BatchUsageLogEvents

Batch-Ereignisprotokolle von events vom Gerät.

JSON-Darstellung 
{
  "device": string,
  "user": string,
  "retrievalTime": string,
  "usageLogEvents": [
    {
      object (UsageLogEvent)
    }
  ]
}
Felder
device

string

Falls vorhanden, der Name des Geräts im Format „enterprises/{enterpriseId}/devices/{deviceId}“
user

string

Falls vorhanden, der Ressourcenname des Nutzers, dem dieses Gerät gehört, im Format „enterprises/{enterpriseId}/users/{userId}“.
retrievalTime

string (Timestamp format)

Der Gerätezeitstempel, als die Gruppe von Ereignissen vom Gerät erfasst wurde.

Verwendet RFC 3339, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Nachkommastellen verwendet. Andere Offsets als „Z“ werden ebenfalls akzeptiert. Beispiele: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" oder "2014-10-02T15:01:23+05:30".
usageLogEvents[]

object (UsageLogEvent)

Die Liste der UsageLogEvent-Ereignisse, die vom Gerät gemeldet wurden, chronologisch nach der Ereigniszeit sortiert.

UsageLogEvent

Ein auf dem Gerät protokolliertes Ereignis.

JSON-Darstellung 
{
  "eventId": string,
  "eventTime": string,
  "eventType": enum (EventType),

  // Union field event can be only one of the following:
  "adbShellCommandEvent": {
    object (AdbShellCommandEvent)
  },
  "adbShellInteractiveEvent": {
    object (AdbShellInteractiveEvent)
  },
  "appProcessStartEvent": {
    object (AppProcessStartEvent)
  },
  "keyguardDismissedEvent": {
    object (KeyguardDismissedEvent)
  },
  "keyguardDismissAuthAttemptEvent": {
    object (KeyguardDismissAuthAttemptEvent)
  },
  "keyguardSecuredEvent": {
    object (KeyguardSecuredEvent)
  },
  "filePulledEvent": {
    object (FilePulledEvent)
  },
  "filePushedEvent": {
    object (FilePushedEvent)
  },
  "certAuthorityInstalledEvent": {
    object (CertAuthorityInstalledEvent)
  },
  "certAuthorityRemovedEvent": {
    object (CertAuthorityRemovedEvent)
  },
  "certValidationFailureEvent": {
    object (CertValidationFailureEvent)
  },
  "cryptoSelfTestCompletedEvent": {
    object (CryptoSelfTestCompletedEvent)
  },
  "keyDestructionEvent": {
    object (KeyDestructionEvent)
  },
  "keyGeneratedEvent": {
    object (KeyGeneratedEvent)
  },
  "keyImportEvent": {
    object (KeyImportEvent)
  },
  "keyIntegrityViolationEvent": {
    object (KeyIntegrityViolationEvent)
  },
  "loggingStartedEvent": {
    object (LoggingStartedEvent)
  },
  "loggingStoppedEvent": {
    object (LoggingStoppedEvent)
  },
  "logBufferSizeCriticalEvent": {
    object (LogBufferSizeCriticalEvent)
  },
  "mediaMountEvent": {
    object (MediaMountEvent)
  },
  "mediaUnmountEvent": {
    object (MediaUnmountEvent)
  },
  "osShutdownEvent": {
    object (OsShutdownEvent)
  },
  "osStartupEvent": {
    object (OsStartupEvent)
  },
  "remoteLockEvent": {
    object (RemoteLockEvent)
  },
  "wipeFailureEvent": {
    object (WipeFailureEvent)
  },
  "connectEvent": {
    object (ConnectEvent)
  },
  "dnsEvent": {
    object (DnsEvent)
  },
  "stopLostModeUserAttemptEvent": {
    object (StopLostModeUserAttemptEvent)
  },
  "lostModeOutgoingPhoneCallEvent": {
    object (LostModeOutgoingPhoneCallEvent)
  },
  "lostModeLocationEvent": {
    object (LostModeLocationEvent)
  },
  "enrollmentCompleteEvent": {
    object (EnrollmentCompleteEvent)
  },
  "backupServiceToggledEvent": {
    object (BackupServiceToggledEvent)
  }
  // End of list of possible types for union field event.
}
Felder
eventId

string (int64 format)

Eindeutige ID des Ereignisses.
eventTime

string (Timestamp format)

Gerätezeitstempel, der angibt, wann das Ereignis protokolliert wurde.

