Login Audit Activity Events

本文档列出了各种类型的登录审核活动事件的事件和参数。您可以通过使用 applicationName=login 调用 Activities.list() 来检索这些事件。

两步验证注册已更改

此类型的事件会返回 type=2sv_change

两步验证停用

活动详情
活动名称 2sv_disable
示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_disable&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
{actor} has disabled 2-step verification

两步验证注册

活动详情
活动名称 2sv_enroll
示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
{actor} has enrolled for 2-step verification

帐号密码已更改

此类型的事件会返回 type=password_change

帐号密码更改

活动详情
活动名称 password_edit
示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=password_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
{actor} has changed Account password

帐号恢复信息已更改

帐号恢复信息已更改。 此类型的事件会返回 type=recovery_info_change

帐号恢复辅助邮箱更改

活动详情
活动名称 recovery_email_edit
示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_email_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
{actor} has changed Account recovery email

帐号恢复辅助电话号码更改

活动详情
活动名称 recovery_phone_edit
示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_phone_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
{actor} has changed Account recovery phone

帐号恢复保密问题/答案更改

活动详情
活动名称 recovery_secret_qa_edit
示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_secret_qa_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
{actor} has changed Account recovery secret question/answer

帐号警告

帐号警告事件类型。 此类型的事件会返回 type=account_warning

密码泄露

帐号警告事件(帐号密码泄露)说明。

活动详情
活动名称 account_disabled_password_leak
参数
affected_email_address

string

受该事件影响的用户的电子邮件地址。

示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_password_leak&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
Account {affected_email_address} disabled because Google has become aware that someone else knows its password

已阻止可疑登录

帐号警告事件可疑登录说明。

活动详情
活动名称 suspicious_login
参数
affected_email_address

string

受该事件影响的用户的电子邮件地址。

login_timestamp

integer

帐号警告事件的登录时间(以百万分之一为单位)。

示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
Google has detected a suspicious login for {affected_email_address}

已阻止使用安全性较低的应用进行的可疑登录

帐号警告事件(可疑登录:安全性较低的应用)。

活动详情
活动名称 suspicious_login_less_secure_app
参数
affected_email_address

string

受该事件影响的用户的电子邮件地址。

login_timestamp

integer

帐号警告事件的登录时间(以百万分之一为单位)。

示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login_less_secure_app&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
Google has detected a suspicious login for {affected_email_address} from a less secure app

阻止了通过程序化方式进行的可疑登录

帐号警告事件可疑的程序化登录说明。

活动详情
活动名称 suspicious_programmatic_login
参数
affected_email_address

string

受该事件影响的用户的电子邮件地址。

login_timestamp

integer

帐号警告事件的登录时间(以百万分之一为单位)。

示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_programmatic_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
Google has detected a suspicious programmatic login for {affected_email_address}

用户因可疑的 Cookie 会话(Cookie Cutter 恶意软件事件)而退出帐号。

活动详情
活动名称 user_signed_out_due_to_suspicious_session_cookie
参数
affected_email_address

string

受该事件影响的用户的电子邮件地址。

示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=user_signed_out_due_to_suspicious_session_cookie&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
Suspicious session cookie detected for user {affected_email_address}

用户被暂停

帐号警告事件(帐号被停用的一般说明)。

活动详情
活动名称 account_disabled_generic
参数
affected_email_address

string

受该事件影响的用户的电子邮件地址。

示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_generic&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
Account {affected_email_address} disabled

已暂停用户(通过中继服务发送垃圾内容)

帐号警告事件(帐号因通过中继描述停用了垃圾内容)。

活动详情
活动名称 account_disabled_spamming_through_relay
参数
affected_email_address

string

受该事件影响的用户的电子邮件地址。

示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming_through_relay&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming through SMTP relay service

已暂停用户(垃圾内容)

