Ereignisse in Aktionsprotokollen für Administratordaten

Je nach Google Workspace-Version haben Sie möglicherweise Zugriff auf das Sicherheits-Prüftool, das erweiterte Funktionen bietet. Super Admins können beispielsweise Sicherheits- und Datenschutzprobleme erkennen und beurteilen sowie Maßnahmen ergreifen. Weitere Informationen

Als Administrator Ihrer Organisation können Sie nach Ereignissen in Aktionsprotokollen für Administratordaten suchen und bei Sicherheitsproblemen entsprechende Maßnahmen ergreifen. Sie können sich eine Liste der Aktionen ansehen, die in der Admin-Konsole oder in der Reports API des Google Workspace Admin SDK ausgeführt wurden, z. B. wenn ein Administrator auf sensible Daten für Ereignisse zugegriffen, sie entfernt und wiederhergestellt hat.

Protokollereignisdaten an Google Cloud weiterleiten

Sie können zulassen, dass die Protokollereignisdaten für Google Cloud freigegeben werden. Wenn Sie die Freigabe aktivieren, werden die Daten an Cloud Logging weitergeleitet. Dort können Sie dann Ihre Protokolle abfragen und aufrufen oder festlegen, wie sie weitergeleitet und gespeichert werden sollen.

Nach Protokollereignissen suchen

(Fortgeschrittene Nutzer) Wenn Sie Abfragen bei einer Suche automatisieren möchten, können Sie stattdessen die Reports API des Admin SDK verwenden. Details finden Sie unter: Reports API – Übersicht.

Ob Sie eine Suche ausführen können, hängt von Ihrer Google-Version, Ihren Administratorberechtigungen und der Datenquelle ab. Sie können eine Suche für alle Nutzer ausführen, unabhängig von ihrer Google Workspace-Version.

Audit- und Prüftool

Sicherheits-Prüftool

Unterstützte Versionen für diese Funktion: Frontline Standard, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Enterprise Essentials Plus, Cloud Identity Premiumversion. Versionen vergleichen

Wenn Sie im Sicherheits-Prüftool eine Suchanfrage ausführen möchten, müssen Sie zuerst eine Datenquelle auswählen. Wählen Sie dann mindestens eine Bedingung aus. Wählen Sie für jede Bedingung ein Attribut, einen Operator und einen Wert aus.

Melden Sie sich mit einem Administratorkonto in Google Admin-Konsole an.
Wenn Sie kein Administratorkonto verwenden, können Sie nicht auf die Admin-Konsole zugreifen.
Gehen Sie zu „Menü“ Sicherheit > Sicherheitscenter > Prüftool.
Hierfür ist die Administratorberechtigung Sicherheitscenter erforderlich.
Klicken Sie auf Datenquelle und wählen Sie Ereignisse in Aktionsprotokollen für Administratordaten aus.
Klicken Sie auf Bedingung hinzufügen.
Tipp: Sie können eine oder mehrere Bedingungen in die Suche einschließen oder Ihre Suche mit verschachtelten Abfragen anpassen. Weitere Informationen finden Sie unter Individuelle Suche mit verschachtelten Abfragen erstellen.
Klicken Sie auf Attributwählen Sie eine Option aus.
Eine vollständige Liste der Attribute finden Sie unten im Abschnitt Attributbeschreibungen.
Wählen Sie einen Operator aus.
Geben Sie einen Wert ein oder wählen Sie einen aus der Drop-down-Liste aus.
Optional: Wiederholen Sie die Schritte 4 bis 7, um weitere Suchbedingungen hinzuzufügen.
Klicken Sie auf Suchen.
Die Suchergebnisse im Prüftool werden unten auf der Seite in einer Tabelle angezeigt.
Optional: Klicken Sie zum Speichern der Prüfung auf Speichern geben Sie einen Titel und eine Beschreibung ein klicken Sie auf Speichern.

Hinweis:

Auf dem Tab Tool zur Bedingungserstellung werden Filter als Bedingungen mit UND- bzw. ODER-Operatoren dargestellt. Auf dem Tab Filter können Sie einfache Parameter- und Wertpaare einschließen, um die Suchergebnisse zu filtern.
Falls Sie einem Nutzer einen neuen Namen gegeben haben, sehen Sie keine Abfrageergebnisse mit dem alten Namen des Nutzers. Wenn Sie beispielsweise AlterName@beispiel.de in NeuerName@beispiel.de ändern, sehen Sie keine Ergebnisse für Ereignisse im Zusammenhang mit AlterName@beispiel.de.

Attributbeschreibungen

Für diese Datenquelle können Sie beim Suchen in Protokollereignisdaten die folgenden Attribute verwenden:

Attribut	Beschreibung
Akteur	E‑Mail-Adresse des Nutzers, der die Aktion ausgeführt hat
Datenquelle für Zielereignis	Die Anwendung, über die auf Daten zugegriffen sowie Daten entfernt oder wiederhergestellt wurden Ein Ereignis kann durch drei Felder eindeutig identifiziert werden: Ereignis-ID Name der Datenquelle Zeitpunkt des Ereignisses
Datum	Datum und Uhrzeit des Ereignisses (in der Standardzeitzone des Browsers)
Ziel-Ereignis-IDs	Ereignis-IDs der Daten, auf die zugegriffen wurde, die entfernt oder wiederhergestellt wurden Ein Ereignis kann durch drei Felder eindeutig identifiziert werden: Ereignis-ID Name der Datenquelle Zeitpunkt des Ereignisses
Suchanfrage	Verwendete Filter in der Abfrage zum Abrufen oder Verarbeiten von Daten
Begründung	Der vom Administrator eingegebene Text, falls für die Aktion eine Begründung erforderlich war
Ziel-Ereignisdatum	Datum, an dem das Zielereignis aufgetreten ist Ein Ereignis kann durch drei Felder eindeutig identifiziert werden: Ereignis-ID Name der Datenquelle Zeitpunkt des Ereignisses