Verwendet RFC 3339, wobei die generierte Ausgabe immer Z-normalisiert ist und 0, 3, 6 oder 9 Nachkommastellen verwendet. Andere Offsets als „Z“ werden ebenfalls akzeptiert. Beispiele: "2014-10-02T15:01:23Z", "2014-10-02T15:01:23.045123456Z" oder "2014-10-02T15:01:23+05:30".
eventType

enum (EventType)

Der spezifische Nutzungslog-Ereignistyp, der auf dem Gerät gemeldet wurde. Damit wird bestimmt, auf welches event-Feld zugegriffen werden soll.
Union-Feld event. Arten von Ereignissen, die auf dem Gerät protokolliert werden. Weitere Informationen dazu, wann die einzelnen Ereignistypen gesendet werden, wann ein Ereignis protokolliert wird und welche Felder enthalten sind, finden Sie unter den jeweiligen Ereignistypen. Für event ist nur einer der folgenden Werte zulässig:
adbShellCommandEvent

object (AdbShellCommandEvent)

Über ADB wurde ein Shell-Befehl über „adb shell command“ ausgegeben. Teil von SECURITY_LOGS.
adbShellInteractiveEvent

object (AdbShellInteractiveEvent)

Eine interaktive ADB-Shell wurde über „adb shell“ geöffnet. Teil von SECURITY_LOGS.
appProcessStartEvent

object (AppProcessStartEvent)

Ein App-Prozess wurde gestartet. Teil von SECURITY_LOGS
keyguardDismissedEvent

object (KeyguardDismissedEvent)

Die Schlüsselbestätigung wurde geschlossen. Teil von SECURITY_LOGS
keyguardDismissAuthAttemptEvent

object (KeyguardDismissAuthAttemptEvent)

Es wurde versucht, das Gerät zu entsperren. Teil von SECURITY_LOGS
keyguardSecuredEvent

object (KeyguardSecuredEvent)

Das Gerät wurde entweder vom Nutzer oder aufgrund eines Zeitlimits gesperrt. Teil von SECURITY_LOGS
filePulledEvent

object (FilePulledEvent)

Eine Datei wurde vom Gerät heruntergeladen. Teil von SECURITY_LOGS
filePushedEvent

object (FilePushedEvent)

Eine Datei wurde auf das Gerät hochgeladen. Teil von SECURITY_LOGS
certAuthorityInstalledEvent

object (CertAuthorityInstalledEvent)

Ein neues Root-Zertifikat wurde im vertrauenswürdigen Anmeldedatenspeicher des Systems installiert. Teil von SECURITY_LOGS
certAuthorityRemovedEvent

object (CertAuthorityRemovedEvent)

Ein Root-Zertifikat wurde aus dem vertrauenswürdigen Anmeldedatenspeicher des Systems entfernt. Teil von SECURITY_LOGS
certValidationFailureEvent

object (CertValidationFailureEvent)

Die Validierung eines X.509v3-Zertifikats ist fehlgeschlagen. Diese Validierung wird derzeit auf dem WLAN-Zugangspunkt durchgeführt. Der Fehler kann auf eine Abweichung bei der Validierung des Serverzertifikats zurückzuführen sein. In Zukunft können jedoch auch andere Validierungsereignisse eines X.509v3-Zertifikats enthalten sein. Teil von SECURITY_LOGS
cryptoSelfTestCompletedEvent

object (CryptoSelfTestCompletedEvent)

Überprüft, ob die integrierte kryptografische Bibliothek von Android (BoringSSL) gültig ist. Sollte beim Starten des Geräts immer erfolgreich sein. Wenn dies fehlschlägt, sollte das Gerät als nicht vertrauenswürdig eingestuft werden. Teil von SECURITY_LOGS
keyDestructionEvent

object (KeyDestructionEvent)

Ein kryptografischer Schlüssel, einschließlich eines vom Nutzer installierten, eines vom Administrator installierten und eines vom System verwalteten privaten Schlüssels, wird entweder vom Nutzer oder von der Verwaltung vom Gerät entfernt. Teil von SECURITY_LOGS
keyGeneratedEvent

object (KeyGeneratedEvent)

