Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Fehlerbehebung und häufige Fragen

Falls beim Konfigurieren von Audit-Logs für Google Workspace mit Google Cloud Probleme auftreten, beachten Sie die folgenden Tipps zur Fehlerbehebung.

Ich sehe keine Audit-Logs von Google Workspace in Cloud Logging

Wenn ich den Logs-Explorer aufrufe, sehe ich keine Audit-Logs.

Sie wird so durchgeführt:

  • Prüfen Sie, ob die Freigabe und Berechtigungen richtig konfiguriert sind und Sie den Log-Explorer verwenden.

  • Prüfen Sie, ob die Google Cloud-Freigabe aktiviert ist.

  • Prüfen Sie, ob der Nutzer die Berechtigung zum Aufrufen der Logs in Google Cloud hat. Legen Sie auf der Organisationsebene die IAM-Rolle Logging/Betrachter privater Logs fest.

  • Prüfen Sie, ob Sie auch wirklich nach Logs auf Organisationsebene und nicht auf Projektebene suchen. Hierfür müssen Log-Explorer, das gcloud-Tool oder die Cloud Logging API verwendet werden. Weitere Informationen finden Sie auf der Seite Audit-Logging in Google Workspace.

Ich habe die Freigabe und die Berechtigungen geprüft und sie sind korrekt. Ich kann aber trotzdem keine Audit-Logs von Google Workspace im Log-Explorer sehen.

Sie wird so durchgeführt:

  • Prüfen Sie, ob diese Logeinträge in der Admin-Konsole von Google Workspace vorhanden sind.

  • Prüfen Sie, ob Sie den Log-Explorer anstelle der alten Loganzeige verwenden.

  • Suchen Sie die Logs auf Organisationsebene und nicht auf Projektebene.

  • Wählen Sie im Log-Explorer im Drop-down-Menü Ressource die Option Geprüfte Ressource aus. Das Feld resource.type für Audit-Logs von Google Workspace ist gleich audited_resource.

    "Geprüfte Ressource" ist ausgewählt

  • Erweitern Sie den Zeitraum der Abfrage.

Wenn das Problem durch diese Schritte nicht behoben wird, stellen Sie eine Supportanfrage an den Google Cloud-Support.

Ich kann Audit-Logs von Google Workspace im Log-Explorer sehen, sie werden aber von den Befehlen des gcloud-Tools nicht zurückgegeben

Sie wird so durchgeführt:

  • Prüfen Sie, ob der richtige logName verwendet wird. Geben Sie dabei in jedem Lognamen eine gültige ORGANIZATION_ID an. Dies sind die Audit-Lognamen für Audit-Logs von Google Workspace:
    organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Factivity
    organizations/ORGANIZATION_ID/logs/cloudaudit.googleapis.com%2Fdata_access
  • Prüfen Sie, ob ORGANIZATION_ID oder logName Fehler enthalten.

Wenn das Problem durch diese Schritte nicht behoben wird, stellen Sie eine Supportanfrage an den Google Cloud-Support.

Ich kann Audit-Logs von Google Workspace sehen, aber die Daten werden verzögert angezeigt, fehlen oder sind falsch.

Im Folgenden sind mögliche Gründe für verzögerte, fehlende oder falsche Logdaten aufgeführt:

  • Verzögerte Logeinträge. Google Cloud analysiert und indexiert die Anmeldelogs, bevor sie ausgegeben werden. Dies kann zwischen 24 und 48 Stunden in Anspruch nehmen, dauert in der Regel aber weniger als 4 Stunden. Auf dieser Supportseite finden Sie Informationen zur Dauer der Verzögerung. Die Latenz ermöglicht es Google Cloud, die Logs für einige Ereignistypen zu analysieren, z. B. Logs zu verdächtigen Anmeldungen und zu Warnungen vor Angriffen.

