Login Audit Activity Events

En este documento, se enumeran los eventos y parámetros para varios tipos de eventos de actividad de auditoría de acceso. Para recuperar estos eventos, llama a Activities.list() con applicationName=login.

Se modificó la inscripción en la verificación en 2 pasos

Los eventos de este tipo se muestran con type=2sv_change.

Se inhabilitó la verificación en 2 pasos

Detalles del evento
Nombre del evento 2sv_disable
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_disable&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
{actor} has disabled 2-step verification

Inscripción en la verificación en 2 pasos

Detalles del evento
Nombre del evento 2sv_enroll
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
{actor} has enrolled for 2-step verification

Se cambió la contraseña de tu cuenta

Los eventos de este tipo se muestran con type=password_change.

Cambio de contraseña de la cuenta

Detalles del evento
Nombre del evento password_edit
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=password_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
{actor} has changed Account password

Se modificó la información de recuperación de la cuenta

Se modificó la información de recuperación de la cuenta. Los eventos de este tipo se muestran con type=recovery_info_change.

Cambio del correo de recuperación de la cuenta

Detalles del evento
Nombre del evento recovery_email_edit
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_email_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
{actor} has changed Account recovery email

Cambio de teléfono de recuperación de la cuenta

Detalles del evento
Nombre del evento recovery_phone_edit
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_phone_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
{actor} has changed Account recovery phone

Cambio de pregunta/respuesta secreta de recuperación de la cuenta

Detalles del evento
Nombre del evento recovery_secret_qa_edit
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_secret_qa_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
{actor} has changed Account recovery secret question/answer

Advertencia de la cuenta

Tipo de evento de advertencia de cuenta. Los eventos de este tipo se muestran con type=account_warning.

Contraseña filtrada

Descripción de la cuenta del evento de advertencia de la cuenta inhabilitada que se filtró la contraseña.

Detalles del evento
Nombre del evento account_disabled_password_leak
Parámetros
affected_email_address

string

ID de correo electrónico del usuario afectado por el evento

Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_password_leak&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
Account {affected_email_address} disabled because Google has become aware that someone else knows its password

Acceso sospechoso bloqueado

Descripción de acceso sospechoso a un evento de advertencia de cuenta.

Detalles del evento
Nombre del evento suspicious_login
Parámetros
affected_email_address

string

ID de correo electrónico del usuario afectado por el evento

login_timestamp

integer

Hora de acceso al evento de advertencia de la cuenta (en micros).

Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
Google has detected a suspicious login for {affected_email_address}

Acceso sospechoso desde app menos segura bloqueada

Descripción de app sospechosa: evento de advertencia de cuenta sospechosa.

Detalles del evento
Nombre del evento suspicious_login_less_secure_app
Parámetros
affected_email_address

string

ID de correo electrónico del usuario afectado por el evento

login_timestamp

integer

Hora de acceso al evento de advertencia de la cuenta (en micros).

Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login_less_secure_app&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
Google has detected a suspicious login for {affected_email_address} from a less secure app

Acceso sospechoso programático bloqueado

Descripción de acceso programático sospechoso de advertencia de cuenta.

Detalles del evento
Nombre del evento suspicious_programmatic_login
Parámetros
affected_email_address

string

ID de correo electrónico del usuario afectado por el evento

login_timestamp

integer

Hora de acceso al evento de advertencia de la cuenta (en micros).

Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_programmatic_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
Google has detected a suspicious programmatic login for {affected_email_address}

El usuario salió de su cuenta debido a una cookie de sesión sospechosa(evento de software malicioso del cortador de cookies).

Detalles del evento
Nombre del evento user_signed_out_due_to_suspicious_session_cookie
Parámetros
affected_email_address

string

ID de correo electrónico del usuario afectado por el evento

Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=user_signed_out_due_to_suspicious_session_cookie&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
Suspicious session cookie detected for user {affected_email_address}

Usuario suspendido

Se inhabilitó la descripción genérica de la cuenta del evento de advertencia de la cuenta.

