Dieses Dokument bietet eine konzeptionelle Übersicht über die Audit-Logs, die Google Workspace als Teil von Cloud-Audit-Logs bereitstellt.
Informationen zum Verwalten Ihrer Audit-Logs von Google Workspace finden Sie unter Audit-Logs von Google Workspace ansehen und verwalten.
Überblick
Google Cloud-Dienste schreiben Audit-Logs, um Ihnen Antworten auf Fragen wie "Wer hat was wo und wann getan?" zu liefern. Sie können Ihre Audit-Logs von Google Workspace für Google Cloud freigeben, um Ihre Google Workspace-Daten zu speichern, zu analysieren, zu überwachen und zu melden.
Audit-Logs von Google Workspace sind für Cloud Identity-, Cloud Identity Premium- und alle Google Workspace-Kunden verfügbar.
Wenn Sie die Google Workspace-Datenfreigabe für Google Cloud aktiviert haben, sind Audit-Logs für Google Workspace immer aktiviert.
Wenn Sie die Google Workspace-Datenfreigaben deaktivieren, werden keine neuen Audit-Log-Ereignisse von Google Workspace mehr an Google Cloud gesendet. Vorhandene Logs behalten ihre Standard-Aufbewahrungsdauer, es sei denn, Sie haben die benutzerdefinierte Aufbewahrung konfiguriert, um Ihre Logs länger zu speichern.
Wenn Sie die Google Workspace-Datenfreigabe für Google Cloud nicht aktiviert haben, können Sie keine Audit-Logs für Google Workspace in Google Cloud sehen.
Arten von Audit-Logs
Audit-Logs zur Administratoraktivität enthalten Logeinträge für API-Aufrufe oder andere Aktionen, die die Konfiguration oder Metadaten von Ressourcen ändern. In diesen Logs wird beispielsweise aufgezeichnet, wann Nutzer VM-Instanzen erstellen oder IAM-Berechtigungen (Identity and Access Management) ändern.
Audit-Logs zu Datenzugriffen enthalten API-Aufrufe, die die Konfiguration oder Metadaten von Ressourcen lesen, sowie nutzergesteuerte API-Aufrufe, die von Nutzern bereitgestellte Ressourcendaten erstellen, ändern oder lesen. In Audit-Logs zum Datenzugriff werden keine Vorgänge zum Datenzugriff auf Ressourcen erfasst, die öffentlich freigegeben, also für alle Nutzer oder alle authentifizierten Nutzer verfügbar sind, oder die ohne Anmeldung in Google Cloud, Google Workspace, Cloud Identity, oder im Unternehmenskonto zugänglich sind.
Google Workspace-Dienste, die Audit-Logs an Google Cloud weiterleiten
Google Workspace stellt auf der Google Cloud-Organisationsebene die folgenden Audit-Logs bereit:
Access Transparency: Access Transparency-Logs enthalten Informationen zu Aktionen, die von Google-Mitarbeitern ausgeführt werden, wenn sie auf Kundeninhalte in Ihren Google Workspace-Ressourcen zugreifen. Im Gegensatz zu Access Transparency werden in Cloud-Audit-Logs die Aktionen protokolliert, die Mitglieder Ihrer Google Cloud-Organisation in Ihren Google Cloud-Ressourcen ausgeführt haben.
Weitere Informationen zur Struktur von Access Transparency-Logs und den Arten von Zugriffen, die protokolliert werden, finden Sie unter Beschreibungen der Protokollfelder.
Google Workspace-Admin-Audit: Admin-Audit-Logs enthalten Informationen zu den Aktionen, die in der Google Admin-Konsole ausgeführt wurden. Sie können beispielsweise sehen, wenn ein Administrator einen Nutzer hinzugefügt oder einen Google Workspace-Dienst aktiviert hat.
Admin-Audits schreiben nur Audit-Logs zur Administratoraktivität.
Workspace Enterprise Groups-Audit: Audit-Logs zu Unternehmensgruppen enthalten Informationen zu den Aktionen, die für Gruppen und Gruppenmitgliedschaften ausgeführt wurden. Sie erfahren beispielsweise, wann ein Administrator einen Nutzer hinzugefügt oder ein Gruppeninhaber seine Gruppe gelöscht hat.
Enterprise Groups Audits schreiben nur Audit-Logs zur Administratoraktivität.
Audit-Logs zu Anmeldeaktivitäten von Google Workspace: Audit-Logs zu Anmeldeaktivitäten erfassen Nutzeranmeldungen in Ihrer Domain. In diesen Logs wird nur das Anmeldeereignis aufgezeichnet. Es wird nicht erfasst, welches System für den Anmeldevorgang verwendet wurde.
Bei Audit-Logs zu Anmeldeaktivitäten werden nur Audit-Logs zum Datenzugriff geschrieben.
OAuth-Token-Audit-Logs von Google Workspace: OAuth-Token-Audit-Logs verfolgen, welche Nutzer welche mobilen oder Webanwendungen von Drittanbietern in Ihrer Domain verwenden. Wenn ein Nutzer beispielsweise eine Google Workspace Marketplace-App öffnet, zeichnet das Protokoll den Namen der App und die Person auf, die sie verwendet. Es wird auch jedes Mal im Protokoll aufgezeichnet, wenn für eine Anwendung eines Drittanbieters der Zugriff auf Google-Kontodaten autorisiert wird, z. B. Kontakte, Kalender und Drive-Dateien (nur Google Workspace).
Das OAuth-Token-Audit schreibt sowohl Audit-Logs zur Administratoraktivität als auch zum Datenzugriff.
SAML-Audit-Logs von Google Workspace: SAML-Audit-Logs erfassen erfolgreiche und fehlgeschlagene Anmeldungen von Nutzern in SAML-Anwendungen. Ein neuer Eintrag erscheint normalerweise innerhalb einer Stunde nach der Nutzeraktion.
SAML-Audits schreiben nur Audit-Logs zum Datenzugriff.
Dienstspezifische Informationen
Im Folgenden finden Sie Informationen zu den Audit-Logs jedes Google Workspace-Dienstes:
Audit-Logs für Google Workspace-Admin-Audits verwenden für alle Audit-Logs den Ressourcentyp audited_resource
.
Audit-Logs für Google Workspace-Admin-Audits verwenden den Dienstnamen admin.googleapis.com
.
Google Workspace Admin Audits schreiben nur Audit-Logs zur Administratoraktivität. Die folgenden Vorgänge werden geprüft:
Aktivitätstyp | AuditLog.method_name |
---|---|
AI_CLASSIFICATION_SETTINGS | google.admin.AdminService.aiClassificationInsufficientTrainingExamples google.admin.AdminService.aiClassificationModelLowScore google.admin.AdminService.aiClassificationNewModelReady |
ALERT_CENTER | google.admin.AdminService.alertCenterBatchDeleteAlerts google.admin.AdminService.alertCenterBatchUndeleteAlerts google.admin.AdminService.alertCenterCreateAlert google.admin.AdminService.alertCenterCreateFeedback google.admin.AdminService.alertCenterDeleteAlert google.admin.AdminService.alertCenterGetAlertMetadata google.admin.AdminService.alertCenterGetCustomerSettings google.admin.AdminService.alertCenterGetSitLink google.admin.AdminService.alertCenterListChange google.admin.AdminService.alertCenterListFeedback google.admin.AdminService.alertCenterListRelatedAlerts google.admin.AdminService.alertCenterUndeleteAlert google.admin.AdminService.alertCenterUpdateAlert google.admin.AdminService.alertCenterUpdateAlertMetadata google.admin.AdminService.alertCenterUpdateCustomerSettings google.admin.AdminService.alertCenterView |
APPLICATION_SETTINGS | google.admin.AdminService.changeApplicationSetting google.admin.AdminService.createApplicationSetting google.admin.AdminService.deleteApplicationSetting google.admin.AdminService.reorderGroupBasedPoliciesEvent google.admin.AdminService.gplusPremiumFeatures google.admin.AdminService.createManagedConfiguration google.admin.AdminService.deleteManagedConfiguration google.admin.AdminService.updateManagedConfiguration google.admin.AdminService.flashlightEduNonFeaturedServicesSelected |
CALENDAR_SETTINGS | google.admin.AdminService.createBuilding google.admin.AdminService.deleteBuilding google.admin.AdminService.updateBuilding google.admin.AdminService.createCalendarResource google.admin.AdminService.deleteCalendarResource google.admin.AdminService.createCalendarResourceFeature google.admin.AdminService.deleteCalendarResourceFeature google.admin.AdminService.updateCalendarResourceFeature google.admin.AdminService.renameCalendarResource google.admin.AdminService.updateCalendarResource google.admin.AdminService.changeCalendarSetting google.admin.AdminService.cancelCalendarEvents google.admin.AdminService.releaseCalendarResources |
CHAT_SETTINGS | google.admin.AdminService.meetInteropCreateGateway google.admin.AdminService.meetInteropDeleteGateway google.admin.AdminService.meetInteropModifyGateway google.admin.AdminService.changeChatSetting |
CHROME_OS_SETTINGS | google.admin.AdminService.changeChromeOsAndroidApplicationSetting google.admin.AdminService.changeChromeOsApplicationSetting google.admin.AdminService.sendChromeOsDeviceCommand google.admin.AdminService.changeChromeOsDeviceAnnotation google.admin.AdminService.changeChromeOsDeviceSetting google.admin.AdminService.changeChromeOsDeviceState google.admin.AdminService.changeChromeOsPublicSessionSetting google.admin.AdminService.insertChromeOsPrinter google.admin.AdminService.deleteChromeOsPrinter google.admin.AdminService.updateChromeOsPrinter google.admin.AdminService.changeChromeOsSetting google.admin.AdminService.changeChromeOsUserSetting google.admin.AdminService.removeChromeOsApplicationSettings |
CONTACTS_SETTINGS | google.admin.AdminService.changeContactsSetting |
DELEGATED_ADMIN_SETTINGS | google.admin.AdminService.assignRole google.admin.AdminService.createRole google.admin.AdminService.deleteRole google.admin.AdminService.addPrivilege google.admin.AdminService.removePrivilege google.admin.AdminService.renameRole google.admin.AdminService.updateRole google.admin.AdminService.unassignRole |
DEVICE_SETTINGS | google.admin.AdminService.deleteDevice google.admin.AdminService.moveDeviceToOrgUnit |
DOCS_SETTINGS | google.admin.AdminService.transferDocumentOwnership google.admin.AdminService.driveDataRestore google.admin.AdminService.changeDocsSetting |
DOMAIN_SETTINGS | google.admin.AdminService.changeAccountAutoRenewal google.admin.AdminService.addApplication google.admin.AdminService.addApplicationToWhitelist google.admin.AdminService.changeAdvertisementOption google.admin.AdminService.createAlert google.admin.AdminService.changeAlertCriteria google.admin.AdminService.deleteAlert google.admin.AdminService.alertReceiversChanged google.admin.AdminService.renameAlert google.admin.AdminService.alertStatusChanged google.admin.AdminService.addDomainAlias google.admin.AdminService.removeDomainAlias google.admin.AdminService.skipDomainAliasMx google.admin.AdminService.verifyDomainAliasMx google.admin.AdminService.verifyDomainAlias google.admin.AdminService.toggleOauthAccessToAllApis google.admin.AdminService.toggleAllowAdminPasswordReset google.admin.AdminService.enableApiAccess google.admin.AdminService.authorizeApiClientAccess google.admin.AdminService.removeApiClientAccess google.admin.AdminService.chromeLicensesRedeemed google.admin.AdminService.toggleAutoAddNewService google.admin.AdminService.changePrimaryDomain google.admin.AdminService.changeWhitelistSetting google.admin.AdminService.communicationPreferencesSettingChange google.admin.AdminService.changeConflictAccountAction google.admin.AdminService.enableFeedbackSolicitation google.admin.AdminService.toggleContactSharing google.admin.AdminService.createPlayForWorkToken google.admin.AdminService.toggleUseCustomLogo google.admin.AdminService.changeCustomLogo google.admin.AdminService.changeDataLocalizationForRussia google.admin.AdminService.changeDataLocalizationSetting google.admin.AdminService.changeDataProtectionOfficerContactInfo google.admin.AdminService.deletePlayForWorkToken google.admin.AdminService.viewDnsLoginDetails google.admin.AdminService.changeDomainDefaultLocale google.admin.AdminService.changeDomainDefaultTimezone google.admin.AdminService.changeDomainName google.admin.AdminService.toggleEnablePreReleaseFeatures google.admin.AdminService.changeDomainSupportMessage google.admin.AdminService.addTrustedDomains google.admin.AdminService.removeTrustedDomains google.admin.AdminService.changeEduType google.admin.AdminService.toggleEnableOauthConsumerKey google.admin.AdminService.toggleSsoEnabled google.admin.AdminService.toggleSsl google.admin.AdminService.changeEuRepresentativeContactInfo google.admin.AdminService.generateTransferToken google.admin.AdminService.changeLoginBackgroundColor google.admin.AdminService.changeLoginBorderColor google.admin.AdminService.changeLoginActivityTrace google.admin.AdminService.playForWorkEnroll google.admin.AdminService.playForWorkUnenroll google.admin.AdminService.mxRecordVerificationClaim