Fehlerbehebung und häufige Fragen

Wenn bei der Konfiguration von G Suite-Audit-Logs mit Google Cloud Probleme auftreten, finden Sie dazu im Folgenden Tipps zur Fehlerbehebung.

Ich sehe in Cloud Logging keine Audit-Logs der G Suite

In der Loganzeige (Vorschau) werden keine Audit-Logs angezeigt.

Mit den folgenden Schritten lässt sich dieser Fehler eventuell beheben:

  • Prüfen Sie, ob Freigabe und Berechtigungen richtig konfiguriert sind und ob Sie die Loganzeige (Vorschau) verwenden.

  • Prüfen Sie, ob die Google Cloud-Freigabe aktiviert ist.

  • Prüfen Sie, ob der Nutzer die Berechtigung zum Aufrufen der Logs in Google Cloud hat. Legen Sie auf der Organisationsebene die IAM-Rolle Logging/Betrachter privater Logs fest.

  • Prüfen Sie, ob Sie auch wirklich nach Logs auf Organisationsebene und nicht auf Projektebene suchen. Hierfür müssen Sie die Loganzeige (Vorschau), das gcloud-Tool oder die Cloud Logging API verwenden. Weitere Informationen finden Sie auf der Seite über die Anzeige von G Suite-Audit-Logs.

Ich habe die Freigabe und die Berechtigungen geprüft und sie sind korrekt. Ich kann aber trotzdem keine G Suite-Audit-Logs in der Loganzeige sehen.

Mit den folgenden Schritten lässt sich dieser Fehler eventuell beheben:

  • Prüfen Sie, ob diese Logeinträge in der Admin-Konsole der G Suite vorhanden sind.

  • Prüfen Sie, ob Sie die Loganzeige (Vorschau) anstelle der Loganzeige (Klassisch) verwenden.

  • Suchen Sie die Logs auf Organisationsebene und nicht auf Projektebene.

  • Wählen Sie in der Loganzeige (Vorschau) im Drop-down-Menü Ressource die Option Geprüfte Ressource aus. Das Feld resource.type der G Suite-Audit-Logs entspricht audited_resource.

  • Erweitern Sie den Zeitraum der Abfrage.

Wenn das Problem durch diese Schritte nicht behoben wird, stellen Sie eine Supportanfrage an den Google Cloud-Support.

Ich kann G Suite-Audit-Logs in der Loganzeige (Vorschau) sehen, sie werden aber von den Befehlen des gcloud-Tools nicht zurückgegeben

Mit den folgenden Schritten lässt sich dieser Fehler eventuell beheben:

  • Prüfen Sie, ob der richtige logName verwendet wird. Geben Sie dabei in jedem Lognamen eine gültige ORGANIZATION-ID an. Die Audit-Logs für G Suite-Audit-Logs haben folgende Namen:
    organizations/ORGANIZATION-ID/logs/cloudaudit.googleapis.com%2Factivity
    organizations/ORGANIZATION-ID/logs/cloudaudit.googleapis.com%2Fdata_access
  • Prüfen Sie, ob ORGANIZATION-ID oder logName Fehler enthalten.

Wenn das Problem durch diese Schritte nicht behoben wird, stellen Sie eine Supportanfrage an den Google Cloud-Support.

Ich kann G Suite-Audit-Logs aufrufen, aber die Daten werden verzögert angezeigt, fehlen oder sind falsch

Im Folgenden sind mögliche Gründe für verzögerte, fehlende oder falsche Logdaten aufgeführt:

  • Verzögerte Logeinträge. Google Cloud analysiert und indexiert die Anmeldelogs, bevor sie ausgegeben werden. Dies kann zwischen 24 und 48 Stunden in Anspruch nehmen, dauert in der Regel aber weniger als 4 Stunden. Auf dieser Supportseite finden Sie Informationen zur Dauer der Verzögerung. Die Latenz ermöglicht es Google Cloud, die Logs für einige Ereignistypen zu analysieren, z. B. Logs zu verdächtigen Anmeldungen und zu Warnungen vor Angriffen.

