Login Audit Activity Events

Оптимизируйте свои подборки Сохраняйте и классифицируйте контент в соответствии со своими настройками.

В этом документе перечислены события и параметры для различных типов событий активности аудита входа. Вы можете получить эти события, вызвав Activity.list() с applicationName=login .

Регистрация двухэтапной аутентификации изменена

События этого типа возвращаются с type=2sv_change .

двухэтапная аутентификация отключена

Детали события
Название события 2sv_disable
Пример запроса
GET https://admin.googleapis.com /admin /reports /v1 /activity /users /all /applications / login ?eventName= 2sv_disable &maxResults=10 &access_token= YOUR_ACCESS_TOKEN
Формат сообщения консоли администратора
{actor} has disabled 2-step verification

двухэтапная аутентификация

Детали события
Название события 2sv_enroll
Пример запроса
GET https://admin.googleapis.com /admin /reports /v1 /activity /users /all /applications / login ?eventName= 2sv_enroll &maxResults=10 &access_token= YOUR_ACCESS_TOKEN
Формат сообщения консоли администратора
{actor} has enrolled for 2-step verification

Пароль учетной записи изменен

События этого типа возвращаются с type=password_change .

Смена пароля учетной записи

Детали события
Название события password_edit
Пример запроса
GET https://admin.googleapis.com /admin /reports /v1 /activity /users /all /applications / login ?eventName= password_edit &maxResults=10 &access_token= YOUR_ACCESS_TOKEN
Формат сообщения консоли администратора
{actor} has changed Account password

Информация для восстановления учетной записи изменена

Информация для восстановления учетной записи изменена. События этого типа возвращаются с type=recovery_info_change .

Изменение адреса электронной почты для восстановления аккаунта

Детали события
Название события recovery_email_edit
Пример запроса
GET https://admin.googleapis.com /admin /reports /v1 /activity /users /all /applications / login ?eventName= recovery_email_edit &maxResults=10 &access_token= YOUR_ACCESS_TOKEN
Формат сообщения консоли администратора
{actor} has changed Account recovery email

Смена телефона для восстановления аккаунта

Детали события
Название события recovery_phone_edit
Пример запроса
GET https://admin.googleapis.com /admin /reports /v1 /activity /users /all /applications / login ?eventName= recovery_phone_edit &maxResults=10 &access_token= YOUR_ACCESS_TOKEN
Формат сообщения консоли администратора
{actor} has changed Account recovery phone

Изменение секретного вопроса/ответа для восстановления учетной записи

Детали события
Название события recovery_secret_qa_edit
Пример запроса
GET https://admin.googleapis.com /admin /reports /v1 /activity /users /all /applications / login ?eventName= recovery_secret_qa_edit &maxResults=10 &access_token= YOUR_ACCESS_TOKEN
Формат сообщения консоли администратора
{actor} has changed Account recovery secret question/answer

Предупреждение об учетной записи

Тип события предупреждения учетной записи. События этого типа возвращаются с type=account_warning .

Утечка пароля

Описание утечки пароля, связанное с предупреждением об учетной записи.

Детали события
Название события account_disabled_password_leak
Параметры
affected_ email_ address

string

Email-id пользователя, затронутого событием.

Пример запроса
GET https://admin.googleapis.com /admin /reports /v1 /activity /users /all /applications / login ?eventName= account_disabled_password_leak &maxResults=10 &access_token= YOUR_ACCESS_TOKEN
Формат сообщения консоли администратора
Account {affected_email_address} disabled because Google has become aware that someone else knows its password

Подозрительный логин заблокирован

Описание события предупреждения учетной записи о подозрительном входе в систему.

Детали события
Название события suspicious_login
Параметры
affected_ email_ address

string

Email-id пользователя, затронутого событием.

login_ timestamp

integer

Время входа в аккаунт с предупреждением о событии в микрос.

Пример запроса
GET https://admin.googleapis.com /admin /reports /v1 /activity /users /all /applications / login ?eventName= suspicious_login &maxResults=10 &access_token= YOUR_ACCESS_TOKEN
Формат сообщения консоли администратора
Google has detected a suspicious login for {affected_email_address}

Подозрительный вход из менее безопасного приложения заблокирован

Предупреждение об учетной записи, подозрительный вход в систему, менее безопасное описание приложения.

Детали события
Название события suspicious_login_less_secure_app
Параметры
affected_ email_ address

string

Email-id пользователя, затронутого событием.

login_ timestamp

integer

Время входа в аккаунт с предупреждением о событии в микрос.