  • Fehlender Logeintrag. Ein Ereignis fehlt in der Admin-Konsole von Google Workspace und im Log-Explorer. Stellen Sie in diesem Fall eine Supportanfrage an den Google Workspace-Support.

    In der Google Workspace-Admin-Konsole ist ein Ereignis vorhanden, das im Log-Explorer jedoch nicht vorhanden ist. Stellen Sie in diesem Fall eine Supportanfrage an den Google Cloud-Support.

  • Ein Nutzer hat das Passwort für sein Google-Konto über die Google Konten-Benutzeroberfläche geändert. Google Cloud zeigt dieses Ereignis jedoch nicht an. Da die Änderung in der Benutzeroberfläche von Google-Konten vorgenommen wurde, wird diese Aktion im Audit-Aktivitätstyp Nutzerkonten von Google Workspace-Logs erfasst, was nicht in Google Cloud importiert wird.

Der Logeintrag ist vorhanden, aber ein Feld fehlt oder ist falsch

Bei Problemen mit fehlenden oder falschen Feldern stellen Sie eine Supportanfrage.

Beispiele für fehlende Felder:

Ich kann keine logbasierten Messwerte für Google Workspace-Logs erstellen

Google Workspace-Logs sind Logs auf Organisationsebene. Logbasierte Messwerte für Organisationslogs werden derzeit aber nicht unterstützt.

Ich kann keine Senke für Google Workspace-Logs erstellen

Organisationssenken können entweder mit der Cloud Logging API oder mit dem gcloud-Befehlszeilentool erstellt werden, aber nicht mit dem Log-Explorer.

Häufige Fragen

Funktioniert dieses Feature auch für Cloud Identity-Kunden?

Ja, dieses Feature ist für Kunden von Cloud Identity, der Cloud Identity Premiumversion und allen Google Workspace-Kunden verfügbar. Es ist nicht auf Google Workspace Enterprise-SKUs beschränkt.

Wenn Sie die Freigabe von Audit-Logs von Ihrem Google Workspace-, Cloud Identity- oder Drive Enterprise-Konto für Google Cloud aktivieren möchten, rufen Sie die Admin-Konsole von Google Workspace auf und folgen Sie der Anleitung im Hilfeartikel für Google Workspace-Administratoren Daten für Google Cloud-Dienste freigeben.

Kann ich eine Region auswählen, in der meine Google Workspace-Logs gespeichert werden?

Nein, die Google Workspace-Logs sind derzeit nicht durch die Google Workspace-Richtlinie für Speicherorte abgedeckt.

Welchen resource.type verwende ich?

Audit-Logs von Google Workspace haben resource.type=audited_resource.

Werden Logs für Administratoraktivitäten oder Datenzugriff von Google Workspace protokolliert?

Administratoraktivität und Datenzugriff sind Begriffe zu Cloud-Audit-Logs und werden auf der Seite Cloud-Audit-Logs erläutert. Die neuesten Informationen zu Audit-Logs von Google Workspace finden Sie auf der Logging-Seite von Google Workspace.

  • Google Workspace Enterprise Groups Audits schreiben nur Audit-Logs zur Administratoraktivität.

  • Google Workspace Admin Audits schreiben nur Audit-Logs zur Administratoraktivität.

  • Google Workspace Login Audits schreibt nur Audit-Logs zum Datenzugriff.

Werden diese Logs von Administratoraktionen in Google Workspace oder für alle Nutzer in der Google Workspace-Organisation generiert?

Die Audit-Logs für Administratoren entsprechen den Ereignissen in der Admin-Konsole von Google Workspace. Sie geben die Aktionen von Administratoren wieder, die die einzigen Nutzer mit Zugriff auf die Konsole sind.

Die Audit-Logs für Enterprise-Gruppen können von Administratoren oder Gruppeninhabern ausgeführt werden. Gruppenaktionen lassen sich in der Admin-Konsole von Google Workspace, der Google Cloud Console, der Admin SDK API, der Cloud Identity API und der Google Groups-Benutzeroberfläche ausführen. Beispielsweise können Sie in den Logs feststellen, dass ein Administrator einen Nutzer hinzugefügt hat oder wann ein Gruppenmitglied die Gruppe gelöscht hat.

