此页面由 Cloud Translation API 翻译。

Login Audit Activity Events

本文档列出了各种类型的登录审核活动事件的事件和参数。您可以使用 applicationName=login 调用 Activities.list() 来检索这些活动。

两步验证注册已更改

系统会使用 type=2sv_change 返回此类事件。

两步验证停用

活动详情
事件名称	`2sv_disable`
示例请求	`GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_disable&maxResults=10&access_token=YOUR_ACCESS_TOKEN`
管理控制台消息格式	`{actor} has disabled 2-step verification`

两步验证注册

活动详情
事件名称	`2sv_enroll`
示例请求	`GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN`
管理控制台消息格式	`{actor} has enrolled for 2-step verification`

账号密码已更改

系统会使用 type=password_change 返回此类事件。

账号密码更改

活动详情
事件名称	`password_edit`
示例请求	`GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=password_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN`
管理控制台消息格式	`{actor} has changed Account password`

账号恢复信息已更改

账号恢复信息已更改。系统会使用 type=recovery_info_change 返回此类事件。

账号恢复辅助邮箱更改

活动详情
事件名称	`recovery_email_edit`
示例请求	`GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_email_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN`
管理控制台消息格式	`{actor} has changed Account recovery email`

账号恢复辅助电话号码更改

活动详情
事件名称	`recovery_phone_edit`
示例请求	`GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_phone_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN`
管理控制台消息格式	`{actor} has changed Account recovery phone`

账号恢复保密问题/答案更改

活动详情
事件名称	`recovery_secret_qa_edit`
示例请求	`GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_secret_qa_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN`
管理控制台消息格式	`{actor} has changed Account recovery secret question/answer`

账号警告

账号警告事件类型。系统会使用 type=account_warning 返回此类事件。

密码泄露

账号警告事件“账号已停用，密码泄露”说明。

活动详情

事件名称 account_disabled_password_leak

参数

affected_email_address

string

受事件影响的用户的电子邮件 ID。

示例请求

GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_password_leak&maxResults=10&access_token=YOUR_ACCESS_TOKEN

管理控制台消息格式

Account {affected_email_address} disabled because Google has become aware that someone else knows its password

已注册通行密钥

用户注册的通行密钥。

活动详情
事件名称	`passkey_enrolled`
示例请求	`GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=passkey_enrolled&maxResults=10&access_token=YOUR_ACCESS_TOKEN`
管理控制台消息格式	`{actor} enrolled a new passkey`

移除了通行密钥

通行密钥已被用户移除。

活动详情
事件名称	`passkey_removed`
示例请求	`GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=passkey_removed&maxResults=10&access_token=YOUR_ACCESS_TOKEN`
管理控制台消息格式	`{actor} removed passkey`

已阻止可疑登录

账号警告事件“可疑登录”说明。

活动详情

事件名称 suspicious_login

参数

affected_email_address

string

受事件影响的用户的电子邮件 ID。

login_timestamp

integer

账号警告事件的登录时间（以微秒为单位）。

示例请求

GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN

管理控制台消息格式

Google has detected a suspicious login for {affected_email_address}

已阻止使用安全性较低的应用进行的可疑登录

账号警告事件“使用安全性较低的应用进行的可疑登录”说明。

活动详情

事件名称 suspicious_login_less_secure_app

参数

affected_email_address

string

受事件影响的用户的电子邮件 ID。

login_timestamp

integer

账号警告事件的登录时间（以微秒为单位）。

示例请求

GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login_less_secure_app&maxResults=10&access_token=YOUR_ACCESS_TOKEN

管理控制台消息格式

Google has detected a suspicious login for {affected_email_address} from a less secure app

阻止了通过程序化方式进行的可疑登录

账号警告事件“可疑的程序化登录”说明。

活动详情

事件名称 suspicious_programmatic_login

参数

affected_email_address

string

受事件影响的用户的电子邮件 ID。

login_timestamp

integer

账号警告事件的登录时间（以微秒为单位）。

示例请求

GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_programmatic_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN

管理控制台消息格式

Google has detected a suspicious programmatic login for {affected_email_address}

用户因可疑的会话 Cookie 而退出账号

用户因可疑的会话 Cookie 而退出账号（Cookie Cutter 恶意软件事件）。

活动详情

事件名称 user_signed_out_due_to_suspicious_session_cookie

参数

affected_email_address

string

受事件影响的用户的电子邮件 ID。

示例请求

GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=user_signed_out_due_to_suspicious_session_cookie&maxResults=10&access_token=YOUR_ACCESS_TOKEN

管理控制台消息格式

Suspicious session cookie detected for user {affected_email_address}

用户被暂停

账号警告事件“账号已停用”的通用说明。

活动详情

事件名称 account_disabled_generic

参数

affected_email_address

string

受事件影响的用户的电子邮件 ID。

示例请求

GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_generic&maxResults=10&access_token=YOUR_ACCESS_TOKEN

管理控制台消息格式

Account {affected_email_address} disabled

已暂停用户（通过中继服务发送垃圾内容）

账号警告事件“账号因通过中继服务发送垃圾内容而被停用”说明。

活动详情

事件名称 account_disabled_spamming_through_relay

参数

affected_email_address

string

受事件影响的用户的电子邮件 ID。

示例请求

GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming_through_relay&maxResults=10&access_token=YOUR_ACCESS_TOKEN

