BatchUsageLogEvents

Batch-Ereignisprotokolle von events vom Gerät

JSON-Darstellung 
{
  "device": string,
  "user": string,
  "retrievalTime": string,
  "usageLogEvents": [
    {
      object (UsageLogEvent)
    }
  ]
}
Felder
device

string

Falls vorhanden, der Name des Geräts im Format „enterprises/{enterpriseId}/devices/{deviceId}“.
user

string

Falls vorhanden, der Ressourcenname des Nutzers, dem dieses Gerät gehört, im Format „enterprises/{enterpriseId}/users/{userId}“.
retrievalTime

string (Timestamp format)

Der Zeitstempel des Geräts für den Zeitpunkt, zu dem der Batch von Ereignissen vom Gerät erfasst wurde.

Ein Zeitstempel im Format RFC3339 UTC "Zulu" mit einer Auflösung im Nanosekundenbereich und bis zu neun Nachkommastellen. Beispiele: "2014-10-02T15:01:23Z" und "2014-10-02T15:01:23.045123456Z".
usageLogEvents[]

object (UsageLogEvent)

Die Liste der UsageLogEvent-Ereignisse, die vom Gerät gemeldet wurden, chronologisch nach Ereigniszeit sortiert.

UsageLogEvent

Ein Ereignis, das auf dem Gerät protokolliert wurde.

JSON-Darstellung 
{
  "eventId": string,
  "eventTime": string,
  "eventType": enum (EventType),

  // Union field event can be only one of the following:
  "adbShellCommandEvent": {
    object (AdbShellCommandEvent)
  },
  "adbShellInteractiveEvent": {
    object (AdbShellInteractiveEvent)
  },
  "appProcessStartEvent": {
    object (AppProcessStartEvent)
  },
  "keyguardDismissedEvent": {
    object (KeyguardDismissedEvent)
  },
  "keyguardDismissAuthAttemptEvent": {
    object (KeyguardDismissAuthAttemptEvent)
  },
  "keyguardSecuredEvent": {
    object (KeyguardSecuredEvent)
  },
  "filePulledEvent": {
    object (FilePulledEvent)
  },
  "filePushedEvent": {
    object (FilePushedEvent)
  },
  "certAuthorityInstalledEvent": {
    object (CertAuthorityInstalledEvent)
  },
  "certAuthorityRemovedEvent": {
    object (CertAuthorityRemovedEvent)
  },
  "certValidationFailureEvent": {
    object (CertValidationFailureEvent)
  },
  "cryptoSelfTestCompletedEvent": {
    object (CryptoSelfTestCompletedEvent)
  },
  "keyDestructionEvent": {
    object (KeyDestructionEvent)
  },
  "keyGeneratedEvent": {
    object (KeyGeneratedEvent)
  },
  "keyImportEvent": {
    object (KeyImportEvent)
  },
  "keyIntegrityViolationEvent": {
    object (KeyIntegrityViolationEvent)
  },
  "loggingStartedEvent": {
    object (LoggingStartedEvent)
  },
  "loggingStoppedEvent": {
    object (LoggingStoppedEvent)
  },
  "logBufferSizeCriticalEvent": {
    object (LogBufferSizeCriticalEvent)
  },
  "mediaMountEvent": {
    object (MediaMountEvent)
  },
  "mediaUnmountEvent": {
    object (MediaUnmountEvent)
  },
  "osShutdownEvent": {
    object (OsShutdownEvent)
  },
  "osStartupEvent": {
    object (OsStartupEvent)
  },
  "remoteLockEvent": {
    object (RemoteLockEvent)
  },
  "wipeFailureEvent": {
    object (WipeFailureEvent)
  },
  "connectEvent": {
    object (ConnectEvent)
  },
  "dnsEvent": {
    object (DnsEvent)
  },
  "stopLostModeUserAttemptEvent": {
    object (StopLostModeUserAttemptEvent)
  },
  "lostModeOutgoingPhoneCallEvent": {
    object (LostModeOutgoingPhoneCallEvent)
  },
  "lostModeLocationEvent": {
    object (LostModeLocationEvent)
  },
  "enrollmentCompleteEvent": {
    object (EnrollmentCompleteEvent)
  }
  // End of list of possible types for union field event.
}
Felder
eventId

string (int64 format)

Die eindeutige ID des Ereignisses.
eventTime

string (Timestamp format)

Gerätezeitstempel, zu dem das Ereignis protokolliert wurde.

