Audit-Logs von Google Workspace

Dieses Dokument bietet eine konzeptionelle Übersicht über die Audit-Logs, die Google Workspace als Teil von Cloud-Audit-Logs bereitstellt.

Informationen zum Verwalten Ihrer Audit-Logs von Google Workspace finden Sie unter Audit-Logs von Google Workspace ansehen und verwalten.

Google Cloud-Dienste schreiben Audit-Logs, um Ihnen Antworten auf Fragen wie "Wer hat was wo und wann getan?" zu liefern. Sie können Ihre Audit-Logs von Google Workspace für Google Cloud freigeben, um Ihre Google Workspace-Daten zu speichern, zu analysieren, zu überwachen und zu melden.

Audit-Logs von Google Workspace sind für Cloud Identity-, Cloud Identity Premium- und alle Google Workspace-Kunden verfügbar.

Wenn Sie die Google Workspace-Datenfreigabe für Google Cloud aktiviert haben, sind Audit-Logs für Google Workspace immer aktiviert.

Wenn Sie die Google Workspace-Datenfreigaben deaktivieren, werden keine neuen Audit-Log-Ereignisse von Google Workspace mehr an Google Cloud gesendet. Vorhandene Logs behalten ihre Standard-Aufbewahrungsdauer, es sei denn, Sie haben die benutzerdefinierte Aufbewahrung konfiguriert, um Ihre Logs länger zu speichern.

Wenn Sie die Google Workspace-Datenfreigabe für Google Cloud nicht aktiviert haben, können Sie keine Audit-Logs für Google Workspace in Google Cloud sehen.

Arten von Audit-Logs

Audit-Logs zur Administratoraktivität enthalten Logeinträge für API-Aufrufe oder andere Aktionen, die die Konfiguration oder Metadaten von Ressourcen ändern. In diesen Logs wird beispielsweise aufgezeichnet, wann Nutzer VM-Instanzen erstellen oder IAM-Berechtigungen (Identity and Access Management) ändern.

Audit-Logs zu Datenzugriffen​ enthalten API-Aufrufe, die die Konfiguration oder Metadaten von Ressourcen lesen, sowie nutzergesteuerte API-Aufrufe, die von Nutzern bereitgestellte Ressourcendaten erstellen, ändern oder lesen. In Audit-Logs zum Datenzugriff werden keine Vorgänge zum Datenzugriff auf Ressourcen erfasst, die öffentlich freigegeben, also für alle Nutzer oder alle authentifizierten Nutzer verfügbar sind, oder die ohne Anmeldung in Google Cloud, Google Workspace, Cloud Identity, oder im Unternehmenskonto zugänglich sind.

Google Workspace-Dienste, die Audit-Logs an Google Cloud weiterleiten

Google Workspace stellt auf der Google Cloud-Organisationsebene die folgenden Audit-Logs bereit:

  • Access Transparency: Access Transparency-Logs enthalten Informationen zu Aktionen, die von Google-Mitarbeitern ausgeführt werden, wenn sie auf Kundeninhalte in Ihren Google Workspace-Ressourcen zugreifen. Im Gegensatz zu Access Transparency werden in Cloud-Audit-Logs die Aktionen protokolliert, die Mitglieder Ihrer Google Cloud-Organisation in Ihren Google Cloud-Ressourcen ausgeführt haben.

    Weitere Informationen zur Struktur von Access Transparency-Logs und den Arten von Zugriffen, die protokolliert werden, finden Sie unter Beschreibungen der Protokollfelder.

  • Google Workspace-Admin-Audit: Admin-Audit-Logs enthalten Informationen zu den Aktionen, die in der Google Admin-Konsole ausgeführt wurden. Sie können beispielsweise sehen, wenn ein Administrator einen Nutzer hinzugefügt oder einen Google Workspace-Dienst aktiviert hat.

    Admin-Audits schreiben nur Audit-Logs zur Administratoraktivität.

  • Workspace Enterprise Groups-Audit: Audit-Logs zu Unternehmensgruppen enthalten Informationen zu den Aktionen, die für Gruppen und Gruppenmitgliedschaften ausgeführt wurden. Sie erfahren beispielsweise, wann ein Administrator einen Nutzer hinzugefügt oder ein Gruppeninhaber seine Gruppe gelöscht hat.

    Enterprise Groups Audits schreiben nur Audit-Logs zur Administratoraktivität.

  • Audit-Logs zu Anmeldeaktivitäten von Google Workspace: Audit-Logs zu Anmeldeaktivitäten erfassen Nutzeranmeldungen in Ihrer Domain. In diesen Logs wird nur das Anmeldeereignis aufgezeichnet. Es wird nicht erfasst, welches System für den Anmeldevorgang verwendet wurde.