管理控制台消息格式

Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming through SMTP relay service

已暂停用户（垃圾内容）

账号警告事件账号已因垃圾内容而被停用说明。

活动详情

事件名称 account_disabled_spamming

参数

affected_email_address

string

受事件影响的用户的电子邮件 ID。

示例请求

GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming&maxResults=10&access_token=YOUR_ACCESS_TOKEN

管理控制台消息格式

Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming

已暂停用户（可疑活动）

账号警告事件账号已停用被盗用说明。

活动详情

事件名称 account_disabled_hijacked

参数

affected_email_address

string

受事件影响的用户的电子邮件 ID。

login_timestamp

integer

账号警告事件的登录时间（以微秒为单位）。

示例请求

GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_hijacked&maxResults=10&access_token=YOUR_ACCESS_TOKEN

管理控制台消息格式

Account {affected_email_address} disabled because Google has detected a suspicious activity indicating it might have been compromised

已更改高级保护计划注册状态

系统会使用 type=titanium_change 返回此类事件。

注册高级保护计划

活动详情
事件名称	`titanium_enroll`
示例请求	`GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN`
管理控制台消息格式	`{actor} has enrolled for Advanced Protection`

取消注册高级保护计划

活动详情
事件名称	`titanium_unenroll`
示例请求	`GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_unenroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN`
管理控制台消息格式	`{actor} has disabled Advanced Protection`

攻击警告

攻击警告事件类型。系统会使用 type=attack_warning 返回此类事件。

政府支持的攻击

政府支持的攻击警告事件名称。

活动详情
事件名称	`gov_attack_warning`
示例请求	`GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=gov_attack_warning&maxResults=10&access_token=YOUR_ACCESS_TOKEN`
管理控制台消息格式	`{actor} might have been targeted by government-backed attack`

“已屏蔽的发件人”设置已更改

系统会使用 type=blocked_sender_change 返回此类事件。

已阻止此发件人日后发送的所有电子邮件。

屏蔽的电子邮件地址。

活动详情
事件名称	`blocked_sender`
示例请求	`GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=blocked_sender&maxResults=10&access_token=YOUR_ACCESS_TOKEN`
管理控制台消息格式	`{actor} has blocked all future messages from {affected_email_address}.`

电子邮件转发设置已更改

系统会使用 type=email_forwarding_change 返回此类事件。

网域外电子邮件转发功能已启用

活动详情
事件名称	`email_forwarding_out_of_domain`
示例请求	`GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=email_forwarding_out_of_domain&maxResults=10&access_token=YOUR_ACCESS_TOKEN`
管理控制台消息格式	`{actor} has enabled out of domain email forwarding to {email_forwarding_destination_address}.`

登录事件类型。系统会使用 type=login 返回此类事件。

登录失败

登录尝试失败。

活动详情

事件名称 login_failure

参数

login_challenge_method

string

登录验证方法。可能的值：

access_to_preregistered_email
一种需要访问收件箱中的验证电子邮件的质询。
assistant_approval
一种质询，可让用户批准 Google 助理产品进行身份验证。
backup_code
要求用户输入备用验证码。
captcha
一种验证方式，用于区分真人和自动化机器人。
cname
这项质询要求用户通过更改其托管服务商处的 CNAME 记录来证明对域名的所有权。
cross_account
一种质询，可让产品在一部设备上使用主要账号启动身份验证会话，将其委托给另一个账号完成，然后在主要账号所拥有的原始发起设备上接收会话凭据。
cross_device
一种质询，要求用户在辅助设备上完成身份验证。
deny
用户登录遭拒。
device_assertion
基于识别之前使用过的设备的挑战。
device_preregistered_phone
一种质询，要求用户在设备上验证其电话号码。此功能目前仅用于用户名恢复，不适用于其他身份验证流程。
device_prompt
用户移动设备上的质询。
extended_botguard
一种验证，需要用户完成一系列额外的验证步骤，以确保人机互动。
google_authenticator
要求用户输入验证器应用提供的动态密码。
google_prompt
登录验证方法 Google 提示。
idv_any_email
一种验证方式，要求用户提供 Google 在验证期间发送到他们提供的任何电子邮件地址的验证码。
idv_any_phone
系统会要求用户提供电话号码，并输入通过该号码收到的验证码。
idv_preregistered_email
一种验证方式，系统会向用户之前提供的另一个电子邮件地址发送验证码。
idv_preregistered_phone
用户输入发送到其预注册手机的验证码。
internal_two_factor
登录质询方法：内部两步验证。
knowledge_account_creation_date
一种质询，要求用户提供其账号的创建日期（大致日期）。
knowledge_cloud_pin
基于用户的云服务 PIN 码的质询。
knowledge_date_of_birth
一种验证，要求用户提供其 Google 账号中注册的出生日期。
knowledge_domain_title
一种质询，要求用户提供其网域标题（组织名称）。
knowledge_employee_id
登录验证方法：知识库员工 ID。
knowledge_historical_password
一种质询，可让用户输入当前或之前的密码。使用此质询时，KNOWLEDGE_PASSWORD 将仅引用当前密码。
knowledge_last_login_date
一种质询，要求用户提供上次登录的大致日期。
knowledge_lockscreen
一种质询，允许用户在符合条件的设备上输入锁屏知识凭据。
knowledge_preregistered_email
用户证明自己知晓预注册的电子邮件地址。
knowledge_preregistered_phone
用户证明自己知晓预注册的电话号码。
knowledge_real_name
一种验证，要求用户提供其 Google 账号中注册的姓名（名字、姓氏）。
knowledge_secret_question
一种挑战，要求用户提供他们选择的问题的答案。
knowledge_user_count
一个质询，要求用户提供网域中的用户数。
knowledge_youtube
根据用户对其 YouTube 账号详细信息的了解而提出的质询。
login_location
用户从其通常登录的位置输入。
manual_recovery
用户只能在管理员的帮助下恢复账号。
math
需要解数学方程的挑战。
none
未遇到登录验证。
offline_otp
用户输入通过手机上的设置获取的动态密码（仅限 Android）。
oidc
使用 OIDC 协议的质询。
other
登录验证方法 - 其他。
outdated_app_warning
警告页面，旨在作为一种质询，告知用户他们使用的应用版本可能已过时。用户可以选择继续。
parent_auth
需要家长或监护人授权的验证问题。
passkey
一种质询，用于使用符合 FIDO2 标准的通行密钥或安全密钥来验证用户的身份。
password
密码。
recaptcha
一种验证，可使用 reCAPTCHA v2 API 保护用户免受垃圾内容和其他类型的自动滥用行为的侵扰。
rescue_code
一种质询，允许用户输入救援代码。救援代码是 32 个字符的字母数字字符串，用户应妥善保管，并可使用该代码来恢复账号。
same_device_screenlock
一种质询，要求用户解锁其尝试登录或执行敏感操作的设备。
saml
用户提供来自 SAML 身份提供商的 SAML 断言。
security_key
用户通过安全密钥加密验证。
security_key_otp
登录质询方法：安全密钥动态密码。
time_delay
一种异步质询，会在指定的暂停期结束后通过电子邮件发送链接。
userless_fido
与特定用户无关的 FIDO 质询。
web_approval
这项质询要求用户使用 Apple iOS 设备的原生相机扫描二维码，并使用网页版审批流程进行登录。

