Audit-Logs von Google Workspace

Dieses Dokument bietet eine konzeptionelle Übersicht über die Audit-Logs, die Google Workspace als Teil von Cloud-Audit-Logs bereitstellt.

Informationen zum Verwalten Ihrer Audit-Logs von Google Workspace finden Sie unter Audit-Logs von Google Workspace ansehen und verwalten.

Überblick

Google Cloud-Dienste schreiben Audit-Logs, um Ihnen Antworten auf Fragen wie "Wer hat was wo und wann getan?" zu liefern. Sie können Ihre Audit-Logs von Google Workspace für Google Cloud freigeben, um Ihre Google Workspace-Daten zu speichern, zu analysieren, zu überwachen und zu melden.

Audit-Logs von Google Workspace sind für Cloud Identity-, Cloud Identity Premium- und alle Google Workspace-Kunden verfügbar.

Wenn Sie die Google Workspace-Datenfreigabe für Google Cloud aktiviert haben, sind Audit-Logs für Google Workspace immer aktiviert.

Wenn Sie die Google Workspace-Datenfreigabe deaktivieren, werden keine neuen Audit-Logereignisse für Google Workspace an Google Cloud gesendet. Alle vorhandenen Logs bleiben während der standardmäßigen Aufbewahrungsdauer bestehen, es sei denn, Sie haben die benutzerdefinierte Aufbewahrung so konfiguriert, dass Ihre Logs über einen längeren Zeitraum aufbewahrt werden.

Wenn Sie die Google Workspace-Datenfreigabe für Google Cloud nicht aktiviert haben, können Sie keine Audit-Logs für Google Workspace in Google Cloud sehen.

Arten von Audit-Logs

Audit-Logs zur Administratoraktivität enthalten Logeinträge für API-Aufrufe oder andere Aktionen, die die Konfiguration oder Metadaten von Ressourcen ändern. In diesen Logs wird beispielsweise aufgezeichnet, wann Nutzer VM-Instanzen erstellen oder IAM-Berechtigungen (Identity and Access Management) ändern.

Audit-Logs zu Datenzugriffen enthalten API-Aufrufe, die die Konfiguration oder Metadaten von Ressourcen lesen, sowie nutzergesteuerte API-Aufrufe, die von Nutzern bereitgestellte Ressourcendaten erstellen, ändern oder lesen. In Audit-Logs zum Datenzugriff werden keine Vorgänge zum Datenzugriff auf Ressourcen erfasst, die öffentlich freigegeben, also für alle Nutzer oder alle authentifizierten Nutzer verfügbar sind, oder die ohne Anmeldung in Google Cloud, Google Workspace, Cloud Identity, oder im Unternehmenskonto zugänglich sind.

Google Workspace-Dienste, die Audit-Logs an Google Cloud weiterleiten

Google Workspace stellt auf der Google Cloud-Organisationsebene die folgenden Audit-Logs bereit:

Google Workspace Admin Audit: Audit-Logs für die Admin-Konsole enthalten eine Aufzeichnung der Aktionen, die in der Admin-Konsole ausgeführt wurden. Sie können beispielsweise sehen, wenn ein Administrator einen Nutzer hinzugefügt oder einen Google Workspace-Dienst aktiviert hat. Admin-Audits schreiben nur Audit-Logs zur Administratoraktivität.

Hinweis: Wenn Sie nicht die Admin-Konsole verwenden, werden Änderungen an den Gruppeneinstellungen in den Audit-Logs für Google Workspace Enterprise Groups erfasst. Wenn Sie die Admin-Konsole verwenden, werden Änderungen an den Gruppeneinstellungen in den Google Workspace-Admin-Audit-Logs erfasst. Wenn Sie beispielsweise die E-Mail-Adresse einer Gruppe auf groups.google.com geändert haben, werden diese Änderungen in den Audit-Logs für Google Workspace Enterprise Groups erfasst.
Workspace Enterprise Groups-Audit: Audit-Logs zu Unternehmensgruppen enthalten Informationen zu den Aktionen, die für Gruppen und Gruppenmitgliedschaften ausgeführt wurden. Sie erfahren beispielsweise, wann ein Administrator einen Nutzer hinzugefügt oder ein Gruppeninhaber seine Gruppe gelöscht hat.

Enterprise Groups Audits schreiben nur Audit-Logs zur Administratoraktivität.
Audit-Logs zu Anmeldeaktivitäten von Google Workspace: Audit-Logs zu Anmeldeaktivitäten erfassen Nutzeranmeldungen in Ihrer Domain. In diesen Logs wird nur das Anmeldeereignis aufgezeichnet. Es wird nicht erfasst, welches System für den Anmeldevorgang verwendet wurde.

