政策遵循記錄事件

您需要加購 Google Workspace 安全控管或安全控管 Plus,才能存取政策遵循記錄事件。詳情請洽詢您的業務代表。

組織管理員可針對與政策遵循相關的安全問題執行搜尋並採取行動。舉例來說,您可以查看政策遵循記錄事件的資料來源,瞭解使用者是否在特定日期將資料儲存在美國或歐洲、是否也將資料處理區域化,以及是否已開啟/關閉任何進階資料地區設定

能否執行搜尋取決於您的 Google 版本、管理員權限和資料來源。您可以對所有使用者進行搜尋,不論對方使用的 Google Workspace 版本為何,都是如此。

稽核與調查工具

如要搜尋記錄事件,請先選擇資料來源,然後選擇一或多個搜尋篩選器。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「報告」接下來「稽核與調查」接下來「政策遵循記錄事件」

    必須具備稽核與調查管理員權限。

  2. 按一下「新增篩選器」 接下來選取屬性。舉例來說,如要依特定事件類型篩選,請選取「事件」
  3. 選取運算子 接下來選取值 接下來按一下「套用」
    • (選用) 如要建立多個搜尋篩選器,請重複執行這個步驟。
    • (選用) 如要新增搜尋運算子,請選取「新增篩選器」上方的「AND」或「OR」
  4. 按一下「搜尋」
    注意您可以在「篩選器」分頁中加入簡單的參數和值組來篩選搜尋結果。您也可以使用「條件建構工具」分頁,讓篩選器以 AND/OR 運算子表示條件。

安全調查工具

如要使用安全調查工具執行搜尋,請先選擇「資料來源」,然後選擇一或多個搜尋篩選「條件」。再針對每個條件分別選擇「屬性」、「運算子」和「值」

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「安全性」接下來「安全中心」接下來「調查工具」

    必須具備安全中心管理員權限。

  2. 按一下「資料來源」,然後選取「政策遵循記錄事件」
  3. 按一下 [Add Condition]
    提示:您可以加入一或多個搜尋條件,或是使用「巢狀查詢」自訂搜尋方式。詳情請參閱「使用巢狀查詢自訂搜尋方式」。
  4. 按一下「屬性」 接下來選取所需選項。舉例來說,如要依特定事件類型篩選,請選取「事件」
    如需完整的屬性清單,請參閱「屬性說明」一節。
  5. 選取運算子。
  6. 輸入值或從清單中選取值。
  7. (選用) 如要新增更多搜尋條件,請重複以上步驟。
  8. 按一下「搜尋」
    您可以在頁面底部的表格中,查看調查工具的搜尋結果。
  9. (選用) 如要儲存調查,請按一下「儲存」 接下來輸入標題和說明 接下來按一下「儲存」

附註

  • 在「條件建構工具」分頁中,篩選器會以 AND/OR 運算子表示條件。您也可以使用「篩選器」分頁加入簡單的參數和值組合,篩選搜尋結果。
  • 如果為使用者設定新名稱,查詢結果中不會包含與舊名稱相關的事件。舉例來說,如果您將 <舊名稱>@example.com 重新命名為 <新名稱>@example.com,就不會看見與 <舊名稱>@example.com 相關的事件結果。
  • 您只能搜尋尚未從垃圾桶刪除的郵件資料。

屬性說明

搜尋此資料來源的記錄事件資料時,您可以利用下列屬性設定搜尋條件:

屬性 說明
資源名稱 使用者名稱
資源 ID 使用者的電子郵件地址
「Resource type」 執行者的機構單位
應用程式 ID 此項目所指的實體類型,例如「使用者」
活動

指定此記錄是指套用區域政策,還是非區域化程序的進階設定。

  • 套用的區域政策
  • 套用的非區域化程序政策
資料地區政策類型 指派給使用者的區域,以及該區域是適用於資料儲存,還是同時適用於資料儲存和處理,例如「資料地區:地區」
資料地區政策 指派給使用者的區域,以及該區域是適用於資料儲存,還是同時適用於資料儲存和處理。如果使用者沒有安全控管或安全控管 Plus 授權,系統會顯示「需要安全控管」。否則,這項屬性可以是:
  • 美國 (僅限儲存)
  • 美國 (儲存與處理)
  • 歐洲 (僅限儲存)
  • 歐洲 (儲存與處理)
  • 無偏好設定

IP ASN

您需要在搜尋結果加入這個資料欄,相關步驟請參閱「管理搜尋結果資料欄」。

與記錄項目相關聯的 IP 自治系統編號 (ASN)、行政分區和區域。

如要查看活動發生的 IP ASN、行政分區和區域代碼,請在搜尋結果中點選名稱。
非區域化程序政策類型

指定此記錄所指的進階設定。如果使用者沒有安全控管或安全控管 Plus 授權,系統會顯示「需要安全控管」。否則,這項屬性可以是:

  • 資料地區:Google Chat 與傳統版 Hangouts 的非區域化程序
  • 資料地區:Google Meet 的非區域化程序
  • 資料地區:Google 雲端硬碟與文件的非區域化程序
  • 資料地區:Google 日曆的非區域化程序
  • 資料地區:Gmail 的非區域化程序
非區域化程序政策

與政策類型相關聯的值。可以是下列任一項:

  • 已啟用
  • 已停用
資料地區版本 使用者擁有的資料地區版本。可能為下列任一項:
  • 基本
  • 教育
  • Enterprise
  • 安全控管
如要進一步比較資料地區功能,請參閱這篇文章

依據搜尋結果採取行動

使用安全調查工具執行搜尋後,您可以對搜尋結果採取行動,例如根據政策遵循記錄事件執行搜尋,並在發現問題時變更資料地區政策。如要進一步瞭解可透過安全調查工具採取的行動,請參閱「依據搜尋結果採取行動」。

管理調查項目

查看調查清單

如要查看調查清單,一覽您本身擁有及接受他人共用的調查項目,請按一下「查看調查」圖示 。這份清單會列出調查項目的名稱、說明、擁有者和上次修改日期。

您可以在這份清單中對自己擁有的調查項目執行動作 (例如刪除調查項目),方法是勾選調查項目旁的方塊,然後按一下「動作」

注意:您可以在「快速存取」下方 (調查清單正上方) 查看已儲存的調查項目。

配置調查設定

超級管理員可以點選「設定」圖示 ,執行下列操作:

  • 變更調查項目的時區。搜尋條件和結果會套用這項時區設定。
  • 開啟或關閉「需要審查者」。詳情請參閱「要求為大量動作指派審查者」。
  • 開啟或關閉「查看內容」。這項設定可讓具備適當權限的管理員查看內容。
  • 開啟或關閉「請啟用動作執行原因」設定。

詳情請參閱「進行調查設定」。

共用、刪除及複製調查項目

如要儲存搜尋條件或與他人共用,您可以選擇建立並儲存調查項目,接著即可共用、複製或刪除這個調查項目。

詳情請參閱「儲存、共用、刪除及複製調查項目」。