Mit der Activity API können Sie programmgesteuert auf grundlegende Berichtsdaten zugreifen. Wenn das von Ihrer Google Workspace-Version unterstützt wird, lässt sich mit der neuen Reports API auf erweiterte Google Workspace-Berichtsdaten zugreifen.
Wichtig:
- Nicht alle Aktivitäten in Drive werden protokolliert. Eine Liste der Protokolleinträge finden Sie auf dieser Seite unter Protokollierte und nicht protokollierte Ereignisse.
- Informationen dazu, wann Daten verfügbar werden und wie lange sie aufbewahrt werden, finden Sie im Hilfeartikel Datenaufbewahrung und Zeitverzögerungen.
- Die meisten Ereignisse im Audit-Log für Drive werden nur für Dateien protokolliert, deren Eigentümer Nutzer unterstützter Versionen sind. Ausgenommen sind Ereignisse vom Typ „URL-Zugriff“. Sie werden protokolliert, wenn sich der Nutzer, der ein Apps Script-Skript startet, das auf eine URL zugreift, in Ihrer Organisation befindet und eine unterstützte Version hat.
Your access to log events
- Your ability to run a search depends on your Google edition, your administrative privileges, and the data source. You can run a search on all users, regardless of their Google Workspace edition.
- Your Workspace subscription provides access to the log events using either the Audit & investigation tool or the Security center.
- Premium Google Workspace editions (Enterprise Plus, Enterprise Standard, or Education Plus) provide access to the Security Center and the more advanced features of the security investigation tool. The investigation tool enables super admins to identify, triage, and take action on security and privacy issues. For details, see About the security investigation tool.
- All other Google Workspace editions can access the logs using the Audit and Investigation tool. For details, see About the audit and investigation page.
Protokollereignisdaten an Google Cloud weiterleiten
Sie können zulassen, dass die Protokollereignisdaten für Google Cloud freigegeben werden. Wenn Sie die Freigabe aktivieren, werden die Daten an Cloud Logging weitergeleitet. Dort können Sie dann Ihre Protokolle abfragen und aufrufen oder festlegen, wie sie weitergeleitet und gespeichert werden sollen.
Nach Protokollereignissen suchen
Audit and investigation tool
To run a search for log events, first choose a data source. Then choose one or more filters for your search.
-
Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
-
Gehen Sie in der Admin-Konsole zu „Menü“
Berichterstellung
Audit und Prüfung
- Klicken Sie auf Filter hinzufügen und wählen Sie dann ein Attribut aus.
- Wählen Sie im Pop-up-Fenster einen Operator ausOptional: So erstellen Sie mehrere Filter für Ihre Suche:
- Klicken Sie auf Filter hinzufügen und wiederholen Sie Schritt 3.
- Optional: Wenn Sie einen Suchoperator hinzufügen möchten, wählen Sie über Filter hinzufügen die Option UND oder ODER aus.
- (Optional) To create multiple filters for your search, repeat this step.
- (Optional) To add a search operator, above Add a filter, select AND or OR
- Klicken Sie auf Suchen.
-
Hinweis: Auf dem Tab Filter können Sie einfache Parameter- und Wertpaare einschließen, um die Suchergebnisse zu filtern. Sie können auch den Tab Tool zur Bedingungserstellung verwenden, auf dem die Filter als Bedingungen mit AND/OR-Operatoren dargestellt werden.
Security investigation tool
Wenn Sie im Prüftool eine Suchanfrage ausführen möchten, müssen Sie zuerst eine Datenquelle auswählen. Geben Sie dann mindestens eine Bedingung an. Wählen Sie für jede Bedingung ein Attribut, einen Operator und einen Wert aus.
-
Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
-
Gehen Sie in der Admin-Konsole zu „Menü“
Sicherheit
- Click Data source and select Admin log events.
- Klicken Sie auf Bedingung hinzufügen.
Tipp: Sie können eine oder mehrere Bedingungen in die Suche einschließen oder Ihre Suche mit verschachtelten Abfragen anpassen. Weitere Informationen finden Sie unter Individuelle Suche mit verschachtelten Abfragen erstellen. - Klicken Sie auf Attribut
Eine vollständige Liste der Attribute finden Sie unten im Abschnitt Attributbeschreibungen. - Klicken Sie auf Enthält
- Geben Sie einen Wert ein oder wählen Sie einen aus der Drop-down-Liste aus.