login_failure_type

string

（已废弃）登录失败的原因。可能的值：

login_failure_access_code_disallowed
用户无权登录该服务。
login_failure_account_disabled
用户的账号已停用。
login_failure_invalid_password
用户的密码无效。
login_failure_unknown
登录失败的原因未知。

login_type

string

用于尝试登录的凭据类型。可能的值：

exchange
用户提供现有凭据并用其交换另一种凭据，例如用 OAuth 令牌交换 SID。可能表示用户已登录某个会话，而系统合并了两个会话。
google_password
用户提供 Google 账号密码。
reauth
用户已通过身份验证，但必须重新授权。
saml
用户提供来自 SAML 身份提供商的 SAML 断言。
unknown
登录类型未知。

示例请求

GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_failure&maxResults=10&access_token=YOUR_ACCESS_TOKEN

管理控制台消息格式

{actor} failed to login

登录验证

系统发起了登录质询，以验证用户的身份。登录会话期间遇到的所有登录问题都会归为一项 events 条目。例如，如果用户输错密码两次，然后输入正确的密码，接着使用安全密钥进行两步验证，则 activities.list 响应的 events 字段将如下所示：

"events": [
  {
    "type": "login",
    "name": "login_success",
    "parameters": [
      {
        "name": "login_type",
        "value": "google_password"
      },
      {
        "name": "login_challenge_method",
        "multiValue": [
          "password",
          "password",
          "password",
          "security_key"
        ]
      },
      {
        "name": "is_suspicious",
        "boolValue": false
      }
    ]
  }
]