帐号警告事件(帐号因垃圾内容而遭到停用的说明)。

活动详情
活动名称 account_disabled_spamming
参数
affected_email_address

string

受该事件影响的用户的电子邮件地址。

示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming

已暂停用户(可疑活动)

帐号警告事件(帐号已被盗用)的说明。

活动详情
活动名称 account_disabled_hijacked
参数
affected_email_address

string

受该事件影响的用户的电子邮件地址。

login_timestamp

integer

帐号警告事件的登录时间(以百万分之一为单位)。

示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_hijacked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
Account {affected_email_address} disabled because Google has detected a suspicious activity indicating it might have been compromised

已更改高级保护计划注册状态

此类型的事件会返回 type=titanium_change

注册高级保护计划

活动详情
活动名称 titanium_enroll
示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
{actor} has enrolled for Advanced Protection

取消注册高级保护计划

活动详情
活动名称 titanium_unenroll
示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_unenroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
{actor} has disabled Advanced Protection

攻击警告

攻击警告事件类型。 此类型的事件会返回 type=attack_warning

受政府支持的攻击

政府支持的攻击警告事件名称。

活动详情
活动名称 gov_attack_warning
示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=gov_attack_warning&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
{actor} might have been targeted by government-backed attack

已屏蔽发件人的设置已更改

此类型的事件会返回 type=blocked_sender_change

已阻止该发件人日后发送的所有电子邮件。

已屏蔽的电子邮件地址。

活动详情
活动名称 blocked_sender
示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=blocked_sender&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
{actor} has blocked all future messages from {affected_email_address}.

电子邮件转发设置已更改

此类型的事件会返回 type=email_forwarding_change

网域外电子邮件转发功能已启用

活动详情
活动名称 email_forwarding_out_of_domain
示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=email_forwarding_out_of_domain&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
{actor} has enabled out of domain email forwarding to {email_forwarding_destination_address}.

登录

登录事件类型。此类型的事件会返回 type=login

登录失败

登录尝试失败。

活动详情
活动名称 login_failure
参数
login_challenge_method

string

登录验证方法。 可能的值:

  • backup_code
    要求用户输入备用验证码。
  • google_authenticator
    让用户通过身份验证器应用输入动态密码。
  • google_prompt
    Google 提示的登录验证方法。
  • idv_any_phone
    用户要求输入电话号码,然后输入发送到该电话号码的代码。
  • idv_preregistered_phone
    用户输入发送到其预注册手机上的代码。
  • internal_two_factor
    登录验证方法“内部双重身份验证”。
  • knowledge_employee_id
    登录验证方法知识员工 ID。
  • knowledge_preregistered_email
    用户证明自己知晓预注册的电子邮件地址。
  • knowledge_preregistered_phone
    用户证明自己知晓预注册的电话号码。
  • login_location
    用户从他们通常登录的位置输入。
  • none
    未遇到任何登录验证。
  • offline_otp
    用户输入通过手机上的设置获取的动态密码(仅限 Android 系统)。
  • other
    其他登录验证方法。
  • password
    密码。
  • security_key
    用户通过了安全密钥加密验证。
  • security_key_otp
    登录验证方法安全密钥动态密码。
login_failure_type

string

登录失败的原因。可能的值:

  • login_failure_access_code_disallowed
    用户无权登录该服务。
  • login_failure_account_disabled
    用户的帐号已停用。
  • login_failure_invalid_password
    用户的密码无效。
  • login_failure_unknown
    登录失败的原因未知。
login_type

string

尝试登录的凭据类型。可能的值:

  • exchange
    用户提供现有凭据,并将其交换为其他类型,例如使用 OAuth 令牌交换 SID。可能表明用户已登录,且两个会话已合并。
  • google_password
    用户提供 Google 帐号密码。
  • reauth
    用户已通过身份验证,但必须重新授权。
  • saml
    用户提供 SAML 身份提供方的 SAML 断言。
  • unknown
    登录类型未知。
示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_failure&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
{actor} failed to login

登录验证

登录验证用户身份。登录会话期间遇到的任何登录验证都归入单个 events 条目。例如,如果用户在输入错误密码两次后输入了正确的密码,接着又使用安全密钥进行了两步验证,则 activities.list 响应的 events 字段将如下所示:

"events": [
  {
    "type": "login",
    "name": "login_success",
    "parameters": [
      {
        "name": "login_type",
        "value": "google_password"
      },
      {
        "name": "login_challenge_method",
        "multiValue": [
          "password",
          "password",
          "password",
          "security_key"
        ]
      },
      {
        "name": "is_suspicious",
        "boolValue": false
      }
    ]
  }
]
如需详细了解登录验证,请参阅通过额外安全性验证用户身份

活动详情
活动名称 login_challenge
参数
login_challenge_method

string

登录验证方法。 可能的值:

  • backup_code
    要求用户输入备用验证码。
  • google_authenticator
    让用户通过身份验证器应用输入动态密码。
  • google_prompt
    Google 提示的登录验证方法。
  • idv_any_phone
    用户要求输入电话号码,然后输入发送到该电话号码的代码。
  • idv_preregistered_phone
    用户输入发送到其预注册手机上的代码。
  • internal_two_factor
    登录验证方法“内部双重身份验证”。
  • knowledge_employee_id
    登录验证方法知识员工 ID。
  • knowledge_preregistered_email
    用户证明自己知晓预注册的电子邮件地址。
  • knowledge_preregistered_phone
    用户证明自己知晓预注册的电话号码。
  • login_location
    用户从他们通常登录的位置输入。
  • none
    未遇到任何登录验证。
  • offline_otp
    用户输入通过手机上的设置获取的动态密码(仅限 Android 系统)。
  • other
    其他登录验证方法。
  • password
    密码。
  • security_key
    用户通过了安全密钥加密验证。
  • security_key_otp
    登录验证方法安全密钥动态密码。
login_challenge_status

string

登录验证是成功还是失败,分别显示为“已通过”和“未通过”。空字符串表示未知状态。

login_type

string

尝试登录的凭据类型。可能的值:

  • exchange
    用户提供现有凭据,并将其交换为其他类型,例如使用 OAuth 令牌交换 SID。可能表明用户已登录,且两个会话已合并。
  • google_password
    用户提供 Google 帐号密码。
  • reauth
    用户已通过身份验证,但必须重新授权。
  • saml
    用户提供 SAML 身份提供方的 SAML 断言。
  • unknown
    登录类型未知。
示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_challenge&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
{actor} was presented with a login challenge

登录验证

登录验证事件名称。

活动详情
活动名称 login_verification
参数
is_second_factor

boolean

是否启用了两步验证。 可能的值:

  • false
    布尔值为 false。
  • true
    布尔值为 true。
login_challenge_method

string

登录验证方法。 可能的值:

  • backup_code
    要求用户输入备用验证码。
  • google_authenticator
    让用户通过身份验证器应用输入动态密码。
  • google_prompt
    Google 提示的登录验证方法。
  • idv_any_phone
    用户要求输入电话号码,然后输入发送到该电话号码的代码。
  • idv_preregistered_phone
    用户输入发送到其预注册手机上的代码。
  • internal_two_factor
    登录验证方法“内部双重身份验证”。
  • knowledge_employee_id
    登录验证方法知识员工 ID。
  • knowledge_preregistered_email
    用户证明自己知晓预注册的电子邮件地址。
  • knowledge_preregistered_phone
    用户证明自己知晓预注册的电话号码。
  • login_location
    用户从他们通常登录的位置输入。
  • none
    未遇到任何登录验证。
  • offline_otp
    用户输入通过手机上的设置获取的动态密码(仅限 Android 系统)。
  • other
    其他登录验证方法。
  • password
    密码。
  • security_key
    用户通过了安全密钥加密验证。
  • security_key_otp
    登录验证方法安全密钥动态密码。
login_challenge_status

string

登录验证是成功还是失败,分别显示为“已通过”和“未通过”。空字符串表示未知状态。

login_type

string

尝试登录的凭据类型。可能的值:

