In diesem Dokument werden die Ereignisse und Parameter für
verschiedene Arten von
Aktivitätsereignisse im Log-in-Audit. Sie können diese Ereignisse abrufen, indem Sie
Activities.list() aufrufen
mit applicationName=login
.
Anmeldung für die 2-Faktor-Authentifizierung geändert
Ereignisse dieses Typs werden mit type=2sv_change
zurückgegeben.
2-Faktor-Authentifizierung deaktiviert
Veranstaltungsdetails |
Ereignisname |
2sv_disable |
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_disable&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
{actor} has disabled 2-step verification
|
Für die 2-Faktor-Authentifizierung angemeldet
Veranstaltungsdetails |
Ereignisname |
2sv_enroll |
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
{actor} has enrolled for 2-step verification
|
Kontopasswort geändert
Ereignisse dieses Typs werden mit type=password_change
zurückgegeben.
Kontopasswort geändert
Veranstaltungsdetails |
Ereignisname |
password_edit |
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=password_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
{actor} has changed Account password
|
Informationen zur Kontowiederherstellung geändert
Die Informationen zur Kontowiederherstellung wurden geändert.
Ereignisse dieses Typs werden mit type=recovery_info_change
zurückgegeben.
E-Mail-Adresse zur Kontowiederherstellung geändert
Veranstaltungsdetails |
Ereignisname |
recovery_email_edit |
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_email_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
{actor} has changed Account recovery email
|
Telefonnummer zur Kontowiederherstellung geändert
Veranstaltungsdetails |
Ereignisname |
recovery_phone_edit |
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_phone_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
{actor} has changed Account recovery phone
|
Geheime Frage/Antwort zur Kontowiederherstellung geändert
Veranstaltungsdetails |
Ereignisname |
recovery_secret_qa_edit |
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_secret_qa_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
{actor} has changed Account recovery secret question/answer
|
Kontowarnung
Kontowarnungsereignistyp.
Ereignisse dieses Typs werden mit type=account_warning
zurückgegeben.
Passwort gehackt
Kontowarnungsereignis „Konto deaktiviert – Passwortleck“.
Veranstaltungsdetails |
Ereignisname |
account_disabled_password_leak |
Parameter |
affected_email_address |
string
E-Mail-ID des Nutzers, der vom Ereignis betroffen ist
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_password_leak&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
Account {affected_email_address} disabled because Google has become aware that someone else knows its password
|
Verdächtige Anmeldung blockiert
Kontowarnungsereignis "Verdächtige Anmeldung".
Veranstaltungsdetails |
Ereignisname |
suspicious_login |
Parameter |
affected_email_address |
string
E-Mail-ID des Nutzers, der vom Ereignis betroffen ist
|
login_timestamp |
integer
Zeitpunkt der Anmeldung des Kontowarnungsereignisses in Mikros.
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
Google has detected a suspicious login for {affected_email_address}
|
Verdächtige Anmeldung über eine weniger sichere App blockiert
Kontowarnungsereignis "Verdächtige Anmeldung" für weniger sichere App.
Veranstaltungsdetails |
Ereignisname |
suspicious_login_less_secure_app |
Parameter |
affected_email_address |
string
E-Mail-ID des Nutzers, der vom Ereignis betroffen ist
|
login_timestamp |
integer
Zeitpunkt der Anmeldung des Kontowarnungsereignisses in Mikros.
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login_less_secure_app&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
Google has detected a suspicious login for {affected_email_address} from a less secure app
|
Verdächtiger programmatischer Anmeldeversuch blockiert
Kontowarnungsereignis "Verdächtige programmatische Anmeldung".
Veranstaltungsdetails |
Ereignisname |
suspicious_programmatic_login |
Parameter |
affected_email_address |
string
E-Mail-ID des Nutzers, der vom Ereignis betroffen ist
|
login_timestamp |
integer
Zeitpunkt der Anmeldung des Kontowarnungsereignisses in Mikros.
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_programmatic_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
Google has detected a suspicious programmatic login for {affected_email_address}
|
Nutzer wurde wegen verdächtigem Sitzungscookie abgemeldet
Der Nutzer wurde aufgrund eines verdächtigen Sitzungscookies abgemeldet(Cookie Cutter Malware-Ereignis).