Auf dem Gerät ist ein kryptografischer Schlüssel installiert, der entweder vom Nutzer oder von der Verwaltung installiert wurde. Dazu gehören vom Nutzer installierte, vom Administrator installierte und vom System verwaltete private Schlüssel. Teil von SECURITY_LOGS
keyImportEvent

object (KeyImportEvent)

Ein kryptografischer Schlüssel, einschließlich eines vom Nutzer installierten, vom Administrator installierten und vom System verwalteten privaten Schlüssels, wird entweder vom Nutzer oder von der Verwaltung auf das Gerät importiert. Teil von SECURITY_LOGS
keyIntegrityViolationEvent

object (KeyIntegrityViolationEvent)

Ein kryptografischer Schlüssel, einschließlich eines vom Nutzer installierten, vom Administrator installierten und vom System verwalteten privaten Schlüssels, ist aufgrund von Speicherbeschädigung, Hardwarefehler oder eines Betriebssystemproblems beschädigt. Teil von SECURITY_LOGS
loggingStartedEvent

object (LoggingStartedEvent)

Die Richtlinie „usageLog“ wurde aktiviert. Teil von SECURITY_LOGS
loggingStoppedEvent

object (LoggingStoppedEvent)

Die Richtlinie „usageLog“ wurde deaktiviert. Teil von SECURITY_LOGS
logBufferSizeCriticalEvent

object (LogBufferSizeCriticalEvent)

Der Audit-Log-Puffer hat 90% seiner Kapazität erreicht. Daher werden möglicherweise ältere Ereignisse gelöscht. Teil von SECURITY_LOGS
mediaMountEvent

object (MediaMountEvent)

Wechselmedien wurden eingebunden. Teil von SECURITY_LOGS
mediaUnmountEvent

object (MediaUnmountEvent)

Wechselmedien wurden ausgehängt. Teil von SECURITY_LOGS
osShutdownEvent

object (OsShutdownEvent)

Das Gerät wurde heruntergefahren. Teil von SECURITY_LOGS
osStartupEvent

object (OsStartupEvent)

Das Gerät wurde gestartet. Teil von SECURITY_LOGS
remoteLockEvent

object (RemoteLockEvent)

Das Gerät oder Profil wurde per Fernzugriff über den Befehl LOCK gesperrt. Teil von SECURITY_LOGS
wipeFailureEvent

object (WipeFailureEvent)

Das Arbeitsprofil oder das unternehmenseigene Gerät konnte bei der Anfrage nicht gelöscht werden. Dies kann vom Nutzer oder vom Administrator initiiert werden, z.B. durch den Empfang von delete. Teil von SECURITY_LOGS
connectEvent

object (ConnectEvent)

Ein TCP-Verbindungsereignis wurde über den Standardnetzwerk-Stack initiiert. Teil von NETWORK_ACTIVITY_LOGS
dnsEvent

object (DnsEvent)

Ein DNS-Lookup-Ereignis wurde über den Standard-Netzwerk-Stack initiiert. Teil von NETWORK_ACTIVITY_LOGS
stopLostModeUserAttemptEvent

object (StopLostModeUserAttemptEvent)

Es wurde versucht, ein Gerät aus dem Verloren-Modus zu entfernen.
lostModeOutgoingPhoneCallEvent

object (LostModeOutgoingPhoneCallEvent)

Ein ausgehender Anruf wurde getätigt, als sich ein Gerät im Verloren-Modus befand.
lostModeLocationEvent

object (LostModeLocationEvent)

Eine Standortaktualisierung im Verloren-Modus, wenn sich ein Gerät im Verloren-Modus befindet.
enrollmentCompleteEvent

object (EnrollmentCompleteEvent)

Die Registrierung des Geräts wurde abgeschlossen. Teil von AMAPI_LOGS
backupServiceToggledEvent

object (BackupServiceToggledEvent)

Ein Administrator hat den Sicherungsdienst aktiviert oder deaktiviert. Teil von SECURITY_LOGS

KeyguardDismissedEvent

Dieser Typ hat keine Felder.