Bei Audit-Logs zu Anmeldeaktivitäten werden nur Audit-Logs zum Datenzugriff geschrieben.
OAuth-Token-Audit-Logs von Google Workspace: OAuth-Token-Audit-Logs verfolgen, welche Nutzer welche mobilen oder Webanwendungen von Drittanbietern in Ihrer Domain verwenden. Wenn ein Nutzer beispielsweise eine Google Workspace Marketplace-App öffnet, zeichnet das Protokoll den Namen der App und die Person auf, die sie verwendet. Es wird auch jedes Mal im Protokoll aufgezeichnet, wenn für eine Anwendung eines Drittanbieters der Zugriff auf Google-Kontodaten autorisiert wird, z. B. Kontakte, Kalender und Drive-Dateien (nur Google Workspace).

Das OAuth-Token-Audit schreibt sowohl Audit-Logs zur Administratoraktivität als auch zum Datenzugriff.
SAML-Audit-Logs von Google Workspace: SAML-Audit-Logs erfassen erfolgreiche und fehlgeschlagene Anmeldungen von Nutzern in SAML-Anwendungen. Ein neuer Eintrag erscheint normalerweise innerhalb einer Stunde nach der Nutzeraktion.

SAML-Audits schreiben nur Audit-Logs zum Datenzugriff.

Dienstspezifische Informationen

Im Folgenden finden Sie Informationen zu den Audit-Logs jedes Google Workspace-Dienstes:

Administratoraktivitäten im Google Workspace

Audit-Logs für Google Workspace-Admin-Audits verwenden für alle Audit-Logs den Ressourcentyp audited_resource.

Audit-Logs für Google Workspace-Admin-Audits verwenden den Dienstnamen admin.googleapis.com.

Google Workspace Admin Audits schreiben nur Audit-Logs zur Administratoraktivität. Die folgenden Vorgänge werden geprüft:

