Sự kiện trong nhật ký của Workspace Studio

Xem hoạt động của người dùng và tác nhân trong Google Workspace Studio

Tuỳ thuộc vào phiên bản Google Workspace, bạn có thể có quyền sử dụng công cụ điều tra bảo mật có các tính năng nâng cao hơn. Ví dụ: quản trị viên cấp cao có thể xác định, phân loại và xử lý các vấn đề về bảo mật và quyền riêng tư. Tìm hiểu thêm

Là quản trị viên của tổ chức, bạn có thể tiến hành tìm kiếm và xử lý các vấn đề bảo mật liên quan đến sự kiện trong nhật ký Google Workspace Studio. Ví dụ: bạn có thể xem bản ghi các hoạt động để theo dõi hoạt động của người dùng trong Studio. Bạn cũng có thể theo dõi hoạt động của các quy trình công việc và những bước mà các quy trình này hoàn tất thay cho chủ sở hữu quy trình công việc. Thông tin này rất hữu ích khi bạn khắc phục sự cố hoặc khi người dùng nhận thấy sự khác biệt hoặc những thay đổi không mong muốn do các quy trình công việc của Workspace Studio thực hiện.

Các quy trình công việc thực hiện hành động thay cho chủ sở hữu. Đối với các hành động trong dịch vụ của Google, những sự kiện này được ghi lại trong dịch vụ tương ứng, với chủ sở hữu là người thực hiện. Nếu thấy hoạt động bất thường của một người dùng trong một dịch vụ mà bạn cho rằng là do một quy trình công việc gây ra, bạn có thể dừng quy trình công việc đó. Tìm hiểu thêm về cách dừng quy trình công việc của người dùng

Khả năng tiến hành tìm kiếm phụ thuộc vào phiên bản Google, đặc quyền quản trị và nguồn dữ liệu của bạn. Bạn có thể tiến hành tìm kiếm trên tất cả người dùng, bất kể phiên bản Google Workspace của họ.

Công cụ kiểm tra và điều tra

Để tiến hành tìm kiếm sự kiện trong nhật ký, trước tiên, hãy chọn một nguồn dữ liệu. Sau đó, hãy chọn một hoặc nhiều bộ lọc cho nội dung bạn muốn tìm.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Báo cáo sau đó Kiểm tra và điều tra sau đó Sự kiện trong nhật ký quy tắc.

    Bạn phải có đặc quyền Kiểm tra và điều tra của quản trị viên.

  2. Để lọc các sự kiện xảy ra trước hoặc sau một ngày cụ thể, đối với Ngày, hãy chọn Trước hoặc Sau. Theo mặc định, các sự kiện trong 7 ngày qua sẽ được hiển thị. Bạn có thể chọn một phạm vi ngày khác hoặc nhấp vào để xoá bộ lọc ngày.

  3. Nhấp vào Thêm bộ lọc sau đó chọn một thuộc tính. Ví dụ: để lọc theo một loại sự kiện cụ thể, hãy chọn Sự kiện.
  4. Chọn một toán tử sau đó chọn một giá trị sau đó nhấp vào Áp dụng.
    • (Không bắt buộc) Để tạo nhiều bộ lọc cho nội dung tìm kiếm của bạn, hãy lặp lại bước này.
    • (Không bắt buộc) Để thêm toán tử tìm kiếm, ở phía trên phần Thêm bộ lọc, hãy chọn AND hoặc OR.
  5. Nhấp vào phần Tìm kiếm. Lưu ý: Khi sử dụng thẻ Bộ lọc, bạn có thể thêm các cặp giá trị và tham số đơn giản để lọc kết quả tìm kiếm. Bạn cũng có thể sử dụng thẻ Trình tạo điều kiện, trong đó các bộ lọc được biểu thị dưới dạng điều kiện bằng toán tử AND/OR.

Công cụ điều tra bảo mật

Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

Để tiến hành tìm kiếm trong công cụ điều tra bảo mật, trước tiên, hãy chọn một nguồn dữ liệu. Sau đó, hãy chọn một hoặc nhiều điều kiện cho nội dung bạn muốn tìm. Đối với mỗi điều kiện, hãy chọn một thuộc tính, một toán tử và một giá trị.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn sau đó Bảo mật sau đó Trung tâm bảo mật sau đó Công cụ điều tra.

