Login Audit Activity Events

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Neste documento, listamos os eventos e parâmetros de vários tipos de eventos de atividade de auditoria de login. Para recuperar esses eventos, chame Activities.list() com applicationName=login.

A inscrição na verificação em duas etapas foi alterada

Eventos desse tipo são retornados com type=2sv_change.

Verificação em duas etapas desativada

Detalhes do evento
Nome do evento 2sv_disable
Exemplo de solicitação
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_disable&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato da mensagem do Admin Console
{actor} has disabled 2-step verification

Inscrição na verificação em duas etapas

Detalhes do evento
Nome do evento 2sv_enroll
Exemplo de solicitação
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato da mensagem do Admin Console
{actor} has enrolled for 2-step verification

Senha da conta alterada

Eventos desse tipo são retornados com type=password_change.

Mudança da senha da conta

Detalhes do evento
Nome do evento password_edit
Exemplo de solicitação
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=password_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato da mensagem do Admin Console
{actor} has changed Account password

Informações sobre recuperação de conta alteradas

Informações sobre recuperação de conta alteradas. Eventos desse tipo são retornados com type=recovery_info_change.

Mudança do e-mail de recuperação de conta

Detalhes do evento
Nome do evento recovery_email_edit
Exemplo de solicitação
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_email_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato da mensagem do Admin Console
{actor} has changed Account recovery email

Mudança do telefone de recuperação de conta

Detalhes do evento
Nome do evento recovery_phone_edit
Exemplo de solicitação
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_phone_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato da mensagem do Admin Console
{actor} has changed Account recovery phone

Mudança da pergunta/resposta secreta de recuperação de conta

Detalhes do evento
Nome do evento recovery_secret_qa_edit
Exemplo de solicitação
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_secret_qa_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato da mensagem do Admin Console
{actor} has changed Account recovery secret question/answer

Aviso da conta

Tipo de evento de aviso da conta. Eventos desse tipo são retornados com type=account_warning.

Senha vazada

A descrição de vazamento de senhas da conta foi desativada no evento de aviso.

Detalhes do evento
Nome do evento account_disabled_password_leak
Parâmetros
affected_email_address

string

Código do e-mail do usuário afetado pelo evento.

Exemplo de solicitação
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_password_leak&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato da mensagem do Admin Console
Account {affected_email_address} disabled because Google has become aware that someone else knows its password

Login suspeito bloqueado

Descrição de login suspeita do evento de aviso da conta.

Detalhes do evento
Nome do evento suspicious_login
Parâmetros
affected_email_address

string

Código do e-mail do usuário afetado pelo evento.

login_timestamp

integer

Hora do login do evento de aviso da conta em micros.

Exemplo de solicitação
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato da mensagem do Admin Console
Google has detected a suspicious login for {affected_email_address}

Login suspeito de um app menos seguro bloqueado

Descrição de app de login suspeito menos seguro no evento de aviso da conta.

Detalhes do evento
Nome do evento suspicious_login_less_secure_app
Parâmetros
affected_email_address

string

Código do e-mail do usuário afetado pelo evento.

login_timestamp

integer

Hora do login do evento de aviso da conta em micros.

Exemplo de solicitação
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login_less_secure_app&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato da mensagem do Admin Console
Google has detected a suspicious login for {affected_email_address} from a less secure app

Login programático suspeito bloqueado

Descrição do login programático suspeito do aviso de conta.

Detalhes do evento
Nome do evento suspicious_programmatic_login
Parâmetros
affected_email_address

string

Código do e-mail do usuário afetado pelo evento.

login_timestamp

integer

Hora do login do evento de aviso da conta em micros.

Exemplo de solicitação
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_programmatic_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato da mensagem do Admin Console
Google has detected a suspicious programmatic login for {affected_email_address}

Usuário suspenso

A descrição genérica da conta do evento de aviso da conta foi desativada.

Detalhes do evento
Nome do evento account_disabled_generic
Parâmetros
affected_email_address

string

Código do e-mail do usuário afetado pelo evento.

Exemplo de solicitação
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_generic&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato da mensagem do Admin Console
Account {affected_email_address} disabled

Usuário suspenso (spam por meio de redirecionamento)

A conta de evento de aviso da conta desativou a prática de spam por meio da descrição do redirecionamento.

Detalhes do evento
Nome do evento account_disabled_spamming_through_relay
Parâmetros
affected_email_address

string

Código do e-mail do usuário afetado pelo evento.