- Optional: Wiederholen Sie die Schritte 4 bis 7, um weitere Suchbedingungen hinzuzufügen.
- Klicken Sie auf Suchen.
Die Suchergebnisse im Prüftool werden unten auf der Seite in einer Tabelle angezeigt. - Optional: Klicken Sie zum Speichern der Prüfung auf Speichern
Hinweis:
- Auf dem Tab Tool zur Bedingungserstellung werden Filter als Bedingungen mit UND- bzw. ODER-Operatoren dargestellt. Auf dem Tab Filter können Sie einfache Parameter- und Wertpaare einschließen, um die Suchergebnisse zu filtern.
- Falls Sie einem Nutzer einen neuen Namen gegeben haben, sehen Sie keine Abfrageergebnisse mit dem alten Namen des Nutzers. Wenn Sie beispielsweise AlterName@beispiel.de in NeuerName@beispiel.de ändern, sehen Sie keine Ergebnisse für Ereignisse im Zusammenhang mit AlterName@beispiel.de.
Attributbeschreibungen
Für diese Datenquelle können Sie beim Suchen in Protokollereignisdaten die folgenden Attribute verwenden:
Hinweise:
- Nicht alle Attribute in der folgenden Liste werden für alle Ereignisse gemeldet.
- Die folgende Liste ist nicht vollständig und unterliegt Änderungen. Weitere Informationen zu Drive-Protokollereignissen finden Sie auf der Website Google Workspace Admin SDK im Hilfeartikel zu Drive-Audit-Aktivitätsereignissen.
| Attribut | Beschreibung |
|---|---|
| Akteur | E-Mail-Adresse des Nutzers, der die Aktion ausgeführt hat. Externe Nutzer werden als anonym angezeigt, es sei denn, sie lesen oder bearbeiten ein Dokument, das für sie (als Einzelperson oder Gruppenmitglied) freigegeben ist. |
| ID der Gruppe |
Gruppenname des Akteurs Weitere Informationen finden Sie im Hilfeartikel Ergebnisse nach Google Groups-Gruppe filtern. So fügen Sie der Zulassungsliste Ihrer Filtergruppen eine Gruppe hinzu:
|
| Organisationseinheit des Akteurs | Organisationseinheit des Akteurs |
| API-Methode | Bei den Aktionen Herunterladen und Artikelinhalte aufgerufen, die über eine Drittanbieter-App erfolgen, die von der Aktion verwendete API-Methode. Beispiel: drive.files.export. |
| App-ID | OAuth-Client-ID der Drittanbieter-App, die die Aktion ausgeführt hat |
| Name der App bzw. Anwendung | Die App, die die Aktion ausgeführt hat |
| Zielgruppe | Zieldomain für den Fall, dass das Audit-Log eine Änderung der Sichtbarkeit betrifft |
| Abrechenbar | Nur Essentials: Gibt an, ob die Nutzeraktion kostenpflichtig ist |
| Datum |
Datum und Uhrzeit des Ereignisses, angezeigt in der Standardzeitzone des Browsers. Hinweis: Die meisten Ereignisse werden protokolliert, wenn sie abgeschlossen sind. Manchmal kann es länger dauern, bis umfangreiche Uploads protokolliert werden. |
| Dokument-ID |
Eindeutiger Bezeichner einer Drive-Datei, die mit der Aktivität verknüpft ist, so wie im URL-Link der Datei gespeichert Hinweis: Bei Ereignissen vom Typ URL-Zugriff werden die Dokument-ID und andere dateibezogene Felder wie „Dokumenttyp“ und „Eigentümer“ nur für bestimmte Aktionen gemeldet. Weitere Informationen finden Sie auf dieser Seite im Artikel über die URL, auf die zugegriffen wurde. |
| Dokumenttyp | Das bei der Aktion verwendete Dateiformat, z. B. Google Docs, Google Tabellen, Google Präsentationen, JPEG, PDF, PNG, MP4, Microsoft Word, Excel, PowerPoint, TXT, HTML, MPEG-Audio, QuickTime-Video, Ordner oder geteilte Ablagen |
| Domain* | Die Domain, in der die Aktion stattgefunden hat |
| Verschlüsselt* | Ob die Datei clientseitig verschlüsselt ist |
| Ereignisname |
Vom Nutzer initiierte Ereignisse wie Ansehen, Umbenennen, Erstellen, Bearbeiten, Drucken Löschen, Hochladen und Herunterladen. Die meisten Aktionen werden sofort protokolliert. Bei Druckereignissen aus dem Drive-Viewer kann es allerdings zwölf Stunden oder länger dauern. Dateien, die automatisch von Google Drive oder aus dem Papierkorb gelöscht werden, werden protokolliert. Andere Ereignisse wie das Hochladen einer Datei werden protokolliert, sobald sie abgeschlossen sind. |
| IP-Adresse* |
Adresse, von der aus der Nutzer die Aktivität durchführt. Diese kann sowohl für den Standort eines Nutzers als auch für andere Dinge stehen, z. B. einen Proxyserver oder die Adresse eines virtuellen privaten Netzwerks (Virtual Private Network, VPN). In folgenden Fällen wird keine IP-Adresse protokolliert:
|
| Neuer Wert für Sichtbarkeit der Veröffentlichung | Neue Sichtbarkeit des Dokuments |
| Neuer Wert* | Neuer Wert der geänderten Einstellung |
| IDs des neuen Werts* | Neuer Wert des Labelfelds |
| Alter Wert für Sichtbarkeit der Veröffentlichung | Alte Sichtbarkeit des Dokuments, wenn es sich bei der Aktivität um eine Änderung der Sichtbarkeit handelt |
| Alter Wert* | Alter Wert der geänderten Einstellung |
| IDs des alten Werts* | Alter Wert des Labelfelds |
| Inhaber |
Nutzer, dem die Datei gehört |
| Bisherige Sichtbarkeit | Bisherige Sichtbarkeit des Dokuments, falls die Sichtbarkeit geändert wird |
| Empfänger* | E-Mail-Adressen der Empfänger |
| ID der geteilten Ablage | Die Drive-ID der geteilten Ablage, die die Datei enthält. Befindet sich die Datei nicht in einer geteilten Ablage, enthält dieses Feld keine Werte. |
| Ziel | Nutzer, dessen Zugriff geändert wird |
| Titel | Titel des Dokuments |
| Sichtbarkeit | Sichtbarkeit der mit der Aktivität verknüpften Drive-Datei |
| Sichtbarkeit ändern | Sichtbarkeit des Drive-Elements vor der Aktivität |
| Besucher | Ja bedeutet, dass die Aktivität von einem Nutzer ohne Google-Konto stammt. Nein bedeutet, dass die Aktivität von einem Google-Nutzer stammt. Weitere Informationen finden Sie im Artikel Dokumente für Besucher freigeben. |
Hinweis: Wenn Sie einem Nutzer einen neuen Namen gegeben haben, sehen Sie keine Abfrageergebnisse mit dem alten Namen des Nutzers. Wenn Sie beispielsweise AlterName@beispiel.de in NeuerName@beispiel.de ändern, sehen Sie keine Ergebnisse für Ereignisse im Zusammenhang mit AlterName@beispiel.de.
Dateien ansehen, die außerhalb einer Domain freigegeben wurden
So rufen Sie Dateien auf, die für Nutzer außerhalb einer Domain freigegeben wurden:
Audit- und Prüfseite
- Öffnen Sie die Protokollereignisse wie oben unter Auf Drive-Protokollereignisdaten zugreifen beschrieben.
- Klicken Sie auf Filter hinzufügen
- Klicken Sie auf Suchen.
Wenn Sie die externe Freigabe deaktivieren und ein Nutzer eine Ressource für eine Gruppe freigibt, in der externe Nutzer erlaubt sind, werden die Daten im Audit-Log als Extern freigegeben markiert, auch wenn die Gruppe keine externen Nutzer enthält. Externe Nutzer in der Gruppe können jedoch nicht auf die freigegebene Ressource zugreifen.
