視您的 Google Workspace 版本而定,您或許可以使用安全調查工具,享有更多進階功能。舉例來說,超級管理員可以找出安全性和隱私權問題,然後加以分類並採取適當措施。瞭解詳情
組織管理員可以執行搜尋,並對與 Google Workspace Studio 記錄事件相關的安全性問題採取行動。舉例來說,您可以查看動作記錄,追蹤使用者在 Studio 中的活動。您也可以追蹤流程的活動,以及流程代表其擁有者完成的步驟。如果您需要排解問題,或是使用者發現 Workspace Studio 流程所做的變更不一致/不符預期,就可以參考這些資訊。
流程會代表擁有者採取行動。如果是 Google 服務中的動作,系統會在相應服務中記錄相關事件,並將擁有者視為執行者。如果您在服務中發現使用者有異常活動,且認為是流程所致,可以停止該流程。進一步瞭解如何停止使用者的流程
針對記錄事件執行搜尋
搜尋權限取決於您的 Google 版本、管理員權限和資料來源。您可以對所有使用者執行搜尋作業,不論對方擁有的 Google Workspace 版本為何。
稽核與調查工具
如要針對記錄事件執行搜尋,請先選擇資料來源,然後選擇一或多個搜尋篩選器。
-
在 Google 管理控制台中,依序點選「選單」圖示
「報表」「稽核與調查」「規則記錄事件」。必須具備稽核與調查管理員權限。
-
如要篩選特定日期之前或之後的事件,請在「日期」部分選取「早於」或「晚於」。系統預設會顯示過去 7 天的事件。您可以選取其他日期範圍,或點選
移除日期篩選器。 -
按一下「新增篩選器」 選取屬性。舉例來說,如要篩選特定事件類型,請選取「事件」。
-
選取運算子 選取值 按一下「套用」。
- (選用) 如要建立多個搜尋篩選器,請重複執行這個步驟。
- (選用) 如要新增搜尋運算子,請選取「新增篩選器」上方的「AND」或「OR」。
- 按一下「搜尋」。 注意:您可以在「篩選器」分頁中加入簡單的參數和值組來篩選搜尋結果;您也可以使用「條件建構工具」分頁,讓篩選器以 AND/OR 運算子表示條件。
安全調查工具
如要使用安全調查工具執行搜尋,請先選擇「資料來源」,接著選擇一或多項搜尋「條件」,再分別選擇每個條件的「屬性」、「運算子」和「值」。
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」「安全中心」「調查工具」。必須擁有安全中心管理員權限。
- 按一下「資料來源」,選取「規則記錄事件」。
-
如要篩選特定日期之前或之後的事件,請在「日期」部分選取「早於」或「晚於」。系統預設會顯示過去 7 天的事件。您可以選取其他日期範圍,或點選
移除日期篩選器。 -
按一下「新增條件」。
提示:您可以加入一或多項搜尋條件,或是使用「巢狀查詢」自訂搜尋方式。詳情請參閱「使用巢狀查詢自訂搜尋方式」。 -
按一下「屬性」 選取所需選項。舉例來說,如要篩選特定事件類型,請選取「事件」。
如需完整的屬性清單,請參閱「屬性說明」一節。 - 選取運算子。
- 輸入或從清單選取值。
- (選用) 如要新增更多搜尋條件,請重複以上步驟。
-
按一下「搜尋」。
調查工具會在頁面底部的表格中顯示搜尋結果。 -
(選用) 如要儲存調查項目,請按一下「儲存」圖示
輸入標題和說明 按一下「儲存」。
注意事項
- 在「條件建構工具」分頁中,篩選器會以 AND/OR 運算子表示條件。您也可以在「篩選器」分頁中加入簡單的參數和值組,用來篩選搜尋結果。
- 如果您為使用者設定新名稱,查詢結果中就不會包含與舊名稱相關的事件。舉例來說,如果您將 <舊名稱>@example.com 重新命名為 <新名稱>@example.com,就不會看見與 <舊名稱>@example.com 相關的事件結果。
- 您只能搜尋尚未從「垃圾桶」刪除的郵件資料。
屬性說明
搜尋此資料來源的記錄事件資料時,您可以利用下列屬性設定搜尋條件:
| 屬性 | 說明 |
|---|---|
|
執行者 |
執行動作的使用者,或讓流程代為執行動作的使用者,以電子郵件地址表示。 |
|
事件 |
系統所記錄的事件動作。 例如:
|
|
流程 ID |
流程的 ID。 |
|
流程名稱 |
流程名稱。 |
|
執行作業 ID |
流程的個別執行作業 ID。 |
|
步驟類型 |
步驟類型,可以是下列任一種:
|
|
步驟名稱 |
流程執行的步驟名稱。 |
|
步驟應用程式 |
步驟用來執行工作的應用程式,例如 Gmail、Chat 或已連結的第三方服務。 |
|
執行時長 |
完成執行作業所需的時間 (以秒為單位)。 |
|
執行作業類型 |
執行作業的啟動方式,可能包括:
|
|
關閉原因 |
流程停用的原因:
|
管理記錄事件資料
管理搜尋結果資料欄
您可以控制搜尋結果中要顯示哪些資料欄。
- 按一下搜尋結果表格右上方的「管理資料欄」圖示
。 - (選用) 如要移除目前的資料欄,請按一下「移除」圖示 。
- (選用) 如要新增資料欄,請按一下「新增資料欄」旁邊的向下箭頭
,然後選取資料欄。
視需要重複上述步驟。 - (選用) 如要變更資料欄的順序,請拖曳資料欄名稱。
- 按一下「儲存」。
匯出搜尋結果資料
您可以將搜尋結果匯出為 Google 試算表或 CSV 檔案。
- 按一下搜尋結果表格頂端的「全部匯出」。
- 輸入名稱 按一下「匯出」。
匯出結果會顯示在搜尋結果表格的「匯出動作執行結果」下方。 - 如要查看資料,請按一下匯出項目的名稱。
匯出項目會在試算表中開啟。
匯出上限因情況而異:
- 匯出結果總上限為 100,000 列。
- 如果您使用安全調查工具,匯出結果總上限為 3,000 萬列。
詳情請參閱「匯出搜尋結果」。
多久後可以看到資料?保留時間有多長?
請參閱「資料保留和延遲時間」。
依據搜尋結果採取行動
建立活動規則及設定快訊
- 您可以使用報告規則,根據記錄事件資料設定快訊。如需操作說明,請參閱「建立及管理報告規則」。
-
支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。
版本比較
為了有效預防、偵測及修正安全問題,您可以建立「活動規則」,讓安全調查工具依此自動採取行動及傳送快訊。設定規則時,您需要先決定觸發條件,再指定符合條件時要執行的動作。詳情請參閱「建立及管理活動規則」。
依據搜尋結果採取行動
支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較
使用安全調查工具執行搜尋後,您可以對搜尋結果採取行動,舉例來說,您可以根據 Gmail 記錄事件執行搜尋,然後透過工具刪除特定郵件、將郵件傳送至隔離區,或將郵件傳送至使用者的收件匣。詳情請參閱「根據搜尋結果執行動作」。
管理調查項目
支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials Plus;Cloud Identity 進階版。 版本比較
查看調查清單
如要查看調查清單,包括您擁有和與您共用的調查項目,請按一下「查看調查」圖示 
。這份清單會列出調查項目的名稱、說明、擁有者和上次修改日期。
您可以在清單中對自己擁有的調查項目執行動作 (例如刪除調查項目),方法是勾選該項目旁邊的方塊,然後按一下「動作」。
注意:您可以在「快速存取」下方 (調查清單正上方) 查看已儲存的調查項目。
設定調查項目
超級管理員可以點選「設定」圖示 
執行下列操作:
- 變更調查項目的時區。搜尋條件和結果會套用這項時區設定。
- 開啟或關閉「需要審查者」。詳情請參閱「要求為大量動作指派審查者」。
- 開啟或關閉「查看內容」。這項設定可讓具備適當權限的管理員查看內容。
- 開啟或關閉「啟用動作執行理由」。
詳情請參閱「配置調查設定」。
儲存、共用、刪除及複製調查項目
如要儲存搜尋條件或與他人共用,您可以建立並儲存調查項目,接著即可共用、複製或刪除此類項目。
如需詳細資訊,請參閱「儲存、共用、刪除及複製調查項目」。