    Bei Audit-Logs zu Anmeldeaktivitäten werden nur Audit-Logs zum Datenzugriff geschrieben.

  • OAuth-Token-Audit-Logs von Google Workspace: OAuth-Token-Audit-Logs verfolgen, welche Nutzer welche mobilen oder Webanwendungen von Drittanbietern in Ihrer Domain verwenden. Wenn ein Nutzer beispielsweise eine Google Workspace Marketplace-App öffnet, zeichnet das Protokoll den Namen der App und die Person auf, die sie verwendet. Es wird auch jedes Mal im Protokoll aufgezeichnet, wenn für eine Anwendung eines Drittanbieters der Zugriff auf Google-Kontodaten autorisiert wird, z. B. Kontakte, Kalender und Drive-Dateien (nur Google Workspace).

    Das OAuth-Token-Audit schreibt sowohl Audit-Logs zur Administratoraktivität als auch zum Datenzugriff.

  • SAML-Audit-Logs von Google Workspace: SAML-Audit-Logs erfassen erfolgreiche und fehlgeschlagene Anmeldungen von Nutzern in SAML-Anwendungen. Ein neuer Eintrag erscheint normalerweise innerhalb einer Stunde nach der Nutzeraktion.

    SAML-Audits schreiben nur Audit-Logs zum Datenzugriff.

Dienstspezifische Informationen

Im Folgenden finden Sie Informationen zu den Audit-Logs jedes Google Workspace-Dienstes:

Audit-Logs für Google Workspace-Admin-Audits verwenden für alle Audit-Logs den Ressourcentyp audited_resource.

Audit-Logs für Google Workspace-Admin-Audits verwenden den Dienstnamen admin.googleapis.com.

Google Workspace Admin Audits schreiben nur Audit-Logs zur Administratoraktivität. Die folgenden Vorgänge werden geprüft:

