# Accountactiviteit monitoren in Google Workspace [[TOC]] ## Overzicht van monitoringmogelijkheden Google Workspace biedt drie niveaus van accountmonitoring: 1. **Gebruikersrapporten**: aggregatiedata over app-gebruik, opslag en beveiliging per gebruiker. 2. **Audit en onderzoek**: gedetailleerde logboeken van specifieke acties zoals aanmelden, bestandswijzigingen en beheerderacties. 3. **Beheerderswaarschuwingen**: automatische meldingen bij verdachte activiteit. :::info title="Naamgeving in 2026" In de Admin Console heet het hele onderdeel sinds de recente updates **Rapportage**. De losse auditlogboeken zijn samengevoegd in het hulpprogramma **Audit en onderzoek**. De oude logtypen heten nu **Gebruikerslogboekgebeurtenissen** (voorheen Aanmeldingsauditlog), **Beheerderslogboekgebeurtenissen** en **Drive-logboekgebeurtenissen**. ::: ## Gebruikersrapporten bekijken :::howto title="Gebruikersrapporten openen" 1. Ga naar [admin.google.com](https://admin.google.com). 2. Klik op **Rapportage** en daarna op **Gebruikersrapporten**. 3. Kies een rapport: **Accounts**, **Apps-gebruik** of **Beveiliging**. 4. Filter op datum, organisatieonderdeel (OU) of een specifieke gebruiker. 5. Exporteer naar Google Sheets voor verdere analyse. ::: Het beveiligingsrapport toont per gebruiker onder andere: - Of verificatie in 2 stappen (2SV) is ingeschakeld. - Sterkte van het wachtwoord. - Aantal gekoppelde apparaten. - Toegang van apps van derden. ## Aanmeldingen analyseren De aanmeldgebeurtenissen geven een volledig beeld van wie wanneer en vanaf welk apparaat heeft ingelogd. :::howto title="Aanmeldlogboek raadplegen" 1. Ga naar **Rapportage** en daarna **Audit en onderzoek**. 2. Open **Gebruikerslogboekgebeurtenissen**. 3. Stel filters in op gebruiker, datum of aanmeldresultaat. 4. Filter op **Verificatie-uitdaging** om te zien wanneer Google extra verificatie vroeg. 5. Exporteer het resultaat of stuur het door naar BigQuery voor geavanceerde analyses. ::: Let op aanmeldingen vanuit onverwachte landen of IP-adressen. Combineer dit met de overzichtsrapporten om patronen over een langere periode te herkennen. ## Drive-activiteit monitoren Via de Drive-logboekgebeurtenissen zie je wie bestanden heeft bekeken, gedeeld of gedownload. :::howto title="Drive-activiteit bekijken" 1. Ga naar **Rapportage** en daarna **Audit en onderzoek**. 2. Open **Drive-logboekgebeurtenissen**. 3. Filter op actietype, bijvoorbeeld **download**, **delen**, **verwijderen** of **bekijken**. 4. Zoek gevoelige bestanden door te filteren op bestandsnaam of eigenaar. ::: :::warn title="Let op data-exfiltratie" Massale downloads of bulk-delingen naar externe e-mailadressen, vooral net voordat een dienstverband eindigt, zijn een veelvoorkomend exfiltratiepatroon. Stel hiervoor een activiteitsregel of waarschuwing in zodat je automatisch een melding krijgt. ::: ## Beheerderacties monitoren De beheerderslogboekgebeurtenissen registreren alle acties die beheerders uitvoeren, inclusief gebruikerswijzigingen, instellingswijzigingen en rolwijzigingen. :::howto title="Beheerderslog raadplegen" 1. Ga naar **Rapportage** en daarna **Audit en onderzoek**. 2. Open **Beheerderslogboekgebeurtenissen**. 3. Filter op beheerder en tijdsperiode. 4. Let op onverwachte rolwijzigingen of uitgeschakelde beveiligingsinstellingen. ::: ## Rapporten exporteren naar BigQuery Voor organisaties die diepgaande analyses willen, kun je Workspace-logboeken exporteren naar Google BigQuery. Dit vereist een BigQuery-project en je activeert de koppeling in de Admin Console onder **Rapportage** en daarna **Rapportagelogboeken en BigQuery**. Met BigQuery kun je query's schrijven over maanden aan data, dashboards bouwen in Looker Studio en correlaties zoeken die in de standaardrapporten niet zichtbaar zijn. Houd er rekening mee dat geavanceerde onderzoeksfuncties zoals geneste query's, activiteitsregels en aangepaste grafieken een Enterprise- of Education-editie vereisen. :::tip title="Bewaar langer dan zes maanden" De standaard bewaartermijn van zes maanden is voor veel complianceframeworks (zoals SOC 2) te kort. Stel de BigQuery-export in zodra je je omgeving opzet, want je kunt geen data ophalen die al buiten het venster van zes maanden valt. ::: :::faq ### Hoe lang worden de auditlogs bewaard? De bewaartermijn is voor de meeste logtypen zes maanden: Drive-logboekgebeurtenissen, gebruikers- of aanmeldgebeurtenissen en beheerderslogboekgebeurtenissen worden elk ongeveer zes maanden bewaard. Wil je langer bewaren, exporteer dan naar BigQuery, want daar bepaal je zelf de bewaartermijn. ### Kunnen gewone gebruikers hun eigen activiteitenlog zien? Gebruikers kunnen hun eigen aanmeldactiviteit bekijken via myaccount.google.com/device-activity. Het volledige auditlogboek in de Admin Console is alleen toegankelijk voor beheerders met de juiste rechten. ### Kan ik een rapport instellen dat wekelijks naar mij wordt gestuurd? Ja. In het hulpprogramma Audit en onderzoek kun je vanuit een opgeslagen onderzoek een geplande export of waarschuwing instellen, zodat je op een vast schema een melding of overzicht ontvangt. ### Is er een API om auditlogs te exporteren? Ja, de Admin SDK Reports API geeft programmatische toegang tot de auditgebeurtenissen. Dat is handig voor integratie met SIEM- of SecOps-tools. ### Waar vind ik de logs nu de Admin Console is veranderd? De losse auditlogboeken zijn samengevoegd in Rapportage en daarna Audit en onderzoek. Daar kies je het logtype, bijvoorbeeld gebruikers, beheerder of Drive, in plaats van het oude menu met aparte auditlogboeken. :::