Ein Zeitstempel im Format RFC3339 UTC "Zulu" mit einer Auflösung im Nanosekundenbereich und bis zu neun Nachkommastellen. Beispiele: "2014-10-02T15:01:23Z" und "2014-10-02T15:01:23.045123456Z".
eventType

enum (EventType)

Der Ereignistyp des Nutzungslogs, der auf dem Gerät erfasst wurde. Anhand dieser Informationen können Sie ermitteln, auf welches event-Feld Sie zugreifen möchten.
Union-Feld event. Arten von Ereignissen, die auf dem Gerät protokolliert werden. Unter den einzelnen Ereignistypen finden Sie weitere Informationen dazu, wann sie gesendet werden, welche Einschränkungen beim Protokollieren gelten und welche Felder enthalten sind. Für event ist nur einer der folgenden Werte zulässig:
adbShellCommandEvent

object (AdbShellCommandEvent)

Über ADB wurde ein Shell-Befehl mit „adb shell command“ ausgeführt. Teil von SECURITY_LOGS.
adbShellInteractiveEvent

object (AdbShellInteractiveEvent)

Über „adb shell“ wurde eine interaktive ADB-Shell geöffnet. Teil von SECURITY_LOGS.
appProcessStartEvent

object (AppProcessStartEvent)

Ein App-Prozess wurde gestartet. Teil von SECURITY_LOGS.
keyguardDismissedEvent

object (KeyguardDismissedEvent)

Der Keyguard wurde geschlossen. Teil von SECURITY_LOGS.
keyguardDismissAuthAttemptEvent

object (KeyguardDismissAuthAttemptEvent)

Es wurde versucht, das Gerät zu entsperren. Teil von SECURITY_LOGS.
keyguardSecuredEvent

object (KeyguardSecuredEvent)

Das Gerät wurde entweder vom Nutzer oder durch Zeitüberschreitung gesperrt. Teil von SECURITY_LOGS.
filePulledEvent

object (FilePulledEvent)

Eine Datei wurde vom Gerät heruntergeladen. Teil von SECURITY_LOGS.
filePushedEvent

object (FilePushedEvent)

Eine Datei wurde auf das Gerät hochgeladen. Teil von SECURITY_LOGS.
certAuthorityInstalledEvent

object (CertAuthorityInstalledEvent)

Ein neues Stammzertifikat wurde im Speicher für vertrauenswürdige Anmeldedaten des Systems installiert. Gehört zu SECURITY_LOGS.
certAuthorityRemovedEvent

object (CertAuthorityRemovedEvent)

Ein Stammzertifikat wurde aus dem Speicher für vertrauenswürdige Anmeldedaten des Systems entfernt. Gehört zu SECURITY_LOGS.
certValidationFailureEvent

object (CertValidationFailureEvent)

Die Validierung eines X.509v3-Zertifikats ist fehlgeschlagen. Diese Validierung wird derzeit am WLAN-Zugangspunkt durchgeführt. Der Fehler kann auf eine Abweichung bei der Validierung des Serverzertifikats zurückzuführen sein. In Zukunft können jedoch auch andere Validierungsereignisse für ein X.509v3-Zertifikat enthalten sein. Gehört zu SECURITY_LOGS.
cryptoSelfTestCompletedEvent

object (CryptoSelfTestCompletedEvent)

Prüft, ob die integrierte kryptografische Bibliothek von Android (BoringSSL) gültig ist. Sollte beim Starten des Geräts immer erfolgreich sein. Wenn der Vorgang fehlschlägt, sollte das Gerät als nicht vertrauenswürdig eingestuft werden. Gehört zu SECURITY_LOGS.
keyDestructionEvent

object (KeyDestructionEvent)