Aktivitätstyp AuditLog.method_name
AI_CLASSIFICATION_SETTINGS google.admin.AdminService.aiClassificationInsufficientTrainingExamples
google.admin.AdminService.aiClassificationModelLowScore
google.admin.AdminService.aiClassificationNewModelReady
ALERT_CENTER google.admin.AdminService.alertCenterBatchDeleteAlerts
google.admin.AdminService.alertCenterBatchUndeleteAlerts
google.admin.AdminService.alertCenterCreateAlert
google.admin.AdminService.alertCenterCreateFeedback
google.admin.AdminService.alertCenterDeleteAlert
google.admin.AdminService.alertCenterGetAlertMetadata
google.admin.AdminService.alertCenterGetCustomerSettings
google.admin.AdminService.alertCenterGetSitLink
google.admin.AdminService.alertCenterListChange
google.admin.AdminService.alertCenterListFeedback
google.admin.AdminService.alertCenterListRelatedAlerts
google.admin.AdminService.alertCenterUndeleteAlert
google.admin.AdminService.alertCenterUpdateAlert
google.admin.AdminService.alertCenterUpdateAlertMetadata
google.admin.AdminService.alertCenterUpdateCustomerSettings
google.admin.AdminService.alertCenterView
APPLICATION_SETTINGS google.admin.AdminService.changeApplicationSetting
google.admin.AdminService.createApplicationSetting
google.admin.AdminService.deleteApplicationSetting
google.admin.AdminService.reorderGroupBasedPoliciesEvent
google.admin.AdminService.gplusPremiumFeatures
google.admin.AdminService.createManagedConfiguration
google.admin.AdminService.deleteManagedConfiguration
google.admin.AdminService.updateManagedConfiguration
google.admin.AdminService.flashlightEduNonFeaturedServicesSelected
CALENDAR_SETTINGS google.admin.AdminService.createBuilding
google.admin.AdminService.deleteBuilding
google.admin.AdminService.updateBuilding
google.admin.AdminService.createCalendarResource
google.admin.AdminService.deleteCalendarResource
google.admin.AdminService.createCalendarResourceFeature
google.admin.AdminService.deleteCalendarResourceFeature
google.admin.AdminService.updateCalendarResourceFeature
google.admin.AdminService.renameCalendarResource
google.admin.AdminService.updateCalendarResource
google.admin.AdminService.changeCalendarSetting
google.admin.AdminService.cancelCalendarEvents
google.admin.AdminService.releaseCalendarResources
CHAT_SETTINGS google.admin.AdminService.meetInteropCreateGateway
google.admin.AdminService.meetInteropDeleteGateway
google.admin.AdminService.meetInteropModifyGateway
google.admin.AdminService.changeChatSetting
CHROME_OS_SETTINGS google.admin.AdminService.changeChromeOsAndroidApplicationSetting
google.admin.AdminService.changeChromeOsApplicationSetting
google.admin.AdminService.sendChromeOsDeviceCommand
google.admin.AdminService.changeChromeOsDeviceAnnotation
google.admin.AdminService.changeChromeOsDeviceSetting
google.admin.AdminService.changeChromeOsDeviceState
google.admin.AdminService.changeChromeOsPublicSessionSetting
google.admin.AdminService.insertChromeOsPrinter
google.admin.AdminService.deleteChromeOsPrinter
google.admin.AdminService.updateChromeOsPrinter
google.admin.AdminService.changeChromeOsSetting
google.admin.AdminService.changeChromeOsUserSetting
google.admin.AdminService.removeChromeOsApplicationSettings
CONTACTS_SETTINGS google.admin.AdminService.changeContactsSetting
DELEGATED_ADMIN_SETTINGS google.admin.AdminService.assignRole
google.admin.AdminService.createRole
google.admin.AdminService.deleteRole
google.admin.AdminService.addPrivilege
google.admin.AdminService.removePrivilege
google.admin.AdminService.renameRole
google.admin.AdminService.updateRole
google.admin.AdminService.unassignRole
DEVICE_SETTINGS google.admin.AdminService.deleteDevice
google.admin.AdminService.moveDeviceToOrgUnit
DOCS_SETTINGS google.admin.AdminService.transferDocumentOwnership
google.admin.AdminService.driveDataRestore
google.admin.AdminService.changeDocsSetting
DOMAIN_SETTINGS google.admin.AdminService.changeAccountAutoRenewal
google.admin.AdminService.addApplication
google.admin.AdminService.addApplicationToWhitelist
google.admin.AdminService.changeAdvertisementOption
google.admin.AdminService.createAlert
google.admin.AdminService.changeAlertCriteria
google.admin.AdminService.deleteAlert
google.admin.AdminService.alertReceiversChanged
google.admin.AdminService.renameAlert
google.admin.AdminService.alertStatusChanged
google.admin.AdminService.addDomainAlias
google.admin.AdminService.removeDomainAlias
google.admin.AdminService.skipDomainAliasMx
google.admin.AdminService.verifyDomainAliasMx
google.admin.AdminService.verifyDomainAlias
google.admin.AdminService.toggleOauthAccessToAllApis
google.admin.AdminService.toggleAllowAdminPasswordReset
google.admin.AdminService.enableApiAccess
google.admin.AdminService.authorizeApiClientAccess