Die Schlüsselbestätigung wurde geschlossen. Intentionally empty.

KeyguardDismissAuthAttemptEvent

Es wurde versucht, das Gerät zu entsperren.

JSON-Darstellung 
{
  "success": boolean,
  "strongAuthMethodUsed": boolean
}
Felder
success

boolean

Gibt an, ob der Entsperrversuch erfolgreich war.
strongAuthMethodUsed

boolean

Gibt an, ob zum Entsperren des Geräts eine starke Authentifizierung (Passwort, PIN oder Muster) verwendet wurde.

KeyguardSecuredEvent

Dieser Typ hat keine Felder.

Das Gerät wurde entweder vom Nutzer oder aufgrund eines Zeitlimits gesperrt. Intentionally empty.

FilePulledEvent

Eine Datei wurde vom Gerät heruntergeladen.

JSON-Darstellung 
{
  "filePath": string
}
Felder
filePath

string

Der Pfad der Datei, die abgerufen wird.

FilePushedEvent

Eine Datei wurde auf das Gerät hochgeladen.

JSON-Darstellung 
{
  "filePath": string
}
Felder
filePath

string

Der Pfad der Datei, die per Push übertragen wird.

CertAuthorityInstalledEvent

Ein neues Root-Zertifikat wurde im vertrauenswürdigen Anmeldedatenspeicher des Systems installiert. Diese Funktion ist geräteübergreifend auf vollständig verwalteten Geräten und im Arbeitsprofil auf unternehmenseigenen Geräten mit einem Arbeitsprofil verfügbar.

JSON-Darstellung 
{
  "certificate": string,
  "userId": integer,
  "success": boolean
}
Felder
certificate

string

Betreff des Zertifikats.
userId

integer

Der Nutzer, für den das Ereignis zur Zertifikatsinstallation aufgetreten ist. Nur für Geräte mit Android 11 und höher verfügbar.
success

boolean

Gibt an, ob das Installationsereignis erfolgreich war.

CertAuthorityRemovedEvent

Ein Root-Zertifikat wurde aus dem vertrauenswürdigen Anmeldedatenspeicher des Systems entfernt. Diese Funktion ist geräteübergreifend auf vollständig verwalteten Geräten und im Arbeitsprofil auf unternehmenseigenen Geräten mit einem Arbeitsprofil verfügbar.

JSON-Darstellung 
{
  "certificate": string,
  "userId": integer,
  "success": boolean
}
Felder
certificate

string

Betreff des Zertifikats.
userId

integer

Der Nutzer, bei dem das Ereignis zum Entfernen des Zertifikats aufgetreten ist. Nur für Geräte mit Android 11 und höher verfügbar.
success

boolean

Gibt an, ob die Entfernung erfolgreich war.

CertValidationFailureEvent

Die Validierung eines X.509v3-Zertifikats ist fehlgeschlagen. Diese Validierung wird derzeit auf dem WLAN-Zugangspunkt durchgeführt. Der Fehler kann auf eine Abweichung bei der Validierung des Serverzertifikats zurückzuführen sein. In Zukunft können jedoch auch andere Validierungsereignisse eines X.509v3-Zertifikats enthalten sein.

JSON-Darstellung 
{
  "failureReason": string
}
Felder
failureReason

string

Der Grund, warum die Zertifizierungsvalidierung fehlgeschlagen ist.

CryptoSelfTestCompletedEvent

Überprüft, ob die integrierte kryptografische Bibliothek von Android (BoringSSL) gültig ist. Sollte beim Starten des Geräts immer erfolgreich sein. Wenn dies fehlschlägt, sollte das Gerät als nicht vertrauenswürdig eingestuft werden.

JSON-Darstellung 
{
  "success": boolean
}
Felder
success

boolean

Gibt an, ob der Test erfolgreich war.

KeyDestructionEvent

Ein kryptografischer Schlüssel, einschließlich eines vom Nutzer installierten, eines vom Administrator installierten und eines vom System verwalteten privaten Schlüssels, wird entweder vom Nutzer oder von der Verwaltung vom Gerät entfernt. Diese Funktion ist geräteübergreifend auf vollständig verwalteten Geräten und im Arbeitsprofil auf unternehmenseigenen Geräten mit einem Arbeitsprofil verfügbar.

