用户日志事件

查看用户登录活动

您或许可以使用具有更多高级功能的安全调查工具,具体取决于您的 Google Workspace 版本。例如,超级用户可以识别安全和隐私问题、对其进行分级处理并采取应对措施。了解详情

作为组织的管理员,您可以搜索用户日志事件并采取相应措施。例如,您可以查看用户在自己的账号中执行的重要操作,包括更改密码、账号恢复详细信息(电话号码、邮箱)和两步验证注册状态。从电子邮件客户端或非浏览器应用进行的登录不会记录在此报告中,除非是来自可疑会话的程序化登录。

日志事件数据按会话收集。这意味着,在短时间内多次尝试执行同一操作的行为可能会被合并,显示为单个日志条目。例如,若用户在连续输错密码 5 次后输入了正确密码,日志可能仅显示两个条目:一个记录所有失败的尝试,另一个记录成功的尝试。

注意:如果系统在过去 6 个月内没有任何用户日志事件数据,那么左侧导航菜单中可能不会显示“用户日志事件”。

将日志事件数据转发到 Google Cloud

您可以选择与 Google Cloud 共享日志事件数据。如果您开启共享功能,数据会转发至 Cloud Logging,您可以利用该服务查询和查看您的日志,并控制转送和存储日志的方式。

您可以与 Google Cloud 共享的日志事件数据类型取决于您的 Google Workspace、Cloud Identity 或基本功能版账号。

能否执行搜索取决于您的 Google 版本、管理员权限和数据源。无论用户使用何种 Google Workspace 版本,您都可以对所有用户执行搜索。

审核和调查工具

如需搜索日志事件,请先选择数据源,然后选择一个或多个搜索过滤条件。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 报告 然后 审核和调查 然后 用户日志事件

    您需要拥有审核和调查管理员权限。

  2. 如要过滤在特定日期之前或之后发生的事件,请针对日期选择之前之后。默认情况下,系统会显示过去 7 天内的事件。您可以选择其他日期范围,也可以点击 移除日期过滤条件。

  3. 点击添加过滤条件 然后 选择一个属性。例如,如需按特定事件类型过滤,请选择事件
  4. 选择一个运算符 然后 选择一个值 然后 点击应用
    • (可选)如需创建多个过滤条件来执行搜索,请重复此步骤。
    • (可选)如需添加搜索运算符,请在添加过滤条件上方选择或者
  5. 点击搜索注意您可以使用过滤条件标签页来添加简单的参数和值对,以便过滤搜索结果。您还可以使用条件构建器标签页,其中的过滤条件由“且”/“或”运算符连接的条件表示。

安全调查工具

支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。比较您的版本

如要在安全调查工具中执行搜索,请先选择数据源,然后选择一个或多个搜索条件。请为每个条件分别选择属性运算符,以及

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 安全中心 然后 调查工具

    需要拥有安全中心管理员权限。

  2. 点击数据源,然后选择用户日志事件

  3. 如要过滤在特定日期之前或之后发生的事件,请针对日期选择之前之后。默认情况下,系统会显示过去 7 天内的事件。您可以选择其他日期范围,也可以点击 移除日期过滤条件。

  4. 点击添加条件
    提示:您可以添加一种或多种搜索条件,或使用嵌套查询自定义搜索。如需了解详情,请参阅使用嵌套查询自定义搜索
  5. 点击属性 然后 选择一个选项。例如,如需按特定事件类型过滤,请选择事件
    如需查看完整的属性列表,请参阅下文中的属性说明部分。
  6. 选择一个运算符。
  7. 输入一个值或从列表中选择一个值。
  8. (可选)如需添加更多搜索条件,请重复上述步骤。
  9. 点击搜索
    您可以在页面底部的表格中查看调查工具的搜索结果。
  10. (可选)如需保存调查,请点击“保存”图标 然后 输入标题和说明 然后 点击保存