google.admin.AdminService.removeApiClientAccess
google.admin.AdminService.chromeLicensesRedeemed
google.admin.AdminService.toggleAutoAddNewService
google.admin.AdminService.changePrimaryDomain
google.admin.AdminService.changeWhitelistSetting
google.admin.AdminService.communicationPreferencesSettingChange
google.admin.AdminService.changeConflictAccountAction
google.admin.AdminService.enableFeedbackSolicitation
google.admin.AdminService.toggleContactSharing
google.admin.AdminService.createPlayForWorkToken
google.admin.AdminService.toggleUseCustomLogo
google.admin.AdminService.changeCustomLogo
google.admin.AdminService.changeDataLocalizationForRussia
google.admin.AdminService.changeDataLocalizationSetting
google.admin.AdminService.changeDataProtectionOfficerContactInfo
google.admin.AdminService.deletePlayForWorkToken
google.admin.AdminService.viewDnsLoginDetails
google.admin.AdminService.changeDomainDefaultLocale
google.admin.AdminService.changeDomainDefaultTimezone
google.admin.AdminService.changeDomainName
google.admin.AdminService.toggleEnablePreReleaseFeatures
google.admin.AdminService.changeDomainSupportMessage
google.admin.AdminService.addTrustedDomains
google.admin.AdminService.removeTrustedDomains
google.admin.AdminService.changeEduType
google.admin.AdminService.toggleEnableOauthConsumerKey
google.admin.AdminService.toggleSsoEnabled
google.admin.AdminService.toggleSsl
google.admin.AdminService.changeEuRepresentativeContactInfo
google.admin.AdminService.generateTransferToken
google.admin.AdminService.changeLoginBackgroundColor
google.admin.AdminService.changeLoginBorderColor
google.admin.AdminService.changeLoginActivityTrace
google.admin.AdminService.playForWorkEnroll
google.admin.AdminService.playForWorkUnenroll
google.admin.AdminService.mxRecordVerificationClaim
google.admin.AdminService.toggleNewAppFeatures
google.admin.AdminService.toggleUseNextGenControlPanel
google.admin.AdminService.uploadOauthCertificate
google.admin.AdminService.regenerateOauthConsumerSecret
google.admin.AdminService.toggleOpenIdEnabled
google.admin.AdminService.changeOrganizationName
google.admin.AdminService.toggleOutboundRelay
google.admin.AdminService.changePasswordMaxLength
google.admin.AdminService.changePasswordMinLength
google.admin.AdminService.updateDomainPrimaryAdminEmail
google.admin.AdminService.enableServiceOrFeatureNotifications
google.admin.AdminService.removeApplication
google.admin.AdminService.removeApplicationFromWhitelist
google.admin.AdminService.changeRenewDomainRegistration
google.admin.AdminService.changeResellerAccess
google.admin.AdminService.ruleActionsChanged
google.admin.AdminService.createRule
google.admin.AdminService.changeRuleCriteria
google.admin.AdminService.deleteRule
google.admin.AdminService.renameRule
google.admin.AdminService.ruleStatusChanged
google.admin.AdminService.addSecondaryDomain
google.admin.AdminService.removeSecondaryDomain
google.admin.AdminService.skipSecondaryDomainMx
google.admin.AdminService.verifySecondaryDomainMx
google.admin.AdminService.verifySecondaryDomain
google.admin.AdminService.updateDomainSecondaryEmail
google.admin.AdminService.changeSsoSettings
google.admin.AdminService.generatePin
google.admin.AdminService.updateRule
EMAIL_SETTINGS google.admin.AdminService.dropFromQuarantine
google.admin.AdminService.emailLogSearch
google.admin.AdminService.emailUndelete
google.admin.AdminService.changeEmailSetting
google.admin.AdminService.changeGmailSetting
google.admin.AdminService.createGmailSetting
google.admin.AdminService.deleteGmailSetting
google.admin.AdminService.rejectFromQuarantine
google.admin.AdminService.releaseFromQuarantine
GROUP_SETTINGS google.admin.AdminService.createGroup
google.admin.AdminService.deleteGroup
google.admin.AdminService.changeGroupDescription
google.admin.AdminService.groupListDownload
google.admin.AdminService.addGroupMember
google.admin.AdminService.removeGroupMember
google.admin.AdminService.updateGroupMember
google.admin.AdminService.updateGroupMemberDeliverySettings
google.admin.AdminService.updateGroupMemberDeliverySettingsCanEmailOverride
google.admin.AdminService.groupMemberBulkUpload
google.admin.AdminService.groupMembersDownload
google.admin.AdminService.changeGroupEmail
google.admin.AdminService.changeGroupName
google.admin.AdminService.changeGroupSetting
google.admin.AdminService.whitelistedGroupsUpdated
LABELS google.admin.AdminService.labelDeleted
google.admin.AdminService.labelDisabled
google.admin.AdminService.labelReenabled
google.admin.AdminService.labelPermissionUpdated
google.admin.AdminService.labelPermissionDeleted
google.admin.AdminService.labelPublished
google.admin.AdminService.labelCreated
google.admin.AdminService.labelUpdated
LICENSES_SETTINGS google.admin.AdminService.orgUsersLicenseAssignment