Пример запроса
GET https://admin.googleapis.com /admin /reports /v1 /activity /users /all /applications / login ?eventName= suspicious_login_less_secure_app &maxResults=10 &access_token= YOUR_ACCESS_TOKEN
Формат сообщения консоли администратора
Google has detected a suspicious login for {affected_email_address} from a less secure app

Подозрительный программный вход заблокирован

Описание события предупреждения учетной записи о подозрительном программном входе в систему.

Детали события
Название события suspicious_programmatic_login
Параметры
affected_ email_ address

string

Email-id пользователя, затронутого событием.

login_ timestamp

integer

Время входа в аккаунт с предупреждением о событии в микрос.

Пример запроса
GET https://admin.googleapis.com /admin /reports /v1 /activity /users /all /applications / login ?eventName= suspicious_programmatic_login &maxResults=10 &access_token= YOUR_ACCESS_TOKEN
Формат сообщения консоли администратора
Google has detected a suspicious programmatic login for {affected_email_address}

Пользователь заблокирован

Общее описание учетной записи с предупреждением о событии отключено.

Детали события
Название события account_disabled_generic
Параметры
affected_ email_ address

string

Email-id пользователя, затронутого событием.

Пример запроса
GET https://admin.googleapis.com /admin /reports /v1 /activity /users /all /applications / login ?eventName= account_disabled_generic &maxResults=10 &access_token= YOUR_ACCESS_TOKEN
Формат сообщения консоли администратора
Account {affected_email_address} disabled

Пользователь заблокирован (спам через реле)

Аккаунт предупреждает об отключении рассылки спама через описание ретрансляции.

Детали события
Название события account_disabled_spamming_through_relay
Параметры
affected_ email_ address

string

Email-id пользователя, затронутого событием.

Пример запроса
GET https://admin.googleapis.com /admin /reports /v1 /activity /users /all /applications / login ?eventName= account_disabled_spamming_through_relay &maxResults=10 &access_token= YOUR_ACCESS_TOKEN
Формат сообщения консоли администратора
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming through SMTP relay service

Пользователь заблокирован (спам)

Описание события «Предупреждение об учетной записи».

Детали события
Название события account_disabled_spamming
Параметры
affected_ email_ address

string

Email-id пользователя, затронутого событием.

Пример запроса
GET https://admin.googleapis.com /admin /reports /v1 /activity /users /all /applications / login ?eventName= account_disabled_spamming &maxResults=10 &access_token= YOUR_ACCESS_TOKEN
Формат сообщения консоли администратора
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming

Пользователь заблокирован (подозрительная активность)

Описание события «Предупреждение об учетной записи».

Детали события
Название события account_disabled_hijacked
Параметры
affected_ email_ address

string

Email-id пользователя, затронутого событием.

login_ timestamp

integer

Время входа в аккаунт с предупреждением о событии в микрос.

Пример запроса
GET https://admin.googleapis.com /admin /reports /v1 /activity /users /all /applications / login ?eventName= account_disabled_hijacked &maxResults=10 &access_token= YOUR_ACCESS_TOKEN
Формат сообщения консоли администратора
Account {affected_email_address} disabled because Google has detected a suspicious activity indicating it might have been compromised

Регистрация Дополнительной защиты изменена

События этого типа возвращаются с type=titanium_change .

Регистрация Дополнительной защиты

Детали события
Название события titanium_enroll
Пример запроса
GET https://admin.googleapis.com /admin /reports /v1 /activity /users /all /applications / login ?eventName= titanium_enroll &maxResults=10 &access_token= YOUR_ACCESS_TOKEN
Формат сообщения консоли администратора
{actor} has enrolled for Advanced Protection

Отменить регистрацию в Дополнительной защите

Детали события
Название события titanium_unenroll
Пример запроса
GET https://admin.googleapis.com /admin /reports /v1 /activity /users /all /applications / login ?eventName= titanium_unenroll &maxResults=10 &access_token= YOUR_ACCESS_TOKEN
Формат сообщения консоли администратора
{actor} has disabled Advanced Protection

Предупреждение об атаке

Тип события предупреждения об атаке. События этого типа возвращаются с type=attack_warning .

Атака при поддержке правительства

Название события, связанного с предупреждением о нападении, поддерживаемом правительством.