Detalles del evento
Nombre del evento account_disabled_generic
Parámetros
affected_email_address

string

ID de correo electrónico del usuario afectado por el evento

Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_generic&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
Account {affected_email_address} disabled

Usuario suspendido (spam mediante retransmisión)

La cuenta del evento de advertencia de la cuenta inhabilitó el envío de spam a través de la descripción de la retransmisión.

Detalles del evento
Nombre del evento account_disabled_spamming_through_relay
Parámetros
affected_email_address

string

ID de correo electrónico del usuario afectado por el evento

Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming_through_relay&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming through SMTP relay service

Usuario suspendido (spam)

La cuenta del evento de advertencia de cuenta inhabilitó la descripción de generación de spam.

Detalles del evento
Nombre del evento account_disabled_spamming
Parámetros
affected_email_address

string

ID de correo electrónico del usuario afectado por el evento

Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming

Usuario suspendido (actividad sospechosa)

La descripción del evento de advertencia de cuenta inhabilitó la descripción vulnerada.

Detalles del evento
Nombre del evento account_disabled_hijacked
Parámetros
affected_email_address

string

ID de correo electrónico del usuario afectado por el evento

login_timestamp

integer

Hora de acceso al evento de advertencia de la cuenta (en micros).

Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_hijacked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
Account {affected_email_address} disabled because Google has detected a suspicious activity indicating it might have been compromised

Se modificó la inscripción a la Protección avanzada

Los eventos de este tipo se muestran con type=titanium_change.

Inscripción en Protección avanzada

Detalles del evento
Nombre del evento titanium_enroll
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
{actor} has enrolled for Advanced Protection

Baja de Protección avanzada

Detalles del evento
Nombre del evento titanium_unenroll
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_unenroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
{actor} has disabled Advanced Protection

Advertencia de ataque

Tipo de evento de advertencia de ataque Los eventos de este tipo se muestran con type=attack_warning.

Ataque respaldado por un gobierno

Nombre del evento de advertencia de ataque respaldado por un gobierno.

Detalles del evento
Nombre del evento gov_attack_warning
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=gov_attack_warning&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
{actor} might have been targeted by government-backed attack

Se cambió la configuración del remitente bloqueado

Los eventos de este tipo se muestran con type=blocked_sender_change.

Se bloquearon todos los correos electrónicos futuros del remitente.

Dirección de correo electrónico bloqueada

Detalles del evento
Nombre del evento blocked_sender
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=blocked_sender&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
{actor} has blocked all future messages from {affected_email_address}.

Se cambió la configuración de reenvío de correo electrónico

Los eventos de este tipo se muestran con type=email_forwarding_change.

Se habilitó el reenvío de correo electrónico fuera del dominio

Detalles del evento
Nombre del evento email_forwarding_out_of_domain
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=email_forwarding_out_of_domain&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
{actor} has enabled out of domain email forwarding to {email_forwarding_destination_address}.

Acceder

Tipo de evento de acceso. Los eventos de este tipo se muestran con type=login.

Acceso fallido

No se pudo acceder.

Detalles del evento
Nombre del evento login_failure
Parámetros
login_challenge_method

string

Método de verificación de identidad. Valores posibles:

  • backup_code
    Le pide al usuario que ingrese un código de verificación alternativo.
  • google_authenticator
    Le pide al usuario que ingrese la OTP de la app del autenticador.
  • google_prompt
    Mensaje de Google sobre el método de verificación de identidad.
  • idv_any_phone
    El usuario solicitó un número de teléfono y, luego, ingresó el código que se envió a ese teléfono.
  • idv_preregistered_phone
    El usuario ingresa el código que se envió a su teléfono registrado previamente.
  • internal_two_factor
    Método de verificación de acceso interno de dos factores.
  • knowledge_employee_id
    ID de desafío del Método de verificación de identidad.
  • knowledge_preregistered_email
    El usuario demuestra que conoce el correo electrónico registrado previamente.
  • knowledge_preregistered_phone
    El usuario demuestra que conoce el teléfono registrado previamente.
  • login_location
    El usuario ingresa desde donde suele acceder.
  • none
    No se enfrentó la verificación de identidad.
  • offline_otp
    El usuario ingresa el código OTP que recibe de la configuración de su teléfono (solo para Android).
  • other
    Otro método de verificación de identidad.
  • password
    Contraseña.
  • security_key
    El usuario pasa el desafío criptográfico de la llave de seguridad.
  • security_key_otp
    Método de verificación de identidad para la llave de seguridad OTP.
login_failure_type

string

El motivo del error de acceso. Valores posibles:

  • login_failure_access_code_disallowed
    El usuario no tiene permiso para acceder al servicio.
  • login_failure_account_disabled
    Se inhabilitó la cuenta del usuario.
  • login_failure_invalid_password
    La contraseña del usuario no es válida.
  • login_failure_unknown
    No se conoce el motivo del error de acceso.
login_type

string

Es el tipo de credenciales que se usan para intentar acceder. Valores posibles:

  • exchange
    El usuario proporciona una credencial existente y la cambia por otro tipo; por ejemplo, intercambia un token de OAuth por un SID. Puede indicar que el usuario ya accedió a una sesión y que las dos sesiones se combinaron.
  • google_password
    El usuario proporciona una contraseña de la Cuenta de Google.
  • reauth
    El usuario ya está autenticado, pero debe volver a autorizarlo.
  • saml
    El usuario proporciona una aserción de SAML de un proveedor de identidad de SAML.
  • unknown
    Tipo de acceso Desconocido
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_failure&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
{actor} failed to login

Verificación de identidad

Se impugnó el acceso para verificar la identidad del usuario. Todos los desafíos de acceso que se encuentren durante una sesión de acceso se agrupan en una sola entrada events. Por ejemplo, si un usuario ingresa una contraseña incorrecta dos veces y, luego, ingresa la contraseña correcta, seguida de una verificación en dos pasos con una llave de seguridad, el campo events de la respuesta activities.list se ve de la siguiente manera:

"events": [
  {
    "type": "login",
    "name": "login_success",
    "parameters": [
      {
        "name": "login_type",
        "value": "google_password"
      },
      {
        "name": "login_challenge_method",
        "multiValue": [
          "password",
          "password",
          "password",
          "security_key"
        ]
      },
      {
        "name": "is_suspicious",
        "boolValue": false
      }
    ]
  }
]
Para obtener más información sobre las verificaciones de acceso, consulta Cómo verificar la identidad de un usuario con seguridad adicional.

Detalles del evento
Nombre del evento login_challenge
Parámetros
login_challenge_method

string

Método de verificación de identidad. Valores posibles:

  • backup_code
    Le pide al usuario que ingrese un código de verificación alternativo.
  • google_authenticator
    Le pide al usuario que ingrese la OTP de la app del autenticador.
  • google_prompt
    Mensaje de Google sobre el método de verificación de identidad.
  • idv_any_phone
    El usuario solicitó un número de teléfono y, luego, ingresó el código que se envió a ese teléfono.
  • idv_preregistered_phone
    El usuario ingresa el código que se envió a su teléfono registrado previamente.
  • internal_two_factor
    Método de verificación de acceso interno de dos factores.
  • knowledge_employee_id
    ID de desafío del Método de verificación de identidad.
  • knowledge_preregistered_email
    El usuario demuestra que conoce el correo electrónico registrado previamente.
  • knowledge_preregistered_phone
    El usuario demuestra que conoce el teléfono registrado previamente.
  • login_location
    El usuario ingresa desde donde suele acceder.
  • none
    No se enfrentó la verificación de identidad.
  • offline_otp
    El usuario ingresa el código OTP que recibe de la configuración de su teléfono (solo para Android).
  • other
    Otro método de verificación de identidad.
  • password
    Contraseña.
  • security_key
    El usuario pasa el desafío criptográfico de la llave de seguridad.
  • security_key_otp
    Método de verificación de identidad para la llave de seguridad OTP.
login_challenge_status

string

Indica si el desafío de acceso se completó correctamente o no, y se muestra como "Desafío aprobado" y "Falló la verificación", respectivamente. Una string vacía indica un estado desconocido.