    Bạn phải có đặc quyền của quản trị viên đối với Trung tâm bảo mật.

  2. Nhấp vào Nguồn dữ liệu rồi chọn Sự kiện trong nhật ký quy tắc.

  3. Để lọc các sự kiện xảy ra trước hoặc sau một ngày cụ thể, đối với Ngày, hãy chọn Trước hoặc Sau. Theo mặc định, các sự kiện trong 7 ngày qua sẽ được hiển thị. Bạn có thể chọn một phạm vi ngày khác hoặc nhấp vào để xoá bộ lọc ngày.

  4. Nhấp vào Thêm điều kiện.
    Mẹo: Bạn có thể thêm một hoặc nhiều điều kiện vào nội dung tìm kiếm hoặc tuỳ chỉnh nội dung tìm kiếm bằng các truy vấn lồng ghép. Để biết thông tin chi tiết, hãy tham khảo bài viết Tuỳ chỉnh nội dung tìm kiếm bằng các truy vấn lồng ghép.
  5. Nhấp vào Thuộc tính sau đó chọn một tuỳ chọn. Ví dụ: để lọc theo một loại sự kiện cụ thể, hãy chọn Sự kiện.
    Để xem danh sách đầy đủ các thuộc tính, hãy chuyển đến phần Nội dung mô tả thuộc tính.
  6. Chọn một toán tử.
  7. Nhập một giá trị hoặc chọn một giá trị trong danh sách.
  8. (Không bắt buộc) Để thêm điều kiện tìm kiếm khác, hãy lặp lại các bước trên.
  9. Nhấp vào phần Tìm kiếm.
    Bạn có thể xem kết quả tìm kiếm từ công cụ điều tra trong một bảng ở cuối trang.
  10. (Không bắt buộc) Để lưu cuộc điều tra, hãy nhấp vào biểu tượng Lưu sau đó nhập tiêu đề và nội dung mô tả sau đó nhấp vào Lưu.

Notes

  • Trong thẻ Trình tạo điều kiện, các bộ lọc được biểu thị dưới dạng điều kiện bằng toán tử AND/OR. Bạn cũng có thể sử dụng thẻ Bộ lọc để thêm các cặp giá trị và tham số đơn giản nhằm lọc kết quả tìm kiếm.
  • Nếu đã đổi tên cho một người dùng, bạn sẽ không thấy kết quả truy vấn theo tên cũ của người dùng đó. Ví dụ: nếu đổi tên Ten-cu@example.com thành Ten-moi@example.com, bạn sẽ không thấy kết quả cho các sự kiện liên quan đến Ten-cu@example.com.
  • Bạn chỉ có thể tìm kiếm dữ liệu trong những thư chưa bị xoá khỏi Thùng rác.

Nội dung mô tả thuộc tính

Đối với nguồn dữ liệu này, bạn có thể sử dụng các thuộc tính sau khi tìm kiếm dữ liệu sự kiện trong nhật ký.

Thuộc tính Mô tả

Người thực hiện

Địa chỉ email của người dùng đã thực hiện hành động hoặc quy trình công việc của người dùng đã thực hiện hành động thay cho họ.

Sự kiện

Hành động sự kiện được ghi lại. Bao gồm:

  • Tạo quy trình công việc – Người dùng đã tạo quy trình công việc
  • Xem quy trình công việc – Người dùng đã xem quy trình công việc
  • Chỉnh sửa quy trình công việc – Người dùng đã chỉnh sửa quy trình công việc
  • Xoá quy trình công việc – Người dùng đã xoá quy trình công việc
  • Bật – Người dùng bật quy trình công việc mới lần đầu tiên hoặc lưu các thay đổi đối với quy trình công việc đã bật
  • Bật lại – Người dùng đã bật quy trình công việc bị tắt
  • Tắt – Người dùng đã tắt quy trình công việc
  • Bắt đầu lượt chạy – Quy trình công việc đã bắt đầu lượt chạy
  • Đã kết thúc lượt chạy – Đã chạy thành công
  • Kết thúc lượt chạy có lỗi—Lượt chạy đã dừng do có vấn đề
  • Dừng lượt chạy – Lượt chạy đã dừng vì một lý do khác
  • Bắt đầu bước – Lượt chạy đã bắt đầu một bước
  • Kết thúc bước – Lượt chạy đã hoàn tất một bước

Mã quy trình công việc

Mã của quy trình công việc.