Aktivitätstyp	`AuditLog.method_name`
ALERT_CENTER	`google.admin.AdminService.alertCenterBatchDeleteAlerts` `google.admin.AdminService.alertCenterBatchUndeleteAlerts` `google.admin.AdminService.alertCenterCreateAlert` `google.admin.AdminService.alertCenterCreateFeedback` `google.admin.AdminService.alertCenterDeleteAlert` `google.admin.AdminService.alertCenterGetAlertMetadata` `google.admin.AdminService.alertCenterGetCustomerSettings` `google.admin.AdminService.alertCenterGetSitLink` `google.admin.AdminService.alertCenterListChange` `google.admin.AdminService.alertCenterListFeedback` `google.admin.AdminService.alertCenterListRelatedAlerts` `google.admin.AdminService.alertCenterUndeleteAlert` `google.admin.AdminService.alertCenterUpdateAlert` `google.admin.AdminService.alertCenterUpdateAlertMetadata` `google.admin.AdminService.alertCenterUpdateCustomerSettings` `google.admin.AdminService.alertCenterView`
APPLICATION_SETTINGS	`google.admin.AdminService.changeApplicationSetting` `google.admin.AdminService.createApplicationSetting` `google.admin.AdminService.deleteApplicationSetting` `google.admin.AdminService.reorderGroupBasedPoliciesEvent` `google.admin.AdminService.gplusPremiumFeatures` `google.admin.AdminService.createManagedConfiguration` `google.admin.AdminService.deleteManagedConfiguration` `google.admin.AdminService.updateManagedConfiguration` `google.admin.AdminService.flashlightEduNonFeaturedServicesSelected`
CALENDAR_SETTINGS	`google.admin.AdminService.createBuilding` `google.admin.AdminService.deleteBuilding` `google.admin.AdminService.updateBuilding` `google.admin.AdminService.createCalendarResource` `google.admin.AdminService.deleteCalendarResource` `google.admin.AdminService.createCalendarResourceFeature` `google.admin.AdminService.deleteCalendarResourceFeature` `google.admin.AdminService.updateCalendarResourceFeature` `google.admin.AdminService.renameCalendarResource` `google.admin.AdminService.updateCalendarResource` `google.admin.AdminService.changeCalendarSetting` `google.admin.AdminService.cancelCalendarEvents` `google.admin.AdminService.releaseCalendarResources`
CHAT_SETTINGS	`google.admin.AdminService.meetInteropCreateGateway` `google.admin.AdminService.meetInteropDeleteGateway` `google.admin.AdminService.meetInteropModifyGateway` `google.admin.AdminService.changeChatSetting`
CHROME_OS_SETTINGS	`google.admin.AdminService.changeChromeOsAndroidApplicationSetting` `google.admin.AdminService.changeChromeOsApplicationSetting` `google.admin.AdminService.sendChromeOsDeviceCommand` `google.admin.AdminService.changeChromeOsDeviceAnnotation` `google.admin.AdminService.changeChromeOsDeviceSetting` `google.admin.AdminService.changeChromeOsDeviceState` `google.admin.AdminService.changeChromeOsPublicSessionSetting` `google.admin.AdminService.insertChromeOsPrinter` `google.admin.AdminService.deleteChromeOsPrinter` `google.admin.AdminService.updateChromeOsPrinter` `google.admin.AdminService.changeChromeOsSetting` `google.admin.AdminService.changeChromeOsUserSetting` `google.admin.AdminService.removeChromeOsApplicationSettings`
CONTACTS_SETTINGS	`google.admin.AdminService.changeContactsSetting`
DELEGATED_ADMIN_SETTINGS	`google.admin.AdminService.assignRole` `google.admin.AdminService.createRole` `google.admin.AdminService.deleteRole` `google.admin.AdminService.addPrivilege` `google.admin.AdminService.removePrivilege` `google.admin.AdminService.renameRole` `google.admin.AdminService.updateRole` `google.admin.AdminService.unassignRole`
DEVICE_SETTINGS	`google.admin.AdminService.deleteDevice` `google.admin.AdminService.moveDeviceToOrgUnit`
DOCS_SETTINGS	`google.admin.AdminService.transferDocumentOwnership` `google.admin.AdminService.driveDataRestore` `google.admin.AdminService.changeDocsSetting`
DOMAIN_SETTINGS	`google.admin.AdminService.changeAccountAutoRenewal` `google.admin.AdminService.addApplication` `google.admin.AdminService.addApplicationToWhitelist` `google.admin.AdminService.changeAdvertisementOption` `google.admin.AdminService.createAlert` `google.admin.AdminService.changeAlertCriteria` `google.admin.AdminService.deleteAlert` `google.admin.AdminService.alertReceiversChanged` `google.admin.AdminService.renameAlert` `google.admin.AdminService.alertStatusChanged` `google.admin.AdminService.addDomainAlias` `google.admin.AdminService.removeDomainAlias` `google.admin.AdminService.skipDomainAliasMx` `google.admin.AdminService.verifyDomainAliasMx` `google.admin.AdminService.verifyDomainAlias` `google.admin.AdminService.toggleOauthAccessToAllApis` `google.admin.AdminService.toggleAllowAdminPasswordReset` `google.admin.AdminService.enableApiAccess` `google.admin.AdminService.authorizeApiClientAccess` `google.admin.AdminService.removeApiClientAccess` `google.admin.AdminService.chromeLicensesRedeemed` `google.admin.AdminService.toggleAutoAddNewService` `google.admin.AdminService.changePrimaryDomain` `google.admin.AdminService.changeWhitelistSetting` `google.admin.AdminService.communicationPreferencesSettingChange` `google.admin.AdminService.changeConflictAccountAction` `google.admin.AdminService.enableFeedbackSolicitation` `google.admin.AdminService.toggleContactSharing` `google.admin.AdminService.createPlayForWorkToken` `google.admin.AdminService.toggleUseCustomLogo` `google.admin.AdminService.changeCustomLogo` `google.admin.AdminService.changeDataLocalizationForRussia` `google.admin.AdminService.changeDataLocalizationSetting` `google.admin.AdminService.changeDataProtectionOfficerContactInfo` `google.admin.AdminService.deletePlayForWorkToken` `google.admin.AdminService.viewDnsLoginDetails` `google.admin.AdminService.changeDomainDefaultLocale` `google.admin.AdminService.changeDomainDefaultTimezone` `google.admin.AdminService.changeDomainName` `google.admin.AdminService.toggleEnablePreReleaseFeatures` `google.admin.AdminService.changeDomainSupportMessage` `google.admin.AdminService.addTrustedDomains` `google.admin.AdminService.removeTrustedDomains` `google.admin.AdminService.changeEduType` `google.admin.AdminService.toggleEnableOauthConsumerKey` `google.admin.AdminService.toggleSsoEnabled` `google.admin.AdminService.toggleSsl` `google.admin.AdminService.changeEuRepresentativeContactInfo` `google.admin.AdminService.generateTransferToken` `google.admin.AdminService.changeLoginBackgroundColor` `google.admin.AdminService.changeLoginBorderColor` `google.admin.AdminService.changeLoginActivityTrace` `google.admin.AdminService.playForWorkEnroll` `google.admin.AdminService.playForWorkUnenroll` `google.admin.AdminService.mxRecordVerificationClaim` `google.admin.AdminService.toggleNewAppFeatures` `google.admin.AdminService.toggleUseNextGenControlPanel` `google.admin.AdminService.uploadOauthCertificate` `google.admin.AdminService.regenerateOauthConsumerSecret` `google.admin.AdminService.toggleOpenIdEnabled` `google.admin.AdminService.changeOrganizationName` `google.admin.AdminService.toggleOutboundRelay` `google.admin.AdminService.changePasswordMaxLength` `google.admin.AdminService.changePasswordMinLength` `google.admin.AdminService.updateDomainPrimaryAdminEmail` `google.admin.AdminService.enableServiceOrFeatureNotifications` `google.admin.AdminService.removeApplication` `google.admin.AdminService.removeApplicationFromWhitelist` `google.admin.AdminService.changeRenewDomainRegistration` `google.admin.AdminService.changeResellerAccess` `google.admin.AdminService.ruleActionsChanged` `google.admin.AdminService.createRule` `google.admin.AdminService.changeRuleCriteria` `google.admin.AdminService.deleteRule` `google.admin.AdminService.renameRule` `google.admin.AdminService.ruleStatusChanged` `google.admin.AdminService.addSecondaryDomain` `google.admin.AdminService.removeSecondaryDomain` `google.admin.AdminService.skipSecondaryDomainMx` `google.admin.AdminService.verifySecondaryDomainMx` `google.admin.AdminService.verifySecondaryDomain` `google.admin.AdminService.updateDomainSecondaryEmail` `google.admin.AdminService.changeSsoSettings` `google.admin.AdminService.generatePin` `google.admin.AdminService.updateRule`
EMAIL_SETTINGS	`google.admin.AdminService.dropFromQuarantine` `google.admin.AdminService.emailLogSearch` `google.admin.AdminService.emailUndelete` `google.admin.AdminService.changeEmailSetting` `google.admin.AdminService.changeGmailSetting` `google.admin.AdminService.createGmailSetting` `google.admin.AdminService.deleteGmailSetting` `google.admin.AdminService.rejectFromQuarantine` `google.admin.AdminService.releaseFromQuarantine`
GROUP_SETTINGS	`google.admin.AdminService.createGroup` `google.admin.AdminService.deleteGroup` `google.admin.AdminService.changeGroupDescription` `google.admin.AdminService.groupListDownload` `google.admin.AdminService.addGroupMember` `google.admin.AdminService.removeGroupMember` `google.admin.AdminService.updateGroupMember` `google.admin.AdminService.updateGroupMemberDeliverySettings` `google.admin.AdminService.updateGroupMemberDeliverySettingsCanEmailOverride` `google.admin.AdminService.groupMemberBulkUpload` `google.admin.AdminService.groupMembersDownload` `google.admin.AdminService.changeGroupName` `google.admin.AdminService.changeGroupSetting` `google.admin.AdminService.whitelistedGroupsUpdated`
LABELS	`google.admin.AdminService.labelDeleted` `google.admin.AdminService.labelDisabled` `google.admin.AdminService.labelReenabled` `google.admin.AdminService.labelPermissionUpdated` `google.admin.AdminService.labelPermissionDeleted` `google.admin.AdminService.labelPublished` `google.admin.AdminService.labelCreated` `google.admin.AdminService.labelUpdated`
