Vault-Protokollereignisse

Vault-Nutzeraktivitäten ansehen

Je nach Google Workspace-Version haben Sie möglicherweise Zugriff auf das Sicherheits-Prüftool, das erweiterte Funktionen bietet. Super Admins können beispielsweise Sicherheits- und Datenschutzprobleme erkennen und beurteilen sowie Maßnahmen ergreifen. Weitere Informationen

Sie benötigen eine Vault-Add-on-Lizenz, um diese Funktion verwenden zu können. Weitere Informationen finden Sie im Hilfeartikel Vault-Lizenzen für Ihre Organisation kaufen.

Als Administrator Ihrer Organisation können Sie nach Vault-Protokollereignissen suchen und anhand der Suche Aktionen ausführen. Sie können sich beispielsweise eine Liste der Aktionen ansehen, die in der Vault-Konsole ausgeführt wurden, z. B. welche Nutzer Aufbewahrungsregeln bearbeitet oder Exportdateien heruntergeladen haben.

Nach Protokollereignissen suchen

Ob Sie eine Suche ausführen können, hängt von Ihrer Google-Version, Ihren Administratorberechtigungen und der Datenquelle ab. Sie können eine Suche für alle Nutzer ausführen, unabhängig von ihrer Google Workspace-Version.

Audit- und Prüftool

Sicherheits-Prüftool

Unterstützte Versionen für diese Funktion: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premiumversion. Versionen vergleichen

Wenn Sie im Sicherheits-Prüftool eine Suchanfrage ausführen möchten, müssen Sie zuerst eine Datenquelle auswählen. Wählen Sie dann mindestens eine Bedingung aus. Wählen Sie für jede Bedingung ein Attribut, einen Operator und einen Wert aus.

Melden Sie sich mit einem Administratorkonto in Google Admin-Konsole an.
Wenn Sie kein Administratorkonto verwenden, können Sie nicht auf die Admin-Konsole zugreifen.
Gehen Sie zu „Menü“ Sicherheit > Sicherheitscenter > Prüftool.
Hierfür ist die Administratorberechtigung Sicherheitscenter erforderlich.
Klicken Sie auf Datenquelle und wählen Sie Vault-Protokollereignisse aus.
Klicken Sie auf Bedingung hinzufügen.
Tipp: Sie können eine oder mehrere Bedingungen in die Suche einschließen oder Ihre Suche mit verschachtelten Abfragen anpassen. Weitere Informationen finden Sie unter Individuelle Suche mit verschachtelten Abfragen erstellen.
Klicken Sie auf Attributwählen Sie eine Option aus.
Eine vollständige Liste der Attribute finden Sie unten im Abschnitt Attributbeschreibungen.
Wählen Sie einen Operator aus.
Geben Sie einen Wert ein oder wählen Sie einen aus der Drop-down-Liste aus.
Optional: Wiederholen Sie die Schritte 4 bis 7, um weitere Suchbedingungen hinzuzufügen.
Klicken Sie auf Suchen.
Die Suchergebnisse im Prüftool werden unten auf der Seite in einer Tabelle angezeigt.
Optional: Klicken Sie zum Speichern der Prüfung auf Speichern geben Sie einen Titel und eine Beschreibung ein klicken Sie auf Speichern.

Hinweis:

Auf dem Tab Tool zur Bedingungserstellung werden Filter als Bedingungen mit UND- bzw. ODER-Operatoren dargestellt. Auf dem Tab Filter können Sie einfache Parameter- und Wertpaare einschließen, um die Suchergebnisse zu filtern.
Falls Sie einem Nutzer einen neuen Namen gegeben haben, sehen Sie keine Abfrageergebnisse mit dem alten Namen des Nutzers. Wenn Sie beispielsweise AlterName@beispiel.de in NeuerName@beispiel.de ändern, sehen Sie keine Ergebnisse für Ereignisse im Zusammenhang mit AlterName@beispiel.de.

Suchanfrage in der Vault-Konsole ausführen

Abschnitt öffnen | Alle minimieren und nach oben

Nach Vault-Protokollereignissen suchen

Aktivitäten für eine Rechtsangelegenheit prüfen

Attributbeschreibungen

Für diese Datenquelle können Sie beim Suchen in Protokollereignisdaten die folgenden Attribute verwenden:

Attribut	Beschreibung
Akteur	E-Mail-Adresse des Nutzers, der die Aktion ausgeführt hat
Weitere Informationen	Enthält zusätzliche Nutzlastdetails wie Aufbewahrungsdauer und Bedingungen
Datum	Datum und Uhrzeit des Ereignisses, angezeigt in der Standardzeitzone des Browsers.
Ereignis	Die protokollierte Ereignisaktion, z. B. Prüfung ansehen, Externes Dokument ansehen oder Mitbearbeiter hinzufügen, Beginn
ID der Rechtsangelegenheit	ID der Rechtsangelegenheit. Diese ID ist nicht für alle Ereignisse verfügbar, sondern für Ereignisse, die zu einer Rechtsangelegenheit gehören.
Name der Organisationseinheit	Der Name der Organisationseinheit, für die die Aktion gilt.
Abfrage	Die Suchparameter, die der Nutzer für eine bestimmte Suche eingegeben hat
Ressourcenname	Der Ressourcenname der Aktion, z. B. der Hold-Name oder der Name der gespeicherten Abfrage
Ressourcen-URL	Die URL eines Dokuments, das der Nutzer aufgerufen hat
Zielnutzer	E-Mail-Adresse des Zielnutzers, z. B. eines Nutzers, der auf „Hold“ gesetzt wurde

Hinweis: Wenn Sie einem Nutzer einen neuen Namen gegeben haben, sehen Sie keine Abfrageergebnisse mit dem alten Namen des Nutzers. Wenn Sie beispielsweise AlterName@beispiel.de in NeuerName@beispiel.de ändern, sehen Sie keine Ergebnisse für Ereignisse im Zusammenhang mit AlterName@beispiel.de.

Vault-Protokollereignisse

Nach Protokollereignissen suchen

Suchanfrage in der Vault-Konsole ausführen

Attributbeschreibungen

Protokollereignisdaten verwalten

Daten der Suchergebnisspalte verwalten

Suchergebnisdaten exportieren

Wann und wie lange sind Daten verfügbar?

Prüfungen verwalten

Weitere Informationen zum Sicherheitscenter

War das hilfreich?

Benötigen Sie weitere Hilfe?

Mögliche weitere Schritte:

Was ist das Problem an dieser Auswahl?

Zusätzliche Informationen oder Vorschläge freigeben