Детали события
Название события gov_attack_warning
Пример запроса
GET https://admin.googleapis.com /admin /reports /v1 /activity /users /all /applications / login ?eventName= gov_attack_warning &maxResults=10 &access_token= YOUR_ACCESS_TOKEN
Формат сообщения консоли администратора
{actor} might have been targeted by government-backed attack

Настройки переадресации электронной почты изменены

События этого типа возвращаются с type=email_forwarding_change .

Включена переадресация электронной почты за пределы домена

Детали события
Название события email_forwarding_out_of_domain
Пример запроса
GET https://admin.googleapis.com /admin /reports /v1 /activity /users /all /applications / login ?eventName= email_forwarding_out_of_domain &maxResults=10 &access_token= YOUR_ACCESS_TOKEN
Формат сообщения консоли администратора
{actor} has enabled out of domain email forwarding to {email_forwarding_destination_address} .

Авторизоваться

Тип события входа. События этого типа возвращаются с type=login .

Неудачный вход

Попытка входа не удалась.

Детали события
Название события login_failure
Параметры
login_ challenge_ method

string

Метод проверки входа. Возможные значения:

  • backup_code
    Просит пользователя ввести резервный проверочный код.
  • google_authenticator
    Просит пользователя ввести OTP из приложения-аутентификатора.
  • google_prompt
    Метод запроса входа в систему Google Prompt.
  • idv_any_phone
    Пользователь запросил номер телефона, а затем вводит код, отправленный на этот телефон.
  • idv_preregistered_phone
    Пользователь вводит код, отправленный на предварительно зарегистрированный телефон.
  • internal_two_factor
    Метод запроса входа в систему Внутренний двухфакторный.
  • knowledge_employee_id
    Метод запроса входа в систему Знание идентификатора сотрудника.
  • knowledge_preregistered_email
    Пользователь подтверждает знание предварительно зарегистрированной электронной почты.
  • knowledge_preregistered_phone
    Пользователь подтверждает знание предварительно зарегистрированного телефона.
  • login_location
    Пользователь входит оттуда, откуда обычно входит.
  • none
    Проблем со входом не было.
  • offline_otp
    Пользователь вводит OTP-код, который он получает в настройках своего телефона (только для Android).
  • other
    Метод вызова входа другой.
  • password
    Пароль.
  • security_key
    Пользователь проходит криптографическую проверку ключа безопасности.
  • security_key_otp
    Метод запроса входа в систему Ключ безопасности OTP.
login_ failure_ type

string

Причина неудачного входа в систему. Возможные значения:

  • login_failure_access_code_disallowed
    У пользователя нет разрешения на вход в службу.
  • login_failure_account_disabled
    Учетная запись пользователя отключена.
  • login_failure_invalid_password
    Пароль пользователя недействителен.
  • login_failure_unknown
    Причина сбоя входа в систему неизвестна.
login_ type

string

Тип учетных данных, используемых для попытки входа в систему. Возможные значения:

  • exchange
    Пользователь предоставляет существующие учетные данные и заменяет их на другой тип — например, заменяет токен OAuth на SID. Может указывать на то, что пользователь уже вошел в сеанс, и два сеанса были объединены.
  • google_password
    Пользователь предоставляет пароль учетной записи Google.
  • reauth
    Пользователь уже аутентифицирован, но должен авторизоваться повторно.
  • saml
    Пользователь предоставляет утверждение SAML от поставщика удостоверений SAML.
  • unknown
    Тип входа Неизвестный.
Пример запроса
GET https://admin.googleapis.com /admin /reports /v1 /activity /users /all /applications / login ?eventName= login_failure &maxResults=10 &access_token= YOUR_ACCESS_TOKEN
Формат сообщения консоли администратора
{actor} failed to login

Вход в систему

Был запрошен логин для подтверждения личности пользователя. Любые проблемы входа в систему, возникшие во время сеанса входа в систему, сгруппированы в одну запись events . Например, если пользователь дважды вводит неправильный пароль, затем вводит правильный пароль, после чего следует двухэтапная проверка с использованием ключа безопасности, поле events в activities.list activity.list выглядит следующим образом:

"events": [
  {
    "type": "login",
    "name": "login_success",
    "parameters": [
      {
        "name": "login_type",
        "value": "google_password"
      },
      {
        "name": "login_challenge_method",
        "multiValue": [
          "password",
          "password",
          "password",
          "security_key"
        ]
      },
      {
        "name": "is_suspicious",
        "boolValue": false
      }
    ]
  }
]
Дополнительные сведения о проблемах входа см. в разделе Проверка личности пользователя с дополнительной защитой .