google.admin.AdminService.orgAllUsersLicenseAssignment
google.admin.AdminService.userLicenseAssignment
google.admin.AdminService.changeLicenseAutoAssign
google.admin.AdminService.userLicenseReassignment
google.admin.AdminService.orgLicenseRevoke
google.admin.AdminService.userLicenseRevoke
google.admin.AdminService.updateDynamicLicense
google.admin.AdminService.licenseUsageUpdate
MOBILE_SETTINGS google.admin.AdminService.actionCancelled
google.admin.AdminService.actionRequested
google.admin.AdminService.addMobileCertificate
google.admin.AdminService.companyDevicesBulkCreation
google.admin.AdminService.companyOwnedDeviceBlocked
google.admin.AdminService.companyDeviceDeletion
google.admin.AdminService.companyOwnedDeviceUnblocked
google.admin.AdminService.companyOwnedDeviceWiped
google.admin.AdminService.changeMobileApplicationPermissionGrant
google.admin.AdminService.changeMobileApplicationPriorityOrder
google.admin.AdminService.removeMobileApplicationFromWhitelist
google.admin.AdminService.changeMobileApplicationSettings
google.admin.AdminService.addMobileApplicationToWhitelist
google.admin.AdminService.mobileDeviceApprove
google.admin.AdminService.mobileDeviceBlock
google.admin.AdminService.mobileDeviceDelete
google.admin.AdminService.mobileDeviceWipe
google.admin.AdminService.changeMobileSetting
google.admin.AdminService.changeAdminRestrictionsPin
google.admin.AdminService.changeMobileWirelessNetwork
google.admin.AdminService.addMobileWirelessNetwork
google.admin.AdminService.removeMobileWirelessNetwork
google.admin.AdminService.changeMobileWirelessNetworkPassword
google.admin.AdminService.removeMobileCertificate
google.admin.AdminService.enrollForGoogleDeviceManagement
google.admin.AdminService.useGoogleMobileManagement
google.admin.AdminService.useGoogleMobileManagementForNonIos
google.admin.AdminService.useGoogleMobileManagementForIos
google.admin.AdminService.mobileAccountWipe
google.admin.AdminService.mobileDeviceCancelWipeThenApprove
google.admin.AdminService.mobileDeviceCancelWipeThenBlock
ORG_SETTINGS google.admin.AdminService.chromeLicensesEnabled
google.admin.AdminService.chromeApplicationLicenseReservationCreated
google.admin.AdminService.chromeApplicationLicenseReservationDeleted
google.admin.AdminService.chromeApplicationLicenseReservationUpdated
google.admin.AdminService.assignCustomLogo
google.admin.AdminService.unassignCustomLogo
google.admin.AdminService.createEnrollmentToken
google.admin.AdminService.revokeEnrollmentToken
google.admin.AdminService.chromeLicensesAllowed
google.admin.AdminService.createOrgUnit
google.admin.AdminService.removeOrgUnit
google.admin.AdminService.editOrgUnitDescription
google.admin.AdminService.moveOrgUnit
google.admin.AdminService.editOrgUnitName
google.admin.AdminService.toggleServiceEnabled
SECURITY_INVESTIGATION google.admin.AdminService.securityInvestigationAction
google.admin.AdminService.securityInvestigationActionCancellation
google.admin.AdminService.securityInvestigationActionCompletion
google.admin.AdminService.securityInvestigationActionRetry
google.admin.AdminService.securityInvestigationActionVerificationConfirmation
google.admin.AdminService.securityInvestigationActionVerificationRequest
google.admin.AdminService.securityInvestigationActionVerificationRequestExpiration
google.admin.AdminService.securityInvestigationChartCreate
google.admin.AdminService.securityInvestigationContentAccess
google.admin.AdminService.securityInvestigationDownloadAttachment
google.admin.AdminService.securityInvestigationExportActionResults
google.admin.AdminService.securityInvestigationExportQuery
google.admin.AdminService.securityInvestigationObjectCreateDraftInvestigation
google.admin.AdminService.securityInvestigationObjectDeleteInvestigation
google.admin.AdminService.securityInvestigationObjectDuplicateInvestigation
google.admin.AdminService.securityInvestigationObjectOwnershipTransfer
google.admin.AdminService.securityInvestigationObjectSaveInvestigation
google.admin.AdminService.securityInvestigationObjectUpdateDirectSharing
google.admin.AdminService.securityInvestigationObjectUpdateLinkSharing
google.admin.AdminService.securityInvestigationQuery
google.admin.AdminService.securityInvestigationSettingUpdate
SECURITY_SETTINGS google.admin.AdminService.addToTrustedOauth2Apps
google.admin.AdminService.allowAspWithout2Sv
google.admin.AdminService.allowServiceForOauth2Access
google.admin.AdminService.allowStrongAuthentication
google.admin.AdminService.blockOnDeviceAccess
google.admin.AdminService.changeAllowedTwoStepVerificationMethods
google.admin.AdminService.changeAppAccessSettingsCollectionId
google.admin.AdminService.changeCaaAppAssignments
google.admin.AdminService.changeCaaDefaultAssignments
google.admin.AdminService.changeCaaErrorMessage
google.admin.AdminService.changeSessionLength
google.admin.AdminService.changeTwoStepVerificationEnrollmentPeriodDuration
google.admin.AdminService.changeTwoStepVerificationFrequency
google.admin.AdminService.changeTwoStepVerificationGracePeriodDuration
google.admin.AdminService.changeTwoStepVerificationStartDate
google.admin.AdminService.disallowServiceForOauth2Access
google.admin.AdminService.enableNonAdminUserPasswordRecovery
google.admin.AdminService.enforceStrongAuthentication
google.admin.AdminService.removeFromTrustedOauth2Apps
google.admin.AdminService.sessionControlSettingsChange
google.admin.AdminService.toggleCaaEnablement
google.admin.AdminService.trustDomainOwnedOauth2Apps
google.admin.AdminService.unblockOnDeviceAccess
google.admin.AdminService.untrustDomainOwnedOauth2Apps
google.admin.AdminService.updateErrorMsgForRestrictedOauth2Apps
google.admin.AdminService.weakProgrammaticLoginSettingsChanged
SITES_SETTINGS google.admin.AdminService.addWebAddress
google.admin.AdminService.deleteWebAddress
google.admin.AdminService.changeSitesSetting
google.admin.AdminService.changeSitesWebAddressMappingUpdates
google.admin.AdminService.viewSiteDetails
USER_SETTINGS google.admin.AdminService.delete2SvScratchCodes
google.admin.AdminService.generate2SvScratchCodes
google.admin.AdminService.revoke3LoDeviceTokens
google.admin.AdminService.revoke3LoToken
google.admin.AdminService.addRecoveryEmail
google.admin.AdminService.addRecoveryPhone
google.admin.AdminService.grantAdminPrivilege
google.admin.AdminService.revokeAdminPrivilege
google.admin.AdminService.revokeAsp
google.admin.AdminService.toggleAutomaticContactSharing
google.admin.AdminService.bulkUpload
google.admin.AdminService.bulkUploadNotificationSent
google.admin.AdminService.cancelUserInvite
google.admin.AdminService.changeUserCustomField
google.admin.AdminService.changeUserExternalId
google.admin.AdminService.changeUserGender
google.admin.AdminService.changeUserIm
google.admin.AdminService.enableUserIpWhitelist
google.admin.AdminService.changeUserKeyword
google.admin.AdminService.changeUserLanguage
google.admin.AdminService.changeUserLocation
google.admin.AdminService.changeUserOrganization
google.admin.AdminService.changeUserPhoneNumber
google.admin.AdminService.changeRecoveryEmail
google.admin.AdminService.changeRecoveryPhone
google.admin.AdminService.changeUserRelation
google.admin.AdminService.changeUserAddress
google.admin.AdminService.createEmailMonitor
google.admin.AdminService.createDataTransferRequest
google.admin.AdminService.grantDelegatedAdminPrivileges
google.admin.AdminService.deleteAccountInfoDump
google.admin.AdminService.deleteEmailMonitor
google.admin.AdminService.deleteMailboxDump
google.admin.AdminService.changeFirstName
google.admin.AdminService.gmailResetUser
google.admin.AdminService.changeLastName
google.admin.AdminService.mailRoutingDestinationAdded
google.admin.AdminService.mailRoutingDestinationRemoved
google.admin.AdminService.addNickname
google.admin.AdminService.removeNickname
google.admin.AdminService.changePassword
google.admin.AdminService.changePasswordOnNextLogin
google.admin.AdminService.downloadPendingInvitesList
google.admin.AdminService.removeRecoveryEmail
google.admin.AdminService.removeRecoveryPhone
google.admin.AdminService.requestAccountInfo
google.admin.AdminService.requestMailboxDump
google.admin.AdminService.resendUserInvite
google.admin.AdminService.resetSigninCookies
google.admin.AdminService.securityKeyRegisteredForUser
google.admin.AdminService.revokeSecurityKey
google.admin.AdminService.userInvite
google.admin.AdminService.viewTempPassword
google.admin.AdminService.turnOff2StepVerification
google.admin.AdminService.unblockUserSession
google.admin.AdminService.unenrollUserFromTitanium
google.admin.AdminService.archiveUser
google.admin.AdminService.updateBirthdate
google.admin.AdminService.createUser
google.admin.AdminService.deleteUser
google.admin.AdminService.downgradeUserFromGplus
google.admin.AdminService.userEnrolledInTwoStepVerification
google.admin.AdminService.downloadUserlistCsv
google.admin.AdminService.moveUserToOrgUnit
google.admin.AdminService.userPutInTwoStepVerificationGracePeriod
google.admin.AdminService.renameUser
google.admin.AdminService.unenrollUserFromStrongAuth
google.admin.AdminService.suspendUser
google.admin.AdminService.unarchiveUser
google.admin.AdminService.undeleteUser
google.admin.AdminService.unsuspendUser
google.admin.AdminService.upgradeUserToGplus
google.admin.AdminService.usersBulkUpload
google.admin.AdminService.usersBulkUploadNotificationSent
Audit-Logs für Enterprise Groups in Google Workspace verwenden den Ressourcentyp audited_resource für alle Audit-Logs.

