Audit-Log zu Anmeldeaktivitäten

Anmeldeaktivitäten von Nutzern im Blick behalten

Mit dem Audit-Log zu Anmeldeaktivitäten behalten Sie die Anmeldungen von Nutzern in Ihrer Domain im Blick. Darin werden alle Anmeldungen über Webbrowser protokolliert. Bei der Anmeldung über einen E-Mail-Client oder eine nicht-browserbasierte Anwendung werden nur verdächtige Versuche protokolliert. 

Schritt 1: Audit-Log zu Anmeldeaktivitäten öffnen

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Berichte.

    Unter Umständen müssen Sie zuerst auf Mehr Widgets klicken, damit "Berichte" angezeigt wird.

  3. Klicken Sie links unter Audit auf Anmeldung.
  4. Optional: Klicken Sie neben den Spalten auf "Spalten verwalten" Spalten verwalten und wählen Sie die Spalten aus, die Sie ein- oder ausblenden möchten.

Schritt 2: Daten im Audit-Log zu Anmeldeaktivitäten analysieren

Abrufbare Daten
Datentyp Beschreibung
Ereignisname Die protokollierte Aktion, z. B. eine Identitätsbestätigung oder ein fehlgeschlagener Anmeldeversuch. Weitere Informationen dazu finden Sie im Abschnitt Beschreibungen der Ereignisnamen.
Ereignisbeschreibung Informationen zum Ereignis, das im Feld "Ereignisname" beschrieben ist
IP-Adresse IP-Adresse, mit der sich der Nutzer in der Admin-Konsole angemeldet hat. Damit ist möglicherweise Ihr physischer Standort angegeben. Es kann sich aber auch um einen Proxyserver oder um die Adresse eines virtuellen privaten Netzwerks (VPN) handeln.
Art der Anmeldung

Details dazu, wie sich der Nutzer angemeldet hat

  • Exchange: wenn ein Nutzer durch Tokenaustausch authentifiziert wurde, z. B. über OAuth. Es kann auch darauf hinweisen, dass der Nutzer während der Anmeldung bereits in einer anderen Sitzung angemeldet war und die Sitzungen zusammengeführt wurden.
  • Google-Passwort: hier sind Anmeldungen in weniger sicheren Apps enthalten, sofern diese zugelassen sind 
  • Erneute Autorisierung: mit einer Anfrage zum Neuauthentifizieren des Passworts
  • SAML: mit der Einmalanmeldung (SSO) über SAML (Security Assertion Markup Language)
  • Unbekannt: mit einer unbekannten Methode
Datums- und Uhrzeitbereich Datum und Uhrzeit des Ereignisses (in der Standardzeitzone des Browsers)
Beschreibung der Ereignisnamen

Dies sind die Arten von Ereignissen, die in der Spalte "Ereignisname" aufgeführt sind (siehe oben):

Ereignisname Beschreibung
Anmeldung fehlgeschlagen

Ein Logeintrag für jeden fehlgeschlagenen Anmeldeversuch von Nutzern Sie können die Reports API verwenden, um die Fehlerursache aufzurufen. Beispiel: Der Nutzer hat ein falsches Passwort eingegeben, hatte keinen Zugriff auf den Dienst oder das Konto wurde gesperrt. 

Von staatlichen Stellen unterstützter Angriff Ein Logeintrag für jeden von staatlichen Stellen unterstützten Versuch, ein Nutzerkonto oder einen Computer zu manipulieren. Weitere Informationen zu diesen Angriffen finden Sie in diesem Hilfeartikel.
Identitätsbestätigung

Ein Logeintrag für jeden Nutzer, dem eine zusätzliche Sicherheitsfrage gestellt wurde, weil wir einen verdächtigen Anmeldeversuch festgestellt haben.

Weitere Informationen finden Sie im Hilfeartikel Identitätsbestätigung mit zusätzlichen Sicherheitsmaßnahmen.

Anmeldebestätigung Ein Protokolleintrag für jeden Nutzer, dem eine zusätzliche Sicherheitsfrage gestellt wurde, wenn wir keinen verdächtigen Anmeldeversuch festgestellt haben.
Abmeldung Ein Protokolleintrag für jede Nutzerabmeldung
Erfolgreiche Anmeldung Ein Protokolleintrag für jede erfolgreiche Nutzeranmeldung
Verdächtige Anmeldung Ein Logeintrag für jede Nutzeranmeldung, die verdächtige Merkmale aufweist, z. B. eine unbekannte IP-Adresse
Verdächtige Anmeldeaktivitäten sind mit einem roten Warnsymbol gekennzeichnet.
Passwort gehackt Ein Protokolleintrag, wenn ein Passwort zurückgesetzt werden muss, weil die Anmeldedaten manipuliert wurden

Schritt 3: Daten des Audit-Logs anpassen und exportieren

Daten des Audit-Logs nach Nutzer oder Aktivität filtern

Sie haben die Möglichkeit, das Audit-Log nach bestimmten Ereignissen oder Nutzern zu filtern. So können Sie sich z. B. alle Anmeldeaktivitäten eines bestimmten Nutzers anzeigen lassen oder herausfinden, ob Personen zur Identitätsbestätigung aufgefordert wurden.

  1. Öffnen Sie das Audit-Log wie oben beschrieben.
  2. Klicken Sie auf Filter hinzufügen.
  3. Wählen Sie die Filterkriterien aus, geben Sie sie ein und klicken Sie bei Bedarf auf Anwenden.
  4. Optional: Wenn Sie nach Organisationseinheiten filtern möchten, klicken Sie rechts oben auf Organisationsfilter, wählen Sie die gewünschte Einheit aus und klicken Sie dann auf Übernehmen .
  5. Optional: Wenn Sie die angezeigten Ergebnisse zeitlich eingrenzen möchten, klicken Sie auf Zeitraum und wählen Sie eine Option aus der Liste aus oder geben Sie ein Start- und Enddatum sowie eine Uhrzeit ein. Klicken Sie bei Bedarf auf Anwenden.

Nach Organisationseinheit filtern

Sie können nach Organisationseinheit filtern, um die Statistiken über- und untergeordneter Organisationseinheiten in einer Domain zu vergleichen.

  1. Öffnen Sie den Bericht wie oben beschrieben.
  2. Klicken Sie oben auf Organisationsfilter.
  3. Wählen Sie eine Organisationseinheit aus und klicken Sie auf Anwenden.

Nach Datum filtern

  1. Öffnen Sie den Bericht wie oben beschrieben.
  2. Klicken Sie oben auf Zeitraum.
  3. Wählen Sie einen Zeitraum aus der Liste aus oder geben Sie Start- und Enddatum sowie eine Uhrzeit ein.
  4. Klicken Sie bei Bedarf auf Anwenden.

Auch wenn Sie nach älteren Daten suchen, können Sie nur die aktuelle Hierarchie der Organisationseinheit filtern. Daten, die vor dem 20. Dezember 2018 liegen, werden nicht in den gefilterten Ergebnissen angezeigt.

Daten exportieren

Sie können die Daten des Audit-Logs als Google-Tabelle exportieren oder als CSV-Datei herunterladen.

  1. Öffnen Sie das Audit-Log wie oben beschrieben.
  2. Optional: Wenn Sie die Daten für den Export ändern möchten, klicken Sie auf "Spalten verwalten" Spalten verwalten, wählen Sie die zu exportierenden Spalten aus und entfernen Sie solche, die Sie nicht benötigen. Klicken Sie auf Speichern.
  3. Klicken Sie auf "Herunterladen" Herunterladen.
  4. Klicken Sie unter Spalten auswählen auf Aktuell ausgewählte Spalten oder Alle Spalten.
  5. Klicken Sie unter Format auswählen auf Google Tabellen oder Kommagetrennte Werte (CSV).
  6. Klicken Sie auf Herunterladen.

Sie können maximal 100.000 Zeilen in eine Google-Tabelle oder CSV-Datei exportieren.

Wie alt sind die angezeigten Daten?

Detaillierte Informationen dazu, wann genau Daten verfügbar werden und wie lange sie aufbewahrt werden, finden Sie im Hilfeartikel Datenaufbewahrung und Zeitverzögerungen.

Schritt 4: E-Mail-Benachrichtigungen einrichten

Sie können sich mit Filtern über bestimmte Anmeldeaktivitäten informieren lassen.

  1. Öffnen Sie das Audit-Log zu Anmeldeaktivitäten wie oben beschrieben.
  2. Klicken Sie auf Filter hinzufügen.
  3. Geben Sie die Kriterien für Ihren Filter ein oder wählen Sie sie aus und klicken Sie auf Benachrichtigung erstellen.
  4. Geben Sie einen Namen ein.
  5. Optional: Wenn Sie möchten, dass die Benachrichtigung an alle Super Admins gesendet wird, klicken Sie unter Empfänger auf "Aktivieren" Aktivieren.
  6. Geben Sie die E-Mail-Adressen aller Empfänger ein.
  7. Klicken Sie auf Erstellen.

Informationen zum Bearbeiten benutzerdefinierter Benachrichtigungen finden Sie unter E-Mail-Benachrichtigungen für Administratoren.

War das hilfreich?
Wie können wir die Seite verbessern?