JSON-Darstellung 
{
  "keyAlias": string,
  "applicationUid": integer,
  "success": boolean
}
Felder
keyAlias

string

Alias des Schlüssels.
applicationUid

integer

UID der Anwendung, die den Schlüssel besitzt.
success

boolean

Gibt an, ob der Vorgang erfolgreich war.

KeyGeneratedEvent

Ein kryptografischer Schlüssel, einschließlich eines vom Nutzer, Administrator oder System installierten privaten Schlüssels, wird entweder vom Nutzer oder von der Verwaltung auf dem Gerät installiert.Er ist geräteübergreifend auf vollständig verwalteten Geräten und im Arbeitsprofil auf unternehmenseigenen Geräten mit einem Arbeitsprofil verfügbar.

JSON-Darstellung 
{
  "keyAlias": string,
  "applicationUid": integer,
  "success": boolean
}
Felder
keyAlias

string

Alias des Schlüssels.
applicationUid

integer

UID der Anwendung, die den Schlüssel generiert hat.
success

boolean

Gibt an, ob der Vorgang erfolgreich war.

KeyImportEvent

Ein kryptografischer Schlüssel, einschließlich eines vom Nutzer installierten, vom Administrator installierten und vom System verwalteten privaten Schlüssels, wird entweder vom Nutzer oder von der Verwaltung auf das Gerät importiert. Diese Funktion ist geräteübergreifend auf vollständig verwalteten Geräten und im Arbeitsprofil auf unternehmenseigenen Geräten mit einem Arbeitsprofil verfügbar.

JSON-Darstellung 
{
  "keyAlias": string,
  "applicationUid": integer,
  "success": boolean
}
Felder
keyAlias

string

Alias des Schlüssels.
applicationUid

integer

UID der Anwendung, die den Schlüssel importiert hat
success

boolean

Gibt an, ob der Vorgang erfolgreich war.

KeyIntegrityViolationEvent

Ein kryptografischer Schlüssel, einschließlich eines vom Nutzer installierten, vom Administrator installierten und vom System verwalteten privaten Schlüssels, ist aufgrund von Speicherbeschädigung, Hardwarefehler oder eines Betriebssystemproblems beschädigt. Diese Funktion ist geräteübergreifend auf vollständig verwalteten Geräten und im Arbeitsprofil auf unternehmenseigenen Geräten mit einem Arbeitsprofil verfügbar.

JSON-Darstellung 
{
  "keyAlias": string,
  "applicationUid": integer
}
Felder
keyAlias

string

Alias des Schlüssels.
applicationUid

integer

UID der Anwendung, zu der der Schlüssel gehört

LoggingStartedEvent

Dieser Typ hat keine Felder.

Die Richtlinie „usageLog“ wurde aktiviert. Intentionally empty.

LoggingStoppedEvent

Dieser Typ hat keine Felder.

Die Richtlinie „usageLog“ wurde deaktiviert. Intentionally empty.

LogBufferSizeCriticalEvent

Dieser Typ hat keine Felder.

Der usageLog-Puffer auf dem Gerät hat 90% seiner Kapazität erreicht. Daher werden ältere Ereignisse möglicherweise gelöscht. Intentionally empty.

MediaMountEvent

Wechselmedien wurden eingebunden.

JSON-Darstellung 
{
  "mountPoint": string,
  "volumeLabel": string
}
Felder
mountPoint

string

Bereitstellungspunkt.
volumeLabel

string

Volume-Label. Wird auf Geräten mit verwalteten Profilen, die der Organisation gehören, in einen leeren String umgewandelt.

MediaUnmountEvent

Wechselmedien wurden ausgehängt.

JSON-Darstellung 
{
  "mountPoint": string,
  "volumeLabel": string
}
Felder
mountPoint

string

Bereitstellungspunkt.
volumeLabel

string

Volume-Label. Wird auf Geräten mit verwalteten Profilen, die der Organisation gehören, in einen leeren String umgewandelt.

OsShutdownEvent

Dieser Typ hat keine Felder.

Das Gerät wurde heruntergefahren. Intentionally empty.

OsStartupEvent

Das Gerät wurde gestartet.

