Audit-Log (Verwaltung)
Die Prozessplattform bietet die Möglichkeit, die Tätigkeiten von Fachadministrator/-innen rund um die Verwaltung von Benutzern, Gruppen sowie deren Zugriffsberechtigungen automatisch in einem sogenannten “Audit-Log” zu protokollieren. Die Protokolldaten sind für alle Anwender/-innen mit Administrator-Rechten für jeweils 180 Tage einsehbar und können nach verschiedenen Kriterien durchsucht werden.
Dies erleichtert die Koordination der Tätigkeit verschiedener Administrator/-innen und unterstützt bei der Fehlersuche. Weiterhin können Sie auf diese Weise automatisch Dokumentationspflichten (z.B. basierend auf Empfehlungen des BSI) nachkommen, die ggf. für die Tätigkeit der Administrator/-innen bestehen.
In diesem Abschnitt des Informationsportals finden Sie ausführliche Informationen zu Arbeitsweise und Umfang der automatischen Protokollierung, zu Ihren Recherchemöglichkeiten im Audit-Log sowie Hinweise, wie Sie die Protokollierung bei Bedarf deaktivieren können.
Inhaltsverzeichnis
Protokollierte Ereignisse
Eine Übersicht aller Ereignisse, welche bei aktivierter Audit-Log-Funktion von der Prozessplattform automatisch protokolliert werden, finden Sie auf der Seite Audit-Log: Protokollierte Ereignisse.
Die Protokolldaten werden für jeweils 180 Tage vorgehalten und anschließend vom System automatisch rollierend gelöscht.
Audit-Log einsehen und durchsuchen
Unter dem Menüpunkt “Verwaltung” → “Administrationsauditlog” können die protokollierten Ereignisse eingesehen werden. Diese Menüpunkte stehen für alle Benutzerkonten zur Verfügung, sofern sie über eine Lizenz vom Typ “Administrator” verfügen und den Administrationsmodus aktiviert haben.
In einer blätterbaren Tabelle werden dort für die protokollierten Ereignisse folgende Informationen angezeigt:
Zeitpunkt: Datum und Uhrzeit, zu welchem das Ereignis aufgetreten ist bzw. die Aktion durchgeführt wurde
Ausführender Nutzer: Bezeichnung des Benutzerkontos, welches die entsprechende Aktion durchgeführt hat
Ausgewiesen werden Nachname, Vorname und Benutzername, welche zum Zeitpunkt des Ereignisses hinterlegt waren, bzw. “System” für Aktionen, die von der Prozessplattform automatisch ausgelöst wurden. Bei nachträglicher Umbenennung werden die protokollierten Daten nicht angepasst.Gültigkeitsbereich: Zahlreiche Aktionen wirken sich jeweils auf einen bestimmten Arbeitsbereich aus (z.B. Erteilung von Zugriffsrechten). Dieser wird unter “Gültigkeitsbereich” ausgewiesen. Für arbeitsbereichsübergreifend wirksame Aktionen wird “Systemweit” angegeben.
Ausgewiesen wird jeweils die zum Zeitpunkt des Ereignisses hinterlegte Bezeichnung. Bei nachträglichen Umbenennungen erfolgt keine Anpassung der protokollierten Daten.Bezugsobjekt: Objekt, auf welches sich das protokollierte Ereignis bezieht (z.B. ein bestimmtes Benutzerkonto, welchem Berechtigungen erteilt wurden)
Ausgewiesen wird jeweils dessen zum Zeitpunkt des Ereignisses hinterlegte Bezeichnung. Bei nachträglichen Umbenennungen erfolgt keine Anpassung der protokollierten Daten.Aktion: Art des protokollierten Ereignisses (z.B. Nutzer angelegt, Nutzer umbenannt, Nutzer gelöscht)
Alter Wert / Neuer Wert: Bei Aktionen, durch welche eine Einstellung geändert wurde (z.B. Ordner umbenannt, Ordner-Berechtigung geändert), wird in den Spalten “Alter Wert” und “Neuer Wert” der Wert der Einstellung vor und nach Ausführung der jeweiligen Aktion ausgegeben. Bei Einstellungen, bei denen die protokollierten Werte typischerweise zu umfangreich für eine Darstellung in den entsprechenden Zellen der Tabelle sind (z.B. Einstellungen einer Portal-Freigabe), können Sie durch einen Doppelklick in die jeweilige Zelle ein Dialogfenster öffnen, in denen die Werte gegenübergestellt und vollständig angezeigt werden.