Tên quy trình công việc

Tên của quy trình công việc.

Mã lượt chạy

Mã của một lượt chạy riêng lẻ do một quy trình công việc thực hiện.

Loại bước thực thi

Loại bước thực thi có thể là một trong những loại sau:

  • Kích hoạt—Bước này là điều kiện khởi động, bước đầu tiên của quy trình công việc.
  • Hành động—Bước này diễn ra sau bước bắt đầu và không phải là bước điều kiện.
  • Đánh giá điều kiện—Bước này là bước Kiểm tra xem.

Tên bước

Tên của bước do quy trình công việc thực hiện.

Ứng dụng trong bước thực thi

 Ứng dụng mà bước này sử dụng cho tác vụ, chẳng hạn như Gmail, Chat hoặc một dịch vụ bên thứ ba được liên kết.

Thời lượng của lượt chạy

 Thời gian hoàn thành lượt chạy, tính bằng giây.

Loại lượt chạy

Cách bắt đầu lượt chạy, có thể là:

  • lượt chạy thử – Người dùng đã bắt đầu lượt chạy bằng một lượt chạy thử.
  • thực thi—Lượt chạy được bắt đầu tự động bằng cách điều kiện khởi động quy trình phát hiện một sự kiện bắt đầu.

Lý do tắt

Lý do tắt một quy trình công việc:

  • Do người dùng tắt – Người dùng đã tắt
  • Do bước thực thi tắt—Một bước thực thi đã ngừng hoạt động và tắt quy trình công việc
  • Tài khoản đã xoá—Người dùng không còn có tài khoản Workspace
  • Lỗi chạy—Quá nhiều lượt chạy liên tiếp không hoàn tất thành công
  • Không có quyền truy cập vào Studio—Người dùng mất quyền truy cập vào Workspace Studio
  • Do Google tắt – Một Nhóm hỗ trợ Google Workspace đã tắt quy trình công việc

Quản lý dữ liệu sự kiện trong nhật ký

Quản lý dữ liệu của cột kết quả tìm kiếm

Bạn có thể kiểm soát những cột dữ liệu sẽ xuất hiện trong phần kết quả tìm kiếm.

  1. Ở góc trên cùng bên phải của bảng kết quả tìm kiếm, hãy nhấp vào Quản lý cột .
  2. (Không bắt buộc) Để xoá các cột hiện tại, hãy nhấp vào biểu tượng Xoá .
  3. (Không bắt buộc) Để thêm cột, bên cạnh phần Thêm cột mới, hãy nhấp vào biểu tượng Mũi tên xuống rồi chọn cột dữ liệu.
    Lặp lại nếu cần.
  4. (Không bắt buộc) Để thay đổi thứ tự của các cột, hãy kéo tên của cột dữ liệu.
  5. Nhấp vào Lưu.

Xuất dữ liệu về kết quả tìm kiếm

Bạn có thể xuất kết quả tìm kiếm sang Trang tính hoặc sang một tệp CSV.

  1. Ở phía trên cùng của bảng kết quả tìm kiếm, hãy nhấp vào Xuất tất cả.
  2. Nhập tên sau đó nhấp vào Xuất.
    Bản dữ liệu xuất ra sẽ hiển thị bên dưới bảng kết quả tìm kiếm trong phần Kết quả của hành động xuất.
  3. Để xem dữ liệu, hãy nhấp vào tên của bản dữ liệu xuất ra.
    Bản này sẽ được mở trong Trang tính.

Giới hạn xuất có thể khác nhau:

  • Tổng số kết quả xuất ra có giới hạn là 100.000 hàng.
  • Nếu bạn có công cụ điều tra bảo mật, thì tổng số kết quả xuất ra có giới hạn là 30 triệu hàng.