  • Fehlender Logeintrag. Ein Ereignis ist weder in der G Suite-Admin-Konsole und noch in der Loganzeige (Vorschau) vorhanden. Stellen Sie in diesem Fall eine Supportanfrage an den G Suite-Support.

    Ein Ereignis ist in der G Suite-Admin-Konsole vorhanden, fehlt aber in der Loganzeige (Vorschau). Stellen Sie in diesem Fall eine Supportanfrage an den Google Cloud-Support.

  • Ein Nutzer hat das Passwort für sein Google-Konto über die Google Konten-Benutzeroberfläche geändert. Google Cloud zeigt dieses Ereignis jedoch nicht an. Da die Änderung in der Benutzeroberfläche von Google Konten vorgenommen wurde, wird diese Aktion im Audit-Aktivitätstyp Nutzerkonten der G Suite-Logs erfasst, der nicht in Google Cloud importiert wird.

Der Logeintrag ist vorhanden, aber ein Feld fehlt oder ist falsch

Bei Problemen mit fehlenden oder falschen Feldern stellen Sie eine Supportanfrage.

Beispiele für fehlende Felder:

Ich kann keine logbasierten Messwerte für G Suite-Logs erstellen

G Suite-Logs sind Logs auf Organisationsebene. Logbasierte Messwerte für Organisationslogs werden derzeit aber nicht unterstützt.

Ich kann keine Senke für G Suite-Logs erstellen

Organisationssenken können entweder mit der Cloud Logging API oder mit dem gcloud-Befehlszeilentool erstellt werden, aber nicht mit der Loganzeige (Vorschau).

Häufige Fragen

Funktioniert dieses Feature auch für Cloud Identity-Kunden?

Ja, dieses Feature ist für Cloud Identity, Cloud Identity Premium und alle G Suite-Kunden verfügbar. Es ist nicht auf G Suite Enterprise-SKUs beschränkt.

Um die Freigabe von Audit-Logs für Google Cloud von Ihrem G Suite-, Cloud Identity- oder Drive Enterprise-Konto zu aktivieren, rufen Sie die G Suite-Admin-Konsole auf und folgen Sie der Anleitung im Hilfeartikel Daten für Google Cloud-Dienste freigeben.

Kann ich eine Region auswählen, in der meine G Suite-Logs gespeichert sind?

Nein, derzeit sind die G Suite-Logs nicht durch die Richtlinie für Datenregionen der G Suite abgedeckt.

Welchen resource.type verwende ich?

Für G Suite-Audit-Logs gilt resource.type=audited_resource.

Erfassen G Suite-Logs die Administratoraktivität oder den Datenzugriff?

Administratoraktivität und Datenzugriff sind Begriffe zu Cloud-Audit-Logs und werden auf der Seite Cloud-Audit-Logs erläutert. Die neuesten Informationen zu den Audit-Logs der G Suite finden Sie auf der Seite Informationen zum Audit-Logging von G Suite.

  • G Suite Enterprise Groups Audits schreiben nur Audit-Logs zur Administratoraktivität.

  • G Suite Admin Audits schreiben nur Audit-Logs zur Administratoraktivität.

  • G Suite Login Audit schreibt nur Audit-Logs zum Datenzugriff.

Werden diese Logs aus Administratoraktionen in der G Suite oder für alle Nutzer in der G Suite-Organisation generiert?

Die Audit-Logs für Administratoren entsprechen den Ereignissen in der Admin-Konsole der G Suite. Sie geben die Aktionen von Administratoren wieder, die die einzigen Nutzer mit Zugriff auf die Konsole sind.