LICENSES_SETTINGS	`google.admin.AdminService.orgUsersLicenseAssignment` `google.admin.AdminService.orgAllUsersLicenseAssignment` `google.admin.AdminService.userLicenseAssignment` `google.admin.AdminService.changeLicenseAutoAssign` `google.admin.AdminService.userLicenseReassignment` `google.admin.AdminService.orgLicenseRevoke` `google.admin.AdminService.userLicenseRevoke` `google.admin.AdminService.updateDynamicLicense` `google.admin.AdminService.licenseUsageUpdate`
MOBILE_SETTINGS	`google.admin.AdminService.actionCancelled` `google.admin.AdminService.actionRequested` `google.admin.AdminService.addMobileCertificate` `google.admin.AdminService.companyDevicesBulkCreation` `google.admin.AdminService.companyOwnedDeviceBlocked` `google.admin.AdminService.companyDeviceDeletion` `google.admin.AdminService.companyOwnedDeviceUnblocked` `google.admin.AdminService.companyOwnedDeviceWiped` `google.admin.AdminService.changeMobileApplicationPermissionGrant` `google.admin.AdminService.changeMobileApplicationPriorityOrder` `google.admin.AdminService.removeMobileApplicationFromWhitelist` `google.admin.AdminService.changeMobileApplicationSettings` `google.admin.AdminService.addMobileApplicationToWhitelist` `google.admin.AdminService.mobileDeviceApprove` `google.admin.AdminService.mobileDeviceBlock` `google.admin.AdminService.mobileDeviceDelete` `google.admin.AdminService.mobileDeviceWipe` `google.admin.AdminService.changeMobileSetting` `google.admin.AdminService.changeAdminRestrictionsPin` `google.admin.AdminService.changeMobileWirelessNetwork` `google.admin.AdminService.addMobileWirelessNetwork` `google.admin.AdminService.removeMobileWirelessNetwork` `google.admin.AdminService.changeMobileWirelessNetworkPassword` `google.admin.AdminService.removeMobileCertificate` `google.admin.AdminService.enrollForGoogleDeviceManagement` `google.admin.AdminService.useGoogleMobileManagement` `google.admin.AdminService.useGoogleMobileManagementForNonIos` `google.admin.AdminService.useGoogleMobileManagementForIos` `google.admin.AdminService.mobileAccountWipe` `google.admin.AdminService.mobileDeviceCancelWipeThenApprove` `google.admin.AdminService.mobileDeviceCancelWipeThenBlock`
ORG_SETTINGS	`google.admin.AdminService.chromeLicensesEnabled` `google.admin.AdminService.chromeApplicationLicenseReservationCreated` `google.admin.AdminService.chromeApplicationLicenseReservationDeleted` `google.admin.AdminService.chromeApplicationLicenseReservationUpdated` `google.admin.AdminService.assignCustomLogo` `google.admin.AdminService.unassignCustomLogo` `google.admin.AdminService.createEnrollmentToken` `google.admin.AdminService.revokeEnrollmentToken` `google.admin.AdminService.chromeLicensesAllowed` `google.admin.AdminService.createOrgUnit` `google.admin.AdminService.removeOrgUnit` `google.admin.AdminService.editOrgUnitDescription` `google.admin.AdminService.moveOrgUnit` `google.admin.AdminService.editOrgUnitName` `google.admin.AdminService.toggleServiceEnabled`
SECURITY_INVESTIGATION	`google.admin.AdminService.securityInvestigationAction` `google.admin.AdminService.securityInvestigationActionCancellation` `google.admin.AdminService.securityInvestigationActionCompletion` `google.admin.AdminService.securityInvestigationActionRetry` `google.admin.AdminService.securityInvestigationActionVerificationConfirmation` `google.admin.AdminService.securityInvestigationActionVerificationRequest` `google.admin.AdminService.securityInvestigationActionVerificationRequestExpiration` `google.admin.AdminService.securityInvestigationChartCreate` `google.admin.AdminService.securityInvestigationContentAccess` `google.admin.AdminService.securityInvestigationDownloadAttachment` `google.admin.AdminService.securityInvestigationExportActionResults` `google.admin.AdminService.securityInvestigationExportQuery` `google.admin.AdminService.securityInvestigationObjectCreateDraftInvestigation` `google.admin.AdminService.securityInvestigationObjectDeleteInvestigation` `google.admin.AdminService.securityInvestigationObjectDuplicateInvestigation` `google.admin.AdminService.securityInvestigationObjectOwnershipTransfer` `google.admin.AdminService.securityInvestigationObjectSaveInvestigation` `google.admin.AdminService.securityInvestigationObjectUpdateDirectSharing` `google.admin.AdminService.securityInvestigationObjectUpdateLinkSharing` `google.admin.AdminService.securityInvestigationQuery` `google.admin.AdminService.securityInvestigationSettingUpdate`
