Gebruikerslogboekgebeurtenissen

Bekijk de aanmeldingsactiviteit van de gebruiker

Afhankelijk van uw Google Workspace-editie hebt u mogelijk toegang tot de tool voor beveiligingsonderzoek, die geavanceerdere functies biedt. Superbeheerders kunnen bijvoorbeeld beveiligings- en privacyproblemen identificeren, prioriteren en oplossen. Lees meer

Als beheerder van uw organisatie kunt u zoekopdrachten uitvoeren en acties ondernemen op gebeurtenissen in gebruikerslogboeken. U kunt bijvoorbeeld kritieke acties controleren die gebruikers op hun eigen accounts hebben uitgevoerd. Deze acties omvatten wijzigingen in wachtwoorden, accountherstelgegevens (telefoonnummers, e-mailadressen) en de registratie voor tweestapsverificatie. Een aanmelding via een e-mailclient of een andere applicatie dan een browser wordt niet in dit rapport geregistreerd, tenzij het een programmatische aanmelding betreft vanuit een sessie die als verdacht werd beschouwd.

Logboekgegevens worden per sessie verzameld. Dit betekent dat meerdere pogingen om dezelfde actie binnen korte tijd uit te voeren, gecombineerd kunnen worden en als één logboekvermelding verschijnen. Als een gebruiker bijvoorbeeld 5 keer een onjuist wachtwoord invoert en vervolgens het juiste wachtwoord, kunnen de logboeken slechts twee vermeldingen tonen: één voor alle mislukte pogingen en één voor de geslaagde poging.

Opmerking : Als er gedurende de afgelopen 6 maanden geen gegevens beschikbaar zijn voor gebruikerslogboekgebeurtenissen , worden deze mogelijk niet weergegeven in het navigatiemenu aan de linkerkant.

Logboekgebeurtenisgegevens doorsturen naar Google Cloud

U kunt ervoor kiezen om logboekgegevens te delen met Google Cloud. Als u delen inschakelt, worden de gegevens doorgestuurd naar Cloud Logging, waar u uw logboeken kunt opvragen en bekijken en kunt bepalen hoe uw logboeken worden gerouteerd en opgeslagen.

Het type logboekgebeurtenisgegevens dat u met Google Cloud kunt delen, is afhankelijk van uw Google Workspace-, Cloud Identity- of Essentials-account.

Of u een zoekopdracht kunt uitvoeren, hangt af van uw Google-editie, uw beheerdersrechten en de gegevensbron. U kunt een zoekopdracht uitvoeren voor alle gebruikers, ongeacht hun Google Workspace-editie.

Audit- en onderzoekstool

Om naar logboekgebeurtenissen te zoeken, kiest u eerst een gegevensbron. Selecteer vervolgens een of meer filters voor uw zoekopdracht.

  1. Ga in de Google Admin-console naar Menu. en dan Rapportage en dan Audit en onderzoek en dan Gebruikerslogboekgebeurtenissen .

    Hiervoor is de beheerdersbevoegdheid Audit & Onderzoek vereist.

  2. Om gebeurtenissen te filteren die vóór of na een specifieke datum hebben plaatsgevonden, selecteert u bij Datum de optie Vóór of Na . Standaard worden gebeurtenissen van de afgelopen 7 dagen weergegeven. U kunt een ander datumbereik selecteren of klikken op om het datumfilter te verwijderen.

  3. Klik op ' Een filter toevoegen'. en dan Selecteer een kenmerk. Om bijvoorbeeld te filteren op een specifiek gebeurtenistype, selecteer je Gebeurtenis .
  4. Selecteer een operator en dan selecteer een waarde en dan Klik op Toepassen .
    • (Optioneel) Om meerdere filters voor uw zoekopdracht te maken, herhaalt u deze stap.
    • (Optioneel) Om een ​​zoekoperator toe te voegen, selecteer je boven ' Een filter toevoegen ' de optie 'EN' of 'OF' .
  5. Klik op Zoeken . Opmerking : Via het tabblad Filter kunt u eenvoudige parameter-waardeparen gebruiken om de zoekresultaten te filteren. U kunt ook het tabblad Voorwaarden gebruiken, waar de filters worden weergegeven als voorwaarden met AND/OR-operatoren.

Beveiligingsonderzoekstool

Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Om een ​​zoekopdracht uit te voeren in de beveiligingsonderzoekstool, kiest u eerst een gegevensbron. Kies vervolgens een of meer voorwaarden voor uw zoekopdracht. Kies voor elke voorwaarde een kenmerk , een operator en een waarde .

