Suchergebnisse im Prüftool aufrufen

Diese Funktion ist in G Suite Enterprise, G Suite Enterprise for Education, G Suite Enterprise Essentials und der Cloud Identity Premiumversion verfügbar.

Die Suchergebnisse werden im Prüftool unten auf der Suchkarte in einer Tabelle angezeigt.

Hinweis: Welche Protokolle verfügbar sind, hängt von der verwendeten G Suite-Version ab.

Geräteprotokollereignisse

Die Suchergebnisse für Geräteprotokollereignisse umfassen die folgenden Informationen:

  • Datum und Uhrzeit des Ereignisses
  • Geräte-ID
  • Ereignis
  • Geräteeigentümer
  • Gerätetyp
  • Gerätemodell
  • Falsche Passworteingaben
  • Manipulationsstatus des Geräts
  • Compliancestatus des Geräts
  • Geräteeigenschaft
  • Geräteeinstellung
  • SHA-256-Hash der Anwendung
  • Anwendungs-ID
  • Anwendungsstatus
  • Neuer Wert
  • Neue Geräte-ID
  • Ressourcen-ID
  • Seriennummer
  • iOS-Anbieter-ID
  • Domain
  • Kontostatus
  • Registrierberechtigung
  • Geräteeigentümerschaft
  • Alter Wert
  • Eigenschaft des Betriebssystems

Geräte

Die Suchergebnisse für Geräte umfassen die folgenden Informationen:

  • Geräte-ID
  • Geräteeigentümer
  • Gerätetyp
  • Gerätemodell
  • Status
  • Datum der letzten Synchronisierung
  • Manipulationsstatus des Geräts
  • Passwortstatus
  • Verwaltungstyp
  • Datum des Sicherheitspatches
  • Registrierungsdatum
  • Mobilfunkanbieter

Drive-Protokollereignisse

Die Suchergebnisse für Drive-Protokollereignisse umfassen die folgenden Informationen:

  • Datum und Uhrzeit des Drive-Ereignisses, z. B. Änderungen an der Dateifreigabe
  • Dokument-ID
  • Titel
  • Dokumenttyp
  • Bisherige Sichtbarkeit
  • Sichtbarkeit
  • Ereignis
  • Akteur, z. B. ein Nutzer, der die Sichtbarkeit des Dokuments geändert hat
  • Eigentümer
  • Ziel
  • IP-Adresse
  • Alter Wert
  • Neuer Wert
  • Domain

Gmail-Protokollereignisse

Die Suchergebnisse für Gmail-Protokollereignisse umfassen die folgenden Informationen:

  • Datum und Uhrzeit des Ereignisses
  • Nachrichten-ID
  • Betreff
  • Ereignis

    Die Suchergebnisse umfassen die folgenden Ereignisse:
    • Administratorquarantäne
    • Anhang heruntergeladen
    • Auf Anhangslink geklickt
    • Anhang in Drive gespeichert
    • Automatisch weitergeleitet
    • Drive-Element in Drive gespeichert
    • Spät als Spam klassifiziert
    • Auf Link geklickt
    • Als ungelesen markiert
    • Aus dem Papierkorb verschoben
    • In Posteingang verschoben
    • In Papierkorb verschoben
    • Geöffnet
    • Empfangen
    • Aus Quarantäne freigegeben
    • Beantwortet
    • Gesendet
    • Vom Nutzer als Spam klassifiziert
       
  • Von (Header-Adresse)
  • Von (Envelope)
  • An (Envelope)
  • Eigentümer
  • Domain
  • Anhangs-Hashes
  • Namen der Anhänge
  • Malwarefamilien der Anhänge
  • IP-Adresse
  • Von (Header-Name)
  • Link-Domains
  • SPF-Domains
  • DKIM-Domains
  • Zugriffsquelle
  • Spamklassifizierung
  • Grund für die Spamklassifizierung
  • Standortbestimmung
  • OAuth-Projekt-ID
  • Ziellink-URL
  • Hash des Zielanhangs
  • Name des Zielanhangs
  • Malwarefamilie des Zielanhangs
  • ID der Zielablage

Hinweis: Wenn es in Ihrer Organisation Beschränkungen für Datenspeicherorte gibt, können Sie mit dem Prüftool keine betreffspezifischen Suchanfragen für Gmail-Protokollereignisse ausführen. Die Spalte Betreff bleibt in den Suchergebnissen dann leer.

Gmail-Nachrichten

Die Suchergebnisse für Gmail-Nachrichten enthalten die folgenden Informationen:

  • Nachrichten-ID
  • Eigentümer
  • Betreff
  • Datum
  • Absender
  • Empfänger
  • Label
  • Name des Anhangs

Nutzer-Protokollereignisse

Verfügbar für Betakunden von G Suite Enterprise, G Suite Essentials und der Cloud Identity Premiumversion

Die Suchergebnisse für Nutzer-Protokollereignisse umfassen die folgenden Informationen:

  • Anmeldung erfolgreich
  • Fehler bei der Anmeldung
  • Abmeldung
  • Identitätsbestätigung
  • Anmeldebestätigung
  • Verdächtige Anmeldung
  • Verdächtige Anmeldung über eine weniger sichere App
  • Verdächtige Anmeldung über ein Programm
  • Das Konto wurde deaktiviert.
  • Das Konto wurde deaktiviert, weil Google festgestellt hat, dass jemand anders das Passwort kennt.
  • Das Konto wurde deaktiviert, weil Google verdächtige Aktivitäten erkannt hat und das Konto möglicherweise manipuliert wurde.
  • Das Konto wurde deaktiviert, weil Google festgestellt hat, dass es für Spam verwendet wurde.
  • Das Konto wurde deaktiviert, weil Google festgestellt hat, dass es für Spam über einen SMTP-Relay-Dienst verwendet wurde.

Nutzer

Die Suchergebnisse für Nutzer umfassen die folgenden Informationen:

  • Primäre E-Mail-Adresse
  • Andere E-Mail-Adressen
  • Vorname
  • Nachname
  • Letzte Anmeldung
  • Super Admin
  • Delegierter Administrator
  • Bestätigung in zwei Schritten eingerichtet
  • Bestätigung in zwei Schritten für Organisation erzwungen
  • Gesperrte ID
  • Passwort bei der Anmeldung ändern
  • Postfach eingerichtet

Spaltenansicht in den Suchergebnissen verwalten

Klicken Sie rechts oben in der Tabelle der Suchergebnisse auf das Zahnrad. Anschließend können Sie festlegen, wie die Spalten in den Suchergebnissen angezeigt werden sollen. Im Fenster Spalten verwalten lassen sich Spalten hinzufügen oder löschen. Außerdem können Sie Spalten verschieben und die Anzeige der Suchergebnisse so neu organisieren.

Suchergebnisse als Tabelle in den Ordner "Meine Ablage" exportieren

Wenn Sie die Suchergebnisse im Ordner "Meine Ablage" speichern möchten, klicken Sie oben in der Tabelle auf "Exportieren" file_download_grey600_24dp.png.

Exportierte Suchergebnisse aufrufen

Beim Aufrufen der exportierten Suchergebnisse sollten Sie Folgendes beachten:

  • Nachdem Sie oben in der Tabelle auf "Exportieren" file_download_grey600_24dp.png geklickt haben, wird im Ordner "Meine Ablage" eine Google-Tabelle mit den Suchergebnissen erstellt. Je nach Größe der Suchergebnisse kann der Vorgang einige Zeit in Anspruch nehmen. Gegebenenfalls werden auch mehrere Google-Tabellen erstellt. Insgesamt können nur 30 Millionen Zeilen exportiert werden, bei Suchen nach Gmail-Nachrichten sind es nur 1,25 Millionen.
  • Während des Exports werden Google-Tabellen mit einem temporären Namen erstellt, z. B. TMP-1-<title>. Wenn mehrere Google-Tabellen erstellt werden, werden die weiteren Dateien mit TMP-2-<title>, TMP-3-<title> und so weiter bezeichnet. Ist der Vorgang abgeschlossen, werden die Dateien automatisch so umbenannt: <title> [1 of N], <title> [2 of N] usw. Wenn die Daten in nur eine Google-Tabelle exportiert wurden, wird sie in <title> umbenannt.
  • Die Freigabeberechtigungen für Dateien mit den exportierten Suchergebnissen richten sich nach Ihrer Domainkonfiguration. Wenn erstellte Dateien z. B. standardmäßig für alle Nutzer im Unternehmen freigegeben werden, haben die exportierten Daten dieselbe Sichtbarkeit. 

Latenzzeit

Ereignisse aus dem Gmail-Protokoll haben eine Latenzzeit von bis zu 60 Minuten. Dies bedeutet, dass die Suchergebnisse möglicherweise keine Gmail-Ereignisse enthalten, die vor weniger als 60 Minuten aufgetreten sind.

Bei Ereignissen aus dem Google Drive-, Geräte- und Nutzerprotokoll beträgt die Latenzzeit 80 Minuten.

Bei Suchanfragen für Geräte kann es bis zu drei Tage dauern, bis neue Daten in allen Suchergebnissen angezeigt werden, bei Nutzern bis zu 36 Stunden.

Aufbewahrung von Daten aus dem Gmail- und Google Drive-Protokoll

Daten aus dem Gmail-Protokoll werden 30 Tage lang aufbewahrt, Daten aus dem Drive-Protokoll für 6 Monate.  

Audit-Log für Administratoren

Abfragen und andere von Administratoren ausgeführte Aktionen im Prüftool werden im Audit-Log für die Admin-Konsole erfasst.

Dort sind alle Abfragetypen aufgelistet, die von Administratoren verwendet wurden. Außerdem erhalten Sie Informationen darüber, welche Filter genutzt wurden. Bei Aktionen können Sie im Audit-Log für Administratoren auf einen Link klicken und sich die Ergebnisse so direkt im Prüftool ansehen.

War das hilfreich?
Wie können wir die Seite verbessern?