如需详细了解登录验证，请参阅使用额外安全措施验证用户身份。

活动详情

事件名称 login_challenge

参数

login_challenge_method

string

登录验证方法。可能的值：

access_to_preregistered_email
一种需要访问收件箱中的验证电子邮件的质询。
assistant_approval
一种质询，可让用户批准 Google 助理产品进行身份验证。
backup_code
要求用户输入备用验证码。
captcha
一种验证方式，用于区分真人和自动化机器人。
cname
这项质询要求用户通过更改其托管服务商处的 CNAME 记录来证明对域名的所有权。
cross_account
一种质询，可让产品在一部设备上使用主要账号启动身份验证会话，将其委托给另一个账号完成，然后在主要账号所拥有的原始发起设备上接收会话凭据。
cross_device
一种质询，要求用户在辅助设备上完成身份验证。
deny
用户登录遭拒。
device_assertion
基于识别之前使用过的设备的挑战。
device_preregistered_phone
一种质询，要求用户在设备上验证其电话号码。此功能目前仅用于用户名恢复，不适用于其他身份验证流程。
device_prompt
用户移动设备上的质询。
extended_botguard
一种验证，需要用户完成一系列额外的验证步骤，以确保人机互动。
google_authenticator
要求用户输入验证器应用提供的动态密码。
google_prompt
登录验证方法 Google 提示。
idv_any_email
一种验证方式，要求用户提供 Google 在验证期间发送到他们提供的任何电子邮件地址的验证码。
idv_any_phone
系统会要求用户提供电话号码，并输入通过该号码收到的验证码。
idv_preregistered_email
一种验证方式，系统会向用户之前提供的另一个电子邮件地址发送验证码。
idv_preregistered_phone
用户输入发送到其预注册手机的验证码。
internal_two_factor
登录质询方法：内部两步验证。
knowledge_account_creation_date
一种质询，要求用户提供其账号的创建日期（大致日期）。
knowledge_cloud_pin
基于用户的云服务 PIN 码的质询。
knowledge_date_of_birth
一种验证，要求用户提供其 Google 账号中注册的出生日期。
knowledge_domain_title
一种质询，要求用户提供其网域标题（组织名称）。
knowledge_employee_id
登录验证方法：知识库员工 ID。
knowledge_historical_password
一种质询，可让用户输入当前或之前的密码。使用此质询时，KNOWLEDGE_PASSWORD 将仅引用当前密码。
knowledge_last_login_date
一种质询，要求用户提供上次登录的大致日期。
knowledge_lockscreen
一种质询，允许用户在符合条件的设备上输入锁屏知识凭据。
knowledge_preregistered_email
用户证明自己知晓预注册的电子邮件地址。
knowledge_preregistered_phone
用户证明自己知晓预注册的电话号码。
knowledge_real_name
一种验证，要求用户提供其 Google 账号中注册的姓名（名字、姓氏）。
knowledge_secret_question
一种挑战，要求用户提供他们选择的问题的答案。
knowledge_user_count
一个质询，要求用户提供网域中的用户数。
knowledge_youtube
根据用户对其 YouTube 账号详细信息的了解而提出的质询。
login_location
用户从其通常登录的位置输入。
manual_recovery
用户只能在管理员的帮助下恢复账号。
math
需要解数学方程的挑战。
none
未遇到登录验证。
offline_otp
用户输入通过手机上的设置获取的动态密码（仅限 Android）。
oidc
使用 OIDC 协议的质询。
other
登录验证方法 - 其他。
outdated_app_warning
警告页面，旨在作为一种质询，告知用户他们使用的应用版本可能已过时。用户可以选择继续。
parent_auth
需要家长或监护人授权的验证问题。
passkey
一种质询，用于使用符合 FIDO2 标准的通行密钥或安全密钥来验证用户的身份。
password
密码。
recaptcha
一种验证，可使用 reCAPTCHA v2 API 保护用户免受垃圾内容和其他类型的自动滥用行为的侵扰。
rescue_code
一种质询，允许用户输入救援代码。救援代码是 32 个字符的字母数字字符串，用户应妥善保管，并可使用该代码来恢复账号。
same_device_screenlock
一种质询，要求用户解锁其尝试登录或执行敏感操作的设备。
saml
用户提供来自 SAML 身份提供商的 SAML 断言。
security_key
用户通过安全密钥加密验证。
security_key_otp
登录质询方法：安全密钥动态密码。
time_delay
一种异步质询，会在指定的暂停期结束后通过电子邮件发送链接。
userless_fido
与特定用户无关的 FIDO 质询。
web_approval
这项质询要求用户使用 Apple iOS 设备的原生相机扫描二维码，并使用网页版审批流程进行登录。

login_challenge_status

string

登录验证是否成功，分别表示为“验证通过”和“验证失败”。空字符串表示未知状态。

login_type

string

用于尝试登录的凭据类型。可能的值：

exchange
用户提供现有凭据并用其交换另一种凭据，例如用 OAuth 令牌交换 SID。可能表示用户已登录某个会话，而系统合并了两个会话。
google_password
用户提供 Google 账号密码。
reauth
用户已通过身份验证，但必须重新授权。
saml
用户提供来自 SAML 身份提供商的 SAML 断言。
unknown
登录类型未知。

示例请求

GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_challenge&maxResults=10&access_token=YOUR_ACCESS_TOKEN

