Xử lý dựa trên kết quả tìm kiếm

Công cụ điều tra bảo mật
Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Standard và Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. So sánh phiên bản của bạn

Sau khi tìm kiếm trong công cụ điều tra bảo mật, bạn có thể thực hiện một số hành động dựa trên nội dung tìm kiếm của mình. Ví dụ: bạn có thể tiến hành tìm kiếm dựa trên các sự kiện trong nhật ký Gmail, sau đó dùng công cụ này để xoá thư cụ thể, đánh dấu thư là thư rác hoặc lừa đảo, gửi thư đến vùng cách ly hoặc gửi thư đến hộp thư đến của người dùng.

Để biết thông tin chi tiết và hướng dẫn về nhiều thao tác bạn có thể thực hiện trong công cụ điều tra, hãy xem các phần bên dưới.

Lưu ý:

  • Các nguồn dữ liệu có sẵn sẽ thay đổi tuỳ theo phiên bản Google Workspace của bạn.
  • Trước khi thực hiện hành động đối với kết quả tìm kiếm, quản trị viên trong tổ chức của bạn có thể nhập văn bản lý do để ghi lại(các) lý do cho hành động của họ. Nếu là Quản trị viên cấp cao, bạn có thể bật lựa chọn này bằng cách điều chỉnh chế độ cài đặt cho công cụ điều tra. Để biết hướng dẫn, hãy xem bài viết Định cấu hình chế độ cài đặt cho hoạt động điều tra.
  • Nếu bạn thu hẹp phạm vi ngày cho nội dung tìm kiếm, kết quả sẽ xuất hiện sớm hơn trong công cụ điều tra. Ví dụ: nếu bạn thu hẹp phạm vi tìm kiếm xuống những sự kiện xảy ra trong tuần trước, thì truy vấn sẽ trả về kết quả nhanh hơn so với khi bạn tìm kiếm mà không giới hạn truy vấn trong một khoảng thời gian ngắn hơn.
  • Nếu xảy ra lỗi hết thời gian chờ khi thực hiện một thao tác hàng loạt, hãy giảm phạm vi ngày cho cụm từ tìm kiếm, rồi thử lại.

Các loại hành động trong công cụ điều tra

Thao tác đối với thiết bị

Khi tìm kiếm dựa trên Thiết bị hoặc Sự kiện trong nhật ký của thiết bị, bạn có thể chọn thiết bị trong kết quả tìm kiếm, rồi thực hiện các thao tác sau:

  • Phê duyệt thiết bị – Phê duyệt thiết bị. Nếu bạn đã chọn Bật tính năng kích hoạt thiết bị, thì những thiết bị đăng ký sau khi bạn bật chế độ cài đặt kích hoạt thiết bị sẽ cần được phê duyệt trước khi có thể bắt đầu đồng bộ hoá với miền của bạn. Việc bật tính năng kích hoạt thiết bị buộc người dùng thiết bị phải cài đặt ứng dụng Device Policy để đồng bộ hoá với Google Workspace.
  • Chặn thiết bị – Chặn quyền truy cập vào dữ liệu Google Workspace (Gmail, Lịch và danh bạ) trên thiết bị. Người dùng vẫn có thể truy cập vào Gmail, Lịch và danh bạ của họ trên máy tính hoặc trình duyệt di động.
  • Tài khoản quản trị viên xoá thiết bị – Chỉ xoá dữ liệu trên Google Workspace khỏi thiết bị từ xa. Để biết thêm thông tin, hãy xem bài viết Xoá dữ liệu công ty khỏi thiết bị di động.
  • Xoá dữ liệu trên thiết bị từ xa – Xoá từ xa tất cả dữ liệu trên thiết bị. Để biết thêm thông tin, hãy xem bài viết Xoá dữ liệu công ty khỏi thiết bị di động.
  • Huỷ thao tác xoá thiết bị từ xa – Huỷ thao tác xoá thiết bị từ xa.

