G Suite-Audit-Logs konfigurieren, aufrufen und exportieren

Überblick

Auf dieser Seite wird gezeigt, wie Sie Audit-Logs für die G Suite und Cloud Identity konfigurieren, aufrufen und nach Google Cloud exportieren. Durch Exportieren der Audit-Logs von G Suite und Cloud Identity nach Google Cloud können Sie gängige Probleme diagnostizieren und beheben.

G Suite-Audit-Logs in Google Cloud

Sie können Audit-Logs von Ihrem G Suite-, Cloud Identity- oder Drive Enterprise-Konto für das Google Cloud-Konto Ihrer Organisation freigeben. Sie haben dann die Möglichkeit, in Google Cloud über Cloud Logging auf die freigegebenen Audit-Logs zuzugreifen.

Sie können in Google Cloud auf die folgenden Typen von Audit-Logs für G Suite, Cloud Identity und Drive Enterprise zugreifen:

  • Audit-Logs zur G Suite-Administratoraktivität. Audit-Logs zur Administratoraktivität enthalten die in der G Suite-Admin-Konsole ausgeführten Aktionen. Darin wird beispielsweise ein Eintrag angezeigt, wenn ein Administrator einen Nutzer hinzugefügt oder einen G Suite-Dienst aktiviert hat. Weitere Informationen zu Audit-Logs für G Suite-Administratoren finden Sie auf der Seite Ereignisnamen für Berichte zur Administratoraktivität.

  • Audit-Logs zu G Suite-Anmeldeaktivitäten. Mit Audit-Logs zu Anmeldeaktivitäten werden die Nutzeranmeldungen in Ihrer Domain erfasst. In den Anmeldelogs wird nur das Anmeldeereignis aufgezeichnet. Es wird nicht erfasst, welches System für die Anmeldung verwendet wurde.

    Anmeldungen können aus folgenden Bereichen erfolgen:

    • G Suite-Admin-Konsole

    • Google Cloud Console

    • Cloud Identity API

    • gcloud-Befehlszeilentool

    • Benutzeroberfläche von Google Konten

    Weitere Informationen über Audit-Logs zu Anmeldeaktivitäten finden Sie auf der Seite Ereignisse für Audit-Logs zu Anmeldeaktivitäten.

  • Audit-Logs zu G Suite Enterprise-Gruppen. Audit-Logs zu Enterprise-Gruppen enthalten Informationen zu den Aktionen, die für Gruppen und Gruppenmitgliedschaften ausgeführt wurden. Beispielsweise wird darin ein Eintrag angezeigt, wenn ein Administrator einen Nutzer hinzugefügt oder ein Gruppeninhaber seine Gruppe gelöscht hat.

    Aktionen für Gruppen- und Gruppenmitgliedschaften können in folgenden Bereichen ausgeführt werden:

    • G Suite-Admin-Konsole

    • Google Cloud Console

    • Admin SDK API

    • Cloud Identity API

    • Google Groups-Benutzeroberfläche

    Weitere Informationen zu Audit-Logs für G Suite Enterprise-Gruppen finden Sie auf der Seite Ereignisse für Audit-Logs zu Enterprise-Gruppenaktivitäten.

Andere Arten von G Suite-Audit-Logs können derzeit noch nicht für Google Cloud freigegeben werden.

G Suite-Audit-Logs in der G Suite-Admin-Konsole aufrufen

Sie können Audit-Logs der G Suite in der G Suite-Admin-Konsole aufrufen. Informationen zum Aufrufen von Audit-Logs für die G Suite finden Sie in den folgenden Themen:

G Suite-Audit-Logs in Google Cloud konfigurieren und aufrufen

So rufen Sie G Suite-Audit-Logs in Google Cloud auf:

  1. Konfigurieren Sie G Suite-Audit-Logs für die Freigabe für Google Cloud.

  2. Konfigurieren Sie Google Cloud-Berechtigungen für den Aufruf von Audit-Logs der G Suite.

G Suite-Audit-Logs für die Freigabe für Google Cloud konfigurieren

Wenn Sie die Freigabe von G Suite-Daten für Cloud-Audit-Logs aus Ihrem G Suite-, Cloud Identity- oder Drive Enterprise-Konto aktivieren möchten, folgen Sie der Anleitung im G Suite-Administrator-Hilfeartikel Daten für Google Cloud-Dienste freigeben.