Ein kryptografischer Schlüssel, einschließlich vom Nutzer installierter, vom Administrator installierter und vom System verwalteter privater Schlüssel, wird entweder vom Nutzer oder vom Administrator vom Gerät entfernt. Teil von SECURITY_LOGS.
keyGeneratedEvent

object (KeyGeneratedEvent)

Ein kryptografischer Schlüssel, einschließlich vom Nutzer installierter, vom Administrator installierter und vom System verwalteter privater Schlüssel, wird entweder vom Nutzer oder vom Administrator auf dem Gerät installiert. Teil von SECURITY_LOGS.
keyImportEvent

object (KeyImportEvent)

Ein kryptografischer Schlüssel, der vom Nutzer und vom Administrator installiert sowie vom System verwaltet wird, wird entweder vom Nutzer oder vom Management auf das Gerät importiert. Gehört zu SECURITY_LOGS.
keyIntegrityViolationEvent

object (KeyIntegrityViolationEvent)

Ein kryptografischer Schlüssel, einschließlich vom Nutzer installierter, vom Administrator installierter und vom System verwalteter privater Schlüssel, wird aufgrund von Speicherbeschädigungen, Hardwarefehlern oder einem Betriebssystemproblem als beschädigt erkannt. Teil von SECURITY_LOGS.
loggingStartedEvent

object (LoggingStartedEvent)

Die Richtlinie usageLog wurde aktiviert. Gehört zu SECURITY_LOGS.
loggingStoppedEvent

object (LoggingStoppedEvent)

Die Richtlinie „usageLog“ wurde deaktiviert. Teil von SECURITY_LOGS.
logBufferSizeCriticalEvent

object (LogBufferSizeCriticalEvent)

Der Puffer des Audit-Logs hat 90% seiner Kapazität erreicht. Daher werden ältere Ereignisse möglicherweise gelöscht. Teil von SECURITY_LOGS.
mediaMountEvent

object (MediaMountEvent)

Wechseldatenträger wurde bereitgestellt. Teil von SECURITY_LOGS.
mediaUnmountEvent

object (MediaUnmountEvent)

Wechselmedien wurden getrennt. Teil von SECURITY_LOGS.
osShutdownEvent

object (OsShutdownEvent)

Das Gerät wurde heruntergefahren. Teil von SECURITY_LOGS.
osStartupEvent

object (OsStartupEvent)

Das Gerät wurde gestartet. Teil von SECURITY_LOGS.
remoteLockEvent

object (RemoteLockEvent)

Das Gerät oder Profil wurde über den Befehl LOCK aus der Ferne gesperrt. Teil von SECURITY_LOGS.
wipeFailureEvent

object (WipeFailureEvent)

Das Löschen des Arbeitsprofils oder des unternehmenseigenen Geräts konnte auf Anfrage nicht durchgeführt werden. Dies kann vom Nutzer oder Administrator initiiert werden, z.B. delete wurde empfangen. Gehört zu SECURITY_LOGS.
connectEvent

object (ConnectEvent)

Ein TCP-Verbindungsereignis wurde über den Standardnetzwerkstack initiiert. Teil von NETWORK_ACTIVITY_LOGS.
dnsEvent

object (DnsEvent)

Ein DNS-Lookup-Ereignis wurde über den Standardnetzwerkstack initiiert. Teil von NETWORK_ACTIVITY_LOGS.
stopLostModeUserAttemptEvent

object (StopLostModeUserAttemptEvent)

Ein Versuch, ein Gerät aus dem Verloren-Modus zu entfernen.
lostModeOutgoingPhoneCallEvent

object (LostModeOutgoingPhoneCallEvent)

Ein ausgehender Anruf wurde getätigt, während sich das Gerät im Verloren-Modus befand.
lostModeLocationEvent

object (LostModeLocationEvent)

Ein Standortupdate für den Verloren-Modus, wenn ein Gerät im Verloren-Modus ist.
enrollmentCompleteEvent

object (EnrollmentCompleteEvent)

Die Registrierung des Geräts ist abgeschlossen. Teil von AMAPI_LOGS.

KeyguardDismissedEvent

Dieser Typ hat keine Felder.

Der Keyguard wurde geschlossen. Absichtlich leer.