  1. Ga in de Google Admin-console naar Menu. en dan Beveiliging en dan Beveiligingscentrum en dan Onderzoeksinstrument .

    Hiervoor is beheerdersrechten voor het beveiligingscentrum vereist.

  2. Klik op Gegevensbron en selecteer Gebruikerslogboekgebeurtenissen .

  3. Om gebeurtenissen te filteren die vóór of na een specifieke datum hebben plaatsgevonden, selecteert u bij Datum de optie Vóór of Na . Standaard worden gebeurtenissen van de afgelopen 7 dagen weergegeven. U kunt een ander datumbereik selecteren of klikken op om het datumfilter te verwijderen.

  4. Klik op Voorwaarde toevoegen .
    Tip : U kunt een of meer voorwaarden in uw zoekopdracht opnemen of uw zoekopdracht aanpassen met geneste query's . Zie ' Uw zoekopdracht aanpassen met geneste query's' voor meer informatie.
  5. Klikkenmerk en dan Selecteer een optie. Om bijvoorbeeld te filteren op een specifiek gebeurtenistype, selecteer je Gebeurtenis .
    Voor een volledige lijst met kenmerken, ga naar het gedeelte 'Beschrijvingen van kenmerken' .
  6. Selecteer een operator.
  7. Voer een waarde in of selecteer een waarde uit de lijst.
  8. (Optioneel) Om meer zoekcriteria toe te voegen, herhaalt u de stappen.
  9. Klik op Zoeken .
    Je kunt de zoekresultaten van de onderzoekstool in een tabel onderaan de pagina bekijken.
  10. (Optioneel) Om uw onderzoek op te slaan, klikt u op Opslaan. en dan Voer een titel en beschrijving in. en dan Klik op Opslaan .

Notities

  • In het tabblad 'Voorwaardenbouwer' worden filters weergegeven als voorwaarden met AND/OR-operatoren. U kunt ook het tabblad 'Filter' gebruiken om eenvoudige parameter-waardeparen op te nemen en zo de zoekresultaten te filteren.
  • Als u een gebruiker een nieuwe naam geeft, ziet u geen zoekresultaten meer met de oude naam van de gebruiker. Als u bijvoorbeeld OldName@example.com hernoemt naar NewName@example.com , ziet u geen resultaten meer voor gebeurtenissen die gerelateerd zijn aan OldName@example.com .
  • Je kunt alleen zoeken in berichten die nog niet uit de prullenbak zijn verwijderd.

Attribuutbeschrijvingen

Voor deze gegevensbron kunt u de volgende kenmerken gebruiken bij het zoeken naar logboekgebeurtenisgegevens.

Attribuut Beschrijving
Naam van de acteursgroep

De groepsnaam van de acteur. Ga voor meer informatie naar Resultaten filteren op Google Groep .

Om een ​​groep toe te voegen aan uw lijst met toegestane groepen voor filters:

  1. Selecteer de naam van de actorgroep .
  2. Klik op Groepen filteren .
    De pagina 'Groepen filteren' verschijnt.
  3. Klik op Groepen toevoegen .
  4. Zoek een groep door de eerste paar tekens van de naam of het e-mailadres in te voeren. Selecteer de gewenste groep zodra je deze hebt gevonden.
  5. (Optioneel) Om nog een groep toe te voegen, zoek en selecteer de groep.
  6. Klik op Toevoegen zodra je klaar bent met het selecteren van groepen.
  7. (Optioneel) Om een ​​groep te verwijderen, klikt u op Groep verwijderen. .
  8. Klik op Opslaan .
Organisatorische eenheid van de actor Organisatorische eenheid van de actor
Betrokken gebruiker E-mailadres van de betreffende gebruiker
Uitdagingstype*

Het type verificatiemethode dat wordt gebruikt om de gebruiker te verifiëren, zoals een wachtwoord of een beveiligingssleutel.

Let op : Nieuw toegevoegde uitdagingstypen zoals 'passkey' kunnen inconsistenties veroorzaken met het bestaande uitdagingstype ' other' voor auditlogboeken die vóór 30 september 2024 zijn aangemaakt.

Datum Datum en tijd van het evenement (weergegeven in de standaard tijdzone van uw browser)
Domein* Het domein waar de actie plaatsvond
E-mailadres voor doorsturen E-mailadres waarnaar de Gmail-berichten moeten worden doorgestuurd

Evenement

De geregistreerde gebeurtenisactie, zoals registratie voor tweestapsverificatie of verdachte aanmelding.

Opmerking : Bij de uitloggebeurtenis wordt, zelfs als de gebruiker is ingelogd met andere inlogmethoden dan Google-wachtwoord (zoals Exchange , Reauth , SAML of Onbekend ), het inlogtype voor uitloggebeurtenissen weergegeven als Google-wachtwoord .