管理控制台消息格式

{actor} was presented with a login challenge

登录验证

登录验证事件名称。

活动详情

事件名称 login_verification

参数

`is_second_factor`	`boolean` 登录验证是否为两步验证。可能的值： `false` 布尔值 false。 `true` 布尔值 true。
`login_challenge_method`	`string` 登录验证方法。可能的值： `access_to_preregistered_email` 一种需要访问收件箱中的验证电子邮件的质询。 `assistant_approval` 一种质询，可让用户批准 Google 助理产品进行身份验证。 `backup_code` 要求用户输入备用验证码。 `captcha` 一种验证方式，用于区分真人和自动化机器人。 `cname` 这项质询要求用户通过更改其托管服务商处的 CNAME 记录来证明对域名的所有权。 `cross_account` 一种质询，可让产品在一部设备上使用主要账号启动身份验证会话，将其委托给另一个账号完成，然后在主要账号所拥有的原始发起设备上接收会话凭据。 `cross_device` 一种质询，要求用户在辅助设备上完成身份验证。 `deny` 用户登录遭拒。 `device_assertion` 基于识别之前使用过的设备的挑战。 `device_preregistered_phone` 一种质询，要求用户在设备上验证其电话号码。此功能目前仅用于用户名恢复，不适用于其他身份验证流程。 `device_prompt` 用户移动设备上的质询。 `extended_botguard` 一种验证，需要用户完成一系列额外的验证步骤，以确保人机互动。 `google_authenticator` 要求用户输入验证器应用提供的动态密码。 `google_prompt` 登录验证方法 Google 提示。 `idv_any_email` 一种验证方式，要求用户提供 Google 在验证期间发送到他们提供的任何电子邮件地址的验证码。 `idv_any_phone` 系统会要求用户提供电话号码，并输入通过该号码收到的验证码。 `idv_preregistered_email` 一种验证方式，系统会向用户之前提供的另一个电子邮件地址发送验证码。 `idv_preregistered_phone` 用户输入发送到其预注册手机的验证码。 `internal_two_factor` 登录质询方法：内部两步验证。 `knowledge_account_creation_date` 一种质询，要求用户提供其账号的创建日期（大致日期）。 `knowledge_cloud_pin` 基于用户的云服务 PIN 码的质询。 `knowledge_date_of_birth` 一种验证，要求用户提供其 Google 账号中注册的出生日期。 `knowledge_domain_title` 一种质询，要求用户提供其网域标题（组织名称）。 `knowledge_employee_id` 登录验证方法：知识库员工 ID。 `knowledge_historical_password` 一种质询，可让用户输入当前或之前的密码。使用此质询时，KNOWLEDGE_PASSWORD 将仅引用当前密码。 `knowledge_last_login_date` 一种质询，要求用户提供上次登录的大致日期。 `knowledge_lockscreen` 一种质询，允许用户在符合条件的设备上输入锁屏知识凭据。 `knowledge_preregistered_email` 用户证明自己知晓预注册的电子邮件地址。 `knowledge_preregistered_phone` 用户证明自己知晓预注册的电话号码。 `knowledge_real_name` 一种验证，要求用户提供其 Google 账号中注册的姓名（名字、姓氏）。 `knowledge_secret_question` 一种挑战，要求用户提供他们选择的问题的答案。 `knowledge_user_count` 一个质询，要求用户提供网域中的用户数。 `knowledge_youtube` 根据用户对其 YouTube 账号详细信息的了解而提出的质询。 `login_location` 用户从其通常登录的位置输入。 `manual_recovery` 用户只能在管理员的帮助下恢复账号。 `math` 需要解数学方程的挑战。 `none` 未遇到登录验证。 `offline_otp` 用户输入通过手机上的设置获取的动态密码（仅限 Android）。 `oidc` 使用 OIDC 协议的质询。 `other` 登录验证方法 - 其他。 `outdated_app_warning` 警告页面，旨在作为一种质询，告知用户他们使用的应用版本可能已过时。用户可以选择继续。 `parent_auth` 需要家长或监护人授权的验证问题。 `passkey` 一种质询，用于使用符合 FIDO2 标准的通行密钥或安全密钥来验证用户的身份。 `password` 密码。 `recaptcha` 一种验证，可使用 reCAPTCHA v2 API 保护用户免受垃圾内容和其他类型的自动滥用行为的侵扰。 `rescue_code` 一种质询，允许用户输入救援代码。救援代码是 32 个字符的字母数字字符串，用户应妥善保管，并可使用该代码来恢复账号。 `same_device_screenlock` 一种质询，要求用户解锁其尝试登录或执行敏感操作的设备。 `saml` 用户提供来自 SAML 身份提供商的 SAML 断言。 `security_key` 用户通过安全密钥加密验证。 `security_key_otp` 登录质询方法：安全密钥动态密码。 `time_delay` 一种异步质询，会在指定的暂停期结束后通过电子邮件发送链接。 `userless_fido` 与特定用户无关的 FIDO 质询。 `web_approval` 这项质询要求用户使用 Apple iOS 设备的原生相机扫描二维码，并使用网页版审批流程进行登录。
`login_challenge_status`	`string` 登录验证是否成功，分别表示为“验证通过”和“验证失败”。空字符串表示未知状态。
`login_type`	`string` 用于尝试登录的凭据类型。可能的值： `exchange` 用户提供现有凭据并用其交换另一种凭据，例如用 OAuth 令牌交换 SID。可能表示用户已登录某个会话，而系统合并了两个会话。 `google_password` 用户提供 Google 账号密码。 `reauth` 用户已通过身份验证，但必须重新授权。 `saml` 用户提供来自 SAML 身份提供商的 SAML 断言。 `unknown` 登录类型未知。

示例请求

GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_verification&maxResults=10&access_token=YOUR_ACCESS_TOKEN

管理控制台消息格式

{actor} was presented with login verification

退出

用户已退出。

活动详情

事件名称 logout

参数

login_type

string

用于尝试登录的凭据类型。可能的值：

exchange
用户提供现有凭据并用其交换另一种凭据，例如用 OAuth 令牌交换 SID。可能表示用户已登录某个会话，而系统合并了两个会话。
google_password
用户提供 Google 账号密码。
reauth
用户已通过身份验证，但必须重新授权。
saml
用户提供来自 SAML 身份提供商的 SAML 断言。
unknown
登录类型未知。

示例请求

GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=logout&maxResults=10&access_token=YOUR_ACCESS_TOKEN

