下「新增篩選器」 接下來選取屬性。舉例來說,如要依特定事件類型篩選,請選取「事件」
  4. 選取運算子 接下來選取值 接下來按一下「套用」
    • (選用) 如要建立多個搜尋篩選器,請重複執行這個步驟。
    • (選用) 如要新增搜尋運算子,請選取「新增篩選器」上方的「AND」或「OR」
  5. 按一下「搜尋」注意您可以在「篩選器」分頁中加入簡單的參數和值組來篩選搜尋結果。您也可以使用「條件建構工具」分頁,讓篩選器以 AND/OR 運算子表示條件。

安全調查工具

支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較

如要使用安全調查工具執行搜尋,請先選擇「資料來源」,然後選擇一或多個搜尋篩選「條件」。再針對每個條件分別選擇「屬性」、「運算子」和「值」

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「安全性」接下來「安全中心」接下來「調查工具」

    必須具備安全中心管理員權限。

  2. 按一下「資料來源」,然後選取「Gmail 記錄事件」

  3. 如要篩選特定日期之前或之後發生的事件,請選取「日期」的「之前」或「之後」。系統預設會顯示過去 7 天的事件。您可以選取其他日期範圍,或按一下 移除日期篩選器。

  4. 按一下 [Add Condition]
    提示:您可以加入一或多個搜尋條件,或是使用「巢狀查詢」自訂搜尋方式。詳情請參閱「使用巢狀查詢自訂搜尋方式」。
  5. 按一下「屬性」 接下來選取所需選項。舉例來說,如要依特定事件類型篩選,請選取「事件」
    如需完整的屬性清單,請參閱「屬性說明」一節。
  6. 選取運算子。
  7. 輸入值或從清單中選取值。
  8. (選用) 如要新增更多搜尋條件,請重複以上步驟。
  9. 按一下「搜尋」
    您可以在頁面底部的表格中,查看調查工具的搜尋結果。
  10. (選用) 如要儲存調查,請按一下「儲存」 接下來輸入標題和說明 接下來按一下「儲存」

附註

  • 在「條件建構工具」分頁中,篩選器會以 AND/OR 運算子表示條件。您也可以使用「篩選器」分頁加入簡單的參數和值組合,篩選搜尋結果。
  • 如果為使用者設定新名稱,查詢結果中不會包含與舊名稱相關的事件。舉例來說,如果您將 <舊名稱>@example.com 重新命名為 <新名稱>@example.com,就不會看見與 <舊名稱>@example.com 相關的事件結果。
  • 您只能搜尋尚未從垃圾桶刪除的郵件資料。

屬性說明

搜尋此資料來源的記錄事件資料時,您可以利用下列屬性設定搜尋條件:

屬性 說明

執行者應用程式名稱

您需要在搜尋結果加入這個資料欄,相關步驟請參閱「管理搜尋結果資料欄」。

執行動作所用應用程式的詳細資料。如要查看下列資訊,請在搜尋結果中點選應用程式名稱:

  • 執行者應用程式名稱:執行動作所用應用程式的名稱 (第三方應用程式和某些第一方應用程式 (例如 Gmail) 會顯示此資料)
  • 執行者 OAuth 用戶端 ID:執行動作所用第三方應用程式的 ID
  • 冒用他人身分:應用程式是否假冒使用者身分

如果將資訊匯出為逗號分隔值 (CSV) 檔案或 Google 試算表,資料會以單一文字區塊的形式儲存在同一個儲存格中。
附件額外資訊 Chrome 瀏覽器的 ID
附件雜湊 附件的 SHA256 雜湊
附件惡意軟體系列 如果系統在處理郵件時偵測到惡意軟體類別,例如「內容可能有害、已知的惡意程式」或「病毒/蠕蟲」
附件名稱 附件名稱
用戶端類型 Gmail 用戶端類型,例如網頁版、Android 版、iOS 版或 POP3。
日期 事件發生的日期和時間 (以瀏覽器的預設時區為準)
委派 代表擁有者執行動作的委派使用者的電子郵件地址
裝置工作階段 ID 為郵件用戶端使用者工作階段產生的專屬 ID
DKIM 網域 使用 DKIM (網域金鑰認證郵件) 機制驗證的網域
網域 動作發生的網域
活動 記錄的事件動作,例如「下載附件」、「點選連結」、「傳送」或「查看」
寄件者 (信封) 寄件者的信封地址
寄件者 (標頭地址) 顯示在郵件標頭的寄件者標頭地址,例如 user@example.comuser@example.com
寄件者 (標頭名稱) 顯示在郵件標頭的寄件者標頭顯示名稱
地理位置 系統根據轉發 IP 顯示的 ISO 國家/地區代碼
有附件 電子郵件含有附件
擁有委派代表 是否有代表擁有者執行動作的委派使用者
IP 位址 啟動或與郵件互動的郵件用戶端 IP 位址

