Audit der Nutzeraktivität in Google Vault

In Audits für Vault können Sie Details zur Aktivität von Google Vault-Nutzern abrufen. Darin sehen Sie beispielsweise, über welche Konten Aufbewahrungsregeln bearbeitet oder Daten in Ihrer Organisation gesucht wurden. Google Vault-Nutzer sind Konten in Organisationseinheiten, die sich in Vault anmelden und Aktionen ausführen können. Weitere Informationen zu Vault-Berechtigungen

Berichte aus Audits für Vault lassen sich als CSV-Dateien exportieren. Diese Dateien können dann in jeder Tabellenansicht einschließlich Google Tabellen angesehen werden.

So führen Sie einen Vault-Auditbericht aus

  1. Wechseln Sie in Vault zu Berichte > Prüfung.
  2. Geben Sie unter Zeitraum auswählen das Start- und Enddatum für das Audit an.
  3. Fügen Sie unter Vault-Nutzer auswählen die Nutzer ein, für die Sie das Audit durchführen möchten. Die hier eingegebenen Vault-Nutzer verfügen über Vault-Berechtigungen und Sie führen eine Prüfung ihrer Vault-Aktionen durch, z. B. festgelegte Aufbewahrungsregeln, durchsuchte Rechtsangelegenheiten, geänderte Holds sowie alle weiteren administrativen Aktionen.
  4. Klicken Sie unter Aktionstypen auswählen die Kästchen neben den Aktionen an, für die Sie Auditinformationen abrufen möchten. Sie können beispielsweise Aufbewahrungsrichtlinie auswählen, um die Aktionen eines Vault-Nutzers im Zusammenhang mit der Aufbewahrung zu überprüfen, z. B. welche Aufbewahrungsregeln ein Vault-Nutzer wann erstellt oder geändert hat.
  5. Klicken Sie auf CSV-Datei herunterladen. Eine CSV-Datei mit den entsprechenden Daten wird auf Ihr Gerät heruntergeladen.

Definitionen der Werte in der CSV-Datei finden Sie unter Inhalt eines Audits.

Inhalte eines Audits

Jede Zeile in einem Audit enthält Informationen zu einer Aktion. Jede Aktion hat 11 Werte. Einige Werte gelten nur für bestimmte Aktionen und sind bei anderen leer.

Alle öffnen   |   Alle schließen

Epochenmillisekunden

Zeitpunkt, an dem eine Aktion erfolgt ist, in Epochenmillisekunden: Die Anzahl der Millisekunden, die seit dem 1. Januar 1970 (00:00 Uhr UTC bzw. 01:00 Uhr MEZ) vergangen sind. Sie müssen die Angabe in Epochenmillisekunden nicht umrechnen, da jede Aktion auch im Datumsformat angegeben ist.

Datum

Zeitpunkt, an dem eine Aktion erfolgt ist, in einem normalen kalendarischen Format. Der Wert enthält den Wochentag, das Datum sowie Stunde, Minute und Sekunde. Die Zeitzone ist immer Standard Pacific Time (-07:00 bzw. -08:00 Stunden MEZ).

Aktion

Die Aktion, die erfolgt ist. Mögliche Werte:

Aktionswert Beschreibung

ADD_COLLABORATOR_BEGIN

ADD_COLLABORATOR_END

Wird jedes Mal protokolliert, wenn jemand eine bestimmte Rechtsangelegenheit für andere Nutzer freigibt. Die ID-Nummer der Rechtsangelegenheit wird in "Rechtsangelegenheit" protokolliert. Die E-Mail-Adresse des Nutzers, für den die Rechtsangelegenheit freigegeben wurde, wird im Wert E-Mail protokolliert.

ADD_LITIGATION_HOLD_BEGIN

ADD_LITIGATION_HOLD_END

Wird jedes Mal protokolliert, wenn jemand in einer Rechtsangelegenheit einen Hold erstellt. Die ID-Nummer der Rechtsangelegenheit wird im Wert "Rechtsangelegenheit" protokolliert. Die E-Mail-Adresse des Nutzers, dessen Inhalte auf Hold gesetzt wurden, wird im Wert "Name" protokolliert.

ADD_RETENTION_RULE_BEGIN

ADD_RETENTION_RULE_END

Wird jedes Mal protokolliert, wenn jemand eine benutzerdefinierte Aufbewahrungsregel erstellt. Die neue Regel erhält eine eindeutige ID, die im Wert "Name" protokolliert wird. Der Aufbewahrungszeitraum wird im Wert "Details" als "Zeitraum: Tage" protokolliert.

CLOSE_INVESTIGATION_BEGIN

CLOSE_INVESTIGATION_END

Wird jedes Mal protokolliert, wenn jemand eine Rechtsangelegenheit schließt. Die ID-Nummer der Rechtsangelegenheit wird im Wert "Rechtsangelegenheit" protokolliert.