Veranstaltungsdetails |
Ereignisname |
user_signed_out_due_to_suspicious_session_cookie |
Parameter |
affected_email_address |
string
E-Mail-ID des Nutzers, der vom Ereignis betroffen ist
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=user_signed_out_due_to_suspicious_session_cookie&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
Suspicious session cookie detected for user {affected_email_address}
|
Nutzer gesperrt
Kontowarnungsereignis „Konto deaktiviert – allgemeine Beschreibung“.
Veranstaltungsdetails |
Ereignisname |
account_disabled_generic |
Parameter |
affected_email_address |
string
E-Mail-ID des Nutzers, der vom Ereignis betroffen ist
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_generic&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
Account {affected_email_address} disabled
|
Nutzer gesperrt (Relay-Spam)
Kontowarnungsereignis „Konto deaktiviert – Spamming über Relay-Beschreibung“.
Veranstaltungsdetails |
Ereignisname |
account_disabled_spamming_through_relay |
Parameter |
affected_email_address |
string
E-Mail-ID des Nutzers, der vom Ereignis betroffen ist
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming_through_relay&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming through SMTP relay service
|
Nutzer gesperrt (Spam)
Kontowarnungsereignis "Konto deaktiviert – Spamming-Beschreibung".
Veranstaltungsdetails |
Ereignisname |
account_disabled_spamming |
Parameter |
affected_email_address |
string
E-Mail-ID des Nutzers, der vom Ereignis betroffen ist
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming
|
Nutzer gesperrt (verdächtige Aktivität)
Kontowarnungsereignis „Konto deaktiviert – Kontodiebstahl – Beschreibung“.
Veranstaltungsdetails |
Ereignisname |
account_disabled_hijacked |
Parameter |
affected_email_address |
string
E-Mail-ID des Nutzers, der vom Ereignis betroffen ist
|
login_timestamp |
integer
Zeitpunkt der Anmeldung des Kontowarnungsereignisses in Mikros.
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_hijacked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
Account {affected_email_address} disabled because Google has detected a suspicious activity indicating it might have been compromised
|
Anmeldung für das erweiterte Sicherheitsprogramm geändert
Ereignisse dieses Typs werden mit type=titanium_change
zurückgegeben.
Anmeldung für das erweiterte Sicherheitsprogramm
Veranstaltungsdetails |
Ereignisname |
titanium_enroll |
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
{actor} has enrolled for Advanced Protection
|
Vom erweiterten Sicherheitsprogramm abmelden
Veranstaltungsdetails |
Ereignisname |
titanium_unenroll |
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_unenroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
{actor} has disabled Advanced Protection
|
Angriffswarnung
Ereignistyp „Angriffswarnung“.
Ereignisse dieses Typs werden mit type=attack_warning
zurückgegeben.
Von staatlichen Stellen unterstützter Angriff
Name des Ereignisses „Behördlich unterstützter Angriffswarnung“.
Veranstaltungsdetails |
Ereignisname |
gov_attack_warning |
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=gov_attack_warning&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
{actor} might have been targeted by government-backed attack
|
Einstellungen für blockierte Absender geändert
Ereignisse dieses Typs werden mit type=blocked_sender_change
zurückgegeben.
Alle zukünftigen E-Mails des Absenders wurden blockiert.
Blockierte E-Mail-Adresse.
Veranstaltungsdetails |
Ereignisname |
blocked_sender |
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=blocked_sender&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
{actor} has blocked all future messages from {affected_email_address}.
|
Einstellungen für die E-Mail-Weiterleitung geändert
Ereignisse dieses Typs werden mit type=email_forwarding_change
zurückgegeben.
E-Mail-Weiterleitung außerhalb der Domain aktiviert
Veranstaltungsdetails |
Ereignisname |
email_forwarding_out_of_domain |
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=email_forwarding_out_of_domain&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
{actor} has enabled out of domain email forwarding to {email_forwarding_destination_address}.
|
Anmelden
Anmeldeereignistyp.
Ereignisse dieses Typs werden mit type=login
zurückgegeben.
Anmeldung fehlgeschlagen
Ein Anmeldeversuch ist fehlgeschlagen.
Veranstaltungsdetails |
Ereignisname |
login_failure |
Parameter |
login_challenge_method |
string
Methode der Identitätsbestätigung.
Mögliche Werte:
backup_code Der Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
google_authenticator Der Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
google_prompt Methode der Identitätsbestätigung von Google.
idv_any_phone Der Nutzer hat nach seiner Telefonnummer gefragt und gibt dann den Code ein, der an dieses Smartphone gesendet wurde.
idv_preregistered_phone Der Nutzer gibt einen Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
internal_two_factor Methode der Identitätsbestätigung – intern, zwei Faktoren.
knowledge_employee_id Methode der Identitätsbestätigung – Mitarbeiter-ID.
knowledge_preregistered_email Der Nutzer weist die Kenntnis einer vorab registrierten E-Mail-Adresse nach.
knowledge_preregistered_phone Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
login_location Der Nutzer gibt an, von wo aus er sich normalerweise anmeldet.
none Es gab keine Identitätsbestätigung.
offline_otp Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhalten hat (nur Android).
other Andere Methode der Identitätsbestätigung.
password Passwort.
security_key Der Nutzer übergibt die kryptografische Identitätsbestätigung des Sicherheitsschlüssels.
security_key_otp Sicherheitsschlüssel für die Methode der Identitätsbestätigung als Sicherheitsschlüssel-OTP.
|
login_failure_type |
string
Die Ursache für den Anmeldefehler.
Mögliche Werte:
login_failure_access_code_disallowed Der Nutzer ist nicht berechtigt, sich im Dienst anzumelden.
login_failure_account_disabled Das Konto des Nutzers ist deaktiviert.
login_failure_invalid_password Das Passwort des Nutzers ist ungültig.
login_failure_unknown Der Grund für den Anmeldefehler ist unbekannt.
|
login_type |
string
Die Art der Anmeldedaten, die für den Anmeldeversuch verwendet wurden.
Mögliche Werte:
exchange Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen Typ aus, z. B. ein OAuth-Token gegen eine SID. Möglicherweise war der Nutzer bereits in einer Sitzung angemeldet und die Sitzungen wurden zusammengeführt.
google_password Der Nutzer gibt das Passwort für das Google-Konto an.
reauth Der Nutzer ist bereits authentifiziert, muss sich aber noch einmal autorisieren.
saml Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
unknown Anmeldetyp unbekannt.
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_failure&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
{actor} failed to login
|
Identitätsbestätigung
Es wurde eine Anmeldung zur Bestätigung der Identität des Nutzers durchgeführt. Alle Identitätsbestätigungen, die während einer Sitzung aufgetreten sind, werden in einem einzigen events
-Eintrag zusammengefasst. Wenn ein Nutzer beispielsweise zweimal ein falsches Passwort und dann das richtige Passwort eingibt, gefolgt von einer Bestätigung in zwei Schritten mit einem Sicherheitsschlüssel, sieht das Feld events
der activities.list
-Antwort so aus:
"events": [
{
"type": "login",
"name": "login_success",
"parameters": [
{
"name": "login_type",
"value": "google_password"
},
{
"name": "login_challenge_method",
"multiValue": [
"password",
"password",
"password",
"security_key"
]
},
{
"name": "is_suspicious",
"boolValue": false
}
]
}
]
Weitere Informationen finden Sie im Hilfeartikel Identitätsbestätigung mit zusätzlichen Sicherheitsmaßnahmen.
Veranstaltungsdetails |
Ereignisname |
login_challenge |
Parameter |
login_challenge_method |
string
Methode der Identitätsbestätigung.
Mögliche Werte:
backup_code Der Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
google_authenticator Der Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
google_prompt Methode der Identitätsbestätigung von Google.
idv_any_phone Der Nutzer hat nach seiner Telefonnummer gefragt und gibt dann den Code ein, der an dieses Smartphone gesendet wurde.
idv_preregistered_phone Der Nutzer gibt einen Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
internal_two_factor Methode der Identitätsbestätigung – intern, zwei Faktoren.
knowledge_employee_id Methode der Identitätsbestätigung – Mitarbeiter-ID.
knowledge_preregistered_email Der Nutzer weist die Kenntnis einer vorab registrierten E-Mail-Adresse nach.
knowledge_preregistered_phone Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
login_location Der Nutzer gibt an, von wo aus er sich normalerweise anmeldet.