IP ASN

您需要在搜尋結果加入這個資料欄,相關步驟請參閱「管理搜尋結果資料欄」。

與記錄項目相關聯的 IP 自治系統編號 (ASN)、行政分區和區域。

如要查看活動發生的 IP ASN、行政分區和區域代碼,請在搜尋結果中點選名稱。
連結網域 從郵件內文中的連結網址所擷取的網域
郵件 ID 郵件標頭中的專屬郵件 ID
OAuth 專案 ID 透過 OAuth 進行驗證的開發人員 Cloud 控制台專案 ID
擁有者 電子郵件的擁有者。如果是內送郵件,則為收件者。如果是外寄郵件,則為寄件者。
資源

與動作相關的資源清單。按一下資源即可查看下列詳細資料:

  • 資源 ID:資源的 ID
  • 資源標題:資源的標題
  • 資源類型:Google 雲端硬碟項目、電子郵件、快訊、規則等
  • 資源關係:資源與事件的關係

  • 資源標籤:資源的分類標籤清單,包括資源標籤 ID資源標籤名稱資源標籤欄位

    資源標籤欄位包含:

    • 標籤欄位 ID
    • 標籤欄位名稱
    • 標籤欄位類型 - 標籤欄位的資料類型,例如:
      • Text
      • Number
      • 選項 - 包含:ID、顯示名稱、是否加上標記
      • 選項清單
      • 使用者 - 包含:電子郵件地址
      • 使用者清單
      • 日期

如果將資訊匯出為逗號分隔值 (CSV) 檔案或 Google 試算表,資料會以單一文字區塊的形式儲存在同一個儲存格中。
寄件者網域 寄件者網域
垃圾郵件分類 電子郵件的垃圾郵件分類,例如垃圾郵件、惡意軟體、網路釣魚、可疑或安全郵件 (非垃圾郵件)
垃圾郵件分類原因 郵件遭歸類為垃圾郵件的原因,例如明確垃圾郵件、自訂規則、寄件者信譽或可疑附件
SPF 網域 用於寄件者政策架構 (SPF) 驗證的網域名稱
主旨 電子郵件主旨行
目標附件雜湊 使用者與郵件附件互動時,SHA256 附件雜湊的相關資訊
目標附件惡意軟體系列 使用者與郵件附件互動時,有關附件惡意軟體系列的資訊,例如「內容可能有害」、「已知的惡意程式」或「病毒/蠕蟲」
目標附件名稱 如果使用者曾與郵件的附件互動,此屬性為該附件名稱的相關資訊
目標雲端硬碟 ID 使用者與郵件的雲端硬碟項目互動時,雲端硬碟 ID 的相關資訊
目標連結網址 使用者與郵件的連結互動時,連結網址的相關資訊
收件者 (信封) 收件者的信封地址
流量來源 指出電子郵件是由內部 (貴機構網域內) 或外部的使用者傳送/接收

依據搜尋結果採取行動

使用安全調查工具執行搜尋後,您可以對搜尋結果採取行動,舉例來說,您可以根據 Gmail 記錄事件執行搜尋,然後透過工具刪除特定郵件、將郵件傳送至隔離區,或將郵件傳送至使用者的收件匣。如要進一步瞭解可透過安全調查工具採取的行動,請參閱「依據搜尋結果採取行動」。

管理調查項目

查看調查清單

如要查看調查清單,一覽您本身擁有及接受他人共用的調查項目,請按一下「查看調查」圖示 。這份清單會列出調查項目的名稱、說明、擁有者和上次修改日期。

您可以在這份清單中對自己擁有的調查項目執行動作 (例如刪除調查項目),方法是勾選調查項目旁邊的方塊,然後按一下「動作」

注意:在調查清單正上方的「快速存取」底下,您可以查看近期儲存的調查項目。

配置調查設定

超級管理員可以點選「設定」圖示 並執行下列操作:

  • 變更調查項目的時區。搜尋條件和結果會套用這項時區設定。
  • 開啟或關閉「需要審查者」。詳情請參閱「要求為大量動作指派審查者」。
  • 開啟或關閉「查看內容」。這項設定可讓具備適當權限的管理員查看內容。
  • 開啟或關閉「請啟用動作執行原因」設定。

如需操作說明和詳細資訊,請參閱「進行調查設定」。

管理搜尋結果中的資料欄

您可以控制搜尋結果中要顯示哪些資料欄。

  1. 按一下搜尋結果表格右上方的「管理資料欄」圖示
  2. (選用) 如要移除目前的資料欄,請按一下「移除項目」圖示
  3. (選用) 如要新增資料欄,請按一下「新增資料欄」旁邊的向下箭頭 ,然後選取資料欄。
    視需要重複上述步驟。
  4. (選用) 如要變更資料欄的順序,請拖曳資料欄名稱。
  5. 按一下 [儲存]

從搜尋結果匯出資料

您可以將安全性調查工具中的搜尋結果匯出為 Google 試算表或 CSV 檔案。如需操作說明,請參閱「匯出搜尋結果」。

共用、刪除及複製調查項目

如要儲存搜尋條件或與他人共用,您可以選擇建立並儲存調查項目,接著即可共用、複製或刪除這個調查項目。

詳情請參閱「儲存、共用、刪除及複製調查項目」。

資料要處理多久?保留時間有多長?

如要進一步瞭解資料來源,請參閱「資料保留和延遲時間」。