Các thao tác đối với sự kiện trong nhật ký Drive

Khi tìm kiếm dựa trên các sự kiện trong nhật ký Drive, bạn có thể chọn tệp trong kết quả tìm kiếm, kiểm tra quyền đối với các tệp đó và làm nhiều việc khác.

Thực hiện những việc sau:

  1. Sau khi bạn chạy một lượt tìm kiếm trong công cụ điều tra bảo mật dựa trên sự kiện trong nhật ký Drive, hãy đánh dấu vào các hộp cho những tệp có liên quan trong kết quả tìm kiếm.
  2. Nhấp vào Hành động > Kiểm tra quyền đối với tệp để mở trang Quyền.
    Thẻ Tệp (hiển thị theo mặc định) cho biết các tệp có trong kết quả tìm kiếm của bạn. Tại đây, bạn có thể quản lý quyền truy cập vào các tệp đó. Các tệp trên bộ nhớ dùng chung hiện không hiển thị ở chế độ xem này.
  3. Nhấp vào Người dùng để xem những người dùng và nhóm có quyền truy cập vào các tệp.
    Những người trong danh sách này có quyền truy cập vào một hoặc nhiều mục trong kết quả tìm kiếm của bạn. Sử dụng chế độ xem này để quản lý quyền truy cập của mọi người (người dùng và nhóm).
  4. Nhấp vào Liên kết để xem hoặc chỉnh sửa chế độ cài đặt cách chia sẻ liên kết đối với những tệp đã chọn.
  5. Nhấp vào Thêm người dùng nếu bạn muốn cấp quyền truy cập vào tệp cho nhiều người dùng hơn. Bạn có thể thêm nhiều người dùng bằng danh sách được phân tách bằng dấu phẩy và có thể chọn cấp truy cập cho những người dùng mà bạn thêm.

    Lưu ý: Đối với các thao tác trong thẻ Bộ nhớ dùng chung, bạn chỉ có thể chỉnh sửa quyền truy cập cho các tệp trong bộ nhớ dùng chung. Các tệp bên ngoài bộ nhớ dùng chung sẽ không xuất hiện trong thẻ này.
  6. Nhấp vào Thay đổi đang chờ xử lý để xem lại các thay đổi trước khi lưu.

Các thao tác đối với bộ nhớ dùng chung

Nếu có đặc quyền Cập nhật hoặc xoá trên Drive sau đó Công cụ điều tra bảo mật, bạn cũng có thể sửa đổi bộ nhớ dùng chung và các tệp trong bộ nhớ dùng chung:

  • Bạn có thể thay đổi, xoá hoặc thêm quyền truy cập cho một thành viên của bộ nhớ dùng chung.
  • Bạn có thể thay đổi, xoá hoặc thêm quyền truy cập mà người dùng đã được cấp trực tiếp vào một hoặc nhiều tệp trong bộ nhớ dùng chung.

Lưu ý: Mặc dù Google Drive cho phép chia sẻ thư mục và thay đổi quyền sở hữu thư mục, nhưng công cụ điều tra không cho phép quản trị viên thực hiện những thao tác này.

Cách xử lý thư trong Gmail và sự kiện trong nhật ký Gmail

Khi tìm kiếm dựa trên thư trong Gmail hoặc sự kiện trong nhật ký Gmail, bạn có thể chọn thư trong kết quả tìm kiếm rồi thực hiện các thao tác sau (các thao tác có sẵn chỉ áp dụng cho thư trong Gmail và không bao gồm thư trong Google Groups):

  • Xem tiêu đề
  • Xem tin nhắn
  • Xóa tin nhắn
  • Khôi phục thư
  • Đánh dấu thư là thư rác
  • Đánh dấu thư là lừa đảo
  • Gửi thư tới hộp thư đến (cũng xoá phân loại thư rác hoặc lừa đảo)
  • Gửi thư đến vùng cách ly (thư được gửi đến vùng cách ly mặc định)

    Lưu ý quan trọng: Thư được gửi đến vùng cách ly sẽ tự động bị xoá khi chính sách lưu giữ của Vault được kích hoạt. Do đó, nếu các thư này cũ hơn chính sách lưu giữ của Vault, thì chúng sẽ bị xoá thay vì được gửi đến vùng cách ly. Thời gian lưu giữ mặc định là 30 ngày sau khi email được gửi hoặc nhận lần đầu. Bạn cũng có thể dùng Vault để thiết lập quy tắc lưu giữ tuỳ chỉnh.