Wenn Sie die Freigabe von G Suite-Daten für Google Cloud aktivieren, können Sie die Audit-Logs der G Suite nicht selektiv mit der Option Google Cloud Console > IAM und Verwaltung > Audit-Logs deaktivieren. Google Cloud erhält also alle Audit-Logs der G Suite. Wenn Sie bestimmte Audit-Logs aus Google Cloud entfernen möchten, müssen Sie Logausschlüsse in Cloud Logging einrichten.

Nachdem Sie die G Suite-Datenfreigabe für Google Cloud aktiviert haben, werden G Suite-Audit-Logs immer an Google Cloud gesendet. Wenn Sie die G Suite-Datenfreigabe deaktivieren, werden keine neuen G Suite-Audit-Logs mehr an Google Cloud gesendet. Für alle vorhandenen Logs in Google Cloud gilt jedoch die standardmäßige Aufbewahrungsdauer, es sei denn, Sie konfigurieren die benutzerdefinierte Aufbewahrungsdauer so, dass Ihre Logs länger gespeichert werden.

Google Cloud-Berechtigungen zum Aufrufen von G Suite-Audit-Logs konfigurieren

G Suite-Audit-Logs befinden sich in Google Cloud-Organisationen. Daher wird mit Berechtigungen und Rollen des Identity and Access Management (IAM) festgelegt, welche Audit-Logs ein Nutzer aufrufen oder exportieren kann.

G Suite-Audit-Logs in der Google Cloud Console aufrufen

Sie können G Suite-Audit-Logs in Google Cloud auf folgende Weise aufrufen:

G Suite-Audit-Logs aus Google Cloud exportieren

Wenn sich die G Suite-Audit-Logs in Google Cloud befinden, können sie in andere Google Cloud-Speicherziele oder in Speicherorte außerhalb von Google Cloud exportiert werden. Beispielsweise haben Sie die Möglichkeit, eine Senke zu erstellen, um Logs nach Splunk oder BigQuery zu exportieren. Eine konzeptionelle Übersicht über das Exportieren von Logs aus Cloud Logging finden Sie in der Übersicht über Logexporte.

Da es sich bei G Suite-Audit-Logs um Logs auf Organisationsebene handelt, können Sie sie mithilfe von aggregierten Exporten auf Organisationsebene an folgende Ziele exportieren:

Aufbewahrungsdauer von Logdaten in Cloud Logging anpassen

Cloud Logging speichert Logs in zwei Buckets: in einem _Default-Bucket und in einem _Required-Bucket. Der _Default-Bucket enthält Google Cloud- und nutzergenerierte Logs. Der Bucket _Required enthält Audit-Logs zur Administratoraktivität, Audit-Logs zu Systemereignissen und Logs zu Access Transparency. Weitere Informationen zu Cloud Logging-Buckets finden Sie unter Logs speichern.

Audit-Logs zu G Suite-Anmeldeaktivitäten. G Suite-Audit-Logs werden im Bucket _Default gespeichert. Sie können in Cloud Logging festlegen, dass die Logs im _Default-Log-Bucket für einen Zeitraum von 1 Tag bis zu 3.650 Tagen aufbewahrt werden. Informationen zum Ändern der Aufbewahrungsdauer für den Log-Bucket _Default finden Sie im Abschnitt "Logaufbewahrung" auf der Seite "Logs speichern".

Audit-Logs zur G Suite-Administratoraktivität und zu G Suite Enterprise-Gruppenaktivitäten. Audit-Logs zur G Suite-Administratoraktivität und zu G Suite Enterprise-Gruppenaktivitäten werden im Bucket _Required gespeichert. Sie können die Aufbewahrungsdauer für den Bucket _Required nicht ändern.