Sicherheits-Prüftool
-
Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
-
Gehen Sie in der Admin-Konsole zu „Menü“
- Klicken Sie auf Datenquelle
- Klicken Sie auf Bedingung hinzufügen.
- Klicken Sie auf Attribut
- Klicken Sie auf Enthält
- Klicken Sie auf Sichtbarkeit
- Klicken Sie auf Suchen.
Die Suchergebnisse im Prüftool werden unten auf der Seite in einer Tabelle angezeigt.
Wenn Sie die externe Freigabe deaktivieren und ein Nutzer eine Ressource für eine Gruppe freigibt, in der externe Nutzer erlaubt sind, werden die Daten im Audit-Log als Extern freigegeben markiert. Externe Nutzer in der Gruppe können jedoch nicht auf die freigegebene Ressource zugreifen. Sie sehen diese Information auch dann, wenn die Gruppe keine externen Nutzer hat.
Protokollierte und nicht protokollierte Ereignisse
Löschen
Dateien, die automatisch von Google Drive oder aus dem Papierkorb gelöscht werden, werden protokolliert.
Kopieren
Beim Kopieren einer Datei werden die Ereignisse Erstellen und Kopieren für die neue Datei protokolliert. Für die Originaldatei wird ein Ausgangstext-Ereignis protokolliert.
Wenn ein Nutzer außerhalb Ihrer Organisation eine Datei an einen externen Speicherort kopiert, werden die Ereignisse Erstellen und Kopieren in Ihrer Organisation nicht protokolliert, da die neue Datei extern ist. Ihre Logs enthalten jedoch das Ausgangstext-Ereignis in der Originaldatei mit dem Kopiertyp Extern. Wenn Sie wissen möchten, wann Daten aus Ihrer Organisation kopiert werden, können Sie Ereignisse vom Typ Ausgangstext mit dem Kopiertyp Extern überprüfen.
Ereignisse vom Typ Drucken werden nicht aufgezeichnet, wenn ein Nutzer eine Datei druckt, die in einem Google-Dateiformat (Docs, Tabellen, Präsentationen, Zeichnungen oder Formulare) geöffnet wurde.
Wenn Sie Dateien mit der Drive-App von einem Apple iPhone und iPad oder Android-Gerät drucken, werden Druckereignisse möglicherweise als Downloadereignisse protokolliert.
Download
Die meisten Downloads werden protokolliert, auch wenn Dateien mit Google Drive for Desktop zwischen Drive und einem lokalen Gerät kopiert werden.
Einige Aktionen vom Typ Ansehen werden als Downloads protokolliert:
- Die Vorschau auf eine Datei in der Drive App auf einem Mobilgerät wird als Ereignis vom Typ Download protokolliert.
- Das Ansehen in der Vorschau von Dateien wie PDFs, die nicht direkt in Google Docs oder einer anderen Google App geöffnet werden können, wird als Ereignis vom Typ Download protokolliert.
Downloads aus den folgenden Quellen werden nicht protokolliert:
- Google Datenexport: Suchen Sie stattdessen nach Protokollereignisse für den Datenexport.
- Downloads in Offline-Browser-Caches
- Fotos, die mit Google Fotos synchronisiert, daraus heruntergeladen oder dort angesehen werden
- Drive-Dateien, die als E-Mail-Anhänge gesendet und über den E-Mail-Client des Empfängers heruntergeladen werden
Zugriff auf Elementinhalt
Auf Dateien kann im Namen der Nutzer über eine App zugegriffen werden, die eine Google Workspace API verwendet, z. B. die Google Drive API oder die Google Sheets API. Diese Aktionen werden nicht als Ereignisse vom Typ Download oder Aufruf protokolliert, sondern nur als Elementinhalt, auf den zugegriffen wurde.
Ereignisse für den Zugriff auf Elementinhalte werden nicht protokolliert, wenn ein Nutzer in Drive für das Web, in der mobilen Drive App oder in der Drive for Desktop App eine Datei aufruft oder öffnet.
Ansicht
- Das Ansehen von Dateien mit /htmlview, /embed, /revisions und anderen speziellen URLs wird jetzt als Ereignis vom Typ Ansehen protokolliert.
