Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Informationen zum Audit-Logging in Google Workspace

Auf dieser Seite werden die Audit-Logs beschrieben, die von Google Workspace als Teil von Cloud-Audit-Logging bereitgestellt werden.

Übersicht

Google Cloud-Dienste schreiben Audit-Logs, um Ihnen Antworten auf Fragen wie "Wer hat was wo und wann getan?" zu liefern. Sie können Ihre Audit-Logs von Google Workspace für Google Cloud freigeben, um Ihre Google Workspace-Audit-Logs zu speichern, zu durchsuchen, zu analysieren, zu überwachen und Benachrichtigungen zu erstellen.

Cloud-Audit-Logs verwaltet drei Arten von Audit-Logs für Google Cloud-Ressourcen:

  • Audit-Logs zur Administratoraktivität: In diesen Logs werden Vorgänge aufgezeichnet, die zu Änderungen an der Konfiguration oder den Metadaten einer Ressource führen.
  • Audit-Logs zum Datenzugriff: Diese Logs enthalten API-Aufrufe, die die Konfiguration oder Metadaten von Ressourcen lesen, sowie nutzergesteuerte API-Aufrufe, die von Nutzern bereitgestellte Ressourcendaten erstellen, ändern oder lesen. Audit-Logs für den Datenzugriff zeichnen nicht die Datenzugriffsvorgänge auf Ressourcen auf, die öffentlich freigegeben sind (verfügbar für alle Nutzer oder alle authentifizierten Nutzer) oder auf die ohne Anmeldung in Google Workspace, Cloud Identity oder Drive Enterprise-Konto zugegriffen werden kann.
  • Audit-Logs zu Systemereignissen: Diese Logs enthalten Logeinträge für Google Cloud-Verwaltungsmaßnahmen, die die Konfiguration von Ressourcen ändern.

Google Workspace stellt Audit-Logs auf Google Cloud-Organisationsebene bereit:

Einen allgemeinen Überblick über Cloud-Audit-Logs finden Sie unter Cloud-Audit-Logging. Detaillierte Informationen zu Cloud-Audit-Logs finden Sie unter Audit-Logs verstehen.

Erste Schritte: Google Workspace-Daten freigeben

Informationen zur Aktivierung der gemeinsamen Nutzung von Google Workspace-Daten mit Cloud-Audit-Logging von Ihrem Google Workspace, Ihrer Cloud Identity oder Ihrem Drive Enterprise-Konto aus finden Sie in den Anweisungen in diesem Google Workspace-Administrator-Hilfeartikel.

Wenn Sie die Freigabe von Google Workspace-Daten für Google Cloud aktivieren, können Sie die Audit-Logs für Google Workspace nicht über die Seite IAM & Verwaltung > Audit-Logs der Google Cloud Console deaktivieren. Sie können diese Logs jedoch mit Logausschlüssen ausschließen.

Wenn die Freigabe von Google Workspace für Google Cloud aktiviert ist, sind Audit-Logs von Google Workspace immer aktiviert. Wenn Sie die Google Workspace-Datenfreigaben deaktivieren, werden keine neuen Audit-Log-Ereignisse von Google Workspace mehr an Cloud-Audit-Logs gesendet. Vorhandene Logs behalten aber ihre Standard-Aufbewahrungsdauer, es sei denn Sie haben die benutzerdefinierte Aufbewahrung nicht konfiguriert, um Ihre Logs länger zu speichern.

Dienstspezifische Informationen

Im Folgenden finden Sie Informationen zu den Audit-Logs jedes Google Workspace-Dienstes:

Berechtigungen für Audit-Logs

Welche Audit-Logs Sie in Google Cloud ansehen oder exportieren können, wird durch IAM-Berechtigungen und -Rollen bestimmt. Die Audit-Logs von Google Workspace befinden sich in Google Cloud-Organisationen.

Zum Ansehen von Audit-Logs zur Administratoraktivität benötigen Sie eine der folgenden IAM-Rollen in der Google Cloud-Organisation, die jene Audit-Logs enthält:

Wenn Sie Audit-Logs zum Datenzugriff aufrufen möchten, benötigen Sie in der Google Cloud-Organisation, die Ihre Audit-Logs enthält, eine der folgenden Rollen:

Mehr dazu finden Sie unter Weitere Informationen zu Rollen.

Audit-Logformat

Google Workspace-Audit-Logeinträge, die in Cloud Logging mit dem Log-Explorer, der Cloud Logging API oder dem gcloud-Befehlszeilentool aufgerufen werden können, enthalten folgende Objekte:

  • Den Logeintrag selbst. Dabei handelt es sich um ein Objekt vom Typ LogEntry. Nützliche Felder sind unter anderem:

    • logName enthält die Projektkennung und den Audit-Logtyp
    • resource enthält das Ziel zum geprüften Vorgang
    • timeStamp enthält die Uhrzeit des geprüften Vorgangs
    • protoPayload enthält die geprüften Informationen
  • Die Audit-Logdaten, bei denen es sich um ein AuditLog-Objekt handelt, das sich im Feld protoPayload des Logeintrags befindet

  • Optionale dienstspezifische Auditinformationen. Sie ist ein dienstspezifisches Objekt im Feld serviceData des AuditLog-Objekts. Weitere Informationen finden Sie unter Dienstspezifische Auditdaten.

