政策合规性日志事件

如需访问政策合规性日志事件,您需要订阅了 Google Workspace 安全管控或安全管控 Plus 版加购项。如需了解详情,请与您的销售代表联系。

作为组织的管理员,您可以进行与政策合规性有关的搜索,并针对相关的安全问题采取措施。例如,您可以使用“政策合规性日志事件”数据源来了解用户在特定日期的数据是存储在美国还是欧洲、其数据处理是否也进行了区域化,以及是否启用或停用了任何高级数据区域设置

能否执行搜索取决于您所使用的 Google 版本、所具备的管理员权限以及所涉及的数据源。您可以对所有用户执行搜索,不受其所使用的 Google Workspace 版本影响。

审核和调查工具

如需搜索日志事件,请先选择数据源,然后选择一个或多个搜索过滤条件。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 报告 然后审核和调查 然后政策合规性日志事件

    需要拥有审核与调查管理员权限。

  2. 点击添加过滤条件 然后选择一个属性。例如,如需按特定事件类型进行过滤,请选择事件
  3. 选择一个运算符 然后选择一个值 然后点击应用
    • (可选)如需创建多个过滤条件来执行搜索,请重复此步骤。
    • (可选)如需添加搜索运算符,请在添加过滤条件上方选择 ANDOR
  4. 点击搜索
    注意您可以使用过滤条件标签页来添加简单的参数和值对,以便过滤搜索结果。您还可以使用条件构建器标签页,其中的过滤条件会以带有“AND”/“OR”运算符的条件呈现。

安全调查工具

如要在安全调查工具中执行搜索,请先选择数据源。然后选择一个或多个搜索条件。请为每个条件分别选择属性、运算符和值

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后安全中心 然后调查工具

    需要拥有“安全中心”管理员权限。

  2. 点击数据源,然后选择政策合规性日志事件
  3. 点击添加条件
    提示:您可以添加一种或多种搜索条件,或使用嵌套查询自定义搜索。如需了解详情,请参阅使用嵌套查询自定义搜索
  4. 点击属性 然后选择一个选项。例如,如需按特定事件类型进行过滤,请选择事件
    如需查看完整的属性列表,请参阅属性说明部分。
  5. 选择所需运算符。
  6. 输入一个值或从列表中选择一个值。
  7. (可选)如需添加更多搜索条件,请重复上述步骤。
  8. 点击搜索
    您可以在页面底部的表格中查看调查工具的搜索结果。
  9. (可选)如需保存调查,请点击“保存”图标 然后 输入标题和说明 然后 点击保存

备注

  • 条件构建器标签页中,过滤条件会以带有“AND”/“OR”运算符的条件呈现。您还可以使用过滤器标签页,通过添加简单的参数和值对来过滤搜索结果。
  • 如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com相关的事件。
  • 您只能搜索尚未从“已删除邮件”中删除的邮件中的数据。

属性说明

对于此数据源,您可以在搜索日志事件数据时使用以下属性。

属性 说明
资源名称 用户的名称
资源 ID 用户的电子邮件地址
资源类型 执行者所属的组织部门
应用 ID 此记录所指的实体类型,例如“用户”
事件

指定此记录是指应用区域政策,还是指非区域化流程的高级设置。

  • 应用了区域政策
  • 应用了非区域化流程政策
数据区域政策类型 分配给用户的区域,以及该区域是适用于存储还是适用于存储和处理,例如“数据区域:区域”
数据区域政策 分配给用户的区域,以及该区域是适用于存储还是适用于存储和处理。如果用户没有安全管控或安全管控 Plus 版许可,您会看到需要安全管控。否则,此属性可以是:
  • 美国(仅适用于存储)
  • 美国(存储和处理)
  • 欧洲(仅适用于存储)
  • 欧洲(存储和处理)
  • 无偏好设置

IP ASN

您需要将此列添加到搜索结果中。如需了解相关步骤,请参阅管理搜索结果列数据

与日志条目关联的 IP 自治系统编号 (ASN)、细分和区域。

如需查看发生活动的 IP ASN、细分和区域代码,请点击搜索结果中的名称。
非区域化流程政策类型

指定此记录所指的高级设置。如果用户没有安全管控或安全管控 Plus 版许可,您会看到需要安全管控。否则,此属性可以是:

  • 数据区域:Google Chat 和传统版 Hangouts 的非区域化流程
  • 数据区域:Google Meet 的非区域化流程
  • 数据区域:云端硬盘和文档的非区域化流程
  • 数据区域:日历的非区域化流程
  • 数据区域:Gmail 的非区域化流程
非区域化流程政策

与政策类型关联的值。这可以是以下任意一项:

  • 已启用
  • 已停用
数据区域版本 用户拥有的数据区域版本。可以是:
  • 基本
  • 教育
  • 企业
  • 安全管控
如需了解详情,请参阅比较数据区域功能

根据搜索结果执行操作

在安全调查工具中执行搜索后,您可以根据搜索结果采取行动。例如,您可以根据政策合规性日志事件进行搜索,然后在发现问题时更改数据区域政策。如需详细了解可在安全调查工具中执行的操作,请参阅根据搜索结果执行操作

管理调查

查看您的调查列表

如需查看您自己的调查列表以及其他人与您共享的调查列表,请点击“查看调查”图标 。调查列表中包含调查的名称、说明和负责人,以及最后修改日期。

在此列表中,您可以对所拥有的任意调查执行操作(例如删除调查)。只需选中相应调查的复选框,然后点击操作

注意:您可以在调查列表正上方的快速访问下,查看已保存的调查。

为调查配置设置

作为超级用户,您可以点击“设置”图标 ,以便执行以下操作:

  • 更改调查的时区,而搜索条件和结果会采用您设置的时区。
  • 开启或关闭需要审核者。有关详情,请参阅需要审核者批准进行批量操作
  • 开启或关闭查看内容。开启后,拥有适当权限的管理员可以查看内容。
  • 开启或关闭需要输入执行操作的原因

如需了解详情,请参阅为调查配置设置

共享、删除和复制调查

如要保存搜索条件或与他人共享搜索条件,您可以创建并保存调查,然后共享、复制或删除调查。

有关详情,请参阅保存、共享、删除和复制调查