Die Audit-Logs für Enterprise-Gruppen können von Administratoren oder Gruppeninhabern ausgeführt werden. Gruppenaktionen lassen sich in der G Suite Admin-Konsole, der Google Cloud Console, der Admin SDK API, der Cloud Identity API und der Google Groups-Benutzeroberfläche ausführen. Beispielsweise können Sie in den Logs feststellen, dass ein Administrator einen Nutzer hinzugefügt hat oder wann ein Gruppenmitglied die Gruppe gelöscht hat.

Die Audit-Logs zu Anmeldeaktivitäten geben alle Anmeldeereignisse in Ihrer Domain wieder.

Was bedeuten die verschiedenen G Suite-Logs?

Audit-Logs für G Suite-Administratoren. In den Audit-Logs für Administratoren werden die Aktionen erfasst, die in der G Suite-Admin-Konsole ausgeführt wurden. Diese Logs zeigen beispielsweise, wann ein Administrator einen Nutzer hinzugefügt oder einen G Suite-Dienst aktiviert hat. In Google Cloud entspricht das Feld serviceName dem Feld admin.googleapis.com.

Weitere Informationen zu Audit-Logs für G Suite-Administratoren finden Sie auf der Seite Ereignisnamen von Administratoraktivitäten.

Audit-Logs zur G Suite-Anmeldung. Mit Audit-Logs für die Anmeldung können Sie Anmeldungen oder fehlgeschlagene Anmeldungen in Ihrer Domain erfassen. Diese Anmeldedaten können von der G Suite-Admin-Konsole, der Cloud Console, der Cloud Identity API, dem gcloud-Befehlszeilentool oder der Google Konten-Benutzeroberfläche stammen. In den Anmeldelogs wird nur das Anmeldeereignis aufgezeichnet und nicht das System erfasst, das für die Anmeldung verwendet wurde. In Google Cloud entspricht das Feld serviceName dem Feld login.googleapis.com.

Weitere Informationen zu Audit-Logs für die G Suite-Anmeldung finden Sie auf der Seite Audit-Logs für Ereignisse von Anmeldeaktivitäten.

Audit-Logs zu G Suite Enterprise-Gruppen. In Audit-Logs zu G Suite Enterprise-Gruppen finden Sie eine Liste der Aktionen, die für Gruppen und Gruppenmitgliedschaften ausgeführt wurden. Diese Aktionen können aus der G Suite Admin-Konsole, der Cloud Console, der Admin SDK API, der Cloud Identity API und der Google Groups-Benutzeroberfläche stammen. Beispielsweise wird darin angezeigt, wann ein Administrator einen Nutzer hinzugefügt oder ein Gruppeninhaber seine Gruppe gelöscht hat. In Google Cloud entspricht das Feld serviceName dem Feld cloudidentity.googleapis.com.

Weitere Informationen zu Audit-Logs für G Suite Enterprise-Gruppen finden Sie auf der Seite Audit-Logs für Ereignisse von Aktivitäten von Enterprise-Gruppen.

Welche Arten von Ereignissen werden in den Audit-Logs der G Suite erfasst?

Informationen dazu finden Sie in der Liste der geprüften Vorgänge. Ausführliche Informationen erhalten Sie in der G Suite API-Dokumentation zu Audit-Logs für Administratoren, Audit-Logs zur Anmeldung und Audit-Logs für Enterprise-Gruppen.

Können andere Arten von Audit-Logs der G Suite in Google Cloud importiert werden?

Derzeit nicht.

Wie lange werden G Suite-Logs in der G Suite und in Google Cloud standardmäßig gespeichert?

Support kontaktieren

Falls die Schritte zur Fehlerbehebung Ihr Problem nicht gelöst haben, können Sie dazu das entsprechende Supportteam kontaktieren.

G Suite-Support kontaktieren

Wenn Sie Fragen zu Logs in der G Suite-Admin-Konsole haben, wenden Sie sich an den G Suite-Support.

Google Cloud-Support kontaktieren

Bei Fragen zu Logging, z. B. zum Anzeigen, Exportieren oder Erstellen von Senken und Messwerten, wenden Sie sich an den Google Cloud-Support: