Benutzerprotokollereignisse
Sie können die Audit- und Untersuchungsseite verwenden, um Suchvorgänge im Zusammenhang mit Benutzerprotokollereignissen durchzuführen. Dort können Sie kritische Aktionen überprüfen, die Benutzer auf ihren eigenen Konten durchgeführt haben. Zu diesen Aktionen gehören Änderungen an Passwörtern, Details zur Kontowiederherstellung (Telefonnummern, E-Mail-Adressen) und die Anmeldung zur Bestätigung in zwei Schritten. Eine Anmeldung über einen E-Mail-Client oder eine Nicht-Browser-Anwendung wird in diesem Bericht nicht protokolliert, es sei denn, es handelt sich um eine programmgesteuerte Anmeldung aus einer Sitzung, die als verdächtig eingestuft wurde.
Notiz:
- Bei einem kürzlichen Start wurden das alte Login-Überwachungsprotokoll und das Benutzerkonten-Überwachungsprotokoll in der Datenquelle „Benutzerprotokollereignisse" zusammengefasst . Weitere Einzelheiten finden Sie unter „Was ist neu: Verbesserte Prüfungs- und Untersuchungserfahrung" .
- Wenn für die letzten 6 Monate keine Daten zu Benutzerprotokollereignissen vorhanden sind, werden Benutzerprotokollereignisse möglicherweise nicht im linken Navigationsmenü angezeigt.
Eine vollständige Liste der Dienste und Aktivitäten, die Sie untersuchen können, wie z. B. Google Drive oder Benutzeraktivitäten, finden Sie in den Datenquellen für die Prüfungs- und Untersuchungsseite .
Log-Ereignisdaten an Google Cloud weiterleiten
Sie können sich dafür entscheiden, die Protokollereignisdaten mit Google Cloud zu teilen . Wenn Sie die Freigabe aktivieren, werden die Daten an Cloud Logging weitergeleitet, wo Sie Ihre Protokolle abfragen und anzeigen sowie steuern können, wie Sie Ihre Protokolle weiterleiten und speichern.
Öffnen Sie die Prüfungs- und Untersuchungsseite
Greifen Sie auf die Ereignisdaten des Benutzerprotokolls zu
- Melden Sie sich bei Ihrer Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an (endet nicht auf @gmail.com).
- Klicken Sie links auf „Berichterstellung" .
Prüfung und Untersuchung
Filtern Sie die Daten
- Öffnen Sie die Protokollereignisse wie oben unter Zugreifen auf Benutzerprotokoll-Ereignisdaten beschrieben.
- Klicken Sie auf Filter hinzufügen und wählen Sie dann ein Attribut aus.
- Wählen Sie im Popup-Fenster einen Operator aus
- (Optional) So erstellen Sie mehrere Filter für Ihre Suche:
- Klicken Sie auf Filter hinzufügen und wiederholen Sie Schritt 3.
- (Optional) Um einen Suchoperator hinzuzufügen, wählen Sie über „Filter hinzufügen" die Option „AND " oder „ OR" aus.
- Klicken Sie auf Suchen .
Hinweis: Mithilfe der Registerkarte „Filter" können Sie einfache Parameter- und Wertepaare einbeziehen, um die Suchergebnisse zu filtern. Sie können auch die Registerkarte „Bedingungsgenerator" verwenden, wo die Filter als Bedingungen mit UND/ODER-Operatoren dargestellt werden.
Attributbeschreibungen
Für diese Datenquelle können Sie beim Durchsuchen von Protokollereignisdaten die folgenden Attribute verwenden:
| Attribut | Beschreibung |
|---|---|
| Name der Schauspielergruppe | Gruppenname des Akteurs |
| Organisationseinheit Schauspieler | Organisationseinheit des Akteurs |
| Betroffener Benutzer | E-Mail-Adresse des betroffenen Benutzers |
| Herausforderungstyp | Die Art der Abfrage, die zur Verifizierung des Benutzers verwendet wird, z. B. Passwort oder Sicherheitsschlüssel |
| Datum | Datum und Uhrzeit des Ereignisses (wird in der Standardzeitzone Ihres Browsers angezeigt) |
| Domain | Die Domäne, in der die Aktion ausgeführt wurde |
| E-Mail-Weiterleitungsadresse | E-Mail-Adresse, an die die Gmail-Nachrichten weitergeleitet werden sollen |
Fall | Die protokollierte Ereignisaktion, z. B. Registrierung mit zweistufiger Verifizierung oder verdächtige Anmeldung Hinweis : Für das Abmeldeereignis wird der Anmeldetyp für Abmeldeereignisse als Google-Passwort angezeigt, auch wenn sich der Benutzer mit anderen Anmeldetypen als Google- Passwort angemeldet hat (z. B. Exchange , Reauth , SAML oder Unbekannt ). |
| IP Adresse | IP-Adresse, mit der sich der Benutzer angemeldet hat. Normalerweise ist die Adresse der physische Standort des Benutzers, es kann sich jedoch auch um einen Proxyserver oder eine VPN-Adresse (Virtual Private Network) handeln. |
| Ist zweiter Faktor | True , wenn sich der Benutzer mit 2-Faktor-Authentifizierung angemeldet hat Falsch , wenn sich der Benutzer nicht mit der 2-Faktor-Authentifizierung angemeldet hat |
| Ist verdächtig | True , wenn der Anmeldeversuch verdächtig war, andernfalls false . Gilt nur für das login_success-Ereignis |
| Anmeldezeit | Datum und Uhrzeit der Anmeldung des Benutzers |
| Anmeldetyp | Vom Benutzer verwendete Authentifizierungsmethode:
|
| Benutzer | E-Mail-Adresse des Benutzers, der die Aktion ausgeführt hat |
Protokollereignisdaten verwalten
Verwalten Sie die Daten der Suchergebnisspalte
Sie können steuern, welche Datenspalten in Ihren Suchergebnissen angezeigt werden.
- Klicken Sie oben rechts in der Suchergebnistabelle auf Spalten verwalten
.
- (Optional) Um aktuelle Spalten zu entfernen, klicken Sie auf Entfernen
.
- (Optional) Um Spalten hinzuzufügen, klicken Sie neben „Neue Spalte hinzufügen " auf den Abwärtspfeil
und wählen Sie die Datenspalte aus.
Bei Bedarf wiederholen. - (Optional) Um die Reihenfolge der Spalten zu ändern, ziehen Sie die Namen der Datenspalten.
- Klicken Sie auf Speichern .
Suchergebnisdaten exportieren
- Klicken Sie oben in der Suchergebnistabelle auf Alle exportieren .
- Geben Sie einen Namen ein
Der Export wird unterhalb der Suchergebnistabelle unter Aktionsergebnisse exportieren angezeigt. - Um die Daten anzuzeigen, klicken Sie auf den Namen Ihres Exports.
Der Export wird in Google Sheets geöffnet.
Erstellen Sie Berichtsregeln
Gehen Sie zu Berichtsregeln erstellen und verwalten .
Wann und wie lange sind Daten verfügbar?
Gehen Sie zu Datenaufbewahrung und Verzögerungszeiten .
No comments:
Post a Comment