KeyguardDismissAuthAttemptEvent

Es wurde versucht, das Gerät zu entsperren.

JSON-Darstellung 
{
  "success": boolean,
  "strongAuthMethodUsed": boolean
}
Felder
success

boolean

Gibt an, ob der Entsperrversuch erfolgreich war.
strongAuthMethodUsed

boolean

Ob zum Entsperren des Geräts eine starke Authentifizierung (Passwort, PIN oder Muster) verwendet wurde.

KeyguardSecuredEvent

Dieser Typ hat keine Felder.

Das Gerät wurde entweder durch einen Nutzer oder durch eine Zeitüberschreitung gesperrt. Absichtlich leer.

FilePulledEvent

Eine Datei wurde vom Gerät heruntergeladen.

JSON-Darstellung 
{
  "filePath": string
}
Felder
filePath

string

Der Pfad der abgerufenen Datei.

FilePushedEvent

Eine Datei wurde auf das Gerät hochgeladen.

JSON-Darstellung 
{
  "filePath": string
}
Felder
filePath

string

Der Pfad der Datei, die übertragen wird.

CertAuthorityInstalledEvent

Ein neues Stammzertifikat wurde im Speicher für vertrauenswürdige Anmeldedaten des Systems installiert. Diese Funktion ist auf vollständig verwalteten Geräten geräteweit und auf unternehmenseigenen Geräten mit Arbeitsprofil im Arbeitsprofil verfügbar.

JSON-Darstellung 
{
  "certificate": string,
  "userId": integer,
  "success": boolean
}
Felder
certificate

string

Betreff des Zertifikats.
userId

integer

Der Nutzer, bei dem das Ereignis „Zertifikatinstallation“ stattgefunden hat. Nur für Geräte mit Android 11 und höher verfügbar.
success

boolean

Gibt an, ob das Installationsereignis erfolgreich war.

CertAuthorityRemovedEvent

Ein Root-Zertifikat wurde aus dem Speicher für vertrauenswürdige Anmeldedaten des Systems entfernt. Diese Funktion ist auf vollständig verwalteten Geräten geräteweit und auf unternehmenseigenen Geräten mit Arbeitsprofil im Arbeitsprofil verfügbar.

JSON-Darstellung 
{
  "certificate": string,
  "userId": integer,
  "success": boolean
}
Felder
certificate

string

Betreff des Zertifikats.
userId

integer

Der Nutzer, bei dem das Zertifikat entfernt wurde. Nur für Geräte mit Android 11 und höher verfügbar.
success

boolean

Gibt an, ob das Entfernen erfolgreich war.

CertValidationFailureEvent

Die Validierung eines X.509v3-Zertifikats ist fehlgeschlagen. Derzeit wird diese Validierung am WLAN-Zugangspunkt durchgeführt. Der Fehler kann auf eine Abweichung bei der Validierung des Serverzertifikats zurückzuführen sein. In Zukunft können jedoch auch andere Validierungsereignisse für ein X.509v3-Zertifikat enthalten sein.

JSON-Darstellung 
{
  "failureReason": string
}
Felder
failureReason

string

Der Grund, warum die Zertifizierungsbestätigung fehlgeschlagen ist.

CryptoSelfTestCompletedEvent

Prüft, ob die integrierte kryptografische Bibliothek von Android (BoringSSL) gültig ist. Sollte beim Starten des Geräts immer erfolgreich sein. Wenn der Vorgang fehlschlägt, sollte das Gerät als nicht vertrauenswürdig eingestuft werden.

JSON-Darstellung 
{
  "success": boolean
}
Felder
success

boolean

Ob der Test erfolgreich war.

KeyDestructionEvent

Ein kryptografischer Schlüssel, einschließlich vom Nutzer installierter, vom Administrator installierter und vom System verwalteter privater Schlüssel, wird entweder vom Nutzer oder vom Administrator vom Gerät entfernt. Diese Funktion ist auf vollständig verwalteten Geräten geräteweit und auf unternehmenseigenen Geräten mit Arbeitsprofil im Arbeitsprofil verfügbar.