Audit-Logs für Google Workspace Enterprise Groups-Audits verwenden den Dienstnamen cloudidentity.googleapis.com.

Google Workspace Enterprise Groups Audits schreiben nur Audit-Logs zur Administratoraktivität. Die folgenden Vorgänge werden geprüft:

Audit-Logkategorie
AuditLog.method_name
Audit-Logs zur Administratoraktivität google.apps.cloudidentity.groups.v1.GroupsService.UpdateGroup
google.apps.cloudidentity.groups.v1.MembershipsService.UpdateMembership
Alle Audit-Logs für Google Workspace Login-Audits verwenden den Ressourcentyp audited_resource.

Audit-Logs für Google Workspace Login-Audits verwenden den Dienstnamen login.googleapis.com.

Google Workspace Login Audits schreibt nur Audit-Logs zum Datenzugriff. Die folgenden Vorgänge werden geprüft. Für jeden Vorgang sind Logbeispiele verfügbar.

Audit-Logkategorie AuditLog.method_name
Audit-Logs zum Datenzugriff google.login.LoginService.2svDisable
google.login.LoginService.2svEnroll
google.login.LoginService.accountDisabledPasswordLeak
google.login.LoginService.accountDisabledGeneric
google.login.LoginService.accountDisabledSpammingThroughRelay
google.login.LoginService.accountDisabledSpamming
google.login.LoginService.accountDisabledHijacked
google.login.LoginService.emailForwardingOutOfDomain
google.login.LoginService.govAttackWarning
google.login.LoginService.loginChallenge
google.login.LoginService.loginFailure
google.login.LoginService.loginVerification
google.login.LoginService.logout
google.login.LoginService.loginSuccess
google.login.LoginService.passwordEdit
google.login.LoginService.recoveryEmailEdit
google.login.LoginService.recoveryPhoneEdit
google.login.LoginService.recoverySecretQaEdit
google.login.LoginService.riskySensitiveActionAllowed
google.login.LoginService.riskySensitiveActionBlocked
google.login.LoginService.suspiciousLogin
google.login.LoginService.suspiciousLoginLessSecureApp
google.login.LoginService.suspiciousProgrammaticLogin
google.login.LoginService.titaniumEnroll
google.login.LoginService.titaniumUnenroll
OAuth-Token-Audit-Logs von Google Workspace verwenden für alle Audit-Logs den Ressourcentyp audited_resource.

OAuth-Token-Audit-Logs von Google Workspace verwenden den Dienstnamen oauth2.googleapis.com.

OAuth-Token-Audits von Google Workspace schreiben sowohl Audit-Logs zur Administratoraktivität als auch zum Datenzugriff. Die folgenden Vorgänge werden geprüft:

Audit-Logkategorie
AuditLog.method_name
Audit-Logs zur Administratoraktivität google.identity.oauth2.Deny
google.identity.oauth2.GetToken
google.identity.oauth2.Request
google.identity.oauth2.RevokeToken
Audit-Logs zum Datenzugriff google.identity.oauth2.GetTokenInfo
Audit-Logs für Google Workspace SAML Login-Audits verwenden bei allen Audit-Logs den Ressourcentyp audited_resource.

Audit-Logs für Google Workspace SAML Audit verwenden den Dienstnamen login.googleapis.com.

Google Workspace SAML Audit schreibt nur Audit-Logs zum Datenzugriff. Die folgenden Vorgänge werden geprüft:

Audit-Logkategorie
AuditLog.method_name
Audit-Logs zum Datenzugriff google.apps.login.v1.SamlLoginFailed
google.apps.login.v1.SamlLoginSucceeded

Berechtigungen für Audit-Logs

IAM-Berechtigungen und -Rollen bestimmen Ihre Fähigkeit, auf Audit-Logdaten in der Logging API, dem Log-Explorer und der Google Cloud CLI zuzugreifen.

Ausführliche Informationen zu den eventuell erforderlichen IAM-Berechtigungen und zu Rollen auf Organisationsebene finden Sie unter Zugriffssteuerung mit IAM.

Audit-Log-Format

Google Workspace-Audit-Logeinträge umfassen folgende Objekte:

  • Den Logeintrag selbst. Dabei handelt es sich um ein Objekt vom Typ LogEntry. Bei der Untersuchung von Audit-Logging-Daten kann Folgendes hilfreich sein:

    • logName enthält die Organisations-ID und den Audit-Logtyp.
    • resource enthält das Ziel zum geprüften Vorgang.
    • timeStamp enthält die Uhrzeit des geprüften Vorgangs.
    • protoPayload enthält das Audit-Log für Google Workspace im metadata-Feld.