Status van het evenement (beta)

Status van de gebeurtenis. Bijvoorbeeld: Geslaagd of Mislukt . Klik op de status voor meer informatie, zoals een foutcode.

IP-adres Het IP-adres waarmee de gebruiker zich heeft aangemeld. Meestal is dit het fysieke adres van de gebruiker, maar het kan ook een proxyserver of een VPN-adres zijn.

IP ASN

Je moet deze kolom toevoegen aan de zoekresultaten. Zie 'Kolomgegevens van zoekresultaten beheren' voor de stappen .

Het IP-autonoom systeemnummer (ASN), de onderverdeling en de regio die aan de logboekvermelding zijn gekoppeld.

Om het IP-adres, het ASN en de regiocode (subdivisie en regio) te bekijken waar de activiteit plaatsvond, klikt u op de naam in de zoekresultaten.

Is de tweede factor* Waar als de gebruiker is ingelogd met tweefactorauthenticatie.
Onwaar als de gebruiker niet is ingelogd met tweefactorauthenticatie.
Is verdacht* Retourneert 'true' als de aanmeldpoging verdacht en succesvol was, anders 'false' . Alleen van toepassing op de gebeurtenissen 'login_success', 'sensitive actions allowed' en 'sensitive action blocked'.
Inlogtijd Als een verdachte inlogpoging wordt geblokkeerd, toont dit veld de datum en tijd waarop de gebruiker probeerde in te loggen.
Inlogtype

De authenticatiemethode die de gebruiker heeft gebruikt:

  • Exchange — Wanneer een gebruiker wordt geverifieerd door middel van tokenuitwisseling, bijvoorbeeld via een OAuth-login. Het kan er ook op wijzen dat de gebruiker al was ingelogd bij een sessie toen hij/zij zich aanmeldde bij een andere sessie, en dat de twee sessies vervolgens zijn samengevoegd.
  • Google-wachtwoord — Er is een Google-wachtwoord gebruikt. Dit omvat ook aanmeldingen bij minder veilige apps (indien toegestaan).
  • OIDC —Authenticatie via single sign-on OpenID Connect (OIDC).
  • Opnieuw authenticeren — Gebruiker geverifieerd met een verzoek om opnieuw te authenticeren met het wachtwoord
  • SAML —Authenticatie via single sign-on Security Assertion Markup Language (SAML)**
  • Onbekend — Gebruiker heeft zich aangemeld met een onbekende methode
Gebruiker E-mailadres van de gebruiker die de actie heeft uitgevoerd
Gebruikersagent (beta) Informatie over het apparaat van de gebruiker, zoals webbrowser, besturingssysteem of andere apparaatdetails, bijvoorbeeld Mozilla/5.0 (Windows NT 6.3; Win64; x64). Dit kenmerk is specifiek voor de gebeurtenissen in het logboek van apparaatgebonden sessiegegevens (DBSC).

* Met deze filters kunt u geen rapportageregels maken. Lees meer over rapportageregels versus activiteitsregels .

**Opmerking voor SAML-gebruikers die het SSO-profiel voor uw organisatie gebruiken (legacy SAML): Als de SAML-aanmeldingspoging afkomstig is van een onbekend apparaat of IP-adres, of als er een hogere risicobeoordeling is, wordt een mislukte aanmelding met het type Google-wachtwoord in het logboek geregistreerd. Dit gebeurt zelfs als uw SAML-aanmelding succesvol is, omdat het systeem de eerste poging als verdacht markeert. Deze melding van een mislukte aanmelding wordt vervolgens gevolgd door een melding van een succesvolle SAML-aanmelding. In legacy SAML worden twee aanmeldingssessies gegenereerd voor één SAML-aanmelding. De eerste, vaak irrelevante sessie, wordt alleen gefilterd als deze als niet-verdacht wordt beschouwd.

Let op : als u een gebruiker een nieuwe naam geeft, ziet u geen zoekresultaten meer met de oude naam van de gebruiker. Als u bijvoorbeeld OldName@example.com hernoemt naar NewName@example.com , ziet u geen resultaten meer voor gebeurtenissen die gerelateerd zijn aan OldName@example.com .

Beheer logboekgebeurtenisgegevens

Gegevens van de kolom met zoekresultaten beheren

Je kunt zelf bepalen welke gegevenskolommen in je zoekresultaten worden weergegeven.