google.admin.AdminService.toggleNewAppFeatures google.admin.AdminService.toggleUseNextGenControlPanel google.admin.AdminService.uploadOauthCertificate google.admin.AdminService.regenerateOauthConsumerSecret google.admin.AdminService.toggleOpenIdEnabled google.admin.AdminService.changeOrganizationName google.admin.AdminService.toggleOutboundRelay google.admin.AdminService.changePasswordMaxLength google.admin.AdminService.changePasswordMinLength google.admin.AdminService.updateDomainPrimaryAdminEmail google.admin.AdminService.enableServiceOrFeatureNotifications google.admin.AdminService.removeApplication google.admin.AdminService.removeApplicationFromWhitelist google.admin.AdminService.changeRenewDomainRegistration google.admin.AdminService.changeResellerAccess google.admin.AdminService.ruleActionsChanged google.admin.AdminService.createRule google.admin.AdminService.changeRuleCriteria google.admin.AdminService.deleteRule google.admin.AdminService.renameRule google.admin.AdminService.ruleStatusChanged google.admin.AdminService.addSecondaryDomain google.admin.AdminService.removeSecondaryDomain google.admin.AdminService.skipSecondaryDomainMx google.admin.AdminService.verifySecondaryDomainMx google.admin.AdminService.verifySecondaryDomain google.admin.AdminService.updateDomainSecondaryEmail google.admin.AdminService.changeSsoSettings google.admin.AdminService.generatePin google.admin.AdminService.updateRule |
EMAIL_SETTINGS | google.admin.AdminService.dropFromQuarantine google.admin.AdminService.emailLogSearch google.admin.AdminService.emailUndelete google.admin.AdminService.changeEmailSetting google.admin.AdminService.changeGmailSetting google.admin.AdminService.createGmailSetting google.admin.AdminService.deleteGmailSetting google.admin.AdminService.rejectFromQuarantine google.admin.AdminService.releaseFromQuarantine |
GROUP_SETTINGS | google.admin.AdminService.createGroup google.admin.AdminService.deleteGroup google.admin.AdminService.changeGroupDescription google.admin.AdminService.groupListDownload google.admin.AdminService.addGroupMember google.admin.AdminService.removeGroupMember google.admin.AdminService.updateGroupMember google.admin.AdminService.updateGroupMemberDeliverySettings google.admin.AdminService.updateGroupMemberDeliverySettingsCanEmailOverride google.admin.AdminService.groupMemberBulkUpload google.admin.AdminService.groupMembersDownload google.admin.AdminService.changeGroupEmail google.admin.AdminService.changeGroupName google.admin.AdminService.changeGroupSetting google.admin.AdminService.whitelistedGroupsUpdated |
LABELS | google.admin.AdminService.labelDeleted google.admin.AdminService.labelDisabled google.admin.AdminService.labelReenabled google.admin.AdminService.labelPermissionUpdated google.admin.AdminService.labelPermissionDeleted google.admin.AdminService.labelPublished google.admin.AdminService.labelCreated google.admin.AdminService.labelUpdated |
LICENSES_SETTINGS | google.admin.AdminService.orgUsersLicenseAssignment google.admin.AdminService.orgAllUsersLicenseAssignment google.admin.AdminService.userLicenseAssignment google.admin.AdminService.changeLicenseAutoAssign google.admin.AdminService.userLicenseReassignment google.admin.AdminService.orgLicenseRevoke google.admin.AdminService.userLicenseRevoke google.admin.AdminService.updateDynamicLicense google.admin.AdminService.licenseUsageUpdate |
MOBILE_SETTINGS | google.admin.AdminService.actionCancelled google.admin.AdminService.actionRequested google.admin.AdminService.addMobileCertificate google.admin.AdminService.companyDevicesBulkCreation google.admin.AdminService.companyOwnedDeviceBlocked google.admin.AdminService.companyDeviceDeletion google.admin.AdminService.companyOwnedDeviceUnblocked google.admin.AdminService.companyOwnedDeviceWiped google.admin.AdminService.changeMobileApplicationPermissionGrant google.admin.AdminService.changeMobileApplicationPriorityOrder google.admin.AdminService.removeMobileApplicationFromWhitelist google.admin.AdminService.changeMobileApplicationSettings google.admin.AdminService.addMobileApplicationToWhitelist google.admin.AdminService.mobileDeviceApprove google.admin.AdminService.mobileDeviceBlock google.admin.AdminService.mobileDeviceDelete google.admin.AdminService.mobileDeviceWipe google.admin.AdminService.changeMobileSetting google.admin.AdminService.changeAdminRestrictionsPin google.admin.AdminService.changeMobileWirelessNetwork google.admin.AdminService.addMobileWirelessNetwork google.admin.AdminService.removeMobileWirelessNetwork google.admin.AdminService.changeMobileWirelessNetworkPassword google.admin.AdminService.removeMobileCertificate google.admin.AdminService.enrollForGoogleDeviceManagement google.admin.AdminService.useGoogleMobileManagement google.admin.AdminService.useGoogleMobileManagementForNonIos google.admin.AdminService.useGoogleMobileManagementForIos google.admin.AdminService.mobileAccountWipe google.admin.AdminService.mobileDeviceCancelWipeThenApprove google.admin.AdminService.mobileDeviceCancelWipeThenBlock |
ORG_SETTINGS | google.admin.AdminService.chromeLicensesEnabled google.admin.AdminService.chromeApplicationLicenseReservationCreated google.admin.AdminService.chromeApplicationLicenseReservationDeleted google.admin.AdminService.chromeApplicationLicenseReservationUpdated google.admin.AdminService.assignCustomLogo google.admin.AdminService.unassignCustomLogo google.admin.AdminService.createEnrollmentToken google.admin.AdminService.revokeEnrollmentToken google.admin.AdminService.chromeLicensesAllowed google.admin.AdminService.createOrgUnit google.admin.AdminService.removeOrgUnit google.admin.AdminService.editOrgUnitDescription google.admin.AdminService.moveOrgUnit google.admin.AdminService.editOrgUnitName google.admin.AdminService.toggleServiceEnabled |
SECURITY_INVESTIGATION | google.admin.AdminService.securityInvestigationAction google.admin.AdminService.securityInvestigationActionCancellation google.admin.AdminService.securityInvestigationActionCompletion google.admin.AdminService.securityInvestigationActionRetry google.admin.AdminService.securityInvestigationActionVerificationConfirmation google.admin.AdminService.securityInvestigationActionVerificationRequest google.admin.AdminService.securityInvestigationActionVerificationRequestExpiration google.admin.AdminService.securityInvestigationChartCreate google.admin.AdminService.securityInvestigationContentAccess google.admin.AdminService.securityInvestigationDownloadAttachment google.admin.AdminService.securityInvestigationExportActionResults google.admin.AdminService.securityInvestigationExportQuery google.admin.AdminService.securityInvestigationObjectCreateDraftInvestigation google.admin.AdminService.securityInvestigationObjectDeleteInvestigation google.admin.AdminService.securityInvestigationObjectDuplicateInvestigation google.admin.AdminService.securityInvestigationObjectOwnershipTransfer google.admin.AdminService.securityInvestigationObjectSaveInvestigation google.admin.AdminService.securityInvestigationObjectUpdateDirectSharing google.admin.AdminService.securityInvestigationObjectUpdateLinkSharing google.admin.AdminService.securityInvestigationQuery google.admin.AdminService.securityInvestigationSettingUpdate |
SECURITY_SETTINGS | google.admin.AdminService.addToTrustedOauth2Apps google.admin.AdminService.allowAspWithout2Sv google.admin.AdminService.allowServiceForOauth2Access google.admin.AdminService.allowStrongAuthentication google.admin.AdminService.blockOnDeviceAccess google.admin.AdminService.changeAllowedTwoStepVerificationMethods google.admin.AdminService.changeAppAccessSettingsCollectionId google.admin.AdminService.changeCaaAppAssignments google.admin.AdminService.changeCaaDefaultAssignments google.admin.AdminService.changeCaaErrorMessage google.admin.AdminService.changeSessionLength google.admin.AdminService.changeTwoStepVerificationEnrollmentPeriodDuration google.admin.AdminService.changeTwoStepVerificationFrequency google.admin.AdminService.changeTwoStepVerificationGracePeriodDuration google.admin.AdminService.changeTwoStepVerificationStartDate google.admin.AdminService.disallowServiceForOauth2Access google.admin.AdminService.enableNonAdminUserPasswordRecovery google.admin.AdminService.enforceStrongAuthentication google.admin.AdminService.removeFromTrustedOauth2Apps google.admin.AdminService.sessionControlSettingsChange google.admin.AdminService.toggleCaaEnablement google.admin.AdminService.trustDomainOwnedOauth2Apps google.admin.AdminService.unblockOnDeviceAccess google.admin.AdminService.untrustDomainOwnedOauth2Apps google.admin.AdminService.updateErrorMsgForRestrictedOauth2Apps google.admin.AdminService.weakProgrammaticLoginSettingsChanged |
