Login Audit Activity Events

In diesem Dokument werden die Ereignisse und Parameter für verschiedene Arten von Aktivitätsereignisse im Log-in-Audit. Sie können diese Ereignisse abrufen, indem Sie Activities.list() aufrufen mit applicationName=login.

Anmeldung für die 2-Faktor-Authentifizierung geändert

Ereignisse dieses Typs werden mit type=2sv_change zurückgegeben.

2-Faktor-Authentifizierung deaktiviert

Veranstaltungsdetails
Ereignisname 2sv_disable
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_disable&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
{actor} has disabled 2-step verification

Für die 2-Faktor-Authentifizierung angemeldet

Veranstaltungsdetails
Ereignisname 2sv_enroll
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
{actor} has enrolled for 2-step verification

Kontopasswort geändert

Ereignisse dieses Typs werden mit type=password_change zurückgegeben.

Kontopasswort geändert

Veranstaltungsdetails
Ereignisname password_edit
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=password_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
{actor} has changed Account password

Informationen zur Kontowiederherstellung geändert

Die Informationen zur Kontowiederherstellung wurden geändert. Ereignisse dieses Typs werden mit type=recovery_info_change zurückgegeben.

E-Mail-Adresse zur Kontowiederherstellung geändert

Veranstaltungsdetails
Ereignisname recovery_email_edit
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_email_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
{actor} has changed Account recovery email

Telefonnummer zur Kontowiederherstellung geändert

Veranstaltungsdetails
Ereignisname recovery_phone_edit
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_phone_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
{actor} has changed Account recovery phone

Geheime Frage/Antwort zur Kontowiederherstellung geändert

Veranstaltungsdetails
Ereignisname recovery_secret_qa_edit
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_secret_qa_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
{actor} has changed Account recovery secret question/answer

Kontowarnung

Kontowarnungsereignistyp. Ereignisse dieses Typs werden mit type=account_warning zurückgegeben.

Passwort gehackt

Kontowarnungsereignis „Konto deaktiviert – Passwortleck“.

Veranstaltungsdetails
Ereignisname account_disabled_password_leak
Parameter
affected_email_address

string

E-Mail-ID des Nutzers, der vom Ereignis betroffen ist

Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_password_leak&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
Account {affected_email_address} disabled because Google has become aware that someone else knows its password

Verdächtige Anmeldung blockiert

Kontowarnungsereignis "Verdächtige Anmeldung".

Veranstaltungsdetails
Ereignisname suspicious_login
Parameter
affected_email_address

string

E-Mail-ID des Nutzers, der vom Ereignis betroffen ist

login_timestamp

integer

Zeitpunkt der Anmeldung des Kontowarnungsereignisses in Mikros.

Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
Google has detected a suspicious login for {affected_email_address}

Verdächtige Anmeldung über eine weniger sichere App blockiert

Kontowarnungsereignis "Verdächtige Anmeldung" für weniger sichere App.

Veranstaltungsdetails
Ereignisname suspicious_login_less_secure_app
Parameter
affected_email_address

string

E-Mail-ID des Nutzers, der vom Ereignis betroffen ist

login_timestamp

integer

Zeitpunkt der Anmeldung des Kontowarnungsereignisses in Mikros.

Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login_less_secure_app&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
Google has detected a suspicious login for {affected_email_address} from a less secure app

Verdächtiger programmatischer Anmeldeversuch blockiert

Kontowarnungsereignis "Verdächtige programmatische Anmeldung".

Veranstaltungsdetails
Ereignisname suspicious_programmatic_login
Parameter
affected_email_address

string

E-Mail-ID des Nutzers, der vom Ereignis betroffen ist

login_timestamp

integer

Zeitpunkt der Anmeldung des Kontowarnungsereignisses in Mikros.

Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_programmatic_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
Google has detected a suspicious programmatic login for {affected_email_address}

Der Nutzer wurde aufgrund eines verdächtigen Sitzungscookies abgemeldet(Cookie Cutter Malware-Ereignis).

Veranstaltungsdetails
Ereignisname user_signed_out_due_to_suspicious_session_cookie
Parameter
affected_email_address

string

E-Mail-ID des Nutzers, der vom Ereignis betroffen ist

Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=user_signed_out_due_to_suspicious_session_cookie&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
Suspicious session cookie detected for user {affected_email_address}

Nutzer gesperrt

Kontowarnungsereignis „Konto deaktiviert – allgemeine Beschreibung“.