Ví dụ: để gửi một thông báo đến hộp thư đến của người dùng:

  1. Sau khi chạy tìm kiếm trong công cụ điều tra, hãy đánh dấu vào các hộp cho những thư có liên quan trong kết quả tìm kiếm.
  2. Nhấp vào Hành động.
  3. Chọn Gửi tin nhắn tới hộp thư đến.
  4. Để xác nhận, hãy nhấp vào Gửi vào hộp thư đến.
  5. Để xem kết quả của hành động này, hãy nhấp vào Xem ở cuối trang.
    Trong cột Kết quả, bạn có thể xem trạng thái của hành động, ví dụ: Đã gửi thư đến hộp thư đến thành công.

Lưu ý: Bạn cũng có thể xem nội dung thư trong Gmail. Để biết thông tin chi tiết, hãy xem bài viết Xem nội dung thư trong Gmail.

Thao tác đối với người dùng

Khi tìm kiếm dựa trên người dùng, bạn có thể chọn người dùng trong kết quả tìm kiếm, rồi thực hiện các thao tác sau:

  • Khôi phục người dùng
  • Tạm ngưng người dùng

Ví dụ: để tạm ngưng một số người dùng trong kết quả tìm kiếm, hãy làm như sau:

  1. Sau khi chạy tìm kiếm trong công cụ điều tra, hãy đánh dấu vào hộp cho những người dùng có liên quan trong kết quả tìm kiếm.
  2. Nhấp vào Hành động.
  3. Chọn Tạm ngưng người dùng.
  4. Để xác nhận, hãy nhấp vào Tạm ngưng người dùng.

Bạn có thể làm theo các bước tương tự để khôi phục người dùng.

Các thao tác đối với sự kiện trong nhật ký người dùng

Khi tìm kiếm dựa trên Sự kiện trong nhật ký người dùng, bạn có thể chọn người dùng trong kết quả tìm kiếm, rồi thực hiện các thao tác sau:

  • Bắt buộc thay đổi mật khẩu
  • Khôi phục người dùng
  • Tạm ngưng người dùng

Ví dụ: để tạm ngưng một số người dùng trong kết quả tìm kiếm, hãy làm như sau:

  1. Sau khi chạy tìm kiếm trong công cụ điều tra, hãy đánh dấu vào hộp cho những người dùng có liên quan trong kết quả tìm kiếm.
  2. Nhấp vào Hành động.
  3. Chọn Tạm ngưng người dùng.
  4. Để xác nhận, hãy nhấp vào Tạm ngưng người dùng.

Bạn có thể làm theo các bước tương tự để khôi phục người dùng.

Các thao tác đối với sự kiện trong nhật ký Meet

Khi tìm kiếm dựa trên sự kiện trong nhật ký Meet, bạn có thể sử dụng thao tác Kết thúc cuộc họp cho mọi người để loại bỏ tất cả người dùng khỏi các cuộc họp đã chọn trong tổ chức của mình. Ví dụ: bạn có thể muốn ngăn người dùng tham gia các cuộc họp không được giám sát khi người tổ chức cuộc họp không có mặt hoặc sau khi một sự kiện đã hoàn tất.

Để biết thêm thông tin, hãy xem bài viết Sử dụng công cụ điều tra để kết thúc cuộc họp.

Thực hiện hành động hàng loạt với kết quả tìm kiếm

Ngoài việc chọn từng mục trong kết quả tìm kiếm và thực hiện hành động trên các mục đó, bạn có thể thực hiện hành động hàng loạt trên toàn bộ trang hoặc trên tất cả kết quả trên tất cả các trang.

Lưu ý: Nếu xảy ra lỗi hết thời gian chờ khi thực hiện một thao tác hàng loạt, hãy giảm phạm vi ngày cho cụm từ tìm kiếm, rồi thử lại thao tác hàng loạt.

Cách thực hiện hành động hàng loạt đối với kết quả tìm kiếm trên trang hiện tại mà bạn đang xem:

  1. Nhấp vào hộp đánh dấu ở đầu cột bên trái. Thao tác này sẽ đánh dấu tất cả các hộp trên trang hiện tại.
  2. Nhấp vào Thao tác trong thanh tiêu đề.

Cách thực hiện thao tác hàng loạt trên tất cả kết quả tìm kiếm ở tất cả các trang:

  1. Nhấp vào hộp đánh dấu ở đầu cột bên trái.
  2. Nhấp vào Chọn tất cả kết quả. Thao tác này sẽ đánh dấu tất cả các hộp trên mọi trang của kết quả tìm kiếm.

  3. Nhấp vào Thao tác trong thanh tiêu đề.

    Lưu ý: Nếu nhấp vào trang tiếp theo trong kết quả tìm kiếm trong quá trình này, thao tác này sẽ bỏ chọn tất cả các hộp trên tất cả các trang của kết quả tìm kiếm và bạn sẽ cần bắt đầu lại.

Kiểm tra trạng thái của các thao tác hàng loạt

Bạn có thể kiểm tra trạng thái của các tác vụ lớn trong Bảng điều khiển dành cho quản trị viên của Google để xem các tác vụ đó vẫn đang thực hiện hay đã hoàn tất.

Ví dụ: nếu một trong các hành động hàng loạt trong công cụ điều tra mất nhiều thời gian để hoàn tất, bạn có thể rời khỏi Bảng điều khiển dành cho quản trị viên rồi quay lại sau để kiểm tra trạng thái của hành động đó.

Ở trên cùng của Bảng điều khiển dành cho quản trị viên, hãy nhấp vào Tasks (Việc cần làm) để xem trạng thái của các việc cần làm có quy mô lớn.

Để biết thêm thông tin chi tiết, hãy xem thêm bài viết Kiểm tra trạng thái của các tác vụ lớn.

Phân tích dữ liệu dựa trên cột trong kết quả tìm kiếm

Bạn có thể sử dụng tính năng xoay dựa trên cột trong kết quả tìm kiếm của công cụ điều tra để xem dữ liệu về một mục liên quan đến một nguồn dữ liệu khác. Ví dụ: bạn có thể chạy một cụm từ tìm kiếm dựa trên các sự kiện trong nhật ký Gmail, sau đó nhấp vào bất kỳ người nhận nào trong cột Người nhận để tạo một cụm từ tìm kiếm sự kiện trên Drive theo chủ sở hữu. Nhờ đó, bạn có thể phân tích dữ liệu về một người dùng cụ thể từ 2 nguồn dữ liệu khác nhau – cả sự kiện trong nhật ký Gmail và sự kiện trong nhật ký Drive.

Để chuyển từ kết quả tìm kiếm của một sự kiện trong nhật ký Gmail sang một sự kiện trong nhật ký Drive, hãy làm như sau:

  1. Sau khi bạn chạy một lượt tìm kiếm trong công cụ điều tra bảo mật, hãy di chuột lên người dùng có liên quan trong cột Người nhận.
  2. Nhấp vào biểu tượng trình đơn (ba dấu chấm dọc) cho người dùng đó.
  3. Chọn Sự kiện trong nhật ký Drive sau đó Chủ sở hữu. Tiêu chí tìm kiếm sẽ được tự động nhập cho một lượt tìm kiếm sự kiện trong nhật ký Drive.
  4. Thêm các điều kiện khác vào nội dung tìm kiếm, ví dụ: Tiêu đề hoặc Khả năng hiển thị.
  5. Nhấp vào Tìm kiếm.

Bạn có thể thực hiện các hành động xoay khác cho nhiều mục trong kết quả tìm kiếm. Ví dụ: bạn có thể xoay một cột hoàn chỉnh hoặc bạn có thể xoay theo chủ đề của một thư, mã thư, người gửi và nhiều thông tin khác.

Huỷ thao tác

Bạn có thể huỷ các thao tác trong công cụ điều tra trước khi chúng hoàn tất. Ví dụ: nếu đã bắt đầu thực hiện hành động tạm ngưng nhiều người dùng, bạn có thể nhấp vào Huỷ ở cuối trang Điều tra.

Nếu huỷ một thao tác hàng loạt, bạn sẽ nhận được kết quả một phần nếu thao tác đó đang diễn ra.

Lưu ý: Đối với các thao tác xuất, chỉ quản trị viên đã bắt đầu xuất mới có thể huỷ thao tác đó. Đối với tất cả các thao tác khác, những quản trị viên có đặc quyền cụ thể để thực hiện thao tác đối với dữ liệu liên quan đến thao tác đó (chẳng hạn như Drive, Gmail hoặc thiết bị di động) có thể huỷ thao tác.

Thử lại hành động

Khi thực hiện một hành động hàng loạt, đôi khi bạn có thể gặp phải lỗi tìm kiếm, chẳng hạn như nếu một số người dùng không có trong kết quả tìm kiếm. Nếu điều này xảy ra, bạn có thể thử lại các thao tác:

  1. Sau khi hoàn tất một thao tác trong công cụ điều tra, hãy nhấp vào XEM CHI TIẾT.
  2. Trong bảng Chi tiết về hành động, hãy nhấp vào THỬ LẠI.
  3. Nhấp vào thao tác trong cửa sổ thử lại, ví dụ: nhấp vào ĐÁNH DẤU LÀ NỘI DUNG RÁC.

Xuất kết quả của thao tác sang tệp Trang tính trong thư mục Drive của tôi

Cách lưu kết quả của thao tác vào thư mục Drive của tôi:

  1. Nhấp vào nút Xuất ở đầu bảng để xem kết quả của hành động.
  2. Nhập tên tệp xuất.
  3. Nhấp vào Xuất.

Xem kết quả của hành động đã xuất

Xin lưu ý những điều sau đây khi xem kết quả của hành động đã xuất:

  • Sau khi bạn nhấp vào nút Xuất ở đầu bảng, một Google Trang tính sẽ được tạo trong thư mục Drive của tôi, trong đó có kết quả của thao tác. Tuỳ thuộc vào quy mô của kết quả, quá trình xuất có thể mất một khoảng thời gian và nhiều trang tính có thể được tạo. Tổng số kết quả xuất ra có giới hạn là 30 triệu hàng.
  • Trong quá trình xuất, Google Trang tính sẽ được tạo bằng một tên tạm thời, ví dụ: TMP-1-<title>. Nếu có nhiều Google Trang tính được tạo, các tệp bổ sung sẽ được đặt tên là TMP-2-<title>, TMP-3-<title>, v.v. Khi quá trình xuất hoàn tất, các tệp sẽ tự động được đổi tên thành: <title> [1 of N], <title> [2 of N], v.v. Nếu chỉ có một Google Trang tính chứa dữ liệu đã xuất, thì tệp sẽ được đổi tên thành <title>.
  • Quyền chia sẻ đối với các tệp có kết quả của thao tác xuất được xác định theo cấu hình miền của bạn. Ví dụ: nếu theo mặc định, các tệp được tạo sẽ được chia sẻ với mọi người trong công ty, thì dữ liệu được xuất cũng sẽ có chế độ hiển thị này.