SECURITY_SETTINGS	`google.admin.AdminService.addToTrustedOauth2Apps` `google.admin.AdminService.allowAspWithout2Sv` `google.admin.AdminService.allowServiceForOauth2Access` `google.admin.AdminService.allowStrongAuthentication` `google.admin.AdminService.blockOnDeviceAccess` `google.admin.AdminService.changeAllowedTwoStepVerificationMethods` `google.admin.AdminService.changeAppAccessSettingsCollectionId` `google.admin.AdminService.changeCaaAppAssignments` `google.admin.AdminService.changeCaaDefaultAssignments` `google.admin.AdminService.changeCaaErrorMessage` `google.admin.AdminService.changeSessionLength` `google.admin.AdminService.changeTwoStepVerificationEnrollmentPeriodDuration` `google.admin.AdminService.changeTwoStepVerificationFrequency` `google.admin.AdminService.changeTwoStepVerificationGracePeriodDuration` `google.admin.AdminService.changeTwoStepVerificationStartDate` `google.admin.AdminService.disallowServiceForOauth2Access` `google.admin.AdminService.enableNonAdminUserPasswordRecovery` `google.admin.AdminService.enforceStrongAuthentication` `google.admin.AdminService.removeFromTrustedOauth2Apps` `google.admin.AdminService.sessionControlSettingsChange` `google.admin.AdminService.toggleCaaEnablement` `google.admin.AdminService.trustDomainOwnedOauth2Apps` `google.admin.AdminService.unblockOnDeviceAccess` `google.admin.AdminService.untrustDomainOwnedOauth2Apps` `google.admin.AdminService.updateErrorMsgForRestrictedOauth2Apps` `google.admin.AdminService.weakProgrammaticLoginSettingsChanged`
SITES_SETTINGS	`google.admin.AdminService.addWebAddress` `google.admin.AdminService.deleteWebAddress` `google.admin.AdminService.changeSitesSetting` `google.admin.AdminService.changeSitesWebAddressMappingUpdates` `google.admin.AdminService.viewSiteDetails`
USER_SETTINGS	`google.admin.AdminService.delete2SvScratchCodes` `google.admin.AdminService.generate2SvScratchCodes` `google.admin.AdminService.revoke3LoDeviceTokens` `google.admin.AdminService.revoke3LoToken` `google.admin.AdminService.addRecoveryEmail` `google.admin.AdminService.addRecoveryPhone` `google.admin.AdminService.grantAdminPrivilege` `google.admin.AdminService.revokeAdminPrivilege` `google.admin.AdminService.revokeAsp` `google.admin.AdminService.toggleAutomaticContactSharing` `google.admin.AdminService.bulkUpload` `google.admin.AdminService.bulkUploadNotificationSent` `google.admin.AdminService.cancelUserInvite` `google.admin.AdminService.changeUserCustomField` `google.admin.AdminService.changeUserExternalId` `google.admin.AdminService.changeUserGender` `google.admin.AdminService.changeUserIm` `google.admin.AdminService.enableUserIpWhitelist` `google.admin.AdminService.changeUserKeyword` `google.admin.AdminService.changeUserLanguage` `google.admin.AdminService.changeUserLocation` `google.admin.AdminService.changeUserOrganization` `google.admin.AdminService.changeUserPhoneNumber` `google.admin.AdminService.changeRecoveryEmail` `google.admin.AdminService.changeRecoveryPhone` `google.admin.AdminService.changeUserRelation` `google.admin.AdminService.changeUserAddress` `google.admin.AdminService.createEmailMonitor` `google.admin.AdminService.createDataTransferRequest` `google.admin.AdminService.grantDelegatedAdminPrivileges` `google.admin.AdminService.deleteAccountInfoDump` `google.admin.AdminService.deleteEmailMonitor` `google.admin.AdminService.deleteMailboxDump` `google.admin.AdminService.changeFirstName` `google.admin.AdminService.gmailResetUser` `google.admin.AdminService.changeLastName` `google.admin.AdminService.mailRoutingDestinationAdded` `google.admin.AdminService.mailRoutingDestinationRemoved` `google.admin.AdminService.addNickname` `google.admin.AdminService.removeNickname` `google.admin.AdminService.changePassword` `google.admin.AdminService.changePasswordOnNextLogin` `google.admin.AdminService.downloadPendingInvitesList` `google.admin.AdminService.removeRecoveryEmail` `google.admin.AdminService.removeRecoveryPhone` `google.admin.AdminService.requestAccountInfo` `google.admin.AdminService.requestMailboxDump` `google.admin.AdminService.resendUserInvite` `google.admin.AdminService.resetSigninCookies` `google.admin.AdminService.securityKeyRegisteredForUser` `google.admin.AdminService.revokeSecurityKey` `google.admin.AdminService.userInvite` `google.admin.AdminService.viewTempPassword` `google.admin.AdminService.turnOff2StepVerification` `google.admin.AdminService.unblockUserSession` `google.admin.AdminService.unenrollUserFromTitanium` `google.admin.AdminService.archiveUser` `google.admin.AdminService.updateBirthdate` `google.admin.AdminService.createUser` `google.admin.AdminService.deleteUser` `google.admin.AdminService.downgradeUserFromGplus` `google.admin.AdminService.userEnrolledInTwoStepVerification` `google.admin.AdminService.downloadUserlistCsv` `google.admin.AdminService.moveUserToOrgUnit` `google.admin.AdminService.userPutInTwoStepVerificationGracePeriod` `google.admin.AdminService.renameUser` `google.admin.AdminService.unenrollUserFromStrongAuth` `google.admin.AdminService.suspendUser` `google.admin.AdminService.unarchiveUser` `google.admin.AdminService.undeleteUser` `google.admin.AdminService.unsuspendUser` `google.admin.AdminService.upgradeUserToGplus` `google.admin.AdminService.usersBulkUpload` `google.admin.AdminService.usersBulkUploadNotificationSent`

