Audit-Log für Geräte

Diese Funktion ist in der Cloud Identity Gratisversion nicht verfügbar.

Sie können einen Bericht über Aktivitäten auf Computern und Mobilgeräten aufrufen, die in Ihrer Organisation verwendet werden. So lässt sich beispielsweise feststellen, ob ein Nutzerkonto hinzugefügt wurde oder ob das Passwort eines Geräts den von Ihnen festgelegten Richtlinien entspricht. Die verschiedenen Geräteaktivitäten finden Sie in der Google Admin-Konsole im Audit-Log für Geräte. Außerdem können Sie eine Benachrichtigung einrichten, um bei bestimmten Aktivitäten informiert zu werden.

Hinweise

  • Für Mobilgeräte werden nur dann alle Auditereignisse angezeigt, wenn für diese Geräte die erweiterte Mobilgeräteverwaltung genutzt wird. Weitere Informationen finden Sie unter Erweiterte Mobilgeräteverwaltung einrichten
  • Sie können keine Aktivitäten auf Geräten sehen, bei denen Unternehmensdaten mit Google Sync synchronisiert werden. 

Schritt 1: Audit-Log für Geräte öffnen

Wenn Sie von der Cloud Identity Premiumversion zur Cloud Identity Gratisversion wechseln, werden im Audit-Log keine Daten zu neuen Ereignissen mehr erfasst. Die alten Daten sind aber weiterhin für Administratoren verfügbar.

Ereignisse aller Geräte anzeigen

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Tun Sie auf der Startseite der Admin-Konsole Folgendes:
    • Gehen Sie zu Berichte und dann Audit und dann Geräte.
    • Gehen Sie zu Geräteverwaltung und dann Statistiken und dann Geräteprüfung.

    Unter Umständen müssen Sie zuerst auf Mehr Widgets klicken, damit "Berichte" oder "Geräteverwaltung" angezeigt wird.

  3. Klicken Sie in der Symbolleiste auf "Spalten auswählen" Spalten auswählen. Wählen Sie anschließend die Daten aus, die im Audit-Log angezeigt werden sollen.
  4. Weiter unten erfahren Sie, wie Sie diese Daten interpretieren und anpassen können.

Ereignisse für ein bestimmtes Gerät ansehen

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Geräteverwaltung und dann Mobilgeräte.

    Unter Umständen müssen Sie zuerst auf Mehr Widgets klicken, damit "Geräteverwaltung" angezeigt wird.

  3. Wählen Sie eine Option aus: 
    • Klicken Sie auf Mobilgeräte, um Ihre verwalteten Geräte aufzurufen.
    • Klicken Sie auf Endpunktprüfung, um Laptops und Computer aufzurufen, für die die Endpunktprüfung verwendet wird.
    • Klicken Sie links auf Unternehmenseigener Bestand, um die Geräte Ihres Unternehmens aufzurufen.
  4. Wählen Sie mindestens ein Gerät aus und klicken Sie auf das Dreipunkt-Menü Dreipunkt-Menü und dann Audit-Informationen ansehen.
    Hinweis: Im unternehmenseigenen Bestand wählen Sie die Geräte aus und klicken auf "Audit-Informationen ansehen" Audit info
  5. Optional: Klicken Sie in der Symbolleiste auf "Spalten auswählen" Spalten auswählen. Wählen Sie anschließend die Daten aus, die im Audit-Log angezeigt werden sollen.
  6. Weiter unten erfahren Sie, wie Sie diese Daten interpretieren und anpassen können.

Schritt 2: Daten des Audit-Logs interpretieren

Abrufbare Daten
Datentyp Beschreibung
Geräte-ID Kennzeichnung des Geräts, auf dem das Ereignis aufgetreten ist. 
Ereignisname Name des protokollierten Ereignisses, z. B. Änderung der Kontoregistrierung, Identitätsbestätigung oder fehlgeschlagener Entsperrversuch. Einzelheiten finden Sie weiter unten in den Ereignisbeschreibungen.
Ereignisbeschreibung Details zum jeweiligen Ereignis.
Datum Datum und Uhrzeit des Ereignisses (in der Standardzeitzone Ihres Browsers).
Nutzer Name des Nutzers, der das Ereignis auf dem Gerät ausgeführt hat. 
Gerätetyp Typ des Geräts, auf dem das Ereignis aufgetreten ist, z. B. Android oder iOS.
Anwendungs-Hash SHA-256-Hash des Anwendungspakets für App-Ereignisse.
Ereignisbeschreibungen

Für jeden der folgenden Ereignistypen gibt es einen Protokolleintrag. Sie können links in der Admin-Konsole den Filter "Ereignisname" verwenden, um das Audit-Log nach diesen Ereignissen zu filtern. Wenn Sie die Option "Filter" links nicht sehen, klicken Sie auf "Filter" Filtern. Bei einigen Ereignissen können Sie die Ergebnisse des Audit-Logs mithilfe von untergeordneten Filtern weiter eingrenzen. 

Ereignisname Beschreibung Untergeordnete Filter Unterstützte Geräte
Änderung der Kontoregistrierung

Der Registrierungsstatus eines Geräts in Ihrer Organisation wurde geändert. Ein Eintrag wird immer dann erstellt, wenn ein Nutzer sein verwaltetes Konto auf einem neuen Gerät hinzufügt oder sein Konto von einem Gerät abmeldet. 

Für Android-Geräte sehen Sie auch die Geräteberechtigung, mit der das Konto registriert ist. Weitere Informationen zu den Geräteberechtigungen finden Sie unter Angaben zum Richtlinienprofil abrufen.

Beispiel: Konto von Nutzername registriert auf Nexus 6P mit Geräteadministratorberechtigung

Registriert: Der Nutzer hat dem Gerät ein verwaltetes Konto hinzugefügt.

Registrierung aufgehoben: Der Nutzer hat die Registrierung eines Kontos auf dem Gerät aufgehoben und kann das Konto auf diesem Gerät nicht mehr verwenden.

Android
Apple® iOS®
Chrome OS
Mac®
Windows®

Geräteaktion

Status einer Aktion, die von einem Administrator auf einem Gerät ausgeführt wurde. 

Beispiel: "Konto löschen" mit der ID 1234 auf dem Pixel 2 von Nutzername ausstehend 

Nicht zutreffend

Android
iOS
Chrome OS
Mac
Windows

Aktualisierung des Gerätebetriebssystems

Die Betriebssystemeigenschaft eines Geräts wurde aktualisiert. 

Bei iOS-Geräten werden nur die Updates der Betriebssystemversion und der Build-Nummer im Audit-Log festgehalten.

Beispiel: Betriebssystem auf Nexus 5 von Nutzername von Version 8.0 auf 8.2 aktualisiert

  • Betriebssystemversion
  • Build-Nummer
  • Kernel-Version
  • Baseband-Version
  • Sicherheitspatch
  • Bootloader-Version
Android
iOS
Chrome OS
Mac
Windows
Gerätesynchronisierung

Das verwaltete Konto eines Nutzers wurde auf dem Gerät synchronisiert.

Beispiel: Konto von Nutzername auf Nexus 6P synchronisiert

Nicht zutreffend Android
iOS
Chrome OS
Mac
Windows
Anwendungsänderung auf Gerät

Ein Nutzer hat eine App auf seinem Gerät installiert, deinstalliert oder aktualisiert.

Android-Geräte: Ereignisse werden sofort protokolliert. Wenn Sie keine Einträge im Audit-Log sehen, überprüfen Sie, ob die Anwendungsprüfung aktiviert ist. 

iOS-Geräte: Ereignisse werden bei der nächsten Synchronisierung des Geräts protokolliert. Nur verwaltete Apps, die mit der Device Policy App installiert wurden, werden überwacht. 

Beispiel: com.android.chrome-Version 50.0.2645.0 von Nexus 5 von Nutzername gelöscht

Anwendungsereignis: Installieren, deinstallieren, aktualisieren

Paketname: Name des Anwendungspakets

Anwendungs-Hash: SHA-256-Hash des Anwendungspakets (nur Android) 

Android 
iOS
Compliancestatus des Geräts

Gibt an, ob das Gerät den Richtlinien Ihrer Organisation entspricht.

Ein Gerät wird als nicht konform markiert, wenn

Beispiel: Nexus 6P von Nutzername ist nicht mit den festgelegten Richtlinien kompatibel, da das Gerät nicht den Passwortrichtlinien entspricht.

Nicht zutreffend Android
Gerät manipuliert

Gibt an, ob das Gerät gehackt wurde. Ein Gerät gilt als gehackt, wenn es gerootet oder ein Jailbreak darauf ausgeführt wurde, d. h., wenn Einschränkungen entfernt wurden. Gehackte Geräte stellen eine potenzielle Sicherheitsbedrohung dar.

Im System wird immer dann ein Eintrag erstellt, wenn das Gerät eines Nutzers gehackt wird oder als nicht mehr gehackt gilt. 

Beispiel: Nexus 5 von Nutzername wurde manipuliert.

Nicht zutreffend Android 
iOS
Geräteinhaberschaft

Gibt an, ob sich der Eigentümer des Geräts geändert hat. 

Beispiel: Ein persönliches Gerät geht in das Eigentum des Unternehmens über, nachdem die Details in die Admin-Konsole importiert wurden. 

Der Status wird überprüft, sobald der Admin-Konsole ein unternehmenseigenes Gerät hinzugefügt wird.  Wenn ein unternehmenseigenes Gerät aus der Admin-Konsole gelöscht wird, erfolgt die Prüfung bei der nächsten Synchronisierung, nachdem das Gerät erneut registriert wurde.

Beispiel: Inhaberschaft des Nexus 5 von Nutzername wurde zu "gehört dem Unternehmen" geändert; neue Geräte-ID: "abcd1234"

Nicht zutreffend Android
Chrome OS
Mac
Windows
Änderung der Geräteeinstellungen

Der Nutzer hat die Einstellungen "Entwickleroptionen", "Unbekannte Quellen", "USB-Fehlerbehebung" oder "Apps überprüfen" auf dem Gerät geändert.  

Dieses Ereignis wird festgehalten, wenn das Gerät das nächste Mal synchronisiert wird. 

Beispiel: "Apps überprüfen" auf Nexus 6P durch Nutzer von AUS zu AN geändert

  • Entwickleroptionen
  • Unbekannte Quellen
  • USB-Fehlerbehebung
  • Apps überprüfen
Android
Fehlgeschlagene Versuche, den Bildschirm zu entsperren

Die Zahl der fehlgeschlagenen Versuche eines Nutzers, ein Gerät zu entsperren 

Ein Ereignis wird nur dann erstellt, wenn der Nutzer mindestens fünfmal und ohne Erfolg versucht hat, das Gerät zu entsperren. 

Beispiel: 5-mal falsches Passwort eingegeben, um Nexus 7 von Nutzername zu entsperren.

Größer als: Geben Sie die Mindestanzahl der Fehlversuche ein, die angezeigt werden sollen.

Android
Verdächtige Aktivität 

Auf dem Gerät wurde eine verdächtige Aktivität erkannt.

Android: Es wird immer dann ein Eintrag erstellt, wenn sich eine Eigenschaft (siehe untergeordnete Filter) auf dem Gerät eines Nutzers ändert. 
 
iOS: Nur Änderungen an der WLAN-MAC-Adresse werden festgehalten.

Beispiel: WLAN-MAC-Adresse auf Nexus 5 von Nutzername von x zu y geändert

  • Gerätemodell 
  • Seriennummer 
  • WLAN-MAC-Adresse
  • Device Policy App-Berechtigung 
  • Hersteller
  • Marke oder Anbieter des Geräts
  • Hardware des Geräts
Android 
iOS
 
Unterstützung von Arbeitsprofilen

Das Gerät unterstützt Arbeitsprofile. 

Sie werden durch dieses Ereignis beispielsweise informiert, wenn ein Nutzer das Betriebssystem aktualisiert und dadurch auf dem Gerät ein Arbeitsprofil verwendet werden kann.

Für jedes Gerät, das Arbeitsprofile unterstützt, wird ein Eintrag erstellt.

Beispiel: Arbeitsprofil wird auf Nexus᠎ 5 von Nutzername unterstützt

Nicht zutreffend Android

Schritt 3: Daten des Audit-Logs anpassen und exportieren

Daten des Audit-Logs nach Nutzer oder Aktivität filtern

Sie haben die Möglichkeit, das Audit-Log nach bestimmten Ereignissen oder Nutzern zu filtern. Suchen Sie beispielsweise nach allen fehlgeschlagenen Versuchen, ein Gerät zu entsperren, oder filtern Sie nach allen verdächtigen Aktivitäten eines bestimmten Nutzers.

  1. Öffnen Sie das Audit-Log wie oben beschrieben.
  2. Wenn der Bereich "Filter" nicht zu sehen ist, klicken Sie auf "Filter" Filtern.
  3. Wählen Sie die Kriterien aus oder geben Sie sie ein. Sie können nach Ereignissen, Nutzern, Geräten und Daten filtern. Einzelheiten zu den verschiedenen Ereignistypen und den entsprechenden Filtern finden Sie oben in den Ereignisbeschreibungen.
  4. Klicken Sie auf Suchen.

Nach Organisationseinheit filtern

Sie können nach Organisationseinheit filtern, um die Statistiken untergeordneter Organisationen in einer Domain zu vergleichen.

  1. Öffnen Sie den Bericht wie oben beschrieben.
  2. Wählen Sie links unter Filter eine Organisationseinheit aus der Liste aus.

Sie können nur die aktuelle Organisationshierarchie filtern, auch wenn Sie nach älteren Daten suchen. Daten, die vor dem 20. Dezember 2018 liegen, werden nicht in den gefilterten Ergebnissen angezeigt.

Daten exportieren

Sie können die Daten des Audit-Logs als Google-Tabelle exportieren oder als CSV-Datei herunterladen.

  1. Öffnen Sie das Audit-Log wie oben beschrieben.
  2. Optional: So ändern Sie die Daten für den Export:
    1. Klicken Sie in der Symbolleiste auf "Spalten auswählen" Spalten auswählen.
    2. Klicken Sie auf das Kästchen neben den Daten, die Sie exportieren möchten, und dann auf Übernehmen.
  3. Klicken Sie in der Symbolleiste auf "Herunterladen" Herunterladen.

Sie können bis zu 210.000 Zellen exportieren. Die maximale Zeilenzahl richtet sich nach der Zahl der ausgewählten Spalten. Die Audit-Logs in Google Tabellen sind auf 10.000 Zeilen beschränkt. CSV-Exporte fassen dagegen bis zu 500.000 Zeilen.

Wie alt sind die angezeigten Daten?

Detaillierte Informationen dazu, wann genau Daten verfügbar werden und wie lange sie aufbewahrt werden, finden Sie im Hilfeartikel Datenaufbewahrung und Zeitverzögerungen.

Schritt 4: E-Mail-Benachrichtigungen einrichten

Sie haben die Möglichkeit, mithilfe von Benachrichtigungen bestimmte Aktivitäten im Blick zu behalten. So können Sie sich beispielsweise immer dann benachrichtigen lassen, wenn ein Nutzer auf seinem Gerät einen Kalender erstellt oder löscht.

  1. Öffnen Sie das Audit-Log wie oben beschrieben.
  2. Wenn der Bereich Filter nicht zu sehen ist, klicken Sie auf "Filter" Filtern.
  3. Wählen Sie die Kriterien für den Filter aus oder geben Sie sie ein. Sie können alle Daten, die im Audit-Log zu sehen sind, beliebig kombinieren und filtern – mit Ausnahme von Datum und Zeitraum.
  4. Klicken Sie auf Benachrichtigung einrichten.
  5. Geben Sie in das Feld Benachrichtigung einrichten: Mobilgerät einen Namen für die Benachrichtigung ein.
  6. Klicken Sie das Kästchen "Super Admins" an, um die Benachrichtigung den Super Admins des Kontos zuzustellen.
  7. Geben Sie ggf. die E-Mail-Adressen weiterer Empfänger ein.
  8. Klicken Sie auf Speichern.

Informationen zum Bearbeiten benutzerdefinierter Benachrichtigungen finden Sie unter E-Mail-Benachrichtigungen für Administratoren.

War das hilfreich?
Wie können wir die Seite verbessern?