Детали события
Название события login_challenge
Параметры
login_ challenge_ method

string

Метод проверки входа. Возможные значения:

  • backup_code
    Просит пользователя ввести резервный проверочный код.
  • google_authenticator
    Просит пользователя ввести OTP из приложения-аутентификатора.
  • google_prompt
    Метод запроса входа в систему Google Prompt.
  • idv_any_phone
    Пользователь запросил номер телефона, а затем вводит код, отправленный на этот телефон.
  • idv_preregistered_phone
    Пользователь вводит код, отправленный на предварительно зарегистрированный телефон.
  • internal_two_factor
    Метод запроса входа в систему Внутренний двухфакторный.
  • knowledge_employee_id
    Метод запроса входа в систему Знание идентификатора сотрудника.
  • knowledge_preregistered_email
    Пользователь подтверждает знание предварительно зарегистрированной электронной почты.
  • knowledge_preregistered_phone
    Пользователь подтверждает знание предварительно зарегистрированного телефона.
  • login_location
    Пользователь входит оттуда, откуда обычно входит.
  • none
    Проблем со входом не было.
  • offline_otp
    Пользователь вводит OTP-код, который он получает в настройках своего телефона (только для Android).
  • other
    Метод вызова входа другой.
  • password
    Пароль.
  • security_key
    Пользователь проходит криптографическую проверку ключа безопасности.
  • security_key_otp
    Метод запроса входа в систему Ключ безопасности OTP.
login_ challenge_ status

string

Независимо от того, был ли вызов входа успешным или неудачным, представлен как «Вызов пройден». и «Вызов не пройден». соответственно. Пустая строка указывает на неизвестный статус.

login_ type

string

Тип учетных данных, используемых для попытки входа в систему. Возможные значения:

  • exchange
    Пользователь предоставляет существующие учетные данные и заменяет их на другой тип — например, заменяет токен OAuth на SID. Может указывать на то, что пользователь уже вошел в сеанс, и два сеанса были объединены.
  • google_password
    Пользователь предоставляет пароль учетной записи Google.
  • reauth
    Пользователь уже аутентифицирован, но должен авторизоваться повторно.
  • saml
    Пользователь предоставляет утверждение SAML от поставщика удостоверений SAML.
  • unknown
    Тип входа Неизвестный.
Пример запроса
GET https://admin.googleapis.com /admin /reports /v1 /activity /users /all /applications / login ?eventName= login_challenge &maxResults=10 &access_token= YOUR_ACCESS_TOKEN
Формат сообщения консоли администратора
{actor} was presented with a login challenge

Подтверждение входа

Название события проверки входа.

Детали события
Название события login_verification
Параметры
is_ second_ factor

boolean

Является ли проверка входа двухэтапной. Возможные значения:

  • false
    Логическое значение false.
  • true
    Логическое значение истинно.
login_ challenge_ method

string

Метод проверки входа. Возможные значения:

  • backup_code
    Просит пользователя ввести резервный проверочный код.
  • google_authenticator
    Просит пользователя ввести OTP из приложения-аутентификатора.
  • google_prompt
    Метод запроса входа в систему Google Prompt.
  • idv_any_phone
    Пользователь запросил номер телефона, а затем вводит код, отправленный на этот телефон.
  • idv_preregistered_phone
    Пользователь вводит код, отправленный на предварительно зарегистрированный телефон.
  • internal_two_factor
    Метод запроса входа в систему Внутренний двухфакторный.
  • knowledge_employee_id
    Метод запроса входа в систему Знание идентификатора сотрудника.
  • knowledge_preregistered_email
    Пользователь подтверждает знание предварительно зарегистрированной электронной почты.
  • knowledge_preregistered_phone
    Пользователь подтверждает знание предварительно зарегистрированного телефона.
  • login_location
    Пользователь входит оттуда, откуда обычно входит.
  • none
    Проблем со входом не было.
  • offline_otp
    Пользователь вводит OTP-код, который он получает в настройках своего телефона (только для Android).
  • other
    Метод вызова входа другой.
  • password
    Пароль.
  • security_key
    Пользователь проходит криптографическую проверку ключа безопасности.
  • security_key_otp
    Метод запроса входа в систему Ключ безопасности OTP.
login_ challenge_ status

string

Независимо от того, был ли вызов входа успешным или неудачным, представлен как «Вызов пройден». и «Вызов не пройден». соответственно. Пустая строка указывает на неизвестный статус.