Để biết thêm thông tin, hãy tham khảo bài viết Xuất kết quả tìm kiếm.

Khi nào sẽ có dữ liệu và dữ liệu sẽ xem được trong bao lâu?

Hành động dựa trên kết quả tìm kiếm

Tạo quy tắc hoạt động và thiết lập thông báo

  • Bạn có thể thiết lập thông báo dựa trên dữ liệu sự kiện trong nhật ký bằng cách sử dụng quy tắc báo cáo. Để biết hướng dẫn, hãy tham khảo bài viết Tạo và quản lý quy tắc báo cáo.
  • Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

    Để giúp ngăn chặn, phát hiện và khắc phục các vấn đề về bảo mật một cách hiệu quả, bạn có thể tự động hoá các hành động trong công cụ điều tra bảo mật và thiết lập thông báo bằng cách tạo quy tắc hoạt động. Để thiết lập một quy tắc, hãy thiết lập các điều kiện cho quy tắc đó, sau đó chỉ định các hành động cần thực hiện khi đáp ứng các điều kiện. Để biết thêm thông tin chi tiết, hãy tham khảo bài viết Tạo và quản lý quy tắc hoạt động.

Hành động dựa trên kết quả tìm kiếm

Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

Sau khi tiến hành tìm kiếm trong công cụ điều tra bảo mật, bạn có thể xử lý kết quả tìm kiếm. Ví dụ: bạn có thể tiến hành tìm kiếm dựa trên các sự kiện trong nhật ký Gmail, sau đó sử dụng công cụ này để xoá các thư cụ thể, gửi thư vào khu vực cách ly hoặc gửi thư đến hộp thư đến của người dùng. Để biết thêm thông tin chi tiết, hãy tham khảo bài viết Hành động dựa trên kết quả tìm kiếm.

Quản lý các cuộc điều tra

Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

Xem danh sách các cuộc điều tra

Để xem danh sách các cuộc điều tra mà bạn sở hữu và các cuộc điều tra được chia sẻ với bạn, hãy nhấp vào biểu tượng Xem các cuộc điều tra . Danh sách điều tra bao gồm tên, nội dung mô tả và chủ sở hữu của các cuộc điều tra, cũng như ngày sửa đổi gần nhất.

Trong danh sách này, bạn có thể xử lý bất kỳ cuộc điều tra nào mà bạn sở hữu, ví dụ: xoá một cuộc điều tra. Đánh dấu vào hộp cho một cuộc điều tra rồi nhấp vào Hành động.

Lưu ý: Bạn có thể xem các cuộc điều tra đã lưu trong phần Truy cập nhanh, ngay phía trên danh sách các cuộc điều tra.

Định cấu hình chế độ cài đặt cho các cuộc điều tra

quản trị viên cấp cao, hãy nhấp vào biểu tượng Cài đặt để:

  • Thay đổi múi giờ cho các cuộc điều tra. Múi giờ này áp dụng cho các điều kiện và kết quả tìm kiếm.
  • Bật hoặc tắt chế độ Yêu cầu người xem xét. Để biết thêm thông tin chi tiết, hãy tham khảo bài viết Yêu cầu người xem xét đối với các hành động hàng loạt.
  • Bật hoặc tắt chế độ Xem nội dung. Chế độ cài đặt này cho phép những quản trị viên có đặc quyền thích hợp xem nội dung.
  • Bật hoặc tắt chế độ Bật lý do thực hiện hành động.

Để biết thêm thông tin chi tiết, hãy tham khảo bài viết Định cấu hình chế độ cài đặt cho các cuộc điều tra.

Lưu, chia sẻ, xoá và sao chép các cuộc điều tra

Để lưu tiêu chí tìm kiếm hoặc chia sẻ tiêu chí đó với người khác, bạn có thể tạo và lưu một cuộc điều tra, sau đó chia sẻ, sao chép hoặc xoá cuộc điều tra đó.

Để biết thông tin chi tiết, hãy tham khảo bài viết Lưu, chia sẻ, xoá và sao chép các cuộc điều tra.