none Es gab keine Identitätsbestätigung.
offline_otp Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhalten hat (nur Android).
other Andere Methode der Identitätsbestätigung.
password Passwort.
security_key Der Nutzer übergibt die kryptografische Identitätsbestätigung des Sicherheitsschlüssels.
security_key_otp Sicherheitsschlüssel für die Methode der Identitätsbestätigung als Sicherheitsschlüssel-OTP.
|
login_challenge_status |
string
Gibt an, ob die Identitätsbestätigung erfolgreich war oder fehlgeschlagen ist, angezeigt als „Challenge bestanden“. und „Challenge fehlgeschlagen“. . Ein leerer String weist auf einen unbekannten Status hin.
|
login_type |
string
Die Art der Anmeldedaten, die für den Anmeldeversuch verwendet wurden.
Mögliche Werte:
exchange Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen Typ aus, z. B. ein OAuth-Token gegen eine SID. Möglicherweise war der Nutzer bereits in einer Sitzung angemeldet und die Sitzungen wurden zusammengeführt.
google_password Der Nutzer gibt das Passwort für das Google-Konto an.
reauth Der Nutzer ist bereits authentifiziert, muss sich aber noch einmal autorisieren.
saml Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
unknown Anmeldetyp unbekannt.
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_challenge&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
{actor} was presented with a login challenge
|
Anmeldebestätigung
Name des Ereignisses der Anmeldebestätigung.
Veranstaltungsdetails |
Ereignisname |
login_verification |
Parameter |
is_second_factor |
boolean
Gibt an, ob die Anmeldung per Bestätigung in zwei Schritten erfolgt.
Mögliche Werte:
false Boolescher Wert ist falsch.
true Boolescher Wert: wahr.
|
login_challenge_method |
string
Methode der Identitätsbestätigung.
Mögliche Werte:
backup_code Der Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
google_authenticator Der Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
google_prompt Methode der Identitätsbestätigung von Google.
idv_any_phone Der Nutzer hat nach seiner Telefonnummer gefragt und gibt dann den Code ein, der an dieses Smartphone gesendet wurde.
idv_preregistered_phone Der Nutzer gibt einen Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
internal_two_factor Methode der Identitätsbestätigung – intern, zwei Faktoren.
knowledge_employee_id Methode der Identitätsbestätigung – Mitarbeiter-ID.
knowledge_preregistered_email Der Nutzer weist die Kenntnis einer vorab registrierten E-Mail-Adresse nach.
knowledge_preregistered_phone Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
login_location Der Nutzer gibt an, von wo aus er sich normalerweise anmeldet.
none Es gab keine Identitätsbestätigung.
offline_otp Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhalten hat (nur Android).
other Andere Methode der Identitätsbestätigung.
password Passwort.
security_key Der Nutzer übergibt die kryptografische Identitätsbestätigung des Sicherheitsschlüssels.
security_key_otp Sicherheitsschlüssel für die Methode der Identitätsbestätigung als Sicherheitsschlüssel-OTP.
|
login_challenge_status |
string
Gibt an, ob die Identitätsbestätigung erfolgreich war oder fehlgeschlagen ist, angezeigt als „Challenge bestanden“. und „Challenge fehlgeschlagen“. . Ein leerer String weist auf einen unbekannten Status hin.
|
login_type |
string
Die Art der Anmeldedaten, die für den Anmeldeversuch verwendet wurden.
Mögliche Werte:
exchange Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen Typ aus, z. B. ein OAuth-Token gegen eine SID. Möglicherweise war der Nutzer bereits in einer Sitzung angemeldet und die Sitzungen wurden zusammengeführt.
google_password Der Nutzer gibt das Passwort für das Google-Konto an.
reauth Der Nutzer ist bereits authentifiziert, muss sich aber noch einmal autorisieren.
saml Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
unknown Anmeldetyp unbekannt.
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_verification&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
{actor} was presented with login verification
|
Abmelden
Der Nutzer hat sich abgemeldet.
Veranstaltungsdetails |
Ereignisname |
logout |
Parameter |
login_type |
string
Die Art der Anmeldedaten, die für den Anmeldeversuch verwendet wurden.
