Nutzer-Protokollereignisse

Anmeldeaktivitäten der Nutzer prüfen

Je nach Google Workspace-Version haben Sie möglicherweise Zugriff auf das Sicherheits-Prüftool, das erweiterte Funktionen bietet. Super Admins können beispielsweise Sicherheits- und Datenschutzprobleme erkennen und beurteilen sowie Maßnahmen ergreifen. Weitere Informationen

Als Administrator Ihrer Organisation können Sie nach Nutzer-Protokollereignissen suchen und auf Grundlage der Suche Aktionen ausführen. Sie können beispielsweise wichtige Aktionen prüfen, die Nutzer in ihren eigenen Konten ausgeführt haben. Dazu zählen z. B. Änderungen an Passwörtern, an Informationen zur Kontowiederherstellung (Telefonnummer, E-Mail-Adresse) und das Aktivieren der Bestätigung in zwei Schritten. Die Anmeldung über einen E-Mail-Client oder eine nicht browserbasierte Anwendung wird nur dann in diesem Bericht protokolliert, wenn es sich um eine programmatische Anmeldung aus einer Sitzung handelt, die als verdächtig eingestuft wurde.

Hinweis: Wenn für die letzten sechs Monate keine Daten für Nutzer-Protokollereignisse vorhanden sind, wird Nutzer-Protokollereignisse möglicherweise nicht im linken Navigationsmenü angezeigt.

Protokollereignisdaten an Google Cloud weiterleiten

Sie können zulassen, dass die Protokollereignisdaten für Google Cloud freigegeben werden. Wenn Sie die Freigabe aktivieren, werden die Daten an Cloud Logging weitergeleitet. Dort können Sie dann Ihre Protokolle abfragen und aufrufen oder festlegen, wie sie weitergeleitet und gespeichert werden sollen.

Nach Protokollereignissen suchen

Ob Sie eine Suche ausführen können, hängt von Ihrer Google-Version, Ihren Administratorberechtigungen und der Datenquelle ab. Sie können eine Suche für alle Nutzer ausführen, unabhängig von ihrer Google Workspace-Version.

Audit- und Prüftool

Sicherheits-Prüftool

Diese Funktion ist in der Cloud Identity Premiumversion verfügbar. Funktionen und Versionen von Cloud Identity vergleichen

Wenn Sie im Sicherheits-Prüftool eine Suchanfrage ausführen möchten, müssen Sie zuerst eine Datenquelle auswählen. Wählen Sie dann mindestens eine Bedingung aus. Wählen Sie für jede Bedingung ein Attribut, einen Operator und einen Wert aus.

Melden Sie sich mit einem Administratorkonto in Google Admin-Konsole an.
Wenn Sie kein Administratorkonto verwenden, können Sie nicht auf die Admin-Konsole zugreifen.
Gehen Sie zu „Menü“ Sicherheit > Sicherheitscenter > Prüftool.
Hierfür ist die Administratorberechtigung Sicherheitscenter erforderlich.
Klicken Sie auf Datenquelle und wählen Sie Nutzer-Protokollereignisse aus.
Klicken Sie auf Bedingung hinzufügen.
Tipp: Sie können eine oder mehrere Bedingungen in die Suche einschließen oder Ihre Suche mit verschachtelten Abfragen anpassen. Weitere Informationen finden Sie unter Individuelle Suche mit verschachtelten Abfragen erstellen.
Klicken Sie auf Attributwählen Sie eine Option aus.
Eine vollständige Liste der Attribute finden Sie unten im Abschnitt Attributbeschreibungen.
Wählen Sie einen Operator aus.
Geben Sie einen Wert ein oder wählen Sie einen aus der Drop-down-Liste aus.
Optional: Wiederholen Sie die Schritte 4 bis 7, um weitere Suchbedingungen hinzuzufügen.
Klicken Sie auf Suchen.
Die Suchergebnisse im Prüftool werden unten auf der Seite in einer Tabelle angezeigt.
Optional: Klicken Sie zum Speichern der Prüfung auf Speichern geben Sie einen Titel und eine Beschreibung ein klicken Sie auf Speichern.

Hinweis:

Auf dem Tab Tool zur Bedingungserstellung werden Filter als Bedingungen mit UND- bzw. ODER-Operatoren dargestellt. Auf dem Tab Filter können Sie einfache Parameter- und Wertpaare einschließen, um die Suchergebnisse zu filtern.
Falls Sie einem Nutzer einen neuen Namen gegeben haben, sehen Sie keine Abfrageergebnisse mit dem alten Namen des Nutzers. Wenn Sie beispielsweise AlterName@beispiel.de in NeuerName@beispiel.de ändern, sehen Sie keine Ergebnisse für Ereignisse im Zusammenhang mit AlterName@beispiel.de.

Attributbeschreibungen

Für diese Datenquelle können Sie beim Suchen in Protokollereignisdaten die folgenden Attribute verwenden:

Attribut	Beschreibung
Name der Gruppe des Akteurs	Gruppenname des Akteurs Weitere Informationen finden Sie im Hilfeartikel Ergebnisse nach Google Groups-Gruppe filtern. So fügen Sie der Zulassungsliste Ihrer Filtergruppen eine Gruppe hinzu: Wählen Sie Name der Gruppe des Akteurs aus. Klicken Sie auf Gruppenfilter. Die Seite „Gruppenfilter“ wird angezeigt. Klicken Sie auf Gruppen hinzufügen. Suchen Sie nach einer Gruppe, indem Sie die ersten Zeichen des Namens oder der E-Mail-Adresse eingeben. Wenn die gewünschte Gruppe angezeigt wird, wählen Sie sie aus. Optional: Um eine weitere Gruppe hinzuzufügen, suchen Sie danach und wählen Sie sie aus. Wenn Sie Ihre Auswahl getroffen haben, klicken Sie auf Hinzufügen. Optional: Klicken Sie zum Entfernen der Gruppe auf . Klicken Sie auf Speichern.
Organisationseinheit des Akteurs	Organisationseinheit des Akteurs
Betroffener Nutzer	E‑Mail-Adresse des betroffenen Nutzers
Art der Identitätsbestätigung*	Die Art der Identitätsbestätigung, zum Beispiel Passwort oder Sicherheitsschlüssel. Hinweis: In Audit-Logs, die vor dem 30. September 2024 erstellt wurden, kann es bei neu hinzugefügten Bestätigungstypen wie Passkey zu Inkonsistenzen mit dem vorhandenen Bestätigungstyp Sonstiges kommen.
Datum	Datum und Uhrzeit des Ereignisses (in der Standardzeitzone des Browsers)
Domain*	Die Domain, in der die Aktion stattgefunden hat
Adresse für E-Mail-Weiterleitung	Die E‑Mail-Adresse, an die Gmail-Nachrichten weitergeleitet werden sollen
Ereignis	Die protokollierte Ereignisaktion, zum Beispiel Für die 2‑Faktor-Authentifizierung angemeldet oder Verdächtige Anmeldung Hinweis: Für das Ereignis Abmeldung wird als Art der Anmeldung für Ereignisse des Typs Abmeldung die Option Google-Passwort angezeigt. Dies gilt auch, wenn sich der Nutzer nicht mit einem Google-Passwort, sondern mit einer anderen Anmeldeart eingeloggt hat (beispielsweise Exchange, Erneute Autorisierung, SAML oder Unbekannt).
IP-Adresse	Die IP-Adresse, mit der sich der Nutzer angemeldet hat. Normalerweise ist die Adresse der physische Standort des Nutzers, aber es kann auch ein Proxyserver oder eine Adresse eines virtuellen privaten Netzwerkes (VPN) sein.
Ist der zweite Faktor*	Wahr, wenn der Nutzer sich mit der 2‑Faktor-Authentifizierung angemeldet hat Falsch, wenn sich der Nutzer nicht mit der 2‑Faktor-Authentifizierung angemeldet hat.
Ist verdächtig*	Wahr, wenn der Anmeldeversuch verdächtig und erfolgreich war, andernfalls falsch. Gilt nur für das Ereignis „login_success“.
Zeitpunkt der Anmeldung	Wenn ein verdächtiges Anmeldeereignis blockiert wird, werden in diesem Feld das Datum und die Uhrzeit angezeigt, zu denen der Nutzer versucht hat, sich anzumelden.
Art der Anmeldung	Authentifizierungsmethode, die der Nutzer verwendet hat: Exchange: durch Tokenaustausch authentifizierter Nutzer, z. B. über OAuth. Es kann auch darauf hindeuten, dass der Nutzer während der Anmeldung bereits in einer anderen Sitzung angemeldet war und die Sitzungen zusammengeführt wurden. Google-Passwort: Verwendung eines Google-Passworts, einschließlich Anmeldungen in weniger sicheren Apps (sofern zulässig) OIDC: Authentifizierung per Einmalanmeldung mit OpenID Connect (OIDC) Erneute Autorisierung: mit einer Anfrage zum Neuauthentifizieren des Passworts SAML: Authentifizierung per Einmalanmeldung mit Security Assertion Markup Language (SAML) Unbekannt**: Nutzer hat sich mit einer unbekannten Methode angemeldet
Nutzer	E-Mail-Adresse des Nutzers, der die Aktion ausgeführt hat

* Sie können mit diesen Filtern keine Regeln für die Berichterstellung erstellen. Weitere Informationen zum Unterschied zwischen Berichtsregeln und Aktivitätsregeln

** Hinweis für SAML-Nutzer, die das SSO-Profil für Ihre Organisation (alte SAML-Version) nutzen: Wenn der SAML-Anmeldeversuch von einem unbekannten Gerät oder einer unbekannten IP-Adresse ausgeht, oder wenn eine höhere Risikobewertung vorliegt, wird im Protokollereignis Anmeldung fehlgeschlagen mit dem Typ Google-Passwort aufgezeichnet. Das passiert auch dann, wenn die SAML-Anmeldung erfolgreich war, da das System den ersten Versuch als verdächtig kennzeichnet. Diesem Protokolleintrag zu einer fehlgeschlagenen Anmeldung folgt dann ein Ereignis zu einer erfolgreichen SAML-Anmeldung. Mit der alten SAML-Version werden für eine einzelne SAML-Anmeldung zwei Anmeldesitzungen generiert. Die erste Sitzung ist oft irrelevant und wird herausgefiltert, sofern sie nicht als verdächtig eingestuft wird.

Hinweis: Wenn Sie einem Nutzer einen neuen Namen gegeben haben, sehen Sie keine Abfrageergebnisse mit dem alten Namen des Nutzers. Wenn Sie beispielsweise AlterName@beispiel.de in NeuerName@beispiel.de ändern, sehen Sie keine Ergebnisse für Ereignisse im Zusammenhang mit AlterName@beispiel.de.