URL wurde aufgerufen
URL wurde aufgerufen Ereignisse werden protokolliert, wenn ein Apps Script-Skript auf eine URL zugreift, auch wenn das Skript über das Apps Script-Dashboard, als Add-on oder als benutzerdefinierte Funktion in Google Tabellen ausgeführt wird. Ereignisse vom Typ URL-Zugriff werden nicht protokolliert, wenn ein Nutzer auf einen Link in einer Datei klickt.
Welche Attribute gemeldet werden, hängt davon ab, wie das Skript ausgeführt wurde und wer der Inhaber ist:
- Wenn ein Skript als benutzerdefinierte Funktion ausgeführt wird, geben die Dokument-ID und andere dokumentbezogene Attribute das Tabellenblatt an, in dem die Funktion aufgerufen wurde.
- Wenn ein Script nicht als benutzerdefinierte Funktion ausgeführt wird, werden dokumentbezogene Attribute nicht gemeldet.
- Die Skript-ID wird gemeldet, wenn das Apps Script-Skript Ihrer Organisation gehört.
Import-URL für Google Tabellen
Der Aufruf einer Importfunktion für Google Tabellen, die auf eine URL zugreift, wird als Ereignis vom Typ Import-URL für Google Tabellen protokolliert. Ein Ereignis wird protokolliert, wenn der Inhalt des Tabellenblatts durch eine automatische Aktualisierung geändert wird oder wenn ein Nutzer das Tabellenblatt öffnet.
Termine, die externe Domains umfassen
Zu einigen Ereignissen gehören Nutzer, freigegebene Ordner oder geteilte Ablagen außerhalb Ihrer Organisation, z. B. wenn ein Nutzer in Ihrer Organisation eine Datei für einen externen Nutzer freigibt. Beide Organisationen protokollieren ein Ereignis, wenn die Eigentümerschaft des Elements von einer Organisation auf eine andere übertragen wird.
Beispiele für Ereignisse, die von beiden protokolliert werden:
- Ein Drive-Element, das einem Nutzer in Ihrer Organisation gehört, wird in eine externe geteilte Ablage verschoben.
- Ein Drive-Element, das einem Nutzer außerhalb Ihrer Organisation gehört, wird in eine geteilte Ablage Ihrer Organisation verschoben.
- Ein Nutzer kopiert eine Datei in oder aus Ihrer Organisation. Die Empfängerorganisation protokolliert den Namen der kopierten Datei, nicht den ursprünglichen Dateinamen.
Beispiele für Ereignisse, die von Ihrer Organisation, aber nicht von der externen Domain protokolliert wurden:
- Ein Drive-Element, das einem Nutzer in Ihrer Organisation gehört, wird für einen externen Nutzer freigegeben.
- Ein Drive-Element, das einem Nutzer in Ihrer Organisation gehört, wird für eine Gruppe freigegeben, die externe Nutzer zulässt, auch wenn keine externen Nutzer der Gruppe angehören.
- Ein externer Nutzer kann ein Google Drive-Element Ihrer Organisation ansehen, bearbeiten, herunterladen, drucken oder löschen.
- Ein externer Nutzer lädt eine Datei in eine geteilte Ablage Ihrer Organisation hoch.
Ereignisse, die von der externen Domain, aber nicht von Ihrer Organisation protokolliert werden, sind die Umkehrung des vorherigen Abschnitts.
Anonyme und externe Nutzer
Bei anonymen Nutzern, also Nutzern, die nicht in einem Google-Konto angemeldet sind, werden Änderungen protokolliert, Aufrufe und Downloads jedoch nicht.
Aktionen, die von Nutzern außerhalb der Domain ausgeführt werden, werden als anonym angezeigt, es sei denn, das Element wurde explizit an sie (als Einzelperson oder als Teil einer bestimmten Gruppe) freigegeben.
Der anonyme und externe Zugriff kann durch Administratoren durch Festlegen von Freigaberichtlinien für die Organisation oder von Richtlinien für Vertrauensregeln eingeschränkt werden.
Drive for Desktop
Beim Kopieren von Dateien mit Google Drive für den Desktop zwischen Drive und einem lokalen Gerät werden Ereignisse vom Typ Download protokolliert.
