Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Audit-Logs für Google Workspace konfigurieren, aufrufen und exportieren

Übersicht

Auf dieser Seite wird beschrieben, wie Sie Audit-Logs für Google Workspace und Cloud Identity in Google Cloud konfigurieren, aufrufen und exportieren. Wenn Sie Audit-Logs von Google Workspace und Cloud Identity nach Google Cloud exportieren, können Sie häufige Probleme diagnostizieren und beheben.

Audit-Logs von Google Workspace in Google Cloud

Sie können Audit-Logs von Ihrem Google Arbeitsbereich, Cloud Identity oder Drive Enterprise-Konto für das Cloud-Rechnungskonto Ihrer Organisation freigeben. Sie haben dann die Möglichkeit, in Google Cloud über Cloud Logging auf die freigegebenen Audit-Logs zuzugreifen.

In Google Cloud haben Sie Zugriff auf die folgenden Audit-Logs für Google Workspace, Cloud Identity und Drive Enterprise:

  • Audit-Log für Google Workspace-Administratoren. Admin-Audit-Logs enthalten Informationen zu den Aktionen, die in Ihrer Google Workspace-Administratorkonsole ausgeführt wurden. Sie können beispielsweise sehen, wenn ein Administrator einen Nutzer hinzugefügt oder einen Google Workspace-Dienst aktiviert hat. Weitere Informationen zu Audit-Logs für Google Workspace-Admin finden Sie auf der Seite mit den Ereignisnamen für Administratoraktivitäten.

  • Google Workspace Login Audit. Mit Audit-Logs zu Anmeldeaktivitäten werden die Nutzeranmeldungen in Ihrer Domain erfasst. In den Anmeldelogs wird nur das Anmeldeereignis aufgezeichnet. Es wird nicht erfasst, welches System für die Anmeldung verwendet wurde.

    Anmeldungen können aus folgenden Bereichen erfolgen:

    • Google Workspace-Admin-Konsole

    • Google Cloud Console

    • Cloud Identity API

    • gcloud-Befehlszeilentool

    • Benutzeroberfläche von Google Konten

    Weitere Informationen zu Google Workspace Login-Audit-Logs finden Sie auf der Seite Audit-Aktivitätsereignisse zu Anmeldeaktivitäten.

  • Google Workspace Enterprise Groups Audit. Audit-Logs zu Enterprise-Gruppen enthalten Informationen zu den Aktionen, die für Gruppen und Gruppenmitgliedschaften ausgeführt wurden. Beispielsweise wird darin ein Eintrag angezeigt, wenn ein Administrator einen Nutzer hinzugefügt oder ein Gruppeninhaber seine Gruppe gelöscht hat.

    Aktionen für Gruppen- und Gruppenmitgliedschaften können in folgenden Bereichen ausgeführt werden:

    • Google Workspace-Admin-Konsole

    • Google Cloud Console

    • Admin SDK API

    • Cloud Identity API

    • Google Groups-Benutzeroberfläche

    Weitere Informationen zu Audit-Logs für Google Workspace Enterprise Groups finden Sie auf der Seite Audit-Aktivitätsereignisse für Enterprise-Gruppen.

Andere Arten von Audit-Logs von Google Workspace werden derzeit nicht für Google Cloud freigegeben.

Audit-Logs für Google Workspace in der Google Workspace-Admin-Konsole aufrufen

Sie können Audit-Logs für Google Workspace über die Google Workspace-Admin-Konsole aufrufen. Informationen zum Aufrufen von Audit-Logs für Google Workspace finden Sie in den folgenden Themen:

Audit-Logs für Google Workspace mit Google Cloud konfigurieren und aufrufen

Führen Sie die folgenden Aktionen aus, um Audit-Logs von Google Workspace in Google Cloud aufzurufen:

  1. Freigabe von Audit-Logs für Google Workspace mit Google Cloud konfigurieren.

  2. Konfigurieren Sie Google Cloud-Berechtigungen, um Audit-Logs von Google Workspace aufzurufen.

Freigabe von Audit-Logs für Google Workspace mit Google Cloud konfigurieren

Wenn Sie die Freigabe von Google Workspace-Daten mit Cloud-Audit-Logging über Ihren Google Workspace, Cloud Identity oder ein Drive Enterprise-Konto aktivieren möchten, folgen Sie der Anleitung im Google Workspace-Admin-Hilfeartikel Daten für Google Cloud-Dienste freigeben.

