# Adminactiviteiten controleren en auditen in Google Workspace Wie beheert je Workspace-omgeving, en wat hebben ze precies gedaan? Het auditlogboek voor beheeractiviteiten geeft daar antwoord op. Elke wijziging die een beheerder maakt, van een wachtwoordreset tot het uitzetten van tweestapsverificatie, wordt vastgelegd. Dit is je belangrijkste instrument voor controle en verantwoording. ## Waarom adminactiviteiten auditen Beheeracties hebben grote impact. Een verkeerd verzette instelling kan de beveiliging verzwakken of gebruikers buitensluiten. Door activiteiten te auditen kun je achteraf precies nagaan wie wat heeft gewijzigd. Dat is onmisbaar bij incidentonderzoek, bij compliance-eisen en simpelweg om te begrijpen waarom een instelling ineens anders staat. Het auditlog is ook een afschrikmiddel. Beheerders die weten dat hun acties worden vastgelegd, gaan zorgvuldiger te werk. En raakt een beheerdersaccount gecompromitteerd, dan zie je in het log welke schade is aangericht. :::info title="Waar vind je het beheerderslogboek" Het beheerderslogboek staat in de Admin Console onder Rapportage, daarna Audit en onderzoek. Selecteer daar de gegevensbron Beheerder. Met edities zoals Enterprise Standard en Plus, Education Standard en Plus, Frontline Standard en Plus en Cloud Identity Premium krijg je extra mogelijkheden via de security investigation tool, zoals onderzoeken opslaan, geneste zoekopdrachten en activiteitsregels. ::: ## Wat het log vastlegt Het beheerderslogboek registreert acties zoals het aanmaken, wijzigen en verwijderen van gebruikers, het toewijzen van beheerdersrollen, wijzigingen aan organisatie-eenheden, aanpassingen aan service-instellingen en beveiligingswijzigingen. Per gebeurtenis zie je de datum en tijd, welke beheerder de actie uitvoerde, en de details van de wijziging. In de loop van 2026 breidt Google de audit-events uit met extra velden, bijvoorbeeld eigenaarsgegevens bij resources en device-informatie. Tot 18 augustus 2026 zijn zowel de bestaande als de uitgebreide events beschikbaar, daarna wordt de uitgebreide variant de standaard. Het is dus verstandig je filters en eventuele exportscripts daarop voor te bereiden. ## Filteren en zoeken Een ongefilterd log is een muur van regels. De kracht zit in het filteren. Je kunt zoeken op een specifieke beheerder, op een type gebeurtenis, op een datumbereik of op de getroffen gebruiker. :::howto title="Adminactiviteit onderzoeken stap voor stap" 1. Ga naar Rapportage, daarna Audit en onderzoek, en kies de gegevensbron **Beheerder**. 2. Voeg een filter toe, bijvoorbeeld op de naam van de beheerder of het gebeurtenistype. 3. Stel een datumbereik in rond het moment dat je onderzoekt. 4. Bekijk de resultaten en open een regel voor de volledige details. 5. Exporteer indien nodig de resultaten voor rapportage of als bewijs. ::: ## Waarschuwingen voor gevoelige acties Achteraf controleren is goed, maar real-time gewaarschuwd worden is beter. Voor risicovolle gebeurtenissen stel je waarschuwingsregels in via het waarschuwingscentrum. Denk aan een melding zodra iemand superbeheerderrechten toewijst of tweestapsverificatie uitzet. :::tip title="Begin met de acties met de meeste impact" Stel in elk geval waarschuwingen in voor het toewijzen van beheerdersrollen en voor wijzigingen aan beveiligingsinstellingen. Dat zijn de acties met de grootste impact. Een melding in je inbox kost niets en kan een beginnend incident vroeg zichtbaar maken. ::: ## Bewaartermijn en export Houd er rekening mee dat logs een bewaartermijn hebben. De meeste logtypen blijven ongeveer zes maanden beschikbaar, sommige slechts dertig dagen, en je kunt die termijn niet zelf verlengen of de gegevens verwijderen. Heb je langere bewaring nodig, bijvoorbeeld voor compliance, dan exporteer je de logs periodiek naar BigQuery voor analyse met SQL, of stuur je ze door naar Google Security Operations (SecOps) of een ander SIEM. :::warn title="Reken niet op onbeperkte bewaring" De Admin Console bewaart auditlogs niet onbeperkt. Wil je gegevens langer bewaren dan de standaardtermijn, regel dan tijdig een export naar BigQuery, SecOps of een ander archief. Anders ben je oudere gebeurtenissen kwijt op het moment dat je ze nodig hebt. ::: :::faq ### Hoe lang worden adminlogs bewaard? De bewaartermijn hangt af van het logtype. De meeste audit-events blijven ongeveer zes maanden beschikbaar, een aantal slechts dertig dagen. Je kunt de termijn niet zelf aanpassen of de gegevens verwijderen. Voor langere bewaring exporteer je de logs naar BigQuery, SecOps of een extern archief voordat de standaardtermijn verstrijkt. ### Kan ik zien wie tweestapsverificatie heeft uitgezet? Ja. Wijzigingen aan beveiligingsinstellingen, waaronder tweestapsverificatie, verschijnen in het beheerderslogboek met de betrokken beheerder, het tijdstip en de details van de wijziging. ### Krijg ik automatisch een melding bij gevoelige acties? Niet standaard voor alles. Je stelt zelf waarschuwingsregels in via het waarschuwingscentrum voor specifieke gebeurtenissen, zoals het toewijzen van beheerdersrollen of wijzigingen aan beveiligingsinstellingen. ### Kan ik de logs exporteren? Ja. Je exporteert resultaten rechtstreeks vanuit het onderzoeksvenster, en je kunt logs doorsturen naar BigQuery voor analyse met SQL of naar SecOps en andere SIEM-oplossingen voor langdurige opslag. ### Wat is het verschil tussen het Audit en onderzoek-venster en de security investigation tool? Audit en onderzoek is voor alle edities beschikbaar en toont de gebeurtenissen met basisfilters. De security investigation tool is een uitgebreidere variant voor edities zoals Enterprise en Education Standard en Plus, met opgeslagen onderzoeken, geneste zoekopdrachten, groeperen op kenmerk en activiteitsregels. ### Verandert er iets aan de audit-events in 2026? Ja. Google rolt uitgebreide audit-events uit met extra velden. Tot 18 augustus 2026 bestaan de oude en nieuwe events naast elkaar, daarna wordt de uitgebreide variant de standaard. Controleer of je filters en exports met de nieuwe veldnamen blijven werken. :::