CREATE_EXPORT_BEGIN

CREATE_EXPORT_END

Verworfen – Ersetzt durch EXPORT. Berichte wurden für Exporte erstellt, die im Februar 2014 oder früher ausgeführt wurden.

Wird jedes Mal protokolliert, wenn jemand Dokumente exportiert, die in einer Rechtsangelegenheit gesucht wurden. Der Name des Exports wird im Wert "Name" protokolliert. Die Suchkriterien werden im Wert "Abfragestring" protokolliert.

CREATE_INVESTIGATION_BEGIN

CREATE_INVESTIGATION_END

Wird jedes Mal protokolliert, wenn jemand eine Rechtsangelegenheit erstellt. Die ID-Nummer der Rechtsangelegenheit wird im Wert "Rechtsangelegenheit" protokolliert. Der Name der Rechtsangelegenheit wird im Wert "Name" protokolliert.

CREATE_SAVED_QUERY_BEGIN

CREATE_SAVE_QUERY_END

Wird jedes Mal protokolliert, wenn jemand eine Suchanfrage in einer Rechtsangelegenheit speichert. Die verwendeten Suchkriterien werden im Wert "Abfragesuche" protokolliert.

DELETE_RETENTION_RULE_BEGIN

DELETE_RETENTION_RULE_END

Wird jedes Mal protokolliert, wenn jemand eine benutzerdefinierte Aufbewahrungsregel löscht. Die ID-Nummer der benutzerdefinierten Aufbewahrungsregel wird im Wert "Name" protokolliert.
DOWNLOAD_CROSS_MATTER_LITIGATION_HOLD_REPORT Wird jedes Mal protokolliert, wenn jemand die Liste der Holds aus Domain-Holds, Nutzer-Holds oder Gruppen-Holds herunterlädt.
DOWNLOAD_PER_MATTER_LITIGATION_HOLD_REPORT Wird jedes Mal protokolliert, wenn jemand die Liste der Holds innerhalb einer Rechtsangelegenheit herunterlädt. Die ID-Nummer der Rechtsangelegenheit wird im Wert "Rechtsangelegenheit" protokolliert.
EXPORT Wird jedes Mal protokolliert, wenn jemand einen Export ausführt. Der Name des Exports wird im Wert "Name" protokolliert. Die Suchkriterien werden im Wert "Abfragestring" protokolliert.

MODIFY_DEFAULT_RETENTION_PERIOD_BEGIN

MODIFY_DEFAULT_RETENTION_PERIOD_END

Wird jedes Mal protokolliert, wenn jemand die Standardaufbewahrungsregel ändert. Der geänderte Aufbewahrungszeitraum wird im Wert "Details" als "Zeitraum: Tage" protokolliert.

REMOVE_COLLABORATOR_BEGIN

REMOVE_COLLABORATOR_END

Wird jedes Mal protokolliert, wenn jemand einen anderen Nutzer aus einer freigegebenen Rechtsangelegenheit entfernt. Die ID der Rechtsangelegenheit wird im Wert "Rechtsangelegenheit" aufgezeichnet. Die E-Mail-Adresse des Nutzers, für den die Rechtsangelegenheit nicht mehr freigegeben ist, wird im Wert E-Mail protokolliert.

REMOVE_LITIGATION_HOLD_BEGIN

REMOVE_LITIGATION_HOLD_END

Wird jedes Mal protokolliert, wenn jemand einen Hold für ein Konto entfernt. Die ID-Nummer der Rechtsangelegenheit wird im Wert "Rechtsangelegenheit" protokolliert. Die E-Mail-Adresse des Nutzers, dessen Inhalte nicht mehr auf Hold gesetzt sind, wird im Wert "Name" protokolliert.
SEARCH Wird jedes Mal protokolliert, wenn ein Nutzer eine Suche in einer Rechtsangelegenheit ausführt. Die ID-Nummer der Rechtsangelegenheit wird im Wert "Rechtsangelegenheit" protokolliert. Die Suchkriterien werden im Wert "Abfragestring" protokolliert.

UPDATE_RETENTION_RULE_BEGIN

UPDATE_RETENTION_RULE_END

Wird jedes Mal protokolliert, wenn jemand eine benutzerdefinierte Aufbewahrungsregel ändert. Die ID-Nummer der benutzerdefinierten Aufbewahrungsregel wird im Wert "Name" protokolliert. Der geänderte Aufbewahrungszeitraum wird im Wert "Details" als "Zeitraum: Tage" protokolliert.
VIEW_CROSS_MATTER_LITIGATION_HOLD_REPORT Wird jedes Mal protokolliert, wenn jemand auf Nutzer-Holds klickt, um die Anzahl der Nutzer anzusehen, die auf Hold gesetzt sind.
VIEW_CUSTODIAN_LITIGATION_HOLD_REPORT Wird jedes Mal protokolliert, wenn ein Nutzer auf Domain-Holds klickt, um Holds für Organisationseinheiten oder Nutzer abzurufen.
VIEW_DOCUMENT Wird jedes Mal protokolliert, wenn jemand ein Dokument aufruft. Eine eindeutige ID-Nummer für dieses Dokument wird im Wert "Name" protokolliert.
VIEW_INVESTIGATION Wird jedes Mal protokolliert, wenn jemand die Seiten "Suche" oder "Export" in einer Rechtsangelegenheit öffnet.
VIEW_MATTER_AUDIT_LOG Wird jedes Mal protokolliert, wenn jemand ein Audit zu einer bestimmten Rechtsangelegenheit ausführt. Die ID-Nummer der Rechtsangelegenheit wird im Wert "Rechtsangelegenheit" protokolliert.
VIEW_PER_MATTER_LITIGATION_HOLD_REPORT Wird jedes Mal protokolliert, wenn jemand Holds in einer Rechtsangelegenheit aufruft. Die ID-Nummer der Rechtsangelegenheit wird im Wert "Rechtsangelegenheit" protokolliert.
VIEW_RETENTION_POLICY Wird jedes Mal protokolliert, wenn jemand die Seite "Aufbewahrung" öffnet.
VIEW_SYSTEM_AUDIT_LOG Wird jedes Mal protokolliert, wenn jemand ein Audit herunterlädt.
Nutzer

Die E-Mail-Adresse des Vault-Nutzers, der die Aktion im Wert "Aktion" ausgeführt hat.

Rechtsangelegenheit

Bei Aktionen in einer bestimmten Rechtsangelegenheit die eindeutige ID der Rechtsangelegenheit. Die ID der Rechtsangelegenheit ist Teil der Vault-URL für die Rechtsangelegenheit.

Name

Die Informationen in diesem Wert hängen von der Aktion ab, die der Vault-Nutzer ausgeführt hat:

  • Wenn der Nutzer ein Dokument angesehen hat (Aktion VIEW_DOCUMENT), steht hier die eindeutige ID des Dokuments.

    Beispiel: ACD7onr49fP6DqvgAvIDhboAqqth9q7ekwGc0xpC3xjhpylzQvvQoNKmBKyE9NL1Qdww4eA2SQSc5mOF0JJ_bV_tkVFU3TWIdIrBYOiZLw0eBA9-xL7A-pc

  • Wenn der Nutzer einen Mitbearbeiter hinzugefügt oder entfernt hat (Aktion ADD_COLLABORATOR_BEGIN/END oder REMOVE_COLLABORATOR_BEGIN/END), steht hier die E-Mail-Adresse des Nutzers, der hinzugefügt oder entfernt wurde
  • Wenn der Nutzer einen Export in einer Rechtsangelegenheit erstellt hat (Aktion CREATE_EXPORT_BEGIN/END), steht hier der Name des Exports.
E-Mail

Die E-Mail-Adresse des Mitbearbeiters, der einer Rechtsangelegenheit hinzugefügt oder daraus entfernt wurde (Aktion ADD_COLLABORATOR_BEGIN/END oder REMOVE_COLLABORATOR_BEGIN/END).

Ressourcen-URL

Die URL eines Dokuments, das der Nutzer aufgerufen hat (Aktion VIEW_DOCUMENT).

Abfragestring

Die Suchparameter, die der Nutzer für eine bestimmte Suche eingegeben hat (Aktion SEARCH oder SEARCH_COUNT).

Beispiel: Abfrage: "( Projekt X )"

Organisation

Der Name der Organisationseinheit, für die die Aktion gilt. Beispiel: Der Vault-Nutzer hat eine Aufbewahrungsregel für eine bestimmte Organisationseinheit erstellt.

Details

Die Aufbewahrungsdauer in Tagen, die ein Nutzer für eine benutzerdefinierte Aufbewahrungsregel festgelegt hat. Der Zeitraum wird als "Zeitraum: Tage" angegeben.

Wie lange werden Informationen in Audit-Logs gespeichert?

Die in Auditberichten protokollierten Aktionen können weder von Google noch von einem Vault-Administrator bzw. -Nutzer vollständig oder teilweise gelöscht werden, solange Ihre Organisation Vault verwendet.

Wenn Ihre Organisation die Nutzung des Vault-Diensts beendet, werden die Auditdaten nach etwa 30 Tagen gelöscht.

War das hilfreich?
Wie können wir die Seite verbessern?