管理控制台消息格式

{actor} logged out

敏感操作已获允许

活动详情

事件名称 risky_sensitive_action_allowed

参数

`is_suspicious`	`boolean` 登录尝试存在异常情况，例如用户通过陌生的 IP 地址登录。可能的值： `false` 布尔值 false。 `true` 布尔值 true。
`login_challenge_method`	`string` 登录验证方法。可能的值： `access_to_preregistered_email` 一种需要访问收件箱中的验证电子邮件的质询。 `assistant_approval` 一种质询，可让用户批准 Google 助理产品进行身份验证。 `backup_code` 要求用户输入备用验证码。 `captcha` 一种验证方式，用于区分真人和自动化机器人。 `cname` 这项质询要求用户通过更改其托管服务商处的 CNAME 记录来证明对域名的所有权。 `cross_account` 一种质询，可让产品在一部设备上使用主要账号启动身份验证会话，将其委托给另一个账号完成，然后在主要账号所拥有的原始发起设备上接收会话凭据。 `cross_device` 一种质询，要求用户在辅助设备上完成身份验证。 `deny` 用户登录遭拒。 `device_assertion` 基于识别之前使用过的设备的挑战。 `device_preregistered_phone` 一种质询，要求用户在设备上验证其电话号码。此功能目前仅用于用户名恢复，不适用于其他身份验证流程。 `device_prompt` 用户移动设备上的质询。 `extended_botguard` 一种验证，需要用户完成一系列额外的验证步骤，以确保人机互动。 `google_authenticator` 要求用户输入验证器应用提供的动态密码。 `google_prompt` 登录验证方法 Google 提示。 `idv_any_email` 一种验证方式，要求用户提供 Google 在验证期间发送到他们提供的任何电子邮件地址的验证码。 `idv_any_phone` 系统会要求用户提供电话号码，并输入通过该号码收到的验证码。 `idv_preregistered_email` 一种验证方式，系统会向用户之前提供的另一个电子邮件地址发送验证码。 `idv_preregistered_phone` 用户输入发送到其预注册手机的验证码。 `internal_two_factor` 登录质询方法：内部两步验证。 `knowledge_account_creation_date` 一种质询，要求用户提供其账号的创建日期（大致日期）。 `knowledge_cloud_pin` 基于用户的云服务 PIN 码的质询。 `knowledge_date_of_birth` 一种验证，要求用户提供其 Google 账号中注册的出生日期。 `knowledge_domain_title` 一种质询，要求用户提供其网域标题（组织名称）。 `knowledge_employee_id` 登录验证方法：知识库员工 ID。 `knowledge_historical_password` 一种质询，可让用户输入当前或之前的密码。使用此质询时，KNOWLEDGE_PASSWORD 将仅引用当前密码。 `knowledge_last_login_date` 一种质询，要求用户提供上次登录的大致日期。 `knowledge_lockscreen` 一种质询，允许用户在符合条件的设备上输入锁屏知识凭据。 `knowledge_preregistered_email` 用户证明自己知晓预注册的电子邮件地址。 `knowledge_preregistered_phone` 用户证明自己知晓预注册的电话号码。 `knowledge_real_name` 一种验证，要求用户提供其 Google 账号中注册的姓名（名字、姓氏）。 `knowledge_secret_question` 一种挑战，要求用户提供他们选择的问题的答案。 `knowledge_user_count` 一个质询，要求用户提供网域中的用户数。 `knowledge_youtube` 根据用户对其 YouTube 账号详细信息的了解而提出的质询。 `login_location` 用户从其通常登录的位置输入。 `manual_recovery` 用户只能在管理员的帮助下恢复账号。 `math` 需要解数学方程的挑战。 `none` 未遇到登录验证。 `offline_otp` 用户输入通过手机上的设置获取的动态密码（仅限 Android）。 `oidc` 使用 OIDC 协议的质询。 `other` 登录验证方法 - 其他。 `outdated_app_warning` 警告页面，旨在作为一种质询，告知用户他们使用的应用版本可能已过时。用户可以选择继续。 `parent_auth` 需要家长或监护人授权的验证问题。 `passkey` 一种质询，用于使用符合 FIDO2 标准的通行密钥或安全密钥来验证用户的身份。 `password` 密码。 `recaptcha` 一种验证，可使用 reCAPTCHA v2 API 保护用户免受垃圾内容和其他类型的自动滥用行为的侵扰。 `rescue_code` 一种质询，允许用户输入救援代码。救援代码是 32 个字符的字母数字字符串，用户应妥善保管，并可使用该代码来恢复账号。 `same_device_screenlock` 一种质询，要求用户解锁其尝试登录或执行敏感操作的设备。 `saml` 用户提供来自 SAML 身份提供商的 SAML 断言。 `security_key` 用户通过安全密钥加密验证。 `security_key_otp` 登录质询方法：安全密钥动态密码。 `time_delay` 一种异步质询，会在指定的暂停期结束后通过电子邮件发送链接。 `userless_fido` 与特定用户无关的 FIDO 质询。 `web_approval` 这项质询要求用户使用 Apple iOS 设备的原生相机扫描二维码，并使用网页版审批流程进行登录。
`login_challenge_status`	`string` 登录验证是否成功，分别表示为“验证通过”和“验证失败”。空字符串表示未知状态。
`login_type`	`string` 用于尝试登录的凭据类型。可能的值： `exchange` 用户提供现有凭据并用其交换另一种凭据，例如用 OAuth 令牌交换 SID。可能表示用户已登录某个会话，而系统合并了两个会话。 `google_password` 用户提供 Google 账号密码。 `reauth` 用户已通过身份验证，但必须重新授权。 `saml` 用户提供来自 SAML 身份提供商的 SAML 断言。 `unknown` 登录类型未知。
`sensitive_action_name`	`string` 有风险的敏感操作质询事件中敏感操作名称的说明。

示例请求

GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_allowed&maxResults=10&access_token=YOUR_ACCESS_TOKEN

管理控制台消息格式

{actor} was allowed to attempt sensitive action: {sensitive_action_name}. This action might be restricted based on privileges or other limitations.