Wenn Sie die Freigabe von Google Workspace-Daten für Google Cloud aktivieren, können Sie die Audit-Logs für Google Workspace nicht über die Google Cloud Console > IAM & Verwaltung > Audit-Logs deaktivieren. Das bedeutet, dass Google Cloud alle Audit-Logs für Google Workspace empfängt. Wenn Sie bestimmte Audit-Logs aus Google Cloud entfernen möchten, müssen Sie Logausschlüsse in Cloud Logging einrichten.

Nachdem Sie die Google Workspace-Datenfreigabe mit Google Cloud aktiviert haben, werden Audit-Logs von Google Workspace immer an Google Cloud gesendet. Wenn Sie die Datenfreigabe für Google Workspace deaktivieren, werden keine neuen Google Workspace-Audit-Logs mehr an Google Cloud gesendet. Für alle vorhandenen Logs in Google Cloud gilt jedoch die standardmäßige Aufbewahrungsdauer, es sei denn, Sie konfigurieren die benutzerdefinierte Aufbewahrungsdauer so, dass Ihre Logs länger gespeichert werden.

Google Cloud-Berechtigungen zum Aufrufen von Audit-Logs von Google Workspace konfigurieren

Die Audit-Logs von Google Workspace befinden sich in Google Cloud-Organisationen. Daher wird mit Berechtigungen und Rollen des Identity and Access Management (IAM) festgelegt, welche Audit-Logs ein Nutzer aufrufen oder exportieren kann.

Audit-Logs von Google Workspace in der Google Cloud Console ansehen

Sie können Audit-Logs von Google Workspace in Google Cloud auf folgende Weise aufrufen:

Audit-Logs von Google Workspace aus Google Cloud exportieren

Sobald Google Cloud-Audit-Logs in Google Cloud gespeichert sind, können sie in andere Google Cloud-Speicherziele oder außerhalb von Google Cloud exportiert werden. Beispielsweise haben Sie die Möglichkeit, eine Senke zu erstellen, um Logs nach Splunk oder BigQuery zu exportieren. Eine konzeptionelle Übersicht über das Exportieren von Logs aus Cloud Logging finden Sie in der Übersicht über Logexporte.

Da es sich bei Google Workspace-Audit-Logs um Logs auf Organisationsebene handelt, können Sie sie über aggregierte Exporte auf Organisationsebene an diese Ziele exportieren:

Aufbewahrungsdauer von Logdaten in Cloud Logging anpassen

Cloud Logging speichert Logs in zwei Buckets: in einem _Default-Bucket und in einem _Required-Bucket. Der _Default-Bucket enthält Google Cloud- und nutzergenerierte Logs. Der Bucket _Required enthält Audit-Logs zur Administratoraktivität, Audit-Logs zu Systemereignissen und Logs zu Access Transparency. Weitere Informationen zu Cloud Logging-Buckets finden Sie unter Logs speichern.

Audit-Logs von Google Workspace Login. Audit-Logs von Google Workspace werden im Bucket _Default gespeichert. Sie können in Cloud Logging festlegen, dass die Logs im _Default-Log-Bucket für einen Zeitraum von 1 Tag bis zu 3.650 Tagen aufbewahrt werden. Informationen zum Ändern der Aufbewahrungsdauer für den Log-Bucket _Default finden Sie im Abschnitt "Logaufbewahrung" auf der Seite "Logs speichern".

Audit-Logs für Google Workspace-Administrator und Google Workspace Enterprise-Gruppen. Audit-Logs für Google Workspace-Admin und Google Workspace Enterprise-Gruppen werden im Bucket _Required gespeichert. Sie können die Aufbewahrungsdauer für den Bucket _Required nicht ändern.