Google Workspace Enterprise-Gruppen

Audit-Logs von Google Workspace Enterprise Groups-Audits verwenden für alle Audit-Logs den Ressourcentyp audited_resource.

Audit-Logs für Google Workspace Enterprise Groups-Audits verwenden den Dienstnamen cloudidentity.googleapis.com.

Google Workspace Enterprise Groups Audits schreiben nur Audit-Logs zur Administratoraktivität. Die folgenden Vorgänge werden geprüft:

Audit-Logkategorie	`AuditLog.method_name`
Audit-Logs zur Administratoraktivität	`google.apps.cloudidentity.groups.v1.GroupsService.UpdateGroup` `google.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership`

Alle Audit-Logs für Google Workspace Login-Audits verwenden den Ressourcentyp audited_resource.

Audit-Logs für Google Workspace Login-Audits verwenden den Dienstnamen login.googleapis.com.

Google Workspace Login Audits schreibt nur Audit-Logs zum Datenzugriff. Im Folgenden sind die geprüften Vorgänge aufgeführt. Für jeden Vorgang sind Logbeispiele verfügbar.

Audit-Logkategorie AuditLog.method_name

Audit-Logs zum Datenzugriff google.login.LoginService.2svDisable
google.login.LoginService.2svEnroll
google.login.LoginService.accountDisabledPasswordLeak
google.login.LoginService.accountDisabledGeneric
google.login.LoginService.accountDisabledSpammingThroughRelay
google.login.LoginService.accountDisabledSpamming
google.login.LoginService.accountDisabledHijacked
google.login.LoginService.emailForwardingOutOfDomain
google.login.LoginService.govAttackWarning
google.login.LoginService.loginChallenge
google.login.LoginService.loginFailure
google.login.LoginService.loginVerification
google.login.LoginService.logout
google.login.LoginService.loginSuccess
google.login.LoginService.passwordEdit
google.login.LoginService.recoveryEmailEdit
google.login.LoginService.recoveryPhoneEdit
google.login.LoginService.recoverySecretQaEdit
google.login.LoginService.riskySensitiveActionAllowed
google.login.LoginService.riskySensitiveActionBlocked
google.login.LoginService.suspiciousLogin
google.login.LoginService.suspiciousLoginLessSecureApp
google.login.LoginService.suspiciousProgrammaticLogin
google.login.LoginService.titaniumEnroll
google.login.LoginService.titaniumUnenroll

Audit-Logkategorie	`AuditLog.method_name`
Audit-Logs zum Datenzugriff	`google.login.LoginService.2svDisable` `google.login.LoginService.2svEnroll` `google.login.LoginService.accountDisabledPasswordLeak` `google.login.LoginService.accountDisabledGeneric` `google.login.LoginService.accountDisabledSpammingThroughRelay` `google.login.LoginService.accountDisabledSpamming` `google.login.LoginService.accountDisabledHijacked` `google.login.LoginService.emailForwardingOutOfDomain` `google.login.LoginService.govAttackWarning` `google.login.LoginService.loginChallenge` `google.login.LoginService.loginFailure` `google.login.LoginService.loginVerification` `google.login.LoginService.logout` `google.login.LoginService.loginSuccess` `google.login.LoginService.passwordEdit` `google.login.LoginService.recoveryEmailEdit` `google.login.LoginService.recoveryPhoneEdit` `google.login.LoginService.recoverySecretQaEdit` `google.login.LoginService.riskySensitiveActionAllowed` `google.login.LoginService.riskySensitiveActionBlocked` `google.login.LoginService.suspiciousLogin` `google.login.LoginService.suspiciousLoginLessSecureApp` `google.login.LoginService.suspiciousProgrammaticLogin` `google.login.LoginService.titaniumEnroll` `google.login.LoginService.titaniumUnenroll`

OAuth-Token für Google Workspace

OAuth-Token-Audit-Logs von Google Workspace verwenden für alle Audit-Logs den Ressourcentyp audited_resource.

OAuth-Token-Audit-Logs von Google Workspace verwenden den Dienstnamen oauth2.googleapis.com.

OAuth-Token-Audits von Google Workspace schreiben sowohl Audit-Logs zur Administratoraktivität als auch zum Datenzugriff. Die folgenden Vorgänge werden geprüft:

Audit-Logkategorie	`AuditLog.method_name`
Audit-Logs zur Administratoraktivität	`google.identity.oauth2.Deny` `google.identity.oauth2.GetToken` `google.identity.oauth2.Request` `google.identity.oauth2.RevokeToken`
Audit-Logs zum Datenzugriff	`google.identity.oauth2.GetTokenInfo`

SAML für Google Workspace

Audit-Logs für Google Workspace SAML Login-Audits verwenden bei allen Audit-Logs den Ressourcentyp audited_resource.

Audit-Logs für Google Workspace SAML Audit verwenden den Dienstnamen login.googleapis.com.

Google Workspace SAML Audit schreibt nur Audit-Logs zum Datenzugriff. Die folgenden Vorgänge werden geprüft:

Audit-Logkategorie	`AuditLog.method_name`
Audit-Logs zum Datenzugriff	`google.apps.login.v1.SamlLoginFailed`
	`google.apps.login.v1.SamlLoginSucceeded`

Berechtigungen für Audit-Logs

IAM-Berechtigungen und -Rollen bestimmen, ob Sie in der Logging API, im Log-Explorer und in der Google Cloud CLI auf Audit-Log-Daten zugreifen können.

Ausführliche Informationen zu den eventuell erforderlichen IAM-Berechtigungen und zu Rollen auf Organisationsebene finden Sie unter Zugriffssteuerung mit IAM.

Audit-Logformat

Google Workspace-Audit-Logeinträge umfassen folgende Objekte:

Den Logeintrag selbst. Dabei handelt es sich um ein Objekt vom Typ LogEntry. Bei der Untersuchung von Audit-Logging-Daten kann Folgendes hilfreich sein:
- logName enthält die Organisations-ID und den Audit-Logtyp.
- resource enthält das Ziel zum geprüften Vorgang.
- timeStamp enthält die Uhrzeit des geprüften Vorgangs.
- protoPayload enthält das Audit-Log für Google Workspace im metadata-Feld.