Veranstaltungsdetails
Ereignisname account_disabled_generic
Parameter
affected_email_address

string

E-Mail-ID des Nutzers, der vom Ereignis betroffen ist

Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_generic&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
Account {affected_email_address} disabled

Nutzer gesperrt (Relay-Spam)

Kontowarnungsereignis „Konto deaktiviert – Spamming über Relay-Beschreibung“.

Veranstaltungsdetails
Ereignisname account_disabled_spamming_through_relay
Parameter
affected_email_address

string

E-Mail-ID des Nutzers, der vom Ereignis betroffen ist

Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming_through_relay&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming through SMTP relay service

Nutzer gesperrt (Spam)

Kontowarnungsereignis "Konto deaktiviert – Spamming-Beschreibung".

Veranstaltungsdetails
Ereignisname account_disabled_spamming
Parameter
affected_email_address

string

E-Mail-ID des Nutzers, der vom Ereignis betroffen ist

Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming

Nutzer gesperrt (verdächtige Aktivität)

Kontowarnungsereignis „Konto deaktiviert – Kontodiebstahl – Beschreibung“.

Veranstaltungsdetails
Ereignisname account_disabled_hijacked
Parameter
affected_email_address

string

E-Mail-ID des Nutzers, der vom Ereignis betroffen ist

login_timestamp

integer

Zeitpunkt der Anmeldung des Kontowarnungsereignisses in Mikros.

Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_hijacked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
Account {affected_email_address} disabled because Google has detected a suspicious activity indicating it might have been compromised

Anmeldung für das erweiterte Sicherheitsprogramm geändert

Ereignisse dieses Typs werden mit type=titanium_change zurückgegeben.

Anmeldung für das erweiterte Sicherheitsprogramm

Veranstaltungsdetails
Ereignisname titanium_enroll
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
{actor} has enrolled for Advanced Protection

Vom erweiterten Sicherheitsprogramm abmelden

Veranstaltungsdetails
Ereignisname titanium_unenroll
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_unenroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
{actor} has disabled Advanced Protection

Angriffswarnung

Ereignistyp „Angriffswarnung“. Ereignisse dieses Typs werden mit type=attack_warning zurückgegeben.

Von staatlichen Stellen unterstützter Angriff

Name des Ereignisses „Behördlich unterstützter Angriffswarnung“.

Veranstaltungsdetails
Ereignisname gov_attack_warning
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=gov_attack_warning&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
{actor} might have been targeted by government-backed attack

Einstellungen für blockierte Absender geändert

Ereignisse dieses Typs werden mit type=blocked_sender_change zurückgegeben.

Alle zukünftigen E-Mails des Absenders wurden blockiert.

Blockierte E-Mail-Adresse.

Veranstaltungsdetails
Ereignisname blocked_sender
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=blocked_sender&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
{actor} has blocked all future messages from {affected_email_address}.

Einstellungen für die E-Mail-Weiterleitung geändert

Ereignisse dieses Typs werden mit type=email_forwarding_change zurückgegeben.

E-Mail-Weiterleitung außerhalb der Domain aktiviert

Veranstaltungsdetails
Ereignisname email_forwarding_out_of_domain
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=email_forwarding_out_of_domain&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
{actor} has enabled out of domain email forwarding to {email_forwarding_destination_address}.

Anmelden

Anmeldeereignistyp. Ereignisse dieses Typs werden mit type=login zurückgegeben.

Anmeldung fehlgeschlagen

Ein Anmeldeversuch ist fehlgeschlagen.

Veranstaltungsdetails
Ereignisname login_failure
Parameter
login_challenge_method

string

Methode der Identitätsbestätigung. Mögliche Werte:

  • backup_code
    Der Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
  • google_authenticator
    Der Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
  • google_prompt
    Methode der Identitätsbestätigung von Google.
  • idv_any_phone
    Der Nutzer hat nach seiner Telefonnummer gefragt und gibt dann den Code ein, der an dieses Smartphone gesendet wurde.
  • idv_preregistered_phone
    Der Nutzer gibt einen Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
  • internal_two_factor
    Methode der Identitätsbestätigung – intern, zwei Faktoren.
  • knowledge_employee_id
    Methode der Identitätsbestätigung – Mitarbeiter-ID.
  • knowledge_preregistered_email
    Der Nutzer weist die Kenntnis einer vorab registrierten E-Mail-Adresse nach.
  • knowledge_preregistered_phone
    Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
  • login_location
    Der Nutzer gibt an, von wo aus er sich normalerweise anmeldet.
  • none
    Es gab keine Identitätsbestätigung.
  • offline_otp
    Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhalten hat (nur Android).
  • other
    Andere Methode der Identitätsbestätigung.
  • password
    Passwort.
  • security_key
    Der Nutzer übergibt die kryptografische Identitätsbestätigung des Sicherheitsschlüssels.
  • security_key_otp
    Sicherheitsschlüssel für die Methode der Identitätsbestätigung als Sicherheitsschlüssel-OTP.
login_failure_type

string

Die Ursache für den Anmeldefehler. Mögliche Werte:

  • login_failure_access_code_disallowed
    Der Nutzer ist nicht berechtigt, sich im Dienst anzumelden.
  • login_failure_account_disabled
    Das Konto des Nutzers ist deaktiviert.
  • login_failure_invalid_password
    Das Passwort des Nutzers ist ungültig.
  • login_failure_unknown
    Der Grund für den Anmeldefehler ist unbekannt.
login_type

string

Die Art der Anmeldedaten, die für den Anmeldeversuch verwendet wurden. Mögliche Werte:

  • exchange
    Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen Typ aus, z. B. ein OAuth-Token gegen eine SID. Möglicherweise war der Nutzer bereits in einer Sitzung angemeldet und die Sitzungen wurden zusammengeführt.
  • google_password
    Der Nutzer gibt das Passwort für das Google-Konto an.
  • reauth
    Der Nutzer ist bereits authentifiziert, muss sich aber noch einmal autorisieren.
  • saml
    Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
  • unknown
    Anmeldetyp unbekannt.
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_failure&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
{actor} failed to login

Identitätsbestätigung

Es wurde eine Anmeldung zur Bestätigung der Identität des Nutzers durchgeführt. Alle Identitätsbestätigungen, die während einer Sitzung aufgetreten sind, werden in einem einzigen events-Eintrag zusammengefasst. Wenn ein Nutzer beispielsweise zweimal ein falsches Passwort und dann das richtige Passwort eingibt, gefolgt von einer Bestätigung in zwei Schritten mit einem Sicherheitsschlüssel, sieht das Feld events der activities.list-Antwort so aus:

"events": [
  {
    "type": "login",
    "name": "login_success",
    "parameters": [
      {
        "name": "login_type",
        "value": "google_password"
      },
      {
        "name": "login_challenge_method",
        "multiValue": [
          "password",
          "password",
          "password",
          "security_key"
        ]
      },
      {
        "name": "is_suspicious",
        "boolValue": false
      }
    ]
  }
]
Weitere Informationen finden Sie im Hilfeartikel Identitätsbestätigung mit zusätzlichen Sicherheitsmaßnahmen.

Veranstaltungsdetails
Ereignisname login_challenge
Parameter
login_challenge_method

string

Methode der Identitätsbestätigung. Mögliche Werte:

  • backup_code
    Der Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
  • google_authenticator
    Der Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
  • google_prompt
    Methode der Identitätsbestätigung von Google.
  • idv_any_phone
    Der Nutzer hat nach seiner Telefonnummer gefragt und gibt dann den Code ein, der an dieses Smartphone gesendet wurde.
  • idv_preregistered_phone
    Der Nutzer gibt einen Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
  • internal_two_factor
    Methode der Identitätsbestätigung – intern, zwei Faktoren.
  • knowledge_employee_id
    Methode der Identitätsbestätigung – Mitarbeiter-ID.
  • knowledge_preregistered_email
    Der Nutzer weist die Kenntnis einer vorab registrierten E-Mail-Adresse nach.
  • knowledge_preregistered_phone
    Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
  • login_location
    Der Nutzer gibt an, von wo aus er sich normalerweise anmeldet.
  • none
    Es gab keine Identitätsbestätigung.
  • offline_otp
    Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhalten hat (nur Android).
  • other
    Andere Methode der Identitätsbestätigung.
  • password
    Passwort.
  • security_key
    Der Nutzer übergibt die kryptografische Identitätsbestätigung des Sicherheitsschlüssels.
  • security_key_otp
    Sicherheitsschlüssel für die Methode der Identitätsbestätigung als Sicherheitsschlüssel-OTP.
login_challenge_status

string

Gibt an, ob die Identitätsbestätigung erfolgreich war oder fehlgeschlagen ist, angezeigt als „Challenge bestanden“. und „Challenge fehlgeschlagen“. . Ein leerer String weist auf einen unbekannten Status hin.

login_type

string

Die Art der Anmeldedaten, die für den Anmeldeversuch verwendet wurden. Mögliche Werte:

  • exchange
    Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen Typ aus, z. B. ein OAuth-Token gegen eine SID. Möglicherweise war der Nutzer bereits in einer Sitzung angemeldet und die Sitzungen wurden zusammengeführt.
  • google_password
    Der Nutzer gibt das Passwort für das Google-Konto an.
  • reauth
    Der Nutzer ist bereits authentifiziert, muss sich aber noch einmal autorisieren.
  • saml
    Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
  • unknown
    Anmeldetyp unbekannt.
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_challenge&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
{actor} was presented with a login challenge

Anmeldebestätigung

Name des Ereignisses der Anmeldebestätigung.

Veranstaltungsdetails
Ereignisname login_verification
Parameter
is_second_factor

boolean

Gibt an, ob die Anmeldung per Bestätigung in zwei Schritten erfolgt. Mögliche Werte:

  • false
    Boolescher Wert ist falsch.
  • true
    Boolescher Wert: wahr.
login_challenge_method

string

Methode der Identitätsbestätigung. Mögliche Werte:

  • backup_code
    Der Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
  • google_authenticator
    Der Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
  • google_prompt
    Methode der Identitätsbestätigung von Google.
  • idv_any_phone
    Der Nutzer hat nach seiner Telefonnummer gefragt und gibt dann den Code ein, der an dieses Smartphone gesendet wurde.
  • idv_preregistered_phone
    Der Nutzer gibt einen Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
  • internal_two_factor
    Methode der Identitätsbestätigung – intern, zwei Faktoren.
  • knowledge_employee_id
    Methode der Identitätsbestätigung – Mitarbeiter-ID.
  • knowledge_preregistered_email
    Der Nutzer weist die Kenntnis einer vorab registrierten E-Mail-Adresse nach.
  • knowledge_preregistered_phone
    Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
  • login_location
    Der Nutzer gibt an, von wo aus er sich normalerweise anmeldet.
  • none
    Es gab keine Identitätsbestätigung.
  • offline_otp
    Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhalten hat (nur Android).
  • other
    Andere Methode der Identitätsbestätigung.
  • password
    Passwort.
  • security_key
    Der Nutzer übergibt die kryptografische Identitätsbestätigung des Sicherheitsschlüssels.
  • security_key_otp
    Sicherheitsschlüssel für die Methode der Identitätsbestätigung als Sicherheitsschlüssel-OTP.
login_challenge_status

string

Gibt an, ob die Identitätsbestätigung erfolgreich war oder fehlgeschlagen ist, angezeigt als „Challenge bestanden“. und „Challenge fehlgeschlagen“. . Ein leerer String weist auf einen unbekannten Status hin.

login_type

string

Die Art der Anmeldedaten, die für den Anmeldeversuch verwendet wurden. Mögliche Werte:

  • exchange
    Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen Typ aus, z. B. ein OAuth-Token gegen eine SID. Möglicherweise war der Nutzer bereits in einer Sitzung angemeldet und die Sitzungen wurden zusammengeführt.
  • google_password
    Der Nutzer gibt das Passwort für das Google-Konto an.
  • reauth
    Der Nutzer ist bereits authentifiziert, muss sich aber noch einmal autorisieren.
  • saml
    Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
  • unknown
    Anmeldetyp unbekannt.
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_verification&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
{actor} was presented with login verification

Abmelden

Der Nutzer hat sich abgemeldet.

Veranstaltungsdetails
Ereignisname logout
Parameter
login_type

string

Die Art der Anmeldedaten, die für den Anmeldeversuch verwendet wurden. Mögliche Werte:

  • exchange
    Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen Typ aus, z. B. ein OAuth-Token gegen eine SID. Möglicherweise war der Nutzer bereits in einer Sitzung angemeldet und die Sitzungen wurden zusammengeführt.
  • google_password
    Der Nutzer gibt das Passwort für das Google-Konto an.
  • reauth
    Der Nutzer ist bereits authentifiziert, muss sich aber noch einmal autorisieren.
  • saml
    Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
  • unknown
    Anmeldetyp unbekannt.
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=logout&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
{actor} logged out

Vertrauliche Aktion zugelassen

Veranstaltungsdetails
Ereignisname risky_sensitive_action_allowed
Parameter
is_suspicious

boolean

Der Anmeldeversuch hatte ungewöhnliche Merkmale, z. B. hat sich der Nutzer von einer unbekannten IP-Adresse angemeldet. Mögliche Werte:

  • false
    Boolescher Wert ist falsch.
  • true
    Boolescher Wert: wahr.
login_challenge_method

string

Methode der Identitätsbestätigung. Mögliche Werte:

  • backup_code
    Der Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
  • google_authenticator
    Der Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
  • google_prompt
    Methode der Identitätsbestätigung von Google.
  • idv_any_phone
    Der Nutzer hat nach seiner Telefonnummer gefragt und gibt dann den Code ein, der an dieses Smartphone gesendet wurde.
  • idv_preregistered_phone
    Der Nutzer gibt einen Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
  • internal_two_factor
    Methode der Identitätsbestätigung – intern, zwei Faktoren.
  • knowledge_employee_id
    Methode der Identitätsbestätigung – Mitarbeiter-ID.
  • knowledge_preregistered_email
    Der Nutzer weist die Kenntnis einer vorab registrierten E-Mail-Adresse nach.
  • knowledge_preregistered_phone
    Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
  • login_location
    Der Nutzer gibt an, von wo aus er sich normalerweise anmeldet.
  • none
    Es gab keine Identitätsbestätigung.
  • offline_otp
    Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhalten hat (nur Android).
  • other
    Andere Methode der Identitätsbestätigung.
  • password
    Passwort.
  • security_key
    Der Nutzer übergibt die kryptografische Identitätsbestätigung des Sicherheitsschlüssels.
  • security_key_otp
    Sicherheitsschlüssel für die Methode der Identitätsbestätigung als Sicherheitsschlüssel-OTP.
login_challenge_status

string

Gibt an, ob die Identitätsbestätigung erfolgreich war oder fehlgeschlagen ist, angezeigt als „Challenge bestanden“. und „Challenge fehlgeschlagen“. . Ein leerer String weist auf einen unbekannten Status hin.

login_type

string

Die Art der Anmeldedaten, die für den Anmeldeversuch verwendet wurden. Mögliche Werte:

  • exchange
    Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen Typ aus, z. B. ein OAuth-Token gegen eine SID. Möglicherweise war der Nutzer bereits in einer Sitzung angemeldet und die Sitzungen wurden zusammengeführt.
  • google_password
    Der Nutzer gibt das Passwort für das Google-Konto an.
  • reauth
    Der Nutzer ist bereits authentifiziert, muss sich aber noch einmal autorisieren.
  • saml
    Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
  • unknown
    Anmeldetyp unbekannt.
sensitive_action_name

string

Beschreibung des Namens der sensiblen Aktion in einem riskanten Ereignis, bei dem eine sensible Aktion durchgeführt wurde.

Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_allowed&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
{actor} was permitted to take the action: {sensitive_action_name}.

Vertrauliche Aktion blockiert

Veranstaltungsdetails
Ereignisname risky_sensitive_action_blocked
Parameter
is_suspicious

boolean

Der Anmeldeversuch hatte ungewöhnliche Merkmale, z. B. hat sich der Nutzer von einer unbekannten IP-Adresse angemeldet. Mögliche Werte:

  • false
    Boolescher Wert ist falsch.
  • true
    Boolescher Wert: wahr.
login_challenge_method

string

Methode der Identitätsbestätigung. Mögliche Werte:

  • backup_code
    Der Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
  • google_authenticator
    Der Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
  • google_prompt
    Methode der Identitätsbestätigung von Google.
  • idv_any_phone
    Der Nutzer hat nach seiner Telefonnummer gefragt und gibt dann den Code ein, der an dieses Smartphone gesendet wurde.
  • idv_preregistered_phone
    Der Nutzer gibt einen Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
  • internal_two_factor
    Methode der Identitätsbestätigung – intern, zwei Faktoren.
  • knowledge_employee_id
    Methode der Identitätsbestätigung – Mitarbeiter-ID.
  • knowledge_preregistered_email
    Der Nutzer weist die Kenntnis einer vorab registrierten E-Mail-Adresse nach.
  • knowledge_preregistered_phone
    Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
  • login_location
    Der Nutzer gibt an, von wo aus er sich normalerweise anmeldet.
  • none
    Es gab keine Identitätsbestätigung.
  • offline_otp
    Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhalten hat (nur Android).
  • other
    Andere Methode der Identitätsbestätigung.
  • password
    Passwort.
  • security_key
    Der Nutzer übergibt die kryptografische Identitätsbestätigung des Sicherheitsschlüssels.
  • security_key_otp
    Sicherheitsschlüssel für die Methode der Identitätsbestätigung als Sicherheitsschlüssel-OTP.
login_challenge_status

string

Gibt an, ob die Identitätsbestätigung erfolgreich war oder fehlgeschlagen ist, angezeigt als „Challenge bestanden“. und „Challenge fehlgeschlagen“. . Ein leerer String weist auf einen unbekannten Status hin.

login_type

string

Die Art der Anmeldedaten, die für den Anmeldeversuch verwendet wurden. Mögliche Werte:

  • exchange
    Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen Typ aus, z. B. ein OAuth-Token gegen eine SID. Möglicherweise war der Nutzer bereits in einer Sitzung angemeldet und die Sitzungen wurden zusammengeführt.
  • google_password
    Der Nutzer gibt das Passwort für das Google-Konto an.
  • reauth
    Der Nutzer ist bereits authentifiziert, muss sich aber noch einmal autorisieren.
  • saml
    Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
  • unknown
    Anmeldetyp unbekannt.
sensitive_action_name

string

Beschreibung des Namens der sensiblen Aktion in einem riskanten Ereignis, bei dem eine sensible Aktion durchgeführt wurde.

Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_blocked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
{actor} was blocked from the action: {sensitive_action_name}. Their session was risky and identity couldn’t be verified.

Erfolgreiche Anmeldung

Ein Anmeldeversuch war erfolgreich.

Veranstaltungsdetails
Ereignisname login_success
Parameter
is_suspicious

boolean

Der Anmeldeversuch hatte ungewöhnliche Merkmale, z. B. hat sich der Nutzer von einer unbekannten IP-Adresse angemeldet. Mögliche Werte:

  • false
    Boolescher Wert ist falsch.
  • true
    Boolescher Wert: wahr.
login_challenge_method

string

Methode der Identitätsbestätigung. Mögliche Werte:

  • backup_code
    Der Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
  • google_authenticator
    Der Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
  • google_prompt
    Methode der Identitätsbestätigung von Google.
  • idv_any_phone
    Der Nutzer hat nach seiner Telefonnummer gefragt und gibt dann den Code ein, der an dieses Smartphone gesendet wurde.
  • idv_preregistered_phone
    Der Nutzer gibt einen Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
  • internal_two_factor
    Methode der Identitätsbestätigung – intern, zwei Faktoren.
  • knowledge_employee_id
    Methode der Identitätsbestätigung – Mitarbeiter-ID.
  • knowledge_preregistered_email
    Der Nutzer weist die Kenntnis einer vorab registrierten E-Mail-Adresse nach.
  • knowledge_preregistered_phone
    Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
  • login_location
    Der Nutzer gibt an, von wo aus er sich normalerweise anmeldet.
  • none
    Es gab keine Identitätsbestätigung.
  • offline_otp
    Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhalten hat (nur Android).
  • other
    Andere Methode der Identitätsbestätigung.
  • password
    Passwort.
  • security_key
    Der Nutzer übergibt die kryptografische Identitätsbestätigung des Sicherheitsschlüssels.
  • security_key_otp
    Sicherheitsschlüssel für die Methode der Identitätsbestätigung als Sicherheitsschlüssel-OTP.
login_type

string

Die Art der Anmeldedaten, die für den Anmeldeversuch verwendet wurden. Mögliche Werte:

  • exchange
    Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen Typ aus, z. B. ein OAuth-Token gegen eine SID. Möglicherweise war der Nutzer bereits in einer Sitzung angemeldet und die Sitzungen wurden zusammengeführt.
  • google_password
    Der Nutzer gibt das Passwort für das Google-Konto an.
  • reauth
    Der Nutzer ist bereits authentifiziert, muss sich aber noch einmal autorisieren.
  • saml
    Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
  • unknown
    Anmeldetyp unbekannt.
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_success&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat in der Admin-Konsole
{actor} logged in