敏感操作已被阻止

活动详情

事件名称 risky_sensitive_action_blocked

参数

`is_suspicious`	`boolean` 登录尝试存在异常情况，例如用户通过陌生的 IP 地址登录。可能的值： `false` 布尔值 false。 `true` 布尔值 true。
`login_challenge_method`	`string` 登录验证方法。可能的值： `access_to_preregistered_email` 一种需要访问收件箱中的验证电子邮件的质询。 `assistant_approval` 一种质询，可让用户批准 Google 助理产品进行身份验证。 `backup_code` 要求用户输入备用验证码。 `captcha` 一种验证方式，用于区分真人和自动化机器人。 `cname` 这项质询要求用户通过更改其托管服务商处的 CNAME 记录来证明对域名的所有权。 `cross_account` 一种质询，可让产品在一部设备上使用主要账号启动身份验证会话，将其委托给另一个账号完成，然后在主要账号所拥有的原始发起设备上接收会话凭据。 `cross_device` 一种质询，要求用户在辅助设备上完成身份验证。 `deny` 用户登录遭拒。 `device_assertion` 基于识别之前使用过的设备的挑战。 `device_preregistered_phone` 一种质询，要求用户在设备上验证其电话号码。此功能目前仅用于用户名恢复，不适用于其他身份验证流程。 `device_prompt` 用户移动设备上的质询。 `extended_botguard` 一种验证，需要用户完成一系列额外的验证步骤，以确保人机互动。 `google_authenticator` 要求用户输入验证器应用提供的动态密码。 `google_prompt` 登录验证方法 Google 提示。 `idv_any_email` 一种验证方式，要求用户提供 Google 在验证期间发送到他们提供的任何电子邮件地址的验证码。 `idv_any_phone` 系统会要求用户提供电话号码，并输入通过该号码收到的验证码。 `idv_preregistered_email` 一种验证方式，系统会向用户之前提供的另一个电子邮件地址发送验证码。 `idv_preregistered_phone` 用户输入发送到其预注册手机的验证码。 `internal_two_factor` 登录质询方法：内部两步验证。 `knowledge_account_creation_date` 一种质询，要求用户提供其账号的创建日期（大致日期）。 `knowledge_cloud_pin` 基于用户的云服务 PIN 码的质询。 `knowledge_date_of_birth` 一种验证，要求用户提供其 Google 账号中注册的出生日期。 `knowledge_domain_title` 一种质询，要求用户提供其网域标题（组织名称）。 `knowledge_employee_id` 登录验证方法：知识库员工 ID。 `knowledge_historical_password` 一种质询，可让用户输入当前或之前的密码。使用此质询时，KNOWLEDGE_PASSWORD 将仅引用当前密码。 `knowledge_last_login_date` 一种质询，要求用户提供上次登录的大致日期。 `knowledge_lockscreen` 一种质询，允许用户在符合条件的设备上输入锁屏知识凭据。 `knowledge_preregistered_email` 用户证明自己知晓预注册的电子邮件地址。 `knowledge_preregistered_phone` 用户证明自己知晓预注册的电话号码。 `knowledge_real_name` 一种验证，要求用户提供其 Google 账号中注册的姓名（名字、姓氏）。 `knowledge_secret_question` 一种挑战，要求用户提供他们选择的问题的答案。 `knowledge_user_count` 一个质询，要求用户提供网域中的用户数。 `knowledge_youtube` 根据用户对其 YouTube 账号详细信息的了解而提出的质询。 `login_location` 用户从其通常登录的位置输入。 `manual_recovery` 用户只能在管理员的帮助下恢复账号。 `math` 需要解数学方程的挑战。 `none` 未遇到登录验证。 `offline_otp` 用户输入通过手机上的设置获取的动态密码（仅限 Android）。 `oidc` 使用 OIDC 协议的质询。 `other` 登录验证方法 - 其他。 `outdated_app_warning` 警告页面，旨在作为一种质询，告知用户他们使用的应用版本可能已过时。用户可以选择继续。 `parent_auth` 需要家长或监护人授权的验证问题。 `passkey` 一种质询，用于使用符合 FIDO2 标准的通行密钥或安全密钥来验证用户的身份。 `password` 密码。 `recaptcha` 一种验证，可使用 reCAPTCHA v2 API 保护用户免受垃圾内容和其他类型的自动滥用行为的侵扰。 `rescue_code` 一种质询，允许用户输入救援代码。救援代码是 32 个字符的字母数字字符串，用户应妥善保管，并可使用该代码来恢复账号。 `same_device_screenlock` 一种质询，要求用户解锁其尝试登录或执行敏感操作的设备。 `saml` 用户提供来自 SAML 身份提供商的 SAML 断言。 `security_key` 用户通过安全密钥加密验证。 `security_key_otp` 登录质询方法：安全密钥动态密码。 `time_delay` 一种异步质询，会在指定的暂停期结束后通过电子邮件发送链接。 `userless_fido` 与特定用户无关的 FIDO 质询。 `web_approval` 这项质询要求用户使用 Apple iOS 设备的原生相机扫描二维码，并使用网页版审批流程进行登录。
`login_challenge_status`	`string` 登录验证是否成功，分别表示为“验证通过”和“验证失败”。空字符串表示未知状态。
`login_type`	`string` 用于尝试登录的凭据类型。可能的值： `exchange` 用户提供现有凭据并用其交换另一种凭据，例如用 OAuth 令牌交换 SID。可能表示用户已登录某个会话，而系统合并了两个会话。 `google_password` 用户提供 Google 账号密码。 `reauth` 用户已通过身份验证，但必须重新授权。 `saml` 用户提供来自 SAML 身份提供商的 SAML 断言。 `unknown` 登录类型未知。
`sensitive_action_name`	`string` 有风险的敏感操作质询事件中敏感操作名称的说明。

示例请求

GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_blocked&maxResults=10&access_token=YOUR_ACCESS_TOKEN

管理控制台消息格式

{actor} wasn't allowed to attempt sensitive action: {sensitive_action_name}.