Das protoPayload.metadata-Feld enthält die geprüften Google Workspace-Informationen. Das folgende Beispiel zeigt ein Audit-Log zu Anmeldeaktivitäten:

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "test-user@example.net"
    },
    "requestMetadata": {
      "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "login.googleapis.com",
    "methodName": "google.login.LoginService.loginFailure",
    "resourceName": "organizations/123",
    "metadata": {
      "event": [
        {
          "eventName": "login_failure",
          "eventType": "login",
          "parameter": [
            {
              "value": "google_password",
              "type": "TYPE_STRING",
              "name": "login_type",
            },
            {
              "name": "login_challenge_method",
              "type": "TYPE_STRING",
              "label": "LABEL_REPEATED",
              "multiStrValue": [
                "password",
                "idv_preregistered_phone",
                "idv_preregistered_phone"
              ]
            },
          ]
        }
      ],
      "activityId": {
        "uniqQualifier": "358068855354",
        "timeUsec": "1632500217183212"
      },
      "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto"
    }
  },
  "insertId": "-nahbepd4l1x",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "method": "google.login.LoginService.loginFailure",
      "service": "login.googleapis.com"
    }
  },
  "timestamp": "2021-09-24T16:16:57.183212Z",
  "severity": "NOTICE",
  "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2021-09-24T17:51:25.034361197Z"
}

Informationen zu dienstspezifischen Audit-Logging-Feldern und deren Interpretation finden Sie unter den unter Verfügbare Audit-Logs aufgeführten Diensten.

Logs ansehen

Informationen zum Aufrufen Ihrer Audit-Logs von Google Workspace finden Sie unter Audit-Logs von Google Workspace ansehen und verwalten.

Audit-Logs weiterleiten

Sie können Audit-Logs von Google Workspace von Cloud Logging an unterstützte Ziele weiterleiten, einschließlich anderer Logging-Buckets.

Im Folgenden finden Sie einige Anwendungen für das Routing von Audit-Logs:

Wenn Sie leistungsfähigere Suchfunktionen nutzen möchten, können Sie Kopien Ihrer Audit-Logs in Cloud Storage, BigQuery oder Pub/Sub weiterleiten. Bei Verwendung von Pub/Sub haben Sie die Möglichkeit, die Logs in andere Anwendungen, andere Repositories und Drittanbietersysteme weiterzuleiten.
Zum organisationsübergreifenden Verwalten Ihrer Audit-Logs können Sie zusammengefasste Senken erstellen, mit denen Logs aus allen Google Cloud-Projekten, Rechnungskonten und Ordnern in Ihrer Organisation kombiniert und weitergeleitet werden. Sie haben damit beispielsweise die Möglichkeit, Audit-Logeinträge aus den Ordnern einer Organisation zusammenzufassen und an einen Cloud Storage-Bucket zu leiten.

Eine Anleitung zum Routing von Logs finden Sie unter Logs an unterstützte Ziele weiterleiten.

Regionalisierung

Sie können keine Region auswählen, in der Ihre Google Workspace-Logs gespeichert werden. Google Workspace-Logs sind nicht durch die Google Workspace-Richtlinie für Speicherorte abgedeckt.

Aufbewahrungsdauer

Für Ihre Audit-Logdaten gelten die folgenden Aufbewahrungszeiträume:

Cloud Logging speichert für jede Organisation automatisch Logs in zwei Buckets: in einem _Default- und einem _Required-Bucket. Der _Required-Bucket enthält Audit-Logs zur Administratoraktivität, Audit-Logs zu Systemereignissen und Logs zu Access Transparency. Der Bucket _Default enthält alle anderen Logeinträge, die nicht im Bucket _Required gespeichert sind. Weitere Informationen zu Log-Buckets finden Sie unter Routing und Speicher.

Sie können in Cloud Logging festlegen, dass die Logs im _Default-Log-Bucket für einen Zeitraum von 1 Tag bis zu 3.650 Tagen aufbewahrt werden.

Informationen zum Ändern der Aufbewahrungsdauer für den _Default-Log-Bucket finden Sie unter Benutzerdefinierte Aufbewahrung.

Sie können die Aufbewahrungsdauer für den _Required-Bucket nicht ändern.

Kontingente und Limits

Für Audit-Logs von Google Workspace- und Cloud-Audit-Logs gelten die gleichen Kontingente.

Weitere Informationen zu diesen Nutzungslimits, einschließlich der maximalen Größe von Audit-Logs, finden Sie unter Kontingente und Limits.

Preise

Die Logs auf Organisationsebene von Google Workspace sind kostenlos.

Nächste Schritte

Informationen zum Konfigurieren und Verwalten von Audit-Logs von Google Workspace.
Beachten Sie die Best Practices für Cloud-Audit-Logs.
Access Transparency-Logs von Google Workspace aufrufen und verstehen