Protokollereignisdaten verwalten
Daten der Suchergebnisspalte verwalten
Sie können festlegen, welche Datenspalten in Ihren Suchergebnissen angezeigt werden.
- In der Suchergebnistabelle klicken Sie hierfür rechts oben auf „Spalten verwalten“
.
- Optional: Um aktuelle Spalten zu entfernen, klicken Sie auf „Entfernen“
.
- Optional: Um Spalten hinzuzufügen, klicken Sie neben Neue Spalte hinzufügen auf den Drop-down-Pfeil
und wählen Sie dann die Datenspalte aus.
Wiederholen Sie diese Schritte bei Bedarf für alle Suchabfragen. - Optional: Um die Reihenfolge der Spalten zu ändern, klicken Sie sie an den Datenspaltennamen an und ziehen sie an die gewünschte Stelle.
- Klicken Sie auf Speichern.
Suchergebnisdaten exportieren
- Klicken Sie oben in der Tabelle mit den Suchergebnissen auf Alle exportieren.
- Geben Sie einen Namen ein
Die Exportieren-Schaltfläche finden Sie unter der Suchergebnistabelle unter Aktivitätenergebnisse exportieren. - Klicken Sie auf den Namen des Exports, um sich die Daten anzusehen.
Die exportierten Daten werden in Google Tabellen geöffnet.
Regeln für die Berichterstellung erstellen
Informationen zu Regeln für die Berichterstellung erstellen und verwalten
Wann und wie lange sind Daten verfügbar?
Informationen zu Datenaufbewahrung und Zeitverzögerungen
Auf Grundlage von Suchergebnissen Aktionen durchführen
Auf Grundlage der Suchergebnisse Aktionen ausführen
Nachdem Sie im Prüftool eine Suche ausgeführt haben, können Sie Aktionen auf die Suchergebnisse anwenden. Beispiel: Wenn Sie in den Gmail-Protokollereignissen suchen, können Sie anschließend mit dem Prüftool bestimmte Nachrichten löschen, unter Quarantäne stellen oder an die Posteingänge von Nutzern senden. Weitere Informationen dazu finden Sie im Hilfeartikel Auf Grundlage von Suchergebnissen Aktionen durchführen.
Aktivitätsregeln erstellen und Benachrichtigungen einrichten
Um Sicherheitsprobleme effizient zu verhindern, zu erkennen und zu beheben, können Sie Aktionen im Prüftool automatisieren und Benachrichtigungen einrichten. Dazu erstellen Sie Aktivitätsregeln. Sie richten Bedingungen für eine Regel ein und geben dann an, welche Aktionen ausgeführt werden sollen, wenn die Bedingungen erfüllt sind. Weitere Informationen und eine Anleitung finden Sie im Hilfeartikel Aktivitätsregeln mit dem Prüftool erstellen.
Prüfungen verwalten
Prüfungsliste aufrufenWenn Sie eine Liste der Prüfungen aufrufen möchten, deren Inhaber Sie sind und die für Sie freigegeben wurden, klicken Sie auf „Prüfungen ansehen“ . Die Liste enthält die Namen, Beschreibungen und Inhaber der Prüfungen sowie das Datum der letzten Änderung.
Dort können Sie Aktionen für alle Prüfungen ausführen, deren Inhaber Sie sind, z. B. Prüfungen löschen. Klicken Sie einfach auf das Kästchen neben einer Prüfung und dann auf Aktionen.
Hinweis: Die zuletzt gespeicherten Prüfungen können Sie unter Schnellzugriff direkt über der Liste aufrufen.
Klicken Sie als Super Admin auf „Einstellungen“ , um Folgendes zu tun:
- Die Zeitzone für Ihre Prüfungen ändern. Sie gilt für Suchbedingungen und ‑ergebnisse.
- Die Option Prüfer erforderlich aktivieren oder deaktivieren. Weitere Informationen finden Sie im Hilfeartikel Prüfer für Bulk-Aktionen anfordern.
- Die Option Inhalt ansehen aktivieren oder deaktivieren. Mit dieser Einstellung können sich Administratoren mit den entsprechenden Berechtigungen Inhalte ansehen.
- Die Option Begründung für die Aktion aktivieren aktivieren oder deaktivieren.