SITES_SETTINGS | google.admin.AdminService.addWebAddress google.admin.AdminService.deleteWebAddress google.admin.AdminService.changeSitesSetting google.admin.AdminService.changeSitesWebAddressMappingUpdates google.admin.AdminService.viewSiteDetails |
USER_SETTINGS | google.admin.AdminService.delete2SvScratchCodes google.admin.AdminService.generate2SvScratchCodes google.admin.AdminService.revoke3LoDeviceTokens google.admin.AdminService.revoke3LoToken google.admin.AdminService.addRecoveryEmail google.admin.AdminService.addRecoveryPhone google.admin.AdminService.grantAdminPrivilege google.admin.AdminService.revokeAdminPrivilege google.admin.AdminService.revokeAsp google.admin.AdminService.toggleAutomaticContactSharing google.admin.AdminService.bulkUpload google.admin.AdminService.bulkUploadNotificationSent google.admin.AdminService.cancelUserInvite google.admin.AdminService.changeUserCustomField google.admin.AdminService.changeUserExternalId google.admin.AdminService.changeUserGender google.admin.AdminService.changeUserIm google.admin.AdminService.enableUserIpWhitelist google.admin.AdminService.changeUserKeyword google.admin.AdminService.changeUserLanguage google.admin.AdminService.changeUserLocation google.admin.AdminService.changeUserOrganization google.admin.AdminService.changeUserPhoneNumber google.admin.AdminService.changeRecoveryEmail google.admin.AdminService.changeRecoveryPhone google.admin.AdminService.changeUserRelation google.admin.AdminService.changeUserAddress google.admin.AdminService.createEmailMonitor google.admin.AdminService.createDataTransferRequest google.admin.AdminService.grantDelegatedAdminPrivileges google.admin.AdminService.deleteAccountInfoDump google.admin.AdminService.deleteEmailMonitor google.admin.AdminService.deleteMailboxDump google.admin.AdminService.changeFirstName google.admin.AdminService.gmailResetUser google.admin.AdminService.changeLastName google.admin.AdminService.mailRoutingDestinationAdded google.admin.AdminService.mailRoutingDestinationRemoved google.admin.AdminService.addNickname google.admin.AdminService.removeNickname google.admin.AdminService.changePassword google.admin.AdminService.changePasswordOnNextLogin google.admin.AdminService.downloadPendingInvitesList google.admin.AdminService.removeRecoveryEmail google.admin.AdminService.removeRecoveryPhone google.admin.AdminService.requestAccountInfo google.admin.AdminService.requestMailboxDump google.admin.AdminService.resendUserInvite google.admin.AdminService.resetSigninCookies google.admin.AdminService.securityKeyRegisteredForUser google.admin.AdminService.revokeSecurityKey google.admin.AdminService.userInvite google.admin.AdminService.viewTempPassword google.admin.AdminService.turnOff2StepVerification google.admin.AdminService.unblockUserSession google.admin.AdminService.unenrollUserFromTitanium google.admin.AdminService.archiveUser google.admin.AdminService.updateBirthdate google.admin.AdminService.createUser google.admin.AdminService.deleteUser google.admin.AdminService.downgradeUserFromGplus google.admin.AdminService.userEnrolledInTwoStepVerification google.admin.AdminService.downloadUserlistCsv google.admin.AdminService.moveUserToOrgUnit google.admin.AdminService.userPutInTwoStepVerificationGracePeriod google.admin.AdminService.renameUser google.admin.AdminService.unenrollUserFromStrongAuth google.admin.AdminService.suspendUser google.admin.AdminService.unarchiveUser google.admin.AdminService.undeleteUser google.admin.AdminService.unsuspendUser google.admin.AdminService.upgradeUserToGplus google.admin.AdminService.usersBulkUpload google.admin.AdminService.usersBulkUploadNotificationSent |
audited_resource
für alle Audit-Logs.
Audit-Logs für Google Workspace Enterprise Groups-Audits verwenden den Dienstnamen cloudidentity.googleapis.com
.