  • exchange
    用户提供现有凭据,并将其交换为其他类型,例如使用 OAuth 令牌交换 SID。可能表明用户已登录,且两个会话已合并。
  • google_password
    用户提供 Google 帐号密码。
  • reauth
    用户已通过身份验证,但必须重新授权。
  • saml
    用户提供 SAML 身份提供方的 SAML 断言。
  • unknown
    登录类型未知。
示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_verification&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
{actor} was presented with login verification

退出

用户已退出。

活动详情
活动名称 logout
参数
login_type

string

尝试登录的凭据类型。可能的值:

  • exchange
    用户提供现有凭据,并将其交换为其他类型,例如使用 OAuth 令牌交换 SID。可能表明用户已登录,且两个会话已合并。
  • google_password
    用户提供 Google 帐号密码。
  • reauth
    用户已通过身份验证,但必须重新授权。
  • saml
    用户提供 SAML 身份提供方的 SAML 断言。
  • unknown
    登录类型未知。
示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=logout&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
{actor} logged out

允许敏感操作

活动详情
活动名称 risky_sensitive_action_allowed
参数
is_suspicious

boolean

登录尝试有一些异常情况,例如用户通过陌生的 IP 地址登录。可能的值:

  • false
    布尔值为 false。
  • true
    布尔值为 true。
login_challenge_method

string

登录验证方法。 可能的值:

  • backup_code
    要求用户输入备用验证码。
  • google_authenticator
    让用户通过身份验证器应用输入动态密码。
  • google_prompt
    Google 提示的登录验证方法。
  • idv_any_phone
    用户要求输入电话号码,然后输入发送到该电话号码的代码。
  • idv_preregistered_phone
    用户输入发送到其预注册手机上的代码。
  • internal_two_factor
    登录验证方法“内部双重身份验证”。
  • knowledge_employee_id
    登录验证方法知识员工 ID。
  • knowledge_preregistered_email
    用户证明自己知晓预注册的电子邮件地址。
  • knowledge_preregistered_phone
    用户证明自己知晓预注册的电话号码。
  • login_location
    用户从他们通常登录的位置输入。
  • none
    未遇到任何登录验证。
  • offline_otp
    用户输入通过手机上的设置获取的动态密码(仅限 Android 系统)。
  • other
    其他登录验证方法。
  • password
    密码。
  • security_key
    用户通过了安全密钥加密验证。
  • security_key_otp
    登录验证方法安全密钥动态密码。
login_challenge_status

string

登录验证是成功还是失败,分别显示为“已通过”和“未通过”。空字符串表示未知状态。

login_type

string

尝试登录的凭据类型。可能的值:

  • exchange
    用户提供现有凭据,并将其交换为其他类型,例如使用 OAuth 令牌交换 SID。可能表明用户已登录,且两个会话已合并。
  • google_password
    用户提供 Google 帐号密码。
  • reauth
    用户已通过身份验证,但必须重新授权。
  • saml
    用户提供 SAML 身份提供方的 SAML 断言。
  • unknown
    登录类型未知。
sensitive_action_name

string

对有风险的敏感操作挑战事件的敏感操作名称的说明。

示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_allowed&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
{actor} was permitted to take the action: {sensitive_action_name}.

敏感操作已被阻止

活动详情
活动名称 risky_sensitive_action_blocked
参数
is_suspicious

boolean

登录尝试有一些异常情况,例如用户通过陌生的 IP 地址登录。可能的值:

  • false
    布尔值为 false。
  • true
    布尔值为 true。
login_challenge_method

string

登录验证方法。 可能的值:

  • backup_code
    要求用户输入备用验证码。
  • google_authenticator
    让用户通过身份验证器应用输入动态密码。
  • google_prompt
    Google 提示的登录验证方法。
  • idv_any_phone
    用户要求输入电话号码,然后输入发送到该电话号码的代码。
  • idv_preregistered_phone
    用户输入发送到其预注册手机上的代码。
  • internal_two_factor
    登录验证方法“内部双重身份验证”。
  • knowledge_employee_id
    登录验证方法知识员工 ID。
  • knowledge_preregistered_email
    用户证明自己知晓预注册的电子邮件地址。
  • knowledge_preregistered_phone
    用户证明自己知晓预注册的电话号码。
  • login_location
    用户从他们通常登录的位置输入。
  • none
    未遇到任何登录验证。
  • offline_otp
    用户输入通过手机上的设置获取的动态密码(仅限 Android 系统)。
  • other
    其他登录验证方法。
  • password
    密码。
  • security_key
    用户通过了安全密钥加密验证。
  • security_key_otp
    登录验证方法安全密钥动态密码。
login_challenge_status

string

登录验证是成功还是失败,分别显示为“已通过”和“未通过”。空字符串表示未知状态。

login_type

string

尝试登录的凭据类型。可能的值:

  • exchange
    用户提供现有凭据,并将其交换为其他类型,例如使用 OAuth 令牌交换 SID。可能表明用户已登录,且两个会话已合并。
  • google_password
    用户提供 Google 帐号密码。
  • reauth
    用户已通过身份验证,但必须重新授权。
  • saml
    用户提供 SAML 身份提供方的 SAML 断言。
  • unknown
    登录类型未知。
sensitive_action_name

string

对有风险的敏感操作挑战事件的敏感操作名称的说明。

示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_blocked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
{actor} was blocked from the action: {sensitive_action_name}. Their session was risky and identity couldn’t be verified.

登录成功

登录尝试成功。

活动详情
活动名称 login_success
参数
is_suspicious

boolean

登录尝试有一些异常情况,例如用户通过陌生的 IP 地址登录。可能的值:

  • false
    布尔值为 false。
  • true
    布尔值为 true。
login_challenge_method

string

登录验证方法。 可能的值:

  • backup_code
    要求用户输入备用验证码。
  • google_authenticator
    让用户通过身份验证器应用输入动态密码。
  • google_prompt
    Google 提示的登录验证方法。
  • idv_any_phone
    用户要求输入电话号码,然后输入发送到该电话号码的代码。
  • idv_preregistered_phone
    用户输入发送到其预注册手机上的代码。
  • internal_two_factor
    登录验证方法“内部双重身份验证”。
  • knowledge_employee_id
    登录验证方法知识员工 ID。
  • knowledge_preregistered_email
    用户证明自己知晓预注册的电子邮件地址。
  • knowledge_preregistered_phone
    用户证明自己知晓预注册的电话号码。
  • login_location
    用户从他们通常登录的位置输入。
  • none
    未遇到任何登录验证。
  • offline_otp
    用户输入通过手机上的设置获取的动态密码(仅限 Android 系统)。
  • other
    其他登录验证方法。
  • password
    密码。
  • security_key
    用户通过了安全密钥加密验证。
  • security_key_otp
    登录验证方法安全密钥动态密码。
login_type

string

尝试登录的凭据类型。可能的值:

  • exchange
    用户提供现有凭据,并将其交换为其他类型,例如使用 OAuth 令牌交换 SID。可能表明用户已登录,且两个会话已合并。
  • google_password
    用户提供 Google 帐号密码。
  • reauth
    用户已通过身份验证,但必须重新授权。
  • saml
    用户提供 SAML 身份提供方的 SAML 断言。
  • unknown
    登录类型未知。
示例请求
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_success&maxResults=10&access_token=YOUR_ACCESS_TOKEN
管理控制台消息格式
{actor} logged in