备注

  • 条件构建器标签页中,过滤条件由“且”/“或”运算符连接的条件表示。您还可以使用过滤条件标签页来添加简单的参数和值对,以便过滤搜索结果。
  • 如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com 相关的事件。
  • 您只能搜索尚未从“回收站”中删除的邮件中的数据。

属性说明

对于此数据源,您可以在搜索日志事件数据时使用以下属性。

属性 说明
执行者群组名称

执行者所属群组的名称。如需了解详情,请参阅按 Google 群组过滤结果

如需将群组添加到过滤群组许可名单,请执行以下操作:

  1. 选择执行者群组名称
  2. 点击过滤群组
    此时,系统会显示“过滤群组”页面。
  3. 点击添加群组
  4. 输入群组名称或电子邮件地址的前几个字符以搜索群组。当您看到所需群组时,请将其选中。
  5. (可选)如果还想添加其他群组,请搜索并选择相应群组。
  6. 选择好群组后,点击添加
  7. (可选)要移除群组,请点击“移除群组”
  8. 点击保存
执行者组织部门 执行者的组织部门
受影响的用户 受影响用户的电子邮件地址
验证类型&ast;

用于验证用户的验证类型,例如“密码”或“安全密钥”

注意:对于 2024 年 9 月 30 日之前创建的审核日志,新添加的验证类型(例如通行密钥)可能会与称为其他的现有验证类型不一致。
日期 事件发生的日期和时间(以您浏览器的默认时区显示)
网域&ast; 发生操作的网域
电子邮件转发地址 用于接收转发的 Gmail 邮件的电子邮件地址

事件

记录的事件操作,例如“两步验证注册”或“可疑登录”

注意:对于退出事件,即使用户是通过 Google 密码以外的登录类型(如 ExchangeReauthSAML未知)登录的,退出事件的登录类型仍会显示为 Google 密码

活动状态(Beta 版)

事件的状态。例如,成功失败。点击相应状态可获取更多信息,例如错误代码。
IP 地址 用户用于登录的 IP 地址。该地址通常是用户的实际位置,但也可能是代理服务器或虚拟专用网 (VPN) 地址。

IP ASN

您需要将此列添加到搜索结果中。如需了解相关步骤,请参阅管理搜索结果列数据

与日志条目关联的 IP 自治系统编号 (ASN)、细分和区域。

如需查看发生活动的 IP ASN、细分和区域代码,请点击搜索结果中的名称。
是第二重身份验证&ast; 如果用户使用双重身份验证登录,则为 True
如果用户未使用双重身份验证登录,则为 False
可疑&ast; 如果登录尝试可疑且成功,则为 True,否则为 false。仅适用于 login_success 事件、敏感操作已获允许事件和敏感操作已被阻止事件。
登录时间 如果系统阻止了可疑登录事件,此字段会显示用户尝试登录的日期和时间。
登录类型

用户使用的身份验证方法:

  • Exchange - 用户通过交换令牌的方式进行身份验证,如通过 OAuth 登录。这也可能是已登录某个会话的用户又登录了其他会话,而系统合并了这两个会话
  • Google 密码 - 使用 Google 密码登录,包括登录安全性较低的应用(如果允许)
  • OIDC - 通过单点登录 OpenID Connect (OIDC) 进行身份验证。
  • 重新验证 - 用户通过请求重新验证密码的方式进行身份验证
  • SAML - 通过单点登录安全断言标记语言 (SAML) 进行身份验证&ast;&ast;
  • 未知 - 用户使用未知方式登录
用户 执行此操作的用户的电子邮件地址。
用户代理(Beta 版) 用户设备信息(例如网络浏览器、操作系统或其他设备详情),例如 Mozilla/5.0 (Windows NT 6.3; Win64; x64)。此属性专门针对设备绑定会话凭证 (DBSC) 日志事件。

