Benachrichtigung

Duet AI heißt jetzt Gemini für Google Workspace. Weitere Informationen

Ereignisse im Regelprotokoll

Audit- und Prüfseite: Versuche Ihrer Nutzer nachvollziehen, sensible Daten zu teilen
Die Audit-Log-Seite wurde durch eine neue Audit- und Prüfseite ersetzt. Weitere Informationen

Als Administrator Ihrer Organisation können Sie über die Audit- und Prüfseite Suchanfragen ausführen, die mit Ereignissen im Regelprotokoll zusammenhängen. Dort finden Sie Aktionen, um Versuche Ihrer Nutzer nachzuvollziehen, sensible Daten zu teilen. Sie können sich beispielsweise Ereignisse ansehen, die durch Verstöße gegen Regeln zum Schutz vor Datenverlust ausgelöst werden. Ein neuer Eintrag erscheint normalerweise innerhalb einer Stunde nach der Nutzeraktion.

Bei den Ereignissen im Regelprotokoll sind auch Datentypen für BeyondCorp Threat und Data Protection aufgeführt.

Eine vollständige Liste der Dienste und Aktivitäten, die Sie untersuchen können (z. B. Google Drive oder Nutzeraktivitäten), finden Sie im Hilfeartikel Audit- und Prüftool.

Seite „Audit und Prüfung“ öffnen

Auf Ereignisdaten im Regelprotokoll zugreifen

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Berichterstellungund dannAudit und Prüfungund dannRegel-Protokollereignisse.

Daten filtern

  1. Öffnen Sie die Protokollereignisse wie oben unter Auf Ereignisdaten im Regelprotokoll zugreifen beschrieben.
  2. Klicken Sie auf Filter hinzufügen und wählen Sie dann ein Attribut aus.
  3. Wählen Sie im Pop-up-Fenster einen Operator ausund dannwählen Sie einen Wert ausund dannklicken Sie auf Anwenden.
  4. Optional: So erstellen Sie mehrere Filter für Ihre Suche:
    1. Klicken Sie auf Filter hinzufügen und wiederholen Sie Schritt 3.
    2. Optional: Wenn Sie einen Suchoperator hinzufügen möchten, wählen Sie über Filter hinzufügen die Option UND oder ODER aus.
  5. Klicken Sie auf Suchen.

Hinweis: Auf dem Tab Filter können Sie einfache Parameter- und Wertpaare einschließen, um die Suchergebnisse zu filtern. Sie können auch den Tab Tool zur Bedingungserstellung verwenden, auf dem die Filter als Bedingungen mit AND/OR-Operatoren dargestellt werden.

Attributbeschreibungen

Für diese Datenquelle können Sie bei der Suche nach Protokollereignisdaten die folgenden Attribute verwenden:

Attribut Beschreibung
Zugriffsebene: Die Zugriffsebenen, die als Bedingungen für den kontextsensitiven Zugriff dieser Regel ausgewählt wurden. Zugriffsebenen gelten nur für Chrome-Daten. Weitere Informationen finden Sie im Hilfeartikel Kontextsensitive Zugriffsebenen erstellen.
Akteur E-Mail-Adresse des Nutzers, der die Aktion ausgeführt hat. Der Wert kann Anonymer Nutzer sein, wenn die Ereignisse das Ergebnis eines erneuten Scans sind.
Name der Gruppe des Akteurs

Gruppenname des Akteurs Weitere Informationen finden Sie im Hilfeartikel Ergebnisse nach Google Groups-Gruppe filtern.

So fügen Sie der Zulassungsliste Ihrer Filtergruppen eine Gruppe hinzu:

  1. Wählen Sie Name der Gruppe des Akteurs aus.
  2. Klicken Sie auf Gruppenfilter.
    Die Seite „Gruppenfilter“ wird angezeigt.
  3. Klicken Sie auf Gruppen hinzufügen.
  4. Suchen Sie nach einer Gruppe, indem Sie die ersten Zeichen des Namens oder der E-Mail-Adresse eingeben. Wenn die gewünschte Gruppe angezeigt wird, wählen Sie sie aus.
  5. Optional: Um eine weitere Gruppe hinzuzufügen, suchen Sie danach und wählen Sie sie aus.
  6. Wenn Sie Ihre Auswahl getroffen haben, klicken Sie auf Hinzufügen.
  7. Optional: Klicken Sie zum Entfernen der Gruppe auf .
  8. Klicken Sie auf Speichern.
Organisationseinheit des Akteurs Organisationseinheit des Akteurs
Blockierte Empfänger Die Empfänger, die durch die ausgelöste Regel blockiert werden
Bedingte Aktion Eine Liste der Aktionen, die beim Nutzerzugriff ausgelöst werden können, je nach den für die Regel konfigurierten Kontextbedingungen
Konferenz-ID Konferenz-ID der Besprechung, auf die im Rahmen dieses Regelauslösers reagiert wurde
Container-ID ID des übergeordneten Containers, zu dem die Ressource gehört
Containertyp Art des übergeordneten Containers, zu dem die Ressource gehört, z. B. Chatbereich oder Gruppenchat bei Chatnachrichten oder Chatanhängen
Datenquelle Die Anwendung, von der die Ressource stammt
Datum Datum und Uhrzeit des Ereignisses
Detektor-ID Kennung eines übereinstimmenden Detektors
Detektorname Name eines übereinstimmenden Detektors, den Administratoren definiert haben
Geräte-ID ID des Geräts, auf dem die Aktion ausgelöst wurde. Dieser Datentyp gilt für Chrome Enterprise Premium threat and data protection.
Gerätetyp Typ des Geräts, auf das die Geräte-ID verweistDieser Datentyp gilt für Chrome Enterprise Premium threat and data protection.
Ereignis Die protokollierte Ereignisaktion. 
  • Für DLP-Regeln werden folgende Ereignisse protokolliert: 
    Ereignis Erläuterung
    Aktion abgeschlossen, übereinstimmende Inhalte* Der Inhalt von Drive-Dokumenten wird von einer DLP-Regel gemeldet.
    Aktion abgeschlossen, Inhalt ohne Übereinstimmung* Die Markierung des Drive-Dokuments wurde aufgehoben, da der Inhalt, der ursprünglich eine DLP-Regel ausgelöst hat, nicht mehr vorhanden ist.
    Zugriff blockiert Das Herunterladen oder Kopieren einer Drive-Datei wurde durch eine DLP-Regel blockiert.
     
  • Wenn sich ein Drive-Label ändert, lautet der Wert Label angewendet, Feldwert geändert oder Label entfernt.
  • Wenn die Freigabe von Drive-Dateien aufgrund der Vertrauensregeln blockiert ist, lautet der Wert Freigabe blockiert.
  • Wenn Vertrauensregeln den Zugriff auf Drive-Dateien (Ansehen, Herunterladen oder Kopieren) blockieren, lautet der Wert Zugriff blockiert.

* Der Abschnitt „Aktion abgeschlossen“ dieser Ereignisnamen wird eingestellt.
Enthält sensible Inhalte Für ausgelöste DLP-Regeln, bei denen sensible Inhalte erkannt und protokolliert werden, lautet der Wert Wahr.
Empfänger* Die Empfänger der freigegebenen Ressource
Anzahl der entfernten Empfänger* Die Anzahl der Ressourcenempfänger, die entfernt wurden, weil das Limit überschritten wurde
Ressourcen-ID Das geänderte Objekt. Für DLP-Regeln:
  • Klicken Sie bei Einträgen zu Google Drive auf die Ressourcen-ID, um das geänderte Drive-Dokument aufzurufen.
  • Klicken Sie bei Einträgen zu Google Chat auf die Ressourcen-ID, um Details zu einer Chatunterhaltung aufzurufen. Beachten Sie, dass einige Chat-Daten ablaufen können und somit nicht immer alle Details verfügbar sind.
Ressourceninhaber Nutzer, dem die gescannte Ressource gehört, auf die eine Aktion angewendet wurde
Ressourcentitel Der Titel der Ressource, die geändert wurde. Beim Schutz vor Datenverlust ist dies der Titel eines Dokuments.
Ressourcentyp Beim Schutz vor Datenverlust ist die Ressource Dokument. Beim Schutz vor Datenverlust für Google Chat ist die Ressource Chatnachricht oder Chatanhang.
Regel-ID ID der Regel, die ausgelöst wurde
Regelname Regelname, der vom Administrator beim Erstellen der Regel vergeben wurde
Regeltyp Bei den Regeln zum Schutz vor Datenverlust ist der Wert DLP.
Art des Scans

Mögliche Werte:

  • Drive – kontinuierlicher Scan (beim Ändern einer Regel)
  • Online-Scan (beim Ändern eines Dokuments)
  • Chat-Inhalte vor dem Senden scannen (beim Senden einer Chatnachricht)
Schweregrad Der Schweregrad, welcher der Regel zugewiesen war, als sie ausgelöst wurde
Unterdrückte Aktion* Aktionen, die für die Regel konfiguriert, aber unterdrückt werden. Eine Aktion wird unterdrückt, wenn zur gleichen Zeit eine Aktion mit höherer Priorität stattfindet und ausgelöst wird.
Auslöser Aktivität, die zum Auslösen einer Regel geführt hat
Ausgelöste Aktion Listet die durchgeführten Aktionen auf. Das Feld bleibt leer, wenn eine Nur-Audit-Regel ausgelöst wurde.
Client-IP-Adresse des Triggers IP-Adresse des Akteurs, der die Aktion ausgelöst hat
E-Mail-Adresse des auslösenden Nutzers E-Mail-Adresse des Akteurs, der die Aktion ausgelöst hat
Nutzeraktion Die vom Nutzer durchgeführte Aktion, die durch eine Regel blockiert wurde
* Sie können mit diesen Filtern keine Regeln für die Berichterstellung erstellen. Weitere Informationen zum Unterschied zwischen Berichtsregeln und Aktivitätsregeln

Protokollereignisdaten verwalten

Daten der Suchergebnisspalte verwalten

Sie können festlegen, welche Datenspalten in Ihren Suchergebnissen angezeigt werden.

  1. In der Suchergebnistabelle klicken Sie hierfür rechts oben auf „Spalten verwalten“ .
  2. Optional: Um aktuelle Spalten zu entfernen, klicken Sie auf „Entfernen“ .
  3. Optional: Um Spalten hinzuzufügen, klicken Sie neben Neue Spalte hinzufügen auf den Drop-down-Pfeil  und wählen Sie dann die Datenspalte aus.
    Wiederholen Sie diese Schritte bei Bedarf für alle Suchabfragen.
  4. Optional: Um die Reihenfolge der Spalten zu ändern, klicken Sie sie an den Datenspaltennamen an und ziehen sie an die gewünschte Stelle.
  5. Klicken Sie auf Speichern.

Suchergebnisdaten exportieren

  1. Klicken Sie oben in der Tabelle mit den Suchergebnissen auf Alle exportieren.
  2. Geben Sie einen Namen ein und dann klicken Sie dann auf Exportieren.
    Die Exportieren-Schaltfläche finden Sie unter der Suchergebnistabelle unter Aktivitätenergebnisse exportieren.
  3. Klicken Sie auf den Namen des Exports, um sich die Daten anzusehen.
    Die exportierten Daten werden in Google Tabellen geöffnet.

Regeln für die Berichterstellung erstellen

Informationen zu Regeln für die Berichterstellung erstellen und verwalten

Wann und wie lange sind Daten verfügbar?

Informationen zu Datenaufbewahrung und Zeitverzögerungen

Regelprotokollereignisse verwenden, um Verstöße gegen DLP-Regeln zu untersuchen

Als Administrator können Sie mit Snippets zum Schutz vor Datenverlust (Data Loss Prevention, DLP) prüfen, ob es sich bei einem DLP-Regelverstoß um einen echten Vorfall oder ein falsch positives Ergebnis handelt. Weitere Informationen finden Sie im Hilfeartikel Inhalte ansehen, die DLP-Regeln auslösen (Beta).

Weitere Informationen

War das hilfreich?

Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Mögliche weitere Schritte:

Im Hilfeforum posten Antworten von Forenmitgliedern erhalten
Kontakt Weitere Informationen angeben und Hilfe erhalten
true
Starten Sie noch heute mit Ihrer kostenlosen Testversion für 14 Tage.

Berufliche E-Mail-Konten, Online-Speicherplatz, Kalender mit Freigabefunktion, Videobesprechungen und vieles mehr. Starten Sie noch heute mit Ihrer kostenlosen Testversion von G Suite.

Suche
Suche löschen
Suche schließen
Hauptmenü
539569936007066284
true
Suchen in der Hilfe
true
true
true
true
true
73010
false
false