JSON-Darstellung 
{
  "verifiedBootState": enum (VerifiedBootState),
  "verityMode": enum (DmVerityMode)
}
Felder
verifiedBootState

enum (VerifiedBootState)

Status des verifizierten Bootmodus.
verityMode

enum (DmVerityMode)

dm-verity-Modus.

RemoteLockEvent

Das Gerät oder Profil wurde per Fernzugriff über den Befehl LOCK gesperrt.

JSON-Darstellung 
{
  "adminPackageName": string,
  "adminUserId": integer,
  "targetUserId": integer
}
Felder
adminPackageName

string

Paketname der Administrator-App, von der die Änderung angefordert wird.
adminUserId

integer

Nutzer-ID der Administrator-App, über die die Änderung angefordert wurde.
targetUserId

integer

Die Nutzer-ID, für die die Änderung angefordert wurde.

WipeFailureEvent

Dieser Typ hat keine Felder.

Das Arbeitsprofil oder das unternehmenseigene Gerät konnte bei der Anfrage nicht gelöscht werden. Dies kann vom Nutzer oder vom Administrator initiiert werden, z.B. durch den Empfang von delete. Intentionally empty.

ConnectEvent

Ein TCP-Verbindungsereignis wurde über den Standardnetzwerk-Stack initiiert.

JSON-Darstellung 
{
  "destinationIpAddress": string,
  "destinationPort": integer,
  "packageName": string
}
Felder
destinationIpAddress

string

Die Ziel-IP-Adresse des Verbindungsaufrufs.
destinationPort

integer

Der Zielport des Verbindungsaufrufs.
packageName

string

Der Paketname der UID, die den Verbindungsaufruf ausgeführt hat.

DnsEvent

Ein DNS-Lookup-Ereignis wurde über den Standard-Netzwerk-Stack initiiert.

JSON-Darstellung 
{
  "hostname": string,
  "ipAddresses": [
    string
  ],
  "totalIpAddressesReturned": string,
  "packageName": string
}
Felder
hostname

string

Der Hostname, der nachgeschlagen wurde.
ipAddresses[]

string

Die (möglicherweise gekürzte) Liste der IP-Adressen, die für die DNS-Suche zurückgegeben wurden (maximal 10 IPv4- oder IPv6-Adressen).
totalIpAddressesReturned

string (int64 format)

Die Anzahl der IP-Adressen, die vom DNS-Lookup-Ereignis zurückgegeben wurden. Kann höher sein als die Anzahl der IP-Adressen, wenn zu viele Adressen protokolliert werden mussten.
packageName

string

Der Paketname der UID, die den DNS-Lookup ausgeführt hat.

StopLostModeUserAttemptEvent

Ein Ereignis im Modus „Verloren“, das angibt, dass der Nutzer versucht hat, den Modus „Verloren“ zu beenden.

JSON-Darstellung 
{
  "status": enum (Status)
}
Felder
status

enum (Status)

Der Status des Versuchs, den Verloren-Modus zu beenden.

LostModeOutgoingPhoneCallEvent

Dieser Typ hat keine Felder.

Ein Ereignis, das angibt, dass ein ausgehender Anruf getätigt wurde, während sich ein Gerät im Verlustmodus befindet. Intentionally empty.

LostModeLocationEvent

Ein Ereignis im Modus „Verloren“, das den Standort des Geräts und den Akkustand in Prozent enthält.

JSON-Darstellung 
{
  "location": {
    object (Location)
  },
  "batteryLevel": integer
}
Felder
location

object (Location)

Gerätestandort
batteryLevel

integer

Der Akkustand als Zahl zwischen 0 und 100 (einschließlich)

Standort

Der Gerätestandort mit Breiten- und Längengrad.

JSON-Darstellung 
{
  "latitude": number,
  "longitude": number
}
Felder
latitude

number

Der Breitengrad des Standorts
longitude

number

Der Längengrad des Standorts

EnrollmentCompleteEvent

Dieser Typ hat keine Felder.

Gibt an, dass die Registrierung des Geräts abgeschlossen ist. Der Nutzer sollte sich jetzt im Launcher befinden. Das Gerät ist jetzt konform und alle Einrichtungsschritte wurden abgeschlossen. Intentionally empty.