Die Audit-Logs zu Anmeldeaktivitäten geben alle Anmeldeereignisse in Ihrer Domain wieder.

Was bedeuten die verschiedenen Google Workspace-Logs?

Audit-Log für Google Workspace-Administratoren. In den Audit-Logs für Administratoren finden Sie eine Liste der Aktionen, die in der Admin-Konsole von Google Workspace ausgeführt werden. Sie können beispielsweise sehen, wenn ein Administrator einen Nutzer hinzugefügt oder einen Google Workspace-Dienst aktiviert hat. In Google Cloud entspricht das Feld serviceName dem Feld admin.googleapis.com.

Weitere Informationen zu Audit-Logs für Google Workspace-Administratoren finden Sie auf der Seite mit den Ereignisnamen für Administratoraktivitäten.

Google Workspace Login Audit. Mit Audit-Logs für die Anmeldung können Sie Anmeldungen oder fehlgeschlagene Anmeldungen in Ihrer Domain erfassen. Diese Anmeldedaten können aus der Admin-Konsole von Google Workspace, der Cloud Console, der Cloud Identity API, dem gcloud-Befehlszeilentool oder der Benutzeroberfläche von Google-Konten stammen. In den Anmeldelogs wird nur das Anmeldeereignis aufgezeichnet und nicht das System erfasst, das für die Anmeldung verwendet wurde. In Google Cloud entspricht das Feld serviceName dem Feld login.googleapis.com.

Weitere Informationen zu Google Workspace Login-Audit-Logs finden Sie auf der Seite Audit-Aktivitätsereignisse zu Anmeldeaktivitäten.

Google Workspace Enterprise Groups Audit. In Audit-Logs zu G Suite Enterprise-Gruppen finden Sie eine Liste der Aktionen, die für Gruppen und Gruppenmitgliedschaften ausgeführt wurden. Diese Aktionen können aus der Admin-Konsole von Google Workspace, der Cloud Console, der Admin SDK API, der Cloud Identity API und der Google Groups-Benutzeroberfläche stammen. Beispielsweise wird darin angezeigt, wann ein Administrator einen Nutzer hinzugefügt oder ein Gruppeninhaber seine Gruppe gelöscht hat. In Google Cloud entspricht das Feld serviceName dem Feld cloudidentity.googleapis.com.

Weitere Informationen zu Audit-Logs für Google Workspace Enterprise Groups finden Sie auf der Seite Audit-Aktivitätsereignisse für Enterprise-Gruppen.

Welche Arten von Ereignissen werden in den Audit-Logs von Google Workspace aufgezeichnet?

Informationen dazu finden Sie in der Liste der geprüften Vorgänge. Ausführliche Informationen erhalten Sie in der Google Workspace-API-Dokumentation zu Audit-Logs für Administratoren, Audit-Logs zur Anmeldung und Audit-Logs für Enterprise-Gruppen.

Werden andere Audit-Logarten von Google Workspace in Google Cloud importiert?

Derzeit nicht.

Wie lange werden Google Workspace-Logs in Google Workspace und in Google Cloud standardmäßig aufbewahrt?

Support kontaktieren

Falls die Schritte zur Fehlerbehebung Ihr Problem nicht gelöst haben, können Sie dazu das entsprechende Supportteam kontaktieren.

Google Workspace-Support kontaktieren

Bei Fragen zu Logs in der Admin-Konsole von Google Workspace wenden Sie sich bitte an den Google Workspace-Support.

Google Cloud-Support kontaktieren

Bei Fragen zu Logging, z. B. zum Anzeigen, Exportieren oder Erstellen von Senken und Messwerten, wenden Sie sich an den Google Cloud-Support: