視您的 Google Workspace 版本而定,您或許可以使用安全調查工具,享有更多進階功能。舉例來說,超級管理員可以找出安全性和隱私權問題,然後加以分類並採取適當措施。瞭解詳情
組織管理員可針對使用者記錄事件執行搜尋並採取行動。舉例來說,您可以查看使用者在自己帳戶中執行的重要操作,包括變更密碼、帳戶救援詳細資料 (電話號碼、電子郵件地址) 和兩步驟驗證註冊狀態。對於電子郵件用戶端或非瀏覽器應用程式中的登入活動,除非系統認定相關的程式輔助登入行為來自可疑的工作階段,否則報表一般不會記錄這類活動。
系統會按工作階段收集記錄事件資料,因此如果使用者在短時間內多次嘗試執行相同動作,系統可能會合併相關資料,顯示為單一記錄項目。舉例來說,如果使用者輸入錯誤的密碼 5 次,然後輸入正確密碼,記錄中可能只會顯示兩個項目:一個是所有失敗的嘗試,另一個是成功的嘗試。
注意:如果過去 6 個月完全沒有使用者記錄事件資料,左側的導覽選單就可能不會顯示「使用者記錄事件」。
將記錄事件資料轉送至 Google Cloud
您可以選擇與 Google Cloud 共用記錄事件資料。如果開啟共用設定,系統會將資料轉送至 Cloud Logging;您可以透過這項服務查詢和查看記錄,以及控管記錄的轉送和儲存方式。
可與 Google Cloud 共用的記錄事件資料類型,取決於您的 Google Workspace、Cloud Identity 或 Essentials 帳戶。
針對記錄事件執行搜尋
能否執行搜尋取決於您的 Google 版本、管理員權限和資料來源。您可以對所有使用者進行搜尋,不論對方使用的 Google Workspace 版本為何,都是如此。
稽核與調查工具
如要搜尋記錄事件,請先選擇資料來源,然後選擇一或多個搜尋篩選器。
-
在 Google 管理控制台中,依序點選「選單」圖示
「報告」
「稽核與調查」「使用者記錄事件」。必須具備稽核與調查管理員權限。
-
如要篩選特定日期之前或之後發生的事件,請選取「日期」的「之前」或「之後」。系統預設會顯示過去 7 天的事件。您可以選取其他日期範圍,或按一下
移除日期篩選器。 -
按一下「新增篩選器」
選取屬性。舉例來說,如要依特定事件類型篩選,請選取「事件」。
-
選取運算子
選取值
按一下「套用」。
- (選用) 如要建立多個搜尋篩選器,請重複執行這個步驟。
- (選用) 如要新增搜尋運算子,請選取「新增篩選器」上方的「AND」或「OR」。
- 按一下「搜尋」。 注意:您可以在「篩選器」分頁中加入簡單的參數和值組來篩選搜尋結果。您也可以使用「條件建構工具」分頁,讓篩選器以 AND/OR 運算子表示條件。
安全調查工具
如要使用安全調查工具執行搜尋,請先選擇「資料來源」,然後選擇一或多個搜尋篩選「條件」。再針對每個條件分別選擇「屬性」、「運算子」和「值」。
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」
「安全中心」「調查工具」。必須具備安全中心管理員權限。
- 按一下「資料來源」,然後選取「使用者記錄事件」。
-
如要篩選特定日期之前或之後發生的事件,請選取「日期」的「之前」或「之後」。系統預設會顯示過去 7 天的事件。您可以選取其他日期範圍,或按一下
移除日期篩選器。 -
按一下 [Add Condition]。
提示:您可以加入一或多個搜尋條件,或是使用「巢狀查詢」自訂搜尋方式。詳情請參閱「使用巢狀查詢自訂搜尋方式」。 -
按一下「屬性」
選取所需選項。舉例來說,如要依特定事件類型篩選,請選取「事件」。
如需完整的屬性清單,請參閱「屬性說明」一節。 - 選取運算子。
- 輸入值或從清單中選取值。
- (選用) 如要新增更多搜尋條件,請重複以上步驟。
-
按一下「搜尋」。
您可以在頁面底部的表格中,查看調查工具的搜尋結果。 -
(選用) 如要儲存調查,請按一下「儲存」
輸入標題和說明
按一下「儲存」。
附註
- 在「條件建構工具」分頁中,篩選器會以 AND/OR 運算子表示條件。您也可以使用「篩選器」分頁加入簡單的參數和值組合,篩選搜尋結果。
- 如果為使用者設定新名稱,查詢結果中不會包含與舊名稱相關的事件。舉例來說,如果您將 <舊名稱>@example.com 重新命名為 <新名稱>@example.com,就不會看見與 <舊名稱>@example.com 相關的事件結果。
- 您只能搜尋尚未從垃圾桶刪除的郵件資料。
屬性說明
搜尋此資料來源的記錄事件資料時,您可以利用下列屬性設定搜尋條件:
| 屬性 | 說明 |
|---|---|
| 執行者群組名稱 |
執行者的群組名稱。詳情請參閱「依 Google 群組篩選結果」。 如要將群組新增至篩選條件群組許可清單,請按照下列步驟操作:
|
| 執行者機構單位 | 執行者的機構單位 |
| 受影響的使用者 | 受影響使用者的電子郵件地址 |
| 驗證類型* |
用於驗證使用者的驗證類型,例如「密碼」或「安全金鑰」 注意:如果 2024 年 9 月 30 日前建立的稽核記錄中,有名為「其他」的驗證類型,「密碼金鑰」等新增的驗證類型可能無法與該類型保持一致。 |
| 日期 | 事件發生的日期和時間 (以瀏覽器的預設時區為準) |
| 網域* | 動作發生的網域 |
| 電子郵件轉寄地址 | 轉寄 Gmail 郵件的目標電子郵件地址 |
|
活動 |
系統記錄的事件動作,例如「兩步驟驗證註冊」或「可疑的登入活動」 注意:針對登出事件,即使使用者是以 Google 密碼以外的方式登入 (例如 Exchange、重新驗證、SAML 或未知),登出事件的「登入類型」仍會顯示 Google 密碼。 |
|
活動狀態 (Beta 版) |
活動的狀態。例如「成功」或「失敗」。按一下狀態即可查看詳細資訊,例如錯誤代碼。 |
| IP 位址 | 使用者登入所用的 IP 位址。這個位址通常會反映使用者所在的實際位置,但也有可能是 Proxy 伺服器或虛擬私人網路 (VPN) 位址。 |
|
IP ASN 您需要在搜尋結果加入這個資料欄,相關步驟請參閱「管理搜尋結果資料欄」。 |
與記錄項目相關聯的 IP 自治系統編號 (ASN)、行政分區和區域。 如要查看活動發生的 IP ASN、行政分區和區域代碼,請在搜尋結果中點選名稱。 |
| 是次要驗證條件* | 如果使用者透過雙重驗證功能登入,則值為「是」 如果使用者未透過雙重驗證功能登入,則值為「否」 |
| 為可疑* | 如果登入嘗試可疑且成功,則為「true」,否則為「false」。僅適用於「login_success」事件、「sensitive actions allowed」事件和「sensitive action blocked」事件。 |
| 登入時間 | 如果系統封鎖可疑登入事件,這個欄位會顯示使用者嘗試登入的日期和時間。 |
| 登入類型 |
使用者所用的驗證方式:
|
| 使用者 | 執行動作的使用者電子郵件地址 |
| 使用者代理程式 (Beta 版) | 使用者裝置的相關資訊,例如網路瀏覽器、OS 或其他裝置詳細資料,像是 Mozilla/5.0 (Windows NT 6.3; Win64; x64)。這項屬性專屬於裝置綁定工作階段憑證 (DBSC) 記錄事件。 |
* 您無法使用這些篩選條件建立報表規則。進一步瞭解報告規則與活動規則的比較。
** 若 SAML 使用者採用貴機構的單一登入 (SSO) 設定檔 (舊版 SAML),請注意以下事項:如果 SAML 登入嘗試來自不明裝置或 IP 位址,或是風險評估結果較高,則會在記錄事件中留下 登入失敗 的記錄,類型為 Google 密碼 。即使 SAML 登入成功,仍會留下此記錄,因為系統會將初次登入嘗試標記為可疑。這個登入失敗項目的後面會接著登入成功的 SAML 事件。在舊版 SAML 中,單次 SAML 登入會產生兩個登入工作階段。第一個工作階段通常與目標不符,只有在系統判定該工作階段並非可疑時,才會將其篩除。注意:如果您為使用者設定新名稱,查詢結果中就不會包含與舊名稱相關的事件。舉例來說,如果您將 <舊名稱>@example.com 重新命名為 <新名稱>@example.com,就不會看見與 <舊名稱>@example.com 相關的事件結果。
管理記錄事件資料