Das protoPayload.metadata-Feld enthält die geprüften Google Workspace-Informationen. Das folgende Beispiel zeigt ein Audit-Log zu Anmeldeaktivitäten:

{
  "protoPayload": {
    "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
    "authenticationInfo": {
      "principalEmail": "test-user@example.net"
    },
    "requestMetadata": {
      "callerIp": "2001:db8:ffff:ffff:ffff:ffff:ffff:ffff",
      "requestAttributes": {},
      "destinationAttributes": {}
    },
    "serviceName": "login.googleapis.com",
    "methodName": "google.login.LoginService.loginFailure",
    "resourceName": "organizations/123",
    "metadata": {
      "event": [
        {
          "eventName": "login_failure",
          "eventType": "login",
          "parameter": [
            {
              "value": "google_password",
              "type": "TYPE_STRING",
              "name": "login_type",
            },
            {
              "name": "login_challenge_method",
              "type": "TYPE_STRING",
              "label": "LABEL_REPEATED",
              "multiStrValue": [
                "password",
                "idv_preregistered_phone",
                "idv_preregistered_phone"
              ]
            },
          ]
        }
      ],
      "activityId": {
        "uniqQualifier": "358068855354",
        "timeUsec": "1632500217183212"
      },
      "@type": "type.googleapis.com/ccc_hosted_reporting.ActivityProto"
    }
  },
  "insertId": "-nahbepd4l1x",
  "resource": {
    "type": "audited_resource",
    "labels": {
      "method": "google.login.LoginService.loginFailure",
      "service": "login.googleapis.com"
    }
  },
  "timestamp": "2021-09-24T16:16:57.183212Z",
  "severity": "NOTICE",
  "logName": "organizations/123/logs/cloudaudit.googleapis.com%2Fdata_access",
  "receiveTimestamp": "2021-09-24T17:51:25.034361197Z"
}

Informationen zu dienstspezifischen Audit-Logging-Feldern und deren Interpretation finden Sie unter den unter Verfügbare Audit-Logs aufgeführten Diensten.

Logs ansehen

Informationen zum Aufrufen Ihrer Audit-Logs von Google Workspace finden Sie unter Audit-Logs von Google Workspace ansehen und verwalten.

Audit-Logs weiterleiten

Sie können Audit-Logs von Google Workspace von Cloud Logging an unterstützte Ziele weiterleiten, einschließlich anderer Logging-Buckets.

Im Folgenden finden Sie einige Anwendungen für das Routing von Audit-Logs:

  • Wenn Sie leistungsfähigere Suchfunktionen nutzen möchten, können Sie Kopien Ihrer Audit-Logs in Cloud Storage, BigQuery oder Pub/Sub weiterleiten. Bei Verwendung von Pub/Sub haben Sie die Möglichkeit, die Logs in andere Anwendungen, andere Repositories und Drittanbietersysteme weiterzuleiten.

  • Zum organisationsübergreifenden Verwalten Ihrer Audit-Logs erstellen Sie zusammengefasste Senken, die Logs aus allen Google Cloud-Projekten, Rechnungskonten und Ordnern in Ihrer Organisation kombinieren und weiterleiten. Sie haben damit beispielsweise die Möglichkeit, Audit-Logeinträge aus den Ordnern einer Organisation zusammenzufassen und an einen Cloud Storage-Bucket zu leiten.

Eine Anleitung zum Weiterleiten von Logs finden Sie unter Logs an unterstützte Ziele weiterleiten.

Regionalisierung

Sie können keine Region auswählen, in der Ihre Google Workspace-Logs gespeichert werden. Google Workspace-Logs sind nicht durch die Google Workspace-Richtlinie für Speicherorte abgedeckt.

Aufbewahrungsdauer

Für Ihre Audit-Logdaten gelten die folgenden Aufbewahrungszeiträume:

Cloud Logging speichert für jede Organisation automatisch Logs in zwei Buckets: in einem _Default- und einem _Required-Bucket. Der _Required-Bucket enthält Audit-Logs zur Administratoraktivität, Audit-Logs zu Systemereignissen und Logs zu Access Transparency. Der _Default-Bucket enthält alle anderen Logeinträge, die nicht im _Required-Bucket gespeichert werden. Weitere Informationen zu Log-Buckets finden Sie unter Routing und Speicher.

Sie können in Cloud Logging festlegen, dass die Logs im _Default-Log-Bucket für einen Zeitraum von 1 Tag bis zu 3.650 Tagen aufbewahrt werden.

Informationen zum Ändern der Aufbewahrungsdauer für den _Default-Log-Bucket finden Sie unter Benutzerdefinierte Aufbewahrung.

Sie können die Aufbewahrungsdauer für den _Required-Bucket nicht ändern.

Kontingente und Limits

Für Audit-Logs von Google Workspace- und Cloud-Audit-Logs gelten die gleichen Kontingente.

Weitere Informationen zu diesen Nutzungslimits, einschließlich der maximalen Größe von Audit-Logs, finden Sie unter Kontingente und Limits.

Preise

Die Logs auf Organisationsebene von Google Workspace sind kostenlos.

Nächste Schritte