登录成功

登录尝试成功。

活动详情

事件名称 login_success

参数

is_suspicious

boolean

登录尝试存在异常情况，例如用户通过陌生的 IP 地址登录。可能的值：

false
布尔值 false。
true
布尔值 true。

login_challenge_method

string

登录验证方法。可能的值：

access_to_preregistered_email
一种需要访问收件箱中的验证电子邮件的质询。
assistant_approval
一种质询，可让用户批准 Google 助理产品进行身份验证。
backup_code
要求用户输入备用验证码。
captcha
一种验证方式，用于区分真人和自动化机器人。
cname
这项质询要求用户通过更改其托管服务商处的 CNAME 记录来证明对域名的所有权。
cross_account
一种质询，可让产品在一部设备上使用主要账号启动身份验证会话，将其委托给另一个账号完成，然后在主要账号所拥有的原始发起设备上接收会话凭据。
cross_device
一种质询，要求用户在辅助设备上完成身份验证。
deny
用户登录遭拒。
device_assertion
基于识别之前使用过的设备的挑战。
device_preregistered_phone
一种质询，要求用户在设备上验证其电话号码。此功能目前仅用于用户名恢复，不适用于其他身份验证流程。
device_prompt
用户移动设备上的质询。
extended_botguard
一种验证，需要用户完成一系列额外的验证步骤，以确保人机互动。
google_authenticator
要求用户输入验证器应用提供的动态密码。
google_prompt
登录验证方法 Google 提示。
idv_any_email
一种验证方式，要求用户提供 Google 在验证期间发送到他们提供的任何电子邮件地址的验证码。
idv_any_phone
系统会要求用户提供电话号码，并输入通过该号码收到的验证码。
idv_preregistered_email
一种验证方式，系统会向用户之前提供的另一个电子邮件地址发送验证码。
idv_preregistered_phone
用户输入发送到其预注册手机的验证码。
internal_two_factor
登录质询方法：内部两步验证。
knowledge_account_creation_date
一种质询，要求用户提供其账号的创建日期（大致日期）。
knowledge_cloud_pin
基于用户的云服务 PIN 码的质询。
knowledge_date_of_birth
一种验证，要求用户提供其 Google 账号中注册的出生日期。
knowledge_domain_title
一种质询，要求用户提供其网域标题（组织名称）。
knowledge_employee_id
登录验证方法：知识库员工 ID。
knowledge_historical_password
一种质询，可让用户输入当前或之前的密码。使用此质询时，KNOWLEDGE_PASSWORD 将仅引用当前密码。
knowledge_last_login_date
一种质询，要求用户提供上次登录的大致日期。
knowledge_lockscreen
一种质询，允许用户在符合条件的设备上输入锁屏知识凭据。
knowledge_preregistered_email
用户证明自己知晓预注册的电子邮件地址。
knowledge_preregistered_phone
用户证明自己知晓预注册的电话号码。
knowledge_real_name
一种验证，要求用户提供其 Google 账号中注册的姓名（名字、姓氏）。
knowledge_secret_question
一种挑战，要求用户提供他们选择的问题的答案。
knowledge_user_count
一个质询，要求用户提供网域中的用户数。
knowledge_youtube
根据用户对其 YouTube 账号详细信息的了解而提出的质询。
login_location
用户从其通常登录的位置输入。
manual_recovery
用户只能在管理员的帮助下恢复账号。
math
需要解数学方程的挑战。
none
未遇到登录验证。
offline_otp
用户输入通过手机上的设置获取的动态密码（仅限 Android）。
oidc
使用 OIDC 协议的质询。
other
登录验证方法 - 其他。
outdated_app_warning
警告页面，旨在作为一种质询，告知用户他们使用的应用版本可能已过时。用户可以选择继续。
parent_auth
需要家长或监护人授权的验证问题。
passkey
一种质询，用于使用符合 FIDO2 标准的通行密钥或安全密钥来验证用户的身份。
password
密码。
recaptcha
一种验证，可使用 reCAPTCHA v2 API 保护用户免受垃圾内容和其他类型的自动滥用行为的侵扰。
rescue_code
一种质询，允许用户输入救援代码。救援代码是 32 个字符的字母数字字符串，用户应妥善保管，并可使用该代码来恢复账号。
same_device_screenlock
一种质询，要求用户解锁其尝试登录或执行敏感操作的设备。
saml
用户提供来自 SAML 身份提供商的 SAML 断言。
security_key
用户通过安全密钥加密验证。
security_key_otp
登录质询方法：安全密钥动态密码。
time_delay
一种异步质询，会在指定的暂停期结束后通过电子邮件发送链接。
userless_fido
与特定用户