Google Workspace Enterprise Groups Audits schreiben nur Audit-Logs zur Administratoraktivität. Die folgenden Vorgänge werden geprüft:
Audit-Logkategorie
|
AuditLog.method_name
|
---|---|
Audit-Logs zur Administratoraktivität | google.apps.cloudidentity.groups.v1.GroupsService.UpdateGroup google.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership |
audited_resource
.
Audit-Logs für Google Workspace Login-Audits verwenden den Dienstnamen login.googleapis.com
.
Google Workspace Login Audits schreibt nur Audit-Logs zum Datenzugriff. Die folgenden Vorgänge werden geprüft. Für jeden Vorgang sind Logbeispiele verfügbar.
Audit-Logkategorie | AuditLog.method_name |
---|---|
Audit-Logs zum Datenzugriff | google.login.LoginService.2svDisable google.login.LoginService.2svEnroll google.login.LoginService.accountDisabledPasswordLeak google.login.LoginService.accountDisabledGeneric google.login.LoginService.accountDisabledSpammingThroughRelay google.login.LoginService.accountDisabledSpamming google.login.LoginService.accountDisabledHijacked google.login.LoginService.emailForwardingOutOfDomain google.login.LoginService.govAttackWarning google.login.LoginService.loginChallenge google.login.LoginService.loginFailure google.login.LoginService.loginVerification google.login.LoginService.logout google.login.LoginService.loginSuccess google.login.LoginService.passwordEdit google.login.LoginService.recoveryEmailEdit google.login.LoginService.recoveryPhoneEdit google.login.LoginService.recoverySecretQaEdit google.login.LoginService.riskySensitiveActionAllowed google.login.LoginService.riskySensitiveActionBlocked google.login.LoginService.suspiciousLogin google.login.LoginService.suspiciousLoginLessSecureApp google.login.LoginService.suspiciousProgrammaticLogin google.login.LoginService.titaniumEnroll google.login.LoginService.titaniumUnenroll |
audited_resource
.
OAuth-Token-Audit-Logs von Google Workspace verwenden den Dienstnamen oauth2.googleapis.com
.
OAuth-Token-Audits von Google Workspace schreiben sowohl Audit-Logs zur Administratoraktivität als auch zum Datenzugriff. Die folgenden Vorgänge werden geprüft:
Audit-Logkategorie
|
AuditLog.method_name
|
---|---|
Audit-Logs zur Administratoraktivität | google.identity.oauth2.Deny google.identity.oauth2.GetToken google.identity.oauth2.Request google.identity.oauth2.RevokeToken |
Audit-Logs zum Datenzugriff | google.identity.oauth2.GetTokenInfo |
audited_resource
.
Audit-Logs für Google Workspace SAML Audit verwenden den Dienstnamen login.googleapis.com
.
Google Workspace SAML Audit schreibt nur Audit-Logs zum Datenzugriff. Die folgenden Vorgänge werden geprüft:
Audit-Logkategorie
|
AuditLog.method_name
|
---|---|
Audit-Logs zum Datenzugriff | google.apps.login.v1.SamlLoginFailed |
google.apps.login.v1.SamlLoginSucceeded |
Berechtigungen für Audit-Logs
IAM-Berechtigungen und -Rollen bestimmen Ihre Fähigkeit, auf Audit-Logdaten in der Logging API, dem Log-Explorer und der Google Cloud CLI zuzugreifen.
Ausführliche Informationen zu den eventuell erforderlichen IAM-Berechtigungen und zu Rollen auf Organisationsebene finden Sie unter Zugriffssteuerung mit IAM.
Audit-Log-Format
Google Workspace-Audit-Logeinträge umfassen folgende Objekte:
Den Logeintrag selbst. Dabei handelt es sich um ein Objekt vom Typ
LogEntry
. Bei der Untersuchung von Audit-Logging-Daten kann Folgendes hilfreich sein:logName
enthält die Organisations-ID und den Audit-Logtyp.resource
enthält das Ziel zum geprüften Vorgang.timeStamp
enthält die Uhrzeit des geprüften Vorgangs.protoPayload
enthält das Audit-Log für Google Workspace immetadata
-Feld.