JSON-Darstellung 
{
  "keyAlias": string,
  "applicationUid": integer,
  "success": boolean
}
Felder
keyAlias

string

Alias des Schlüssels.
applicationUid

integer

UID der Anwendung, zu der der Schlüssel gehört.
success

boolean

Ob der Vorgang erfolgreich war.

KeyGeneratedEvent

Ein kryptografischer Schlüssel, einschließlich vom Nutzer installierter, vom Administrator installierter und vom System verwalteter privater Schlüssel, wird entweder vom Nutzer oder vom Administrator auf dem Gerät installiert.Dieser ist auf vollständig verwalteten Geräten geräteweit und auf unternehmenseigenen Geräten mit einem Arbeitsprofil im Arbeitsprofil verfügbar.

JSON-Darstellung 
{
  "keyAlias": string,
  "applicationUid": integer,
  "success": boolean
}
Felder
keyAlias

string

Alias des Schlüssels.
applicationUid

integer

UID der Anwendung, die den Schlüssel generiert hat.
success

boolean

Ob der Vorgang erfolgreich war.

KeyImportEvent

Ein kryptografischer Schlüssel, einschließlich vom Nutzer installierter, vom Administrator installierter und vom System verwalteter privater Schlüssel, wird entweder vom Nutzer oder vom Administrator auf das Gerät importiert. Diese Funktion ist auf vollständig verwalteten Geräten geräteweit und auf unternehmenseigenen Geräten mit Arbeitsprofil im Arbeitsprofil verfügbar.

JSON-Darstellung 
{
  "keyAlias": string,
  "applicationUid": integer,
  "success": boolean
}
Felder
keyAlias

string

Alias des Schlüssels.
applicationUid

integer

UID der Anwendung, die den Schlüssel importiert hat
success

boolean

Ob der Vorgang erfolgreich war.

KeyIntegrityViolationEvent

Ein kryptografischer Schlüssel, einschließlich vom Nutzer installierter, vom Administrator installierter und vom System verwalteter privater Schlüssel, wird aufgrund von Speicherbeschädigungen, Hardwarefehlern oder einem Betriebssystemproblem als beschädigt erkannt. Diese Funktion ist auf vollständig verwalteten Geräten geräteweit und auf unternehmenseigenen Geräten mit Arbeitsprofil im Arbeitsprofil verfügbar.

JSON-Darstellung 
{
  "keyAlias": string,
  "applicationUid": integer
}
Felder
keyAlias

string

Alias des Schlüssels.
applicationUid

integer

UID der Anwendung, der der Schlüssel gehört

LoggingStartedEvent

Dieser Typ hat keine Felder.

Die Richtlinie usageLog wurde aktiviert. Absichtlich leer.

LoggingStoppedEvent

Dieser Typ hat keine Felder.

Die Richtlinie usageLog wurde deaktiviert. Absichtlich leer.

LogBufferSizeCriticalEvent

Dieser Typ hat keine Felder.

Der usageLog-Puffer auf dem Gerät hat 90% seiner Kapazität erreicht. Daher werden ältere Ereignisse möglicherweise gelöscht. Absichtlich leer.

MediaMountEvent

Wechseldatenträger wurden bereitgestellt.

JSON-Darstellung 
{
  "mountPoint": string,
  "volumeLabel": string
}
Felder
mountPoint

string

Bereitstellungspunkt.
volumeLabel

string

Volumebezeichnung. Auf Geräten mit verwalteten Profilen, die der Organisation gehören, wird der Wert zu einem leeren String entfernt.

MediaUnmountEvent

Wechselmedien wurden getrennt.

JSON-Darstellung 
{
  "mountPoint": string,
  "volumeLabel": string
}
Felder
mountPoint

string

Bereitstellungspunkt.
volumeLabel

string

Volumelabel Auf Geräten mit verwalteten Profilen, die der Organisation gehören, wird der Wert zu einem leeren String entfernt.

OsShutdownEvent

Dieser Typ hat keine Felder.

Das Gerät wurde heruntergefahren. Absichtlich leer.

OsStartupEvent

Das Gerät wurde gestartet.