Die Tabellendarstellung ist standardmäßig nach dem Zeitpunkt der Ereignisse sortiert (neueste Ereignisse zuerst). Per Mausklick auf den jeweiligen Spaltennamen können Sie die Tabelle eigenständig nach folgenden Spalten auf- bzw. absteigend sortieren: Zeitpunkt, Ausführender Nutzer, Geltungsbereich, Bezugsobjekt, Aktion.
Mittels der Einstellungen in der Spalte “Filter” am linken Bildschirmrand können Sie die Menge der angezeigten Ereignisse nach folgenden Kriterien einschränken:
Zeitspanne (alle Ereignisse zwischen Startdatum, 0.00 Uhr und Enddatum 23.59 Uhr)
Ausführender Nutzer
Aktion
Gültigkeitsbereich
Filterkriterien unterschiedlichen Typs können hierbei miteinander kombiniert werden. Sind mehrere Filter gleichzeitig gesetzt, so werden diese vom System mit einem logischen UND verknüpft (z.B. “zeige alle Ereignisse vom Typ “Nutzer gelöscht” im Zeitraum 01.10.2022 - 31.12.2022”). Für das Filterkriterium “Ausführender Nutzer” können Sie auf Wunsch auch mehrere Benutzerkonten auswählen. Die verschiedenen Benutzerkonten werden hierbei durch ein logisches ODER verknüpft, die anderen ggf. ausgewählten Filterkriterien bleiben weiterhin UND-verknüpft (z.B. “zeige alle Ereignisse vom Typ “Nutzer gelöscht“ im Zeitraum 01.10.2022 - 31.12.2022, die von “Franz Müller” oder “Heidi Schmidt” ausgelöst wurden”).
Audit-Log (de-)aktivieren
Das Audit-Log ist seit Version 3.21.0 der Prozessplattform verfügbar und standardmäßig aktiviert. Sofern Sie die Protokollierung nicht wünschen, kann diese Funktion abgeschaltet werden. Dies ist durch die Fachadministor/-innen jederzeit selbständig möglich.
Um diese Einstellung vorzunehmen, öffnen Sie im Menü “Verwaltung” den Untermenüpunkt “Rechtliches und Datenschutz“. Im Abschnitt “Datenschutz“ können Sie mittels des Auswahlfeldes an der Einstellung “Administrationsauditlog aktivieren“ das Audit-Log aktivieren bzw. deaktivieren.
Ist das Audit-Log aktiviert, hat dies folgende Auswirkungen:
Sämtliche unter “Protokollierte Ereignisse” genannten Aktionen werden automatisch protokolliert.
Im Menü “Verwaltung” steht der Untermenüpunkt “Administrationsauditlog“ zur Verfügung und die vorhandenen Protokolleinträge der letzten 180 Tage können durch alle Administrator/-innen eingesehen und durchsucht werden.
Wenn das Audit-Log deaktiviert ist, steht der o.g. Menüpunkt nicht zur Verfügung und es werden bei Benutzung der o.g. überwachten Funktionsbereiche keine neuen Protokolleinträge erstellt. Vorhandene Einträge werden jedoch nicht gelöscht und können daher bei späterer Reaktivierung des Audit-Logs wieder angezeigt werden, sofern sie nicht auf Grund ihres Alters zwischenzeitlich gelöscht wurden (Protokolleinträge werden jeweils für die vergangenen 180 Tage vorgehalten).
Bitte beachten Sie, dass sowohl bei der Deaktivierung als auch bei der Re-Aktivierung vom System automatisch ein Audit-Log-Eintrag geschrieben wird. Die (vorübergehende) Deaktivierung des Audit-Logs ist somit während des Vorhaltezeitraums der Protokolleinträge für alle Administrator/-innen nachvollziehbar.