Mögliche Werte:
exchange Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen Typ aus, z. B. ein OAuth-Token gegen eine SID. Möglicherweise war der Nutzer bereits in einer Sitzung angemeldet und die Sitzungen wurden zusammengeführt.
google_password Der Nutzer gibt das Passwort für das Google-Konto an.
reauth Der Nutzer ist bereits authentifiziert, muss sich aber noch einmal autorisieren.
saml Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
unknown Anmeldetyp unbekannt.
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=logout&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
{actor} logged out
|
Vertrauliche Aktion zugelassen
Veranstaltungsdetails |
Ereignisname |
risky_sensitive_action_allowed |
Parameter |
is_suspicious |
boolean
Der Anmeldeversuch hatte ungewöhnliche Merkmale, z. B. hat sich der Nutzer von einer unbekannten IP-Adresse angemeldet.
Mögliche Werte:
false Boolescher Wert ist falsch.
true Boolescher Wert: wahr.
|
login_challenge_method |
string
Methode der Identitätsbestätigung.
Mögliche Werte:
backup_code Der Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
google_authenticator Der Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
google_prompt Methode der Identitätsbestätigung von Google.
idv_any_phone Der Nutzer hat nach seiner Telefonnummer gefragt und gibt dann den Code ein, der an dieses Smartphone gesendet wurde.
idv_preregistered_phone Der Nutzer gibt einen Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
internal_two_factor Methode der Identitätsbestätigung – intern, zwei Faktoren.
knowledge_employee_id Methode der Identitätsbestätigung – Mitarbeiter-ID.
knowledge_preregistered_email Der Nutzer weist die Kenntnis einer vorab registrierten E-Mail-Adresse nach.
knowledge_preregistered_phone Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
login_location Der Nutzer gibt an, von wo aus er sich normalerweise anmeldet.
none Es gab keine Identitätsbestätigung.
offline_otp Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhalten hat (nur Android).
other Andere Methode der Identitätsbestätigung.
password Passwort.
security_key Der Nutzer übergibt die kryptografische Identitätsbestätigung des Sicherheitsschlüssels.
security_key_otp Sicherheitsschlüssel für die Methode der Identitätsbestätigung als Sicherheitsschlüssel-OTP.
|
login_challenge_status |
string
Gibt an, ob die Identitätsbestätigung erfolgreich war oder fehlgeschlagen ist, angezeigt als „Challenge bestanden“. und „Challenge fehlgeschlagen“. . Ein leerer String weist auf einen unbekannten Status hin.
|
login_type |
string
Die Art der Anmeldedaten, die für den Anmeldeversuch verwendet wurden.
Mögliche Werte:
exchange Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen Typ aus, z. B. ein OAuth-Token gegen eine SID. Möglicherweise war der Nutzer bereits in einer Sitzung angemeldet und die Sitzungen wurden zusammengeführt.
google_password Der Nutzer gibt das Passwort für das Google-Konto an.
reauth Der Nutzer ist bereits authentifiziert, muss sich aber noch einmal autorisieren.
saml Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
unknown Anmeldetyp unbekannt.
|
sensitive_action_name |
string
Beschreibung des Namens der sensiblen Aktion in einem riskanten Ereignis, bei dem eine sensible Aktion durchgeführt wurde.
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_allowed&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
{actor} was permitted to take the action: {sensitive_action_name}.
|
Vertrauliche Aktion blockiert
Veranstaltungsdetails |
Ereignisname |
risky_sensitive_action_blocked |
Parameter |
is_suspicious |
boolean
Der Anmeldeversuch hatte ungewöhnliche Merkmale, z. B. hat sich der Nutzer von einer unbekannten IP-Adresse angemeldet.
Mögliche Werte:
false Boolescher Wert ist falsch.
true Boolescher Wert: wahr.
|
login_challenge_method |
string
Methode der Identitätsbestätigung.
Mögliche Werte:
backup_code Der Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
google_authenticator Der Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
google_prompt Methode der Identitätsbestätigung von Google.
idv_any_phone Der Nutzer hat nach seiner Telefonnummer gefragt und gibt dann den Code ein, der an dieses Smartphone gesendet wurde.
idv_preregistered_phone Der Nutzer gibt einen Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
internal_two_factor Methode der Identitätsbestätigung – intern, zwei Faktoren.
knowledge_employee_id Methode der Identitätsbestätigung – Mitarbeiter-ID.
knowledge_preregistered_email Der Nutzer weist die Kenntnis einer vorab registrierten E-Mail-Adresse nach.
knowledge_preregistered_phone Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
login_location Der Nutzer gibt an, von wo aus er sich normalerweise anmeldet.
none Es gab keine Identitätsbestätigung.
offline_otp Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhalten hat (nur Android).
other Andere Methode der Identitätsbestätigung.
password Passwort.
security_key Der Nutzer übergibt die kryptografische Identitätsbestätigung des Sicherheitsschlüssels.
security_key_otp Sicherheitsschlüssel für die Methode der Identitätsbestätigung als Sicherheitsschlüssel-OTP.
|
login_challenge_status |
string
Gibt an, ob die Identitätsbestätigung erfolgreich war oder fehlgeschlagen ist, angezeigt als „Challenge bestanden“. und „Challenge fehlgeschlagen“. . Ein leerer String weist auf einen unbekannten Status hin.
|
login_type |
string
Die Art der Anmeldedaten, die für den Anmeldeversuch verwendet wurden.
Mögliche Werte:
exchange Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen Typ aus, z. B. ein OAuth-Token gegen eine SID. Möglicherweise war der Nutzer bereits in einer Sitzung angemeldet und die Sitzungen wurden zusammengeführt.
google_password Der Nutzer gibt das Passwort für das Google-Konto an.
reauth Der Nutzer ist bereits authentifiziert, muss sich aber noch einmal autorisieren.
saml Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
unknown Anmeldetyp unbekannt.
|
sensitive_action_name |
string
Beschreibung des Namens der sensiblen Aktion in einem riskanten Ereignis, bei dem eine sensible Aktion durchgeführt wurde.
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_blocked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
{actor} was blocked from the action: {sensitive_action_name}. Their session was risky and identity couldn’t be verified.
|
Erfolgreiche Anmeldung
Ein Anmeldeversuch war erfolgreich.
Veranstaltungsdetails |
Ereignisname |
login_success |
Parameter |
is_suspicious |
boolean
Der Anmeldeversuch hatte ungewöhnliche Merkmale, z. B. hat sich der Nutzer von einer unbekannten IP-Adresse angemeldet.
Mögliche Werte:
false Boolescher Wert ist falsch.
true Boolescher Wert: wahr.
|
login_challenge_method |
string
Methode der Identitätsbestätigung.
Mögliche Werte:
backup_code Der Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
google_authenticator Der Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
google_prompt Methode der Identitätsbestätigung von Google.
idv_any_phone Der Nutzer hat nach seiner Telefonnummer gefragt und gibt dann den Code ein, der an dieses Smartphone gesendet wurde.
idv_preregistered_phone Der Nutzer gibt einen Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
internal_two_factor Methode der Identitätsbestätigung – intern, zwei Faktoren.
knowledge_employee_id Methode der Identitätsbestätigung – Mitarbeiter-ID.
knowledge_preregistered_email Der Nutzer weist die Kenntnis einer vorab registrierten E-Mail-Adresse nach.
knowledge_preregistered_phone Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
login_location Der Nutzer gibt an, von wo aus er sich normalerweise anmeldet.
none Es gab keine Identitätsbestätigung.
offline_otp Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhalten hat (nur Android).
other Andere Methode der Identitätsbestätigung.
password Passwort.
security_key Der Nutzer übergibt die kryptografische Identitätsbestätigung des Sicherheitsschlüssels.
security_key_otp Sicherheitsschlüssel für die Methode der Identitätsbestätigung als Sicherheitsschlüssel-OTP.
|
login_type |
string
Die Art der Anmeldedaten, die für den Anmeldeversuch verwendet wurden.
Mögliche Werte:
exchange Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen Typ aus, z. B. ein OAuth-Token gegen eine SID. Möglicherweise war der Nutzer bereits in einer Sitzung angemeldet und die Sitzungen wurden zusammengeführt.
google_password Der Nutzer gibt das Passwort für das Google-Konto an.
reauth Der Nutzer ist bereits authentifiziert, muss sich aber noch einmal autorisieren.
saml Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
unknown Anmeldetyp unbekannt.
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_success&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat in der Admin-Konsole |
{actor} logged in
|