  1. Klik rechtsboven in de tabel met zoekresultaten op Kolommen beheren. .
  2. (Optioneel) Om de huidige kolommen te verwijderen, klikt u op Verwijderen. .
  3. (Optioneel) Om kolommen toe te voegen, klikt u naast 'Nieuwe kolom toevoegen ' op de pijl naar beneden. en selecteer de gegevenskolom.
    Herhaal indien nodig.
  4. (Optioneel) Om de volgorde van de kolommen te wijzigen, sleept u de namen van de gegevenskolommen.
  5. Klik op Opslaan .

Exporteer zoekresultatengegevens

Je kunt zoekresultaten exporteren naar Google Sheets of naar een CSV-bestand.

  1. Klik bovenaan in de tabel met zoekresultaten op Alles exporteren .
  2. Voer een naam in en dan Klik op Exporteren .
    De export wordt onder de zoekresultatentabel weergegeven, onder ' Exportactieresultaten' .
  3. Om de gegevens te bekijken, klikt u op de naam van uw export.
    Het exportbestand wordt geopend in Google Sheets.

Exportlimieten variëren:

  • De totale resultaten van de export zijn beperkt tot 100.000 rijen.
  • Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

    Als u de tool voor beveiligingsonderzoek hebt, zijn de totale resultaten van de export beperkt tot 30 miljoen rijen.

Ga voor meer informatie naar Zoekresultaten exporteren .

Wanneer en hoe lang zijn de gegevens beschikbaar?

Onderneem actie op basis van de zoekresultaten.

Maak activiteitsregels aan en stel waarschuwingen in.

  • U kunt waarschuwingen instellen op basis van logboekgebeurtenisgegevens met behulp van rapportageregels. Zie Rapportageregels maken en beheren voor instructies.
  • Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

    Om beveiligingsproblemen efficiënt te voorkomen, op te sporen en op te lossen, kunt u acties in de tool voor beveiligingsonderzoek automatiseren en waarschuwingen instellen door activiteitsregels te maken. Om een ​​regel in te stellen, definieert u de voorwaarden voor de regel en specificeert u vervolgens de acties die moeten worden uitgevoerd wanneer aan de voorwaarden is voldaan. Ga voor meer informatie naar Activiteitsregels maken en beheren .

Onderneem actie op basis van de zoekresultaten.

Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Nadat u een zoekopdracht hebt uitgevoerd in de tool voor beveiligingsonderzoek, kunt u actie ondernemen op basis van de zoekresultaten. U kunt bijvoorbeeld een zoekopdracht uitvoeren op basis van gebeurtenissen in het Gmail-logboek en vervolgens de tool gebruiken om specifieke berichten te verwijderen, berichten in quarantaine te plaatsen of berichten naar de inbox van gebruikers te sturen. Ga naar Actie ondernemen op basis van zoekresultaten voor meer informatie.

Beheer uw onderzoeken

Ondersteunde edities voor deze functie: Frontline Standard en Frontline Plus; Enterprise Standard en Enterprise Plus; Education Standard en Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Vergelijk uw editie

Bekijk uw lijst met onderzoeken

Om een ​​lijst te bekijken van de onderzoeken die u bezit en die met u zijn gedeeld, klikt u op 'Onderzoeken bekijken'. De lijst met onderzoeken bevat de namen, beschrijvingen en eigenaren van de onderzoeken, en de datum van de laatste wijziging.

Vanuit deze lijst kunt u acties uitvoeren op alle onderzoeken die u beheert, bijvoorbeeld een onderzoek verwijderen. Vink het vakje van een onderzoek aan en klik vervolgens op Acties .

Opmerking : U kunt uw opgeslagen onderzoeken bekijken onder Snelle toegang , direct boven uw lijst met onderzoeken.

Configureer de instellingen voor uw onderzoeken.

Als superbeheerder klikt u op Instellingen. naar:

  • Wijzig de tijdzone voor uw zoekopdrachten. De tijdzone is van invloed op de zoekvoorwaarden en -resultaten.
  • Schakel de optie 'Reviewer vereisen' in of uit. Ga naar 'Reviewers vereisen voor bulkacties' voor meer informatie.
  • Schakel 'Inhoud weergeven' in of uit. Met deze instelling kunnen beheerders met de juiste rechten de inhoud bekijken.
  • Schakel de actierechtvaardiging in of uit.

Ga voor meer informatie naar Instellingen configureren voor uw onderzoeken .

Onderzoeken opslaan, delen, verwijderen en dupliceren

Om je zoekcriteria op te slaan of met anderen te delen, kun je een zoekopdracht aanmaken en opslaan, en deze vervolgens delen, dupliceren of verwijderen.

Ga voor meer informatie naar Onderzoeken opslaan, delen, verwijderen en dupliceren .


Google, Google Workspace en aanverwante merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waaraan ze zijn verbonden.