Eine Anleitung und weitere Informationen finden Sie im Hilfeartikel Einstellungen für Prüfungen konfigurieren.
Sie können festlegen, welche Datenspalten in Ihren Suchergebnissen angezeigt werden.
- Klicken Sie rechts oben in der Tabelle der Suchergebnisse auf „Spalten verwalten“
- Optional: Um aktuelle Spalten zu entfernen, klicken Sie auf „Element entfernen“
- Optional: Wenn Sie Spalten hinzufügen möchten, klicken Sie neben „Neue Spalte hinzufügen“ auf den Drop-down-Pfeil
Wiederholen Sie die Schritte je nach Bedarf. - Optional: Wenn Sie die Reihenfolge der Spalten ändern möchten, ziehen Sie den Spaltennamen an die gewünschte Stelle.
- Klicken Sie auf Speichern.
- Klicken Sie oben in der Tabelle mit den Suchergebnissen auf Alle exportieren.
- Geben Sie einen Namen ein
Der Export wird unter der Suchergebnistabelle unter Ergebnisse der Export-Aktion angezeigt. - Klicken Sie auf den Namen des Exports, um sich die Daten anzusehen.
Der Export wird in Google Tabellen geöffnet.
Beim Aufrufen der exportierten Suchergebnisse sollten Sie Folgendes beachten:
- Nachdem Sie oben in der Tabelle auf Alle exportieren geklickt haben, wird im Ordner „Meine Ablage“ eine Google-Tabelle mit den Suchergebnissen erstellt. Je nach Größe der Ergebnisse kann der Vorgang einige Zeit in Anspruch nehmen. Gegebenenfalls werden auch mehrere Google-Tabellen erstellt. Insgesamt können nur 30 Millionen Zeilen exportiert werden, bei Suchen nach Gmail-Nachrichten sind es nur 1,25 Millionen.
- Während des Exports werden Google-Tabellen mit einem temporären Namen erstellt, z. B. TMP-1-<title>. Wenn mehrere Google-Tabellen erstellt werden, werden die weiteren Dateien mit TMP-2-<title>, TMP-3-<title> und so weiter bezeichnet. Ist der Vorgang abgeschlossen, werden die Dateien automatisch so umbenannt: <Titel> [1 of N], <Titel> [2 of N] usw. Wenn die Daten in nur eine Google-Tabelle exportiert wurden, wird sie in <title> umbenannt.
- Die Freigabeberechtigungen für Dateien mit den exportierten Suchergebnissen richten sich nach Ihrer Domainkonfiguration. Wenn erstellte Dateien z. B. standardmäßig für alle Nutzer im Unternehmen freigegeben werden, haben die exportierten Daten dieselbe Sichtbarkeit.
Wenn Sie Ihre Suchkriterien speichern oder sie mit anderen teilen möchten, können Sie eine Prüfung erstellen und speichern und sie dann freigeben, duplizieren oder löschen.
Weitere Informationen finden Sie unter Prüfungen speichern, freigeben, löschen und duplizieren.
Weitere Informationen zu Datenquellen finden Sie unter Datenaufbewahrung und Zeitverzögerungen.
Prüfungen verwalten
Requires a Premium-Google Workspace-Version (Enterprise Standard, Enterprise Plus oder Education Plus)
View your list of investigationsTo view a list of the investigations that you own and that were shared with you, click View investigations. The investigation list includes the names, descriptions, and owners of the investigations, and the date last modified.
From this list, you can take action on any investigations that you own—for example, to delete an investigation. Check the box for an investigation, and then click Actions.
Note: Directly above your list of investigations, under Quick access, you can view recently saved investigations.
As a super administrator, click Settings to :
- Change the time zone for your investigations. The time zone applies to search conditions and results.
- Turn on or off Require reviewer. For more details, go to Require reviewers for bulk actions.
- Turn on or off View content. This setting allows admins with the appropriate privileges to view content.
- Turn on or off Enable action justification.
For instructions and details, go to Configure settings for your investigations.
To save your search criteria or share it with others, you can create and save an investigation, and then share, duplicate, or delete it.
For details, go to Save, share, delete, and duplicate investigations.