Das protoPayload.metadata
-Feld enthält die geprüften Google Workspace-Informationen. Das folgende Beispiel zeigt ein Audit-Log zu Anmeldeaktivitäten:
{ "protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "authenticationInfo": { "principalEmail": "test-user@example.net" }, "requestMetadata": { "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff", "requestAttributes": {}, "destinationAttributes": {} }, "serviceName": "login.googleapis.com", "methodName": "google.login.LoginService.loginFailure", "resourceName": "organizations/123", "metadata": { "event": [ { "eventName": "login_failure", "eventType": "login", "parameter": [ { "value": "google_password", "type": "TYPE_STRING", "name": "login_type", }, { "name": "login_challenge_method", "type": "TYPE_STRING", "label": "LABEL_REPEATED", "multiStrValue": [ "password", "idv_preregistered_phone", "idv_preregistered_phone" ] }, ] } ], "activityId": { "uniqQualifier": "358068855354", "timeUsec": "1632500217183212" }, "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto" } }, "insertId": "-nahbepd4l1x", "resource": { "type": "audited_resource", "labels": { "method": "google.login.LoginService.loginFailure", "service": "login.googleapis.com" } }, "timestamp": "2021-09-24T16:16:57.183212Z", "severity": "NOTICE", "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access", "receiveTimestamp": "2021-09-24T17:51:25.034361197Z" }
Informationen zu dienstspezifischen Audit-Logging-Feldern und deren Interpretation finden Sie unter den unter Verfügbare Audit-Logs aufgeführten Diensten.
Logs ansehen
Informationen zum Aufrufen Ihrer Audit-Logs von Google Workspace finden Sie unter Audit-Logs von Google Workspace ansehen und verwalten.
Audit-Logs weiterleiten
Sie können Audit-Logs von Google Workspace von Cloud Logging an unterstützte Ziele weiterleiten, einschließlich anderer Logging-Buckets.
Im Folgenden finden Sie einige Anwendungen für das Routing von Audit-Logs:
Wenn Sie leistungsfähigere Suchfunktionen nutzen möchten, können Sie Kopien Ihrer Audit-Logs in Cloud Storage, BigQuery oder Pub/Sub weiterleiten. Bei Verwendung von Pub/Sub haben Sie die Möglichkeit, die Logs in andere Anwendungen, andere Repositories und Drittanbietersysteme weiterzuleiten.
Zum organisationsübergreifenden Verwalten Ihrer Audit-Logs erstellen Sie zusammengefasste Senken, die Logs aus allen Google Cloud-Projekten, Rechnungskonten und Ordnern in Ihrer Organisation kombinieren und weiterleiten. Sie haben damit beispielsweise die Möglichkeit, Audit-Logeinträge aus den Ordnern einer Organisation zusammenzufassen und an einen Cloud Storage-Bucket zu leiten.
Eine Anleitung zum Weiterleiten von Logs finden Sie unter Logs an unterstützte Ziele weiterleiten.
Regionalisierung
Sie können keine Region auswählen, in der Ihre Google Workspace-Logs gespeichert werden. Google Workspace-Logs sind nicht durch die Google Workspace-Richtlinie für Speicherorte abgedeckt.
Aufbewahrungsdauer
Für Ihre Audit-Logdaten gelten die folgenden Aufbewahrungszeiträume:
Cloud Logging speichert für jede Organisation automatisch Logs in zwei Buckets: in einem _Default
- und einem _Required
-Bucket. Der _Required
-Bucket enthält Audit-Logs zur Administratoraktivität, Audit-Logs zu Systemereignissen und Logs zu Access Transparency.
Der _Default
-Bucket enthält alle anderen Logeinträge, die nicht im _Required
-Bucket gespeichert werden. Weitere Informationen zu Log-Buckets finden Sie unter Routing und Speicher.
Sie können in Cloud Logging festlegen, dass die Logs im _Default
-Log-Bucket für einen Zeitraum von 1 Tag bis zu 3.650 Tagen aufbewahrt werden.
Informationen zum Ändern der Aufbewahrungsdauer für den _Default
-Log-Bucket finden Sie unter Benutzerdefinierte Aufbewahrung.
Sie können die Aufbewahrungsdauer für den _Required
-Bucket nicht ändern.
Kontingente und Limits
Für Audit-Logs von Google Workspace- und Cloud-Audit-Logs gelten die gleichen Kontingente.
Weitere Informationen zu diesen Nutzungslimits, einschließlich der maximalen Größe von Audit-Logs, finden Sie unter Kontingente und Limits.
Preise
Die Logs auf Organisationsebene von Google Workspace sind kostenlos.
Nächste Schritte
- Informationen zum Konfigurieren und Verwalten von Audit-Logs von Google Workspace.
- Beachten Sie die Best Practices für Cloud-Audit-Logs.
- Access Transparency-Logs von Google Workspace aufrufen und verstehen