JSON-Darstellung 
{
  "verifiedBootState": enum (VerifiedBootState),
  "verityMode": enum (DmVerityMode)
}
Felder
verifiedBootState

enum (VerifiedBootState)

Status des bestätigten Bootmodus.
verityMode

enum (DmVerityMode)

dm-verity-Modus.

RemoteLockEvent

Das Gerät oder Profil wurde über den Befehl LOCK aus der Ferne gesperrt.

JSON-Darstellung 
{
  "adminPackageName": string,
  "adminUserId": integer,
  "targetUserId": integer
}
Felder
adminPackageName

string

Paketname der Admin-App, die die Änderung anfordert.
adminUserId

integer

Die Nutzer-ID der Administrator-App, über die die Änderung angefordert wurde.
targetUserId

integer

Die User-ID, in der die Änderung angefordert wurde.

WipeFailureEvent

Dieser Typ hat keine Felder.

Das Löschen des Arbeitsprofils oder des unternehmenseigenen Geräts konnte auf Anfrage nicht durchgeführt werden. Dies kann vom Nutzer oder Administrator initiiert werden, z.B. delete wurde empfangen. Absichtlich leer.

ConnectEvent

Ein TCP-Verbindungsereignis wurde über den Standardnetzwerkstack initiiert.

JSON-Darstellung 
{
  "destinationIpAddress": string,
  "destinationPort": integer,
  "packageName": string
}
Felder
destinationIpAddress

string

Die Ziel-IP-Adresse des Verbindungsaufrufs.
destinationPort

integer

Der Zielport des Connect-Aufrufs.
packageName

string

Der Paketname der UID, die den Connect-Aufruf ausgeführt hat.

DnsEvent

Ein DNS-Lookup-Ereignis wurde über den Standardnetzwerkstack initiiert.

JSON-Darstellung 
{
  "hostname": string,
  "ipAddresses": [
    string
  ],
  "totalIpAddressesReturned": string,
  "packageName": string
}
Felder
hostname

string

Der abgefragte Hostname.
ipAddresses[]

string

Die (möglicherweise gekürzte) Liste der IP-Adressen, die für die DNS-Suche zurückgegeben wurden (maximal 10 IPv4- oder IPv6-Adressen).
totalIpAddressesReturned

string (int64 format)

Die Anzahl der vom DNS-Lookup-Ereignis zurückgegebenen IP-Adressen. Kann höher als die Anzahl der IP-Adressen sein, wenn zu viele Adressen zum Protokollieren vorhanden waren.
packageName

string

Der Paketname der UID, die den DNS-Lookup ausgeführt hat.

StopLostModeUserAttemptEvent

Ein Verloren-Modus-Ereignis, das angibt, dass der Nutzer versucht hat, den Verloren-Modus zu beenden.

JSON-Darstellung 
{
  "status": enum (Status)
}
Felder
status

enum (Status)

Der Status des Versuchs, den Verloren-Modus zu beenden.

LostModeOutgoingPhoneCallEvent

Dieser Typ hat keine Felder.

Ein Ereignis, das angibt, dass ein ausgehender Anruf getätigt wurde, wenn sich ein Gerät im Verloren-Modus befindet. Absichtlich leer.

LostModeLocationEvent

Ein Verloren-Modus-Ereignis mit dem Gerätestandort und dem Akkustand in Prozent.

JSON-Darstellung 
{
  "location": {
    object (Location)
  },
  "batteryLevel": integer
}
Felder
location

object (Location)

den Gerätestandort
batteryLevel

integer

Der Akkustand als Zahl zwischen 0 und 100

Standort

Der Gerätestandort mit Breiten- und Längengrad.

JSON-Darstellung 
{
  "latitude": number,
  "longitude": number
}
Felder
latitude

number

Der Breitengrad des Standorts
longitude

number

Der Längengrad des Standorts

EnrollmentCompleteEvent

Dieser Typ hat keine Felder.

Gibt an, dass die Registrierung des Geräts abgeschlossen ist. Der Nutzer sollte sich zu diesem Zeitpunkt im Launcher befinden. Das Gerät ist jetzt konform und alle Einrichtungsschritte wurden abgeschlossen. Absichtlich leer.