login_type

string

Es el tipo de credenciales que se usan para intentar acceder. Valores posibles:

  • exchange
    El usuario proporciona una credencial existente y la cambia por otro tipo; por ejemplo, intercambia un token de OAuth por un SID. Puede indicar que el usuario ya accedió a una sesión y que las dos sesiones se combinaron.
  • google_password
    El usuario proporciona una contraseña de la Cuenta de Google.
  • reauth
    El usuario ya está autenticado, pero debe volver a autorizarlo.
  • saml
    El usuario proporciona una aserción de SAML de un proveedor de identidad de SAML.
  • unknown
    Tipo de acceso Desconocido
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_challenge&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
{actor} was presented with a login challenge

Verificación de acceso

Nombre del evento de verificación de acceso.

Detalles del evento
Nombre del evento login_verification
Parámetros
is_second_factor

boolean

Si la verificación de acceso es 2SV. Valores posibles:

  • false
    Valor booleano booleano false.
  • true
    Valor booleano.
login_challenge_method

string

Método de verificación de identidad. Valores posibles:

  • backup_code
    Le pide al usuario que ingrese un código de verificación alternativo.
  • google_authenticator
    Le pide al usuario que ingrese la OTP de la app del autenticador.
  • google_prompt
    Mensaje de Google sobre el método de verificación de identidad.
  • idv_any_phone
    El usuario solicitó un número de teléfono y, luego, ingresó el código que se envió a ese teléfono.
  • idv_preregistered_phone
    El usuario ingresa el código que se envió a su teléfono registrado previamente.
  • internal_two_factor
    Método de verificación de acceso interno de dos factores.
  • knowledge_employee_id
    ID de desafío del Método de verificación de identidad.
  • knowledge_preregistered_email
    El usuario demuestra que conoce el correo electrónico registrado previamente.
  • knowledge_preregistered_phone
    El usuario demuestra que conoce el teléfono registrado previamente.
  • login_location
    El usuario ingresa desde donde suele acceder.
  • none
    No se enfrentó la verificación de identidad.
  • offline_otp
    El usuario ingresa el código OTP que recibe de la configuración de su teléfono (solo para Android).
  • other
    Otro método de verificación de identidad.
  • password
    Contraseña.
  • security_key
    El usuario pasa el desafío criptográfico de la llave de seguridad.
  • security_key_otp
    Método de verificación de identidad para la llave de seguridad OTP.
login_challenge_status

string

Indica si el desafío de acceso se completó correctamente o no, y se muestra como "Desafío aprobado" y "Falló la verificación", respectivamente. Una string vacía indica un estado desconocido.

login_type

string

Es el tipo de credenciales que se usan para intentar acceder. Valores posibles:

  • exchange
    El usuario proporciona una credencial existente y la cambia por otro tipo; por ejemplo, intercambia un token de OAuth por un SID. Puede indicar que el usuario ya accedió a una sesión y que las dos sesiones se combinaron.
  • google_password
    El usuario proporciona una contraseña de la Cuenta de Google.
  • reauth
    El usuario ya está autenticado, pero debe volver a autorizarlo.
  • saml
    El usuario proporciona una aserción de SAML de un proveedor de identidad de SAML.
  • unknown
    Tipo de acceso Desconocido
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_verification&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
{actor} was presented with login verification

Cerrar sesión

El usuario salió.

Detalles del evento
Nombre del evento logout
Parámetros
login_type

string

Es el tipo de credenciales que se usan para intentar acceder. Valores posibles:

  • exchange
    El usuario proporciona una credencial existente y la cambia por otro tipo; por ejemplo, intercambia un token de OAuth por un SID. Puede indicar que el usuario ya accedió a una sesión y que las dos sesiones se combinaron.
  • google_password
    El usuario proporciona una contraseña de la Cuenta de Google.
  • reauth
    El usuario ya está autenticado, pero debe volver a autorizarlo.
  • saml
    El usuario proporciona una aserción de SAML de un proveedor de identidad de SAML.
  • unknown
    Tipo de acceso Desconocido
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=logout&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
{actor} logged out

Se permite una acción sensible

Detalles del evento
Nombre del evento risky_sensitive_action_allowed
Parámetros
is_suspicious

boolean

El intento de acceso tuvo algunas características inusuales, por ejemplo, el usuario accedió desde una dirección IP desconocida. Valores posibles:

  • false
    Valor booleano booleano false.
  • true
    Valor booleano.
login_challenge_method

string

Método de verificación de identidad. Valores posibles:

  • backup_code
    Le pide al usuario que ingrese un código de verificación alternativo.
  • google_authenticator
    Le pide al usuario que ingrese la OTP de la app del autenticador.
  • google_prompt
    Mensaje de Google sobre el método de verificación de identidad.
  • idv_any_phone
    El usuario solicitó un número de teléfono y, luego, ingresó el código que se envió a ese teléfono.
  • idv_preregistered_phone
    El usuario ingresa el código que se envió a su teléfono registrado previamente.
  • internal_two_factor
    Método de verificación de acceso interno de dos factores.
  • knowledge_employee_id
    ID de desafío del Método de verificación de identidad.
  • knowledge_preregistered_email
    El usuario demuestra que conoce el correo electrónico registrado previamente.
  • knowledge_preregistered_phone
    El usuario demuestra que conoce el teléfono registrado previamente.
  • login_location
    El usuario ingresa desde donde suele acceder.
  • none
    No se enfrentó la verificación de identidad.
  • offline_otp
    El usuario ingresa el código OTP que recibe de la configuración de su teléfono (solo para Android).
  • other
    Otro método de verificación de identidad.
  • password
    Contraseña.
  • security_key
    El usuario pasa el desafío criptográfico de la llave de seguridad.
  • security_key_otp
    Método de verificación de identidad para la llave de seguridad OTP.
login_challenge_status

string

Indica si el desafío de acceso se completó correctamente o no, y se muestra como "Desafío aprobado" y "Falló la verificación", respectivamente. Una string vacía indica un estado desconocido.

login_type

string

Es el tipo de credenciales que se usan para intentar acceder. Valores posibles:

  • exchange
    El usuario proporciona una credencial existente y la cambia por otro tipo; por ejemplo, intercambia un token de OAuth por un SID. Puede indicar que el usuario ya accedió a una sesión y que las dos sesiones se combinaron.
  • google_password
    El usuario proporciona una contraseña de la Cuenta de Google.
  • reauth
    El usuario ya está autenticado, pero debe volver a autorizarlo.
  • saml
    El usuario proporciona una aserción de SAML de un proveedor de identidad de SAML.
  • unknown
    Tipo de acceso Desconocido
sensitive_action_name

string

Descripción del nombre de una acción sensible en un evento riesgoso de acción sensible.

Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_allowed&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
{actor} was permitted to take the action: {sensitive_action_name}.

Se bloqueó una acción sensible

Detalles del evento
Nombre del evento risky_sensitive_action_blocked
Parámetros
is_suspicious

boolean

El intento de acceso tuvo algunas características inusuales, por ejemplo, el usuario accedió desde una dirección IP desconocida. Valores posibles:

  • false
    Valor booleano booleano false.
  • true
    Valor booleano.
login_challenge_method

string

Método de verificación de identidad. Valores posibles:

  • backup_code
    Le pide al usuario que ingrese un código de verificación alternativo.
  • google_authenticator
    Le pide al usuario que ingrese la OTP de la app del autenticador.
  • google_prompt
    Mensaje de Google sobre el método de verificación de identidad.
  • idv_any_phone
    El usuario solicitó un número de teléfono y, luego, ingresó el código que se envió a ese teléfono.
  • idv_preregistered_phone
    El usuario ingresa el código que se envió a su teléfono registrado previamente.
  • internal_two_factor
    Método de verificación de acceso interno de dos factores.
  • knowledge_employee_id
    ID de desafío del Método de verificación de identidad.
  • knowledge_preregistered_email
    El usuario demuestra que conoce el correo electrónico registrado previamente.
  • knowledge_preregistered_phone
    El usuario demuestra que conoce el teléfono registrado previamente.
  • login_location
    El usuario ingresa desde donde suele acceder.
  • none
    No se enfrentó la verificación de identidad.
  • offline_otp
    El usuario ingresa el código OTP que recibe de la configuración de su teléfono (solo para Android).
  • other
    Otro método de verificación de identidad.
  • password
    Contraseña.
  • security_key
    El usuario pasa el desafío criptográfico de la llave de seguridad.
  • security_key_otp
    Método de verificación de identidad para la llave de seguridad OTP.
login_challenge_status

string

Indica si el desafío de acceso se completó correctamente o no, y se muestra como "Desafío aprobado" y "Falló la verificación", respectivamente. Una string vacía indica un estado desconocido.

login_type

string

Es el tipo de credenciales que se usan para intentar acceder. Valores posibles:

  • exchange
    El usuario proporciona una credencial existente y la cambia por otro tipo; por ejemplo, intercambia un token de OAuth por un SID. Puede indicar que el usuario ya accedió a una sesión y que las dos sesiones se combinaron.
  • google_password
    El usuario proporciona una contraseña de la Cuenta de Google.
  • reauth
    El usuario ya está autenticado, pero debe volver a autorizarlo.
  • saml
    El usuario proporciona una aserción de SAML de un proveedor de identidad de SAML.
  • unknown
    Tipo de acceso Desconocido
sensitive_action_name

string

Descripción del nombre de una acción sensible en un evento riesgoso de acción sensible.

Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_blocked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
{actor} was blocked from the action: {sensitive_action_name}. Their session was risky and identity couldn’t be verified.

Acceso correcto

Un intento de acceso se realizó correctamente.

Detalles del evento
Nombre del evento login_success
Parámetros
is_suspicious

boolean

El intento de acceso tuvo algunas características inusuales, por ejemplo, el usuario accedió desde una dirección IP desconocida. Valores posibles:

  • false
    Valor booleano booleano false.
  • true
    Valor booleano.
login_challenge_method

string

Método de verificación de identidad. Valores posibles:

  • backup_code
    Le pide al usuario que ingrese un código de verificación alternativo.
  • google_authenticator
    Le pide al usuario que ingrese la OTP de la app del autenticador.
  • google_prompt
    Mensaje de Google sobre el método de verificación de identidad.
  • idv_any_phone
    El usuario solicitó un número de teléfono y, luego, ingresó el código que se envió a ese teléfono.
  • idv_preregistered_phone
    El usuario ingresa el código que se envió a su teléfono registrado previamente.
  • internal_two_factor
    Método de verificación de acceso interno de dos factores.
  • knowledge_employee_id
    ID de desafío del Método de verificación de identidad.
  • knowledge_preregistered_email
    El usuario demuestra que conoce el correo electrónico registrado previamente.
  • knowledge_preregistered_phone
    El usuario demuestra que conoce el teléfono registrado previamente.
  • login_location
    El usuario ingresa desde donde suele acceder.
  • none
    No se enfrentó la verificación de identidad.
  • offline_otp
    El usuario ingresa el código OTP que recibe de la configuración de su teléfono (solo para Android).
  • other
    Otro método de verificación de identidad.
  • password
    Contraseña.
  • security_key
    El usuario pasa el desafío criptográfico de la llave de seguridad.
  • security_key_otp
    Método de verificación de identidad para la llave de seguridad OTP.
login_type

string

Es el tipo de credenciales que se usan para intentar acceder. Valores posibles:

  • exchange
    El usuario proporciona una credencial existente y la cambia por otro tipo; por ejemplo, intercambia un token de OAuth por un SID. Puede indicar que el usuario ya accedió a una sesión y que las dos sesiones se combinaron.
  • google_password
    El usuario proporciona una contraseña de la Cuenta de Google.
  • reauth
    El usuario ya está autenticado, pero debe volver a autorizarlo.
  • saml
    El usuario proporciona una aserción de SAML de un proveedor de identidad de SAML.
  • unknown
    Tipo de acceso Desconocido
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_success&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato de mensajes de la Consola del administrador
{actor} logged in