Informationen zu anderen Feldern in diesen Objekten sowie zu deren Interpretation finden Sie unter Audit-Logs verstehen.

Logs ansehen

Wenn Sie Audit-Logs in Logging suchen und ansehen möchten, müssen Sie die ID der Google Cloud-Organisation kennen, für die Sie Audit-Logging-Informationen abrufen möchten. Sie können weitere indexierte LogEntry-Felder angeben, z. B. resource.type. Weitere Informationen erhalten Sie unter Logeinträge schnell finden.

Dies sind die Audit-Lognamen für Audit-Logs von Google Workspace:

   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
   organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access

Sie haben mehrere Möglichkeiten, Ihre Audit-Logeinträge aufzurufen.

CLOUD CONSOLE

So rufen Sie die Audit-Log-Einträge für Ihre Google Cloud-Organisation mithilfe des Logs-Explorers in der Google Cloud Console ab:

  1. Wechseln Sie zu Logging > Log-Explorer:

    Zur Seite "Log-Explorer"

  2. Wählen Sie oben auf der Seite ein vorhandenes Google Cloud-Projekt aus.

  3. Vergewissern Sie sich, dass Sie den Log-Explorer und nicht die Legacy-Loganzeige verwenden.

  4. Wählen Sie im Menü Projektauswahl eine Organisation aus.

  5. Wählen Sie im Drop-down-Menü Ressource den Ressourcentyp aus, dessen Audit-Logs angezeigt werden sollen.

  6. Wählen Sie im Drop-down-Menü Logname die Option data_access für Audit-Logs zum Datenzugriff oder activity für Audit-Logs zur Administratoraktivität aus.

    Wenn diese Optionen nicht angezeigt werden, sind diese Audit-Logs derzeit nicht in der Organisation verfügbar.

Weitere Informationen finden Sie unter Log-Explorer verwenden.

API

So prüfen Sie Ihre Audit-Logeinträge mithilfe der Logging API:

  1. Rufen Sie den Abschnitt Diese API testen in der Dokumentation für die Methode entries.list auf.

  2. Geben Sie im Teil Anfragetext des Formulars Diese API testen Folgendes ein. Wenn Sie auf dieses vorausgefüllte Formular klicken, wird der Anfragetext automatisch übernommen. Sie müssen jedoch in jedem der Lognamen eine gültige ORGANIZATION_ID angeben.

          {
            "resourceNames": [
              "organizations/ORGANIZATION_ID"
            ],
            "pageSize": 5,
            "filter": "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"
          }
    
  3. Klicken Sie auf Ausführen.

Weitere Informationen zu Abfragen finden Sie unter Logging-Abfragesprache.

GCLOUD

Das gcloud-Befehlszeilentool bietet eine Befehlszeilenschnittstelle für die Cloud Logging API. Führen Sie den folgenden Befehl aus, um Ihre Logeinträge zu lesen. Geben Sie dabei in jedem Lognamen eine gültige ORGANIZATION_ID an.

    gcloud logging read "logName : organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com"

Weitere Informationen zum Verwenden des gcloud-Befehlszeilentools finden Sie unter Logeinträge lesen.

Audit-Logs verwalten

Wenn Sie Audit-Logs länger als die standardmäßige Aufbewahrungsdauer aufbewahren möchten, können Sie die benutzerdefinierte Aufbewahrung konfigurieren.

Sie können Audit-Logs für Google Workspace aus Cloud Logging auf die gleiche Weise exportieren wie andere Arten von Logs. Weitere Informationen zum Exportieren von Logs finden Sie unter Logs exportieren.

Im Folgenden erfahren Sie mehr über Möglichkeiten zum Exportieren von Audit-Logs:

  • Wenn Sie leistungsfähigere Suchfunktionen nutzen möchten, können Sie Kopien Ihrer Audit-Logs in Cloud Storage, BigQuery oder Pub/Sub exportieren. Mit Pub/Sub haben Sie die Möglichkeit, die Logs in andere Anwendungen, andere Repositories und Systeme von Drittanbietern zu exportieren.

  • Zum organisationsübergreifenden Verwalten Ihrer Audit-Logs erstellen Sie aggregierte Senken, mit denen sich Logs aus beliebigen oder allen Projekten in der Organisation exportieren lassen.

Preise

Die Logs auf Organisationsebene von Google Workspace sind derzeit kostenlos.