管理搜尋結果資料欄
您可以控制搜尋結果中要顯示哪些資料欄。
- 按一下搜尋結果表格右上方的「管理資料欄」圖示
。 - (選用) 如要移除目前的資料欄,請按一下「移除」圖示 。
- (選用) 如要新增資料欄,請按一下「新增資料欄」旁邊的向下箭頭
,然後選取資料欄。
視需要重複上述步驟。 - (選用) 如要變更資料欄的順序,請拖曳資料欄名稱。
- 按一下 [儲存]。
匯出搜尋結果資料
您可以將搜尋結果匯出為 Google 試算表或 CSV 檔案。
- 按一下搜尋結果表格頂端的「全部匯出」。
- 輸入名稱
按一下「匯出」。
匯出結果會顯示在搜尋結果表格的「匯出動作執行結果」下方。 - 如要查看資料,請按一下匯出項目的名稱。
匯出項目會在試算表中開啟。
匯出上限因情況而異:
- 匯出結果總上限為 100,000 列。
-
支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。
版本比較
如果您使用安全調查工具,匯出結果總上限為 3, 000 萬列。
詳情請參閱「匯出搜尋結果」。
資料要處理多久?保留時間有多長?
請參閱「資料保留和延遲時間」。
依據搜尋結果採取行動
建立活動規則及設定快訊
- 您可以透過報告規則,根據記錄事件資料設定快訊。如需操作說明,請參閱「建立及管理報告規則」。
-
支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。
版本比較
為了有效地預防、偵測及修正安全問題,您可以建立「活動規則」,讓安全調查工具依此自動執行作業及傳送快訊。設定規則時,您需要先設定觸發規則的條件,再指定符合條件時要執行的動作。詳情請參閱「建立及管理活動規則」。
依據搜尋結果採取行動
支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較
使用安全調查工具執行搜尋後,您可以對搜尋結果採取行動,舉例來說,您可以根據 Gmail 記錄事件執行搜尋,然後透過工具刪除特定郵件、將郵件傳送至隔離區,或將郵件傳送至使用者的收件匣。詳情請參閱「根據搜尋結果執行動作」。
管理調查項目
支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較
查看調查清單
如要查看調查清單,一覽您本身擁有及接受他人共用的調查項目,請按一下「查看調查」圖示 
。這份清單會列出調查項目的名稱、說明、擁有者和上次修改日期。
您可以在這份清單中對自己擁有的調查項目執行動作 (例如刪除調查項目),方法是勾選調查項目旁的方塊,然後按一下「動作」。
注意:您可以在「快速存取」下方 (調查清單正上方) 查看已儲存的調查項目。
配置調查設定
超級管理員可以點選「設定」圖示 
,執行下列操作:
- 變更調查項目的時區。搜尋條件和結果會套用這項時區設定。
- 開啟或關閉「需要審查者」。詳情請參閱「要求為大量動作指派審查者」。
- 開啟或關閉「查看內容」。這項設定可讓具備適當權限的管理員查看內容。
- 開啟或關閉「請啟用動作執行原因」設定。
詳情請參閱「進行調查設定」。
儲存、共用、刪除及複製調查項目
如要儲存搜尋條件或與他人共用,您可以選擇建立並儲存調查項目,接著即可共用、複製或刪除這個調查項目。
詳情請參閱「儲存、共用、刪除及複製調查項目」。
相關主題
Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標,所有其他公司和產品名稱則是與個別公司關聯的商標。