&ast; 您无法使用这些过滤条件创建报告规则。详细了解报告规则与活动规则

&ast;&ast; 针对使用贵组织的单点登录配置文件(旧版 SAML)的 SAML 用户的注意事项:如果 SAML 登录尝试来自未知设备或 IP 地址,或者风险评估的结果指示风险较高,则会在日志事件中记录类型为 Google 密码 登录失败事件。即使 SAML 登录成功,也会出现这种情况,因为系统会将初始尝试标记为可疑。此登录失败条目后面会跟着成功的 SAML 登录事件。在旧版 SAML 中,系统会为一次 SAML 登录生成两个登录会话。第一个会话(通常不相关)仅在被认为不可疑时才会予以滤除。

注意:如果您为用户重新命名,则查询结果不会包含该用户旧名称对应的记录。例如,如果您将 <旧名称>@example.com 重新命名为 <新名称>@example.com,则查询结果不会显示与 <旧名称>@example.com相关的事件。

管理日志事件数据

管理搜索结果列数据

您可以控制在搜索结果中显示哪些数据列。

  1. 在搜索结果表格的右上角,点击“管理列”图标
  2. (可选)如要移除当前列,请点击“移除”图标
  3. (可选)如要添加列,请点击新增列旁边的向下箭头 ,然后选择相应数据列。
    根据需要重复上述步骤。
  4. (可选)如要更改列的顺序,请拖动数据列名称。
  5. 点击保存

导出搜索结果数据

您可以将搜索结果导出为表格文件或 CSV 文件。

  1. 点击搜索结果表格顶部的全部导出
  2. 输入名称 然后 点击导出
    导出内容会显示在搜索结果表格的导出操作结果下方。
  3. 如要查看数据,请点击导出结果的名称。
    导出结果会在表格中打开。

导出限制因具体情况而异:

  • 导出结果总数上限为 10 万行。
  • 支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。比较您的版本

    如果您拥有安全调查工具,则导出结果总数上限为 3,000 万行。

如需了解详情,请参阅导出搜索结果

何时可以查看数据?数据会保留多久?

根据搜索结果执行操作

创建活动规则和设置提醒

  • 您可以使用报告规则设置基于日志事件数据的提醒。如需了解相关说明,请参阅创建和管理报告规则
  • 支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。比较您的版本

    为有效防范、检测和解决安全问题,您可以通过创建活动规则,让安全调查工具自动执行操作,并设置提醒。设置规则时,请先设置规则的条件,然后指定在条件满足时要执行哪些操作。如需了解详情,请参阅创建和管理活动规则

根据搜索结果执行操作

支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。比较您的版本

在安全调查工具中执行搜索后,您可以根据搜索结果执行操作。举例来说,您可以搜索 Gmail 日志事件,然后使用安全调查工具删除特定邮件,或者将邮件发送至隔离区或用户的收件箱。如需了解详情,请参阅根据搜索结果执行操作

管理调查

支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版和教育 Plus 版;企业基本功能 Plus 版;Cloud Identity 专业版。比较您的版本

查看调查列表

如需查看您自己的调查列表以及他人与您共享的调查列表,请点击“查看调查”图标 。调查列表中包含调查的名称、说明和负责人,以及最后修改日期。

在此列表中,您可以对所拥有的任意调查执行操作(例如删除调查)。只需选中相应调查的复选框,然后点击操作即可。

注意:您可以在调查列表正上方的快速访问下,查看已保存的调查。

为调查配置设置

作为超级用户,您可以点击“设置”图标 ,以便执行以下操作:

  • 更改调查的时区,搜索条件和结果会采用您设置的时区。
  • 开启或关闭需要审核者。如需了解详情,请参阅需要审核者批准进行批量操作
  • 开启或关闭查看内容。开启后,拥有适当权限的管理员可以查看内容。
  • 开启或关闭需要输入执行操作的原因

如需了解详情,请参阅为调查配置设置

保存、共享、删除和复制调查

如要保存搜索条件或与他人共享搜索条件,您可以创建并保存调查,然后共享、复制或删除调查。

如需了解详情,请参阅保存、共享、删除和复制调查


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。