login_ type

string

Тип учетных данных, используемых для попытки входа в систему. Возможные значения:

  • exchange
    Пользователь предоставляет существующие учетные данные и заменяет их на другой тип — например, заменяет токен OAuth на SID. Может указывать на то, что пользователь уже вошел в сеанс, и два сеанса были объединены.
  • google_password
    Пользователь предоставляет пароль учетной записи Google.
  • reauth
    Пользователь уже аутентифицирован, но должен авторизоваться повторно.
  • saml
    Пользователь предоставляет утверждение SAML от поставщика удостоверений SAML.
  • unknown
    Тип входа Неизвестный.
Пример запроса
GET https://admin.googleapis.com /admin /reports /v1 /activity /users /all /applications / login ?eventName= login_verification &maxResults=10 &access_token= YOUR_ACCESS_TOKEN
Формат сообщения консоли администратора
{actor} was presented with login verification

Выйти

Пользователь вышел из системы.

Детали события
Название события logout
Параметры
login_ type

string

Тип учетных данных, используемых для попытки входа в систему. Возможные значения:

  • exchange
    Пользователь предоставляет существующие учетные данные и заменяет их на другой тип — например, заменяет токен OAuth на SID. Может указывать на то, что пользователь уже вошел в сеанс, и два сеанса были объединены.
  • google_password
    Пользователь предоставляет пароль учетной записи Google.
  • reauth
    Пользователь уже аутентифицирован, но должен авторизоваться повторно.
  • saml
    Пользователь предоставляет утверждение SAML от поставщика удостоверений SAML.
  • unknown
    Тип входа Неизвестный.
Пример запроса
GET https://admin.googleapis.com /admin /reports /v1 /activity /users /all /applications / login ?eventName= logout &maxResults=10 &access_token= YOUR_ACCESS_TOKEN
Формат сообщения консоли администратора
{actor} logged out

Успешный вход в систему

Попытка входа прошла успешно.

Детали события
Название события login_success
Параметры
is_ suspicious

boolean

Попытка входа в систему имела некоторые необычные характеристики, например, пользователь вошел с незнакомого IP-адреса. Возможные значения:

  • false
    Логическое значение false.
  • true
    Логическое значение истинно.
login_ challenge_ method

string

Метод проверки входа. Возможные значения:

  • backup_code
    Просит пользователя ввести резервный проверочный код.
  • google_authenticator
    Просит пользователя ввести OTP из приложения-аутентификатора.
  • google_prompt
    Метод запроса входа в систему Google Prompt.
  • idv_any_phone
    Пользователь запросил номер телефона, а затем вводит код, отправленный на этот телефон.
  • idv_preregistered_phone
    Пользователь вводит код, отправленный на предварительно зарегистрированный телефон.
  • internal_two_factor
    Метод запроса входа в систему Внутренний двухфакторный.
  • knowledge_employee_id
    Метод запроса входа в систему Знание идентификатора сотрудника.
  • knowledge_preregistered_email
    Пользователь подтверждает знание предварительно зарегистрированной электронной почты.
  • knowledge_preregistered_phone
    Пользователь подтверждает знание предварительно зарегистрированного телефона.
  • login_location
    Пользователь входит оттуда, откуда обычно входит.
  • none
    Проблем со входом не было.
  • offline_otp
    Пользователь вводит OTP-код, который он получает в настройках своего телефона (только для Android).
  • other
    Метод вызова входа другой.
  • password
    Пароль.
  • security_key
    Пользователь проходит криптографическую проверку ключа безопасности.
  • security_key_otp
    Метод запроса входа в систему Ключ безопасности OTP.
login_ type

string

Тип учетных данных, используемых для попытки входа в систему. Возможные значения:

  • exchange
    Пользователь предоставляет существующие учетные данные и заменяет их на другой тип — например, заменяет токен OAuth на SID. Может указывать на то, что пользователь уже вошел в сеанс, и два сеанса были объединены.
  • google_password
    Пользователь предоставляет пароль учетной записи Google.
  • reauth
    Пользователь уже аутентифицирован, но должен авторизоваться повторно.
  • saml
    Пользователь предоставляет утверждение SAML от поставщика удостоверений SAML.
  • unknown
    Тип входа Неизвестный.
Пример запроса
GET https://admin.googleapis.com /admin /reports /v1 /activity /users /all /applications / login ?eventName= login_success &maxResults=10 &access_token= YOUR_ACCESS_TOKEN
Формат сообщения консоли администратора
{actor} logged in