Exemplo de solicitação
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming_through_relay&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato da mensagem do Admin Console
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming through SMTP relay service

Usuário suspenso (spam)

A descrição de spam da conta de evento da conta foi desativada.

Detalhes do evento
Nome do evento account_disabled_spamming
Parâmetros
affected_email_address

string

Código do e-mail do usuário afetado pelo evento.

Exemplo de solicitação
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato da mensagem do Admin Console
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming

Usuário suspenso (atividade suspeita)

Descrição da conta invadida desativada pelo evento de aviso da conta.

Detalhes do evento
Nome do evento account_disabled_hijacked
Parâmetros
affected_email_address

string

Código do e-mail do usuário afetado pelo evento.

login_timestamp

integer

Hora do login do evento de aviso da conta em micros.

Exemplo de solicitação
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_hijacked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato da mensagem do Admin Console
Account {affected_email_address} disabled because Google has detected a suspicious activity indicating it might have been compromised

A inscrição na Proteção Avançada foi alterada

Eventos desse tipo são retornados com type=titanium_change.

Inscrição na Proteção Avançada

Detalhes do evento
Nome do evento titanium_enroll
Exemplo de solicitação
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato da mensagem do Admin Console
{actor} has enrolled for Advanced Protection

Cancelamento da inscrição na Proteção Avançada

Detalhes do evento
Nome do evento titanium_unenroll
Exemplo de solicitação
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_unenroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato da mensagem do Admin Console
{actor} has disabled Advanced Protection

Alerta de ataque

Tipo de evento de alerta de ataque. Eventos desse tipo são retornados com type=attack_warning.

Ataque apoiado pelo governo

Nome do evento de alerta de ataque apoiado pelo governo.

Detalhes do evento
Nome do evento gov_attack_warning
Exemplo de solicitação
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=gov_attack_warning&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato da mensagem do Admin Console
{actor} might have been targeted by government-backed attack

As configurações de encaminhamento de e-mail foram alteradas

Eventos desse tipo são retornados com type=email_forwarding_change.

Encaminhamento de e-mail fora do domínio ativado

Detalhes do evento
Nome do evento email_forwarding_out_of_domain
Exemplo de solicitação
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=email_forwarding_out_of_domain&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato da mensagem do Admin Console
{actor} has enabled out of domain email forwarding to {email_forwarding_destination_address}.

Fazer login

Tipo de evento de login. Eventos desse tipo são retornados com type=login.

Falha no login

Falha na tentativa de login.

Detalhes do evento
Nome do evento login_failure
Parâmetros
login_challenge_method

string

Método de desafio de login. Valores possíveis:

  • backup_code
    Solicita que o usuário digite um código de verificação extra.
  • google_authenticator
    Solicita que o usuário insira a OTP no app autenticador.
  • google_prompt
    Método de desafio de login solicitação do Google
  • idv_any_phone
    O usuário pediu um número de telefone e digita o código enviado para ele.
  • idv_preregistered_phone
    O usuário digita o código enviado para o smartphone pré-registrado.
  • internal_two_factor
    Método de desafio de login interno: dois fatores.
  • knowledge_employee_id
    ID de funcionário conhecido do desafio de login.
  • knowledge_preregistered_email
    O usuário comprova o conhecimento sobre o e-mail pré-registrado.
  • knowledge_preregistered_phone
    O usuário comprova conhecimento do smartphone pré-registrado.
  • login_location
    O usuário entra no local em que normalmente faz login.
  • none
    Nenhum desafio de login foi exibido.
  • offline_otp
    O usuário digita o código OTP recebido nas configurações do smartphone (somente Android).
  • other
    Outro método de desafio de login.
  • password
    Senha.
  • security_key
    O usuário passou no desafio criptográfico da chave de segurança.
  • security_key_otp
    OTP da chave de segurança do método de desafio de login.
login_failure_type

string

O motivo da falha no login. Valores possíveis:

  • login_failure_access_code_disallowed
    O usuário não tem permissão para fazer login no serviço.
  • login_failure_account_disabled
    A conta do usuário está desativada.
  • login_failure_invalid_password
    A senha do usuário era inválida.
  • login_failure_unknown
    Não se sabe o motivo da falha de login.
login_type

string

O tipo de credenciais usadas para tentar fazer login. Valores possíveis:

  • exchange
    O usuário fornece uma credencial existente e a troca por outro tipo, por exemplo, trocando um token OAuth por um SID. Pode indicar que o usuário já fez login em uma sessão e que as duas sessões foram mescladas.
  • google_password
    O usuário fornece uma senha da Conta do Google.
  • reauth
    O usuário já foi autenticado, mas precisa autorizar novamente.
  • saml
    O usuário fornece uma declaração SAML de um provedor de identidade SAML.
  • unknown
    Tipo de login desconhecido.
Exemplo de solicitação
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_failure&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato da mensagem do Admin Console
{actor} failed to login

Desafio de login

O login foi desafiado para confirmar a identidade do usuário. Os desafios de login encontrados durante uma sessão de login são agrupados em uma única entrada events. Por exemplo, se um usuário digitar uma senha incorreta duas vezes e digitar a senha correta, que é seguida por uma verificação em duas etapas usando uma chave de segurança, o campo events da resposta activities.list será semelhante a este:

"events": [
  {
    "type": "login",
    "name": "login_success",
    "parameters": [
      {
        "name": "login_type",
        "value": "google_password"
      },
      {
        "name": "login_challenge_method",
        "multiValue": [
          "password",
          "password",
          "password",
          "security_key"
        ]
      },
      {
        "name": "is_suspicious",
        "boolValue": false
      }
    ]
  }
]
Para mais informações sobre desafios de login, consulte Verificar a identidade de um usuário com segurança extra.

Detalhes do evento
Nome do evento login_challenge
Parâmetros
login_challenge_method

string

Método de desafio de login. Valores possíveis:

  • backup_code
    Solicita que o usuário digite um código de verificação extra.
  • google_authenticator
    Solicita que o usuário insira a OTP no app autenticador.
  • google_prompt
    Método de desafio de login solicitação do Google
  • idv_any_phone
    O usuário pediu um número de telefone e digita o código enviado para ele.
  • idv_preregistered_phone
    O usuário digita o código enviado para o smartphone pré-registrado.
  • internal_two_factor
    Método de desafio de login interno: dois fatores.
  • knowledge_employee_id
    ID de funcionário conhecido do desafio de login.
  • knowledge_preregistered_email
    O usuário comprova o conhecimento sobre o e-mail pré-registrado.
  • knowledge_preregistered_phone
    O usuário comprova conhecimento do smartphone pré-registrado.
  • login_location
    O usuário entra no local em que normalmente faz login.
  • none
    Nenhum desafio de login foi exibido.
  • offline_otp
    O usuário digita o código OTP recebido nas configurações do smartphone (somente Android).
  • other
    Outro método de desafio de login.
  • password
    Senha.
  • security_key
    O usuário passou no desafio criptográfico da chave de segurança.
  • security_key_otp
    OTP da chave de segurança do método de desafio de login.
login_challenge_status

string

Indica se o desafio de login foi concluído ou falhou, representado como "Desafio aprovado." e "Desafio com falha." respectivamente. Uma string vazia indica um status desconhecido.

login_type

string

O tipo de credenciais usadas para tentar fazer login. Valores possíveis:

  • exchange
    O usuário fornece uma credencial existente e a troca por outro tipo, por exemplo, trocando um token OAuth por um SID. Pode indicar que o usuário já fez login em uma sessão e que as duas sessões foram mescladas.
  • google_password
    O usuário fornece uma senha da Conta do Google.
  • reauth
    O usuário já foi autenticado, mas precisa autorizar novamente.
  • saml
    O usuário fornece uma declaração SAML de um provedor de identidade SAML.
  • unknown
    Tipo de login desconhecido.
Exemplo de solicitação
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_challenge&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato da mensagem do Admin Console
{actor} was presented with a login challenge

Verificação de login

Nome do evento de verificação de login.

Detalhes do evento
Nome do evento login_verification
Parâmetros
is_second_factor

boolean

Indica se a verificação de login é 2SV. Valores possíveis:

  • false
    Valor booleano falso.
  • true
    Valor booleano "true".
login_challenge_method

string

Método de desafio de login. Valores possíveis:

  • backup_code
    Solicita que o usuário digite um código de verificação extra.
  • google_authenticator
    Solicita que o usuário insira a OTP no app autenticador.
  • google_prompt
    Método de desafio de login solicitação do Google
  • idv_any_phone
    O usuário pediu um número de telefone e digita o código enviado para ele.
  • idv_preregistered_phone
    O usuário digita o código enviado para o smartphone pré-registrado.
  • internal_two_factor
    Método de desafio de login interno: dois fatores.
  • knowledge_employee_id
    ID de funcionário conhecido do desafio de login.
  • knowledge_preregistered_email
    O usuário comprova o conhecimento sobre o e-mail pré-registrado.
  • knowledge_preregistered_phone
    O usuário comprova conhecimento do smartphone pré-registrado.
  • login_location
    O usuário entra no local em que normalmente faz login.
  • none
    Nenhum desafio de login foi exibido.
  • offline_otp
    O usuário digita o código OTP recebido nas configurações do smartphone (somente Android).
  • other
    Outro método de desafio de login.
  • password
    Senha.
  • security_key
    O usuário passou no desafio criptográfico da chave de segurança.
  • security_key_otp
    OTP da chave de segurança do método de desafio de login.
login_challenge_status

string

Indica se o desafio de login foi concluído ou falhou, representado como "Desafio aprovado." e "Desafio com falha." respectivamente. Uma string vazia indica um status desconhecido.

login_type

string

O tipo de credenciais usadas para tentar fazer login. Valores possíveis:

  • exchange
    O usuário fornece uma credencial existente e a troca por outro tipo, por exemplo, trocando um token OAuth por um SID. Pode indicar que o usuário já fez login em uma sessão e que as duas sessões foram mescladas.
  • google_password
    O usuário fornece uma senha da Conta do Google.
  • reauth
    O usuário já foi autenticado, mas precisa autorizar novamente.
  • saml
    O usuário fornece uma declaração SAML de um provedor de identidade SAML.
  • unknown
    Tipo de login desconhecido.
Exemplo de solicitação
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_verification&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato da mensagem do Admin Console
{actor} was presented with login verification

Sair

O usuário saiu.

Detalhes do evento
Nome do evento logout
Parâmetros
login_type

string

O tipo de credenciais usadas para tentar fazer login. Valores possíveis:

  • exchange
    O usuário fornece uma credencial existente e a troca por outro tipo, por exemplo, trocando um token OAuth por um SID. Pode indicar que o usuário já fez login em uma sessão e que as duas sessões foram mescladas.
  • google_password
    O usuário fornece uma senha da Conta do Google.
  • reauth
    O usuário já foi autenticado, mas precisa autorizar novamente.
  • saml
    O usuário fornece uma declaração SAML de um provedor de identidade SAML.
  • unknown
    Tipo de login desconhecido.
Exemplo de solicitação
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=logout&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato da mensagem do Admin Console
{actor} logged out

Login bem-sucedido

A tentativa de login foi bem-sucedida.

Detalhes do evento
Nome do evento login_success
Parâmetros
is_suspicious

boolean

A tentativa de login tinha algumas características incomuns, por exemplo, o usuário fez login de um endereço IP desconhecido. Valores possíveis:

  • false
    Valor booleano falso.
  • true
    Valor booleano "true".
login_challenge_method

string

Método de desafio de login. Valores possíveis:

  • backup_code
    Solicita que o usuário digite um código de verificação extra.
  • google_authenticator
    Solicita que o usuário insira a OTP no app autenticador.
  • google_prompt
    Método de desafio de login solicitação do Google
  • idv_any_phone
    O usuário pediu um número de telefone e digita o código enviado para ele.
  • idv_preregistered_phone
    O usuário digita o código enviado para o smartphone pré-registrado.
  • internal_two_factor
    Método de desafio de login interno: dois fatores.
  • knowledge_employee_id
    ID de funcionário conhecido do desafio de login.
  • knowledge_preregistered_email
    O usuário comprova o conhecimento sobre o e-mail pré-registrado.
  • knowledge_preregistered_phone
    O usuário comprova conhecimento do smartphone pré-registrado.
  • login_location
    O usuário entra no local em que normalmente faz login.
  • none
    Nenhum desafio de login foi exibido.
  • offline_otp
    O usuário digita o código OTP recebido nas configurações do smartphone (somente Android).
  • other
    Outro método de desafio de login.
  • password
    Senha.
  • security_key
    O usuário passou no desafio criptográfico da chave de segurança.
  • security_key_otp
    OTP da chave de segurança do método de desafio de login.
login_type

string

O tipo de credenciais usadas para tentar fazer login. Valores possíveis:

  • exchange
    O usuário fornece uma credencial existente e a troca por outro tipo, por exemplo, trocando um token OAuth por um SID. Pode indicar que o usuário já fez login em uma sessão e que as duas sessões foram mescladas.
  • google_password
    O usuário fornece uma senha da Conta do Google.
  • reauth
    O usuário já foi autenticado, mas precisa autorizar novamente.
  • saml
    O usuário fornece uma declaração SAML de um provedor de identidade SAML.
  • unknown
    Tipo de login desconhecido.
Exemplo de solicitação
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_success&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato da mensagem do Admin Console
{actor} logged in