规则日志事件

查看用户尝试共享敏感数据的行为

您可能可以使用具有更多高级功能的安全调查工具,具体取决于您的 Google Workspace 版本。例如,超级用户可以识别安全和隐私问题、适当分类并采取应对措施。了解详情

作为组织的管理员,您可以搜索规则日志事件,并根据搜索结果对这些事件采取措施。例如,您可以查看操作记录来了解用户尝试共享敏感数据的行为。您还可以查看违反数据泄露防护 (DLP) 规则的事件。系统通常会在用户操作后 1 小时内显示相关条目。

规则日志事件还会列出 Chrome 企业进阶版的威胁防范和数据保护功能所保护的数据类型。

能否执行搜索取决于您所使用的 Google 版本、所具备的管理员权限以及所涉及的数据源。您可以对所有用户执行搜索,不受其所使用的 Google Workspace 版本影响。

审核和调查工具

如需搜索日志事件,请先选择数据源,然后选择一个或多个搜索过滤条件。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 报告 然后审核和调查 然后规则日志事件

    需要拥有审核与调查管理员权限。

  2. 如要过滤在特定日期之前或之后发生的事件,请针对日期选择之前之后。默认情况下,系统会显示过去 7 天内的事件。您可以选择其他日期范围,也可以点击 移除日期过滤条件。

  3. 点击添加过滤条件 然后选择一个属性。例如,如需按特定事件类型进行过滤,请选择事件
  4. 选择一个运算符 然后选择一个值 然后点击应用
    • (可选)如需创建多个过滤条件来执行搜索,请重复此步骤。
    • (可选)如需添加搜索运算符,请在添加过滤条件上方选择 ANDOR
  5. 点击搜索注意您可以使用过滤条件标签页来添加简单的参数和值对,以便过滤搜索结果。您还可以使用条件构建器标签页,其中的过滤条件会以带有“AND”/“OR”运算符的条件呈现。

安全调查工具

支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 比较您的版本

如要在安全调查工具中执行搜索,请先选择数据源。然后选择一个或多个搜索条件。请为每个条件分别选择属性、运算符和值

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后安全中心 然后调查工具

    需要拥有“安全中心”管理员权限。

  2. 点击数据源,然后选择规则日志事件

  3. 如要过滤在特定日期之前或之后发生的事件,请针对日期选择之前之后。默认情况下,系统会显示过去 7 天内的事件。您可以选择其他日期范围,也可以点击 移除日期过滤条件。

  4. 点击添加条件
    提示:您可以添加一种或多种搜索条件,或使用嵌套查询自定义搜索。如需了解详情,请参阅使用嵌套查询自定义搜索
  5. 点击属性 然后选择一个选项。例如,如需按特定事件类型进行过滤,请选择事件
    如需查看完整的属性列表,请参阅属性说明部分。
  6. 选择所需运算符。
  7. 输入一个值或从列表中选择一个值。
  8. (可选)如需添加更多搜索条件,请重复上述步骤。
  9. 点击搜索
    您可以在页面底部的表格中查看调查工具的搜索结果。
  10. (可选)如需保存调查,请点击“保存”图标 然后 输入标题和说明 然后 点击保存

备注

  • 条件构建器标签页中,过滤条件会以带有“AND”/“OR”运算符的条件呈现。您还可以使用过滤器标签页,通过添加简单的参数和值对来过滤搜索结果。
  • 如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com相关的事件。
  • 您只能搜索尚未从“已删除邮件”中删除的邮件中的数据。

属性说明

对于此数据源,您可以在搜索日志事件数据时使用以下属性。

属性 说明
访问权限级别 选择作为此规则的情境感知访问权限条件的访问权限级别。如需了解详情,请参阅创建情境感知访问权限级别
Actor

执行操作的用户的电子邮件地址。如果事件是由于重新扫描而触发的,则该值可能为匿名用户

注意:如果操作是由系统触发而非用户触发,该值可能为空。
执行者群组名称

执行者所属群组的名称。如需了解详情,请参阅按 Google 群组过滤结果

如需将群组添加到过滤群组许可名单,请执行以下操作:

  1. 选择执行者群组名称
  2. 点击过滤群组
    此时,系统会显示“过滤群组”页面。
  3. 点击添加群组
  4. 输入群组名称或电子邮件地址的前几个字符以搜索群组。当您看到所需群组时,请将其选中。
  5. (可选)如果您还想添加其他群组,请搜索并选择相应群组。
  6. 选择好群组后,点击添加
  7. (可选)如需移除群组,请点击“移除群组”图标
  8. 点击保存
执行者组织部门 执行者所属的组织部门
已屏蔽的收件人 被所触发的规则屏蔽的收件人
条件操作 在用户访问时可能触发的操作的列表,具体取决于为规则配置的情境条件
会议 ID 此规则触发器触发的会议的会议 ID
容器 ID 资源所属的父级容器的 ID
容器类型 资源所属的父级容器的类型,例如 Chat 聊天室群聊(对于聊天消息或聊天附件)
数据源 提供资源的应用
日期 事件发生的日期和时间
检测器 ID 匹配的检测器的标识符
检测器名称 管理员指定的匹配的检测器的名称
设备 ID 触发了操作的设备的 ID。此数据类型适用于 Chrome 企业进阶版威胁和数据保护。
设备类型 设备 ID 引用的设备类型。此数据类型适用于 Chrome 企业进阶版威胁和数据保护。
事件

记录的事件操作。

云端硬盘

系统会为云端硬盘记录以下 DLP 规则事件:

  • 操作已完成,内容匹配&ast;:DLP 规则标记了云端硬盘文档内容中的内容
  • 操作已完成,内容不匹配&ast;:云端硬盘文档已取消标记,因为最初触发 DLP 规则的内容已不存在
  • 访问已被屏蔽:DLP 规则阻止了对云端硬盘文件的下载或复制尝试

云端硬盘备注:

  • 当云端硬盘标签发生变化时,该值为已应用标签已更改字段值已移除标签
  • 如果信任规则禁止共享云端硬盘文件,则值为禁止了共享
  • 如果信任规则禁止访问云端硬盘文件(查看、下载或复制),则值为访问已被屏蔽

Gmail

系统会为 Gmail 记录以下 DLP 规则事件:

  • 操作已完成,邮件发送已审核&ast;:有 DLP 规则在 Gmail 邮件发送期间对其进行了审核
  • 操作已完成,邮件发送被阻止&ast;:某个 DLP 规则阻止了 Gmail 邮件的发送
  • 操作已完成,发送的邮件已被隔离&ast;:某个 DLP 规则将 Gmail 邮件移至隔离区以供审核。消息未发送。
  • 操作已完成,发送邮件时收到警告&ast;:DLP 规则向用户发出警告,禁止其发送 Gmail 邮件

&ast; 这些事件名称中的“操作已完成”部分将被废弃

日历(Beta 版)

系统会为 Google 日历记录以下数据泄露防护 (DLP) 规则事件:

  • 日历活动已在保存期间接受审核:此日历活动在保存期间已接受审核。
  • 保存日历活动时出现警告:用户收到一条不要保存日历活动的警告。
  • 日历活动已被阻止,无法保存:日历活动已被阻止,无法保存。
包含敏感内容 对于检测到并记录了敏感内容的触发的 DLP 规则,该值为 True
收件人&ast; 收到共享资源的用户
忽略的收件人数&ast; 因超出限制而忽略的资源收件人数量
资源 ID 所修改的对象。对于数据泄露防护规则:
  • 对于与 Google 云端硬盘相关的条目,请点击资源 ID 以查看已修改的云端硬盘文档。
  • 对于与 Google Chat 相关的条目,请点击资源 ID 以查看 Chat 对话的详细信息。请注意,部分 Chat 数据可能会过期,因此并非所有详细信息都始终可用。
资源所有者 系统已扫描并应用了操作的资源的所有者
资源标题 所修改的资源的标题。对于 DLP,此为文档标题。
资源类型 对于云端硬盘 DLP,资源为“文档”。对于 Chat DLP,资源为聊天消息聊天附件。对于 Google 日历数据泄露防护,资源为“日历活动”
规则 ID 触发的规则的 ID
规则名称 管理员在创建规则时指定的规则名称
规则类型 对于 DLP 规则,该值为“DLP”DLP
扫描类型

有效值包括:

  • 云端硬盘持续扫描(规则发生变化时)
  • 在线扫描(文档发生变化时)
  • 发送前的聊天扫描内容(发送聊天消息时)
  • 在保存日历活动前扫描内容(在创建或更新活动之前)
  • 在保存日历活动期间扫描内容(创建或修改活动时)
严重程度 为触发的规则分配的严重程度
抑制的操作&ast; 被禁止执行的针对规则所配置的操作。如果在触发某操作的同时,还触发了另一个优先级更高的操作,则前者会被禁止执行。
触发器 触发规则的活动
触发的操作 列出所执行的操作。如果触发的是仅记入审核日志的规则,则此值为空。
触发器客户端 IP 触发操作的执行者的 IP 地址
触发规则的用户的电子邮件地址&ast; 触发操作的执行者的电子邮件地址
用户操作 用户尝试执行操作,但被规则屏蔽了
&ast; 您无法使用这些过滤条件创建报告规则。详细了解报告规则与活动规则

注意:如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com相关的事件。

管理日志事件数据

管理搜索结果列数据

您可以控制在搜索结果中显示哪些数据列。

  1. 在搜索结果表格的右上角,点击“管理列”图标
  2. (可选)如要移除当前列,请点击“移除”图标
  3. (可选)如要添加列,请点击新增列旁边的向下箭头 ,然后选择相应数据列。
    根据需要重复上述步骤。
  4. (可选)如要更改列的顺序,请拖动数据列名称。
  5. 点击保存

导出搜索结果数据

您可以将搜索结果导出为 Google 表格文件或 CSV 文件。

  1. 点击搜索结果表格顶部的全部导出
  2. 输入名称 然后 点击导出
    导出内容会显示在搜索结果表格的导出操作结果下方。
  3. 如要查看数据,请点击导出结果的名称。
    导出结果会在 Google 表格中打开。

导出限制因情况而异:

  • 导出结果总数上限为 10 万行。
  • 支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 版本对比

    如果您拥有安全调查工具,则导出结果总数上限为 3, 000 万行。

如需了解详情,请参阅导出搜索结果

何时可以查看数据?数据会保留多久?

根据搜索结果执行操作

创建活动规则和设置提醒

  • 您可以使用报告规则设置基于日志事件数据的提醒。如需了解相关说明,请参阅创建和管理报告规则
  • 支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 比较您的版本

    为了高效地防范、检测和解决安全问题,您可以通过创建活动规则,在安全调查工具中自动执行操作和设置提醒。设置规则时,请先设置规则的条件,然后指定在条件满足时要执行的操作。如需了解详情,请参阅创建和管理活动规则

根据搜索结果执行操作

支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 版本对比

在安全调查工具中执行搜索后,您可以根据搜索结果采取行动。举例来说,您可以搜索 Gmail 日志事件,然后使用该工具删除特定邮件,或者将邮件发送至隔离区或用户的收件箱。如需了解详情,请参阅根据搜索结果执行操作

管理调查

支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 版本对比

查看您的调查列表

如需查看您自己的调查列表以及其他人与您共享的调查列表,请点击“查看调查”图标 。调查列表中包含调查的名称、说明和负责人,以及最后修改日期。

在此列表中,您可以对所拥有的任意调查执行操作(例如删除调查)。只需选中相应调查的复选框,然后点击操作

注意:您可以在调查列表正上方的快速访问下,查看已保存的调查。

为调查配置设置

作为超级用户,您可以点击“设置”图标 ,以便执行以下操作:

  • 更改调查的时区,而搜索条件和结果会采用您设置的时区。
  • 开启或关闭需要审核者。有关详情,请参阅需要审核者批准进行批量操作
  • 开启或关闭查看内容。开启后,拥有适当权限的管理员可以查看内容。
  • 开启或关闭需要输入执行操作的原因

如需了解详情,请参阅为调查配置设置

保存、共享、删除和复制调查

如要保存搜索条件或与他人共享搜索条件,您可以创建并保存调查,然后共享、复制或删除调查。

有关详情,请参阅保存、共享、删除和复制调查

使用规则日志事件调查 Chat 消息

支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 对比版本

作为管理员,您可以为 Chat 创建数据保护规则,以便监控和防止敏感内容泄露。然后,您可以使用安全调查工具监控组织中的 Chat 活动,包括从网域外部发送的消息和文件。有关详情,请参阅调查 Chat 消息以保护组织数据

使用规则日志事件调查违反 DLP 规则的行为

支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。 对比版本

作为管理员,您可以使用数据泄露防护 (DLP) 片段来调查违反 DLP 规则的行为是真实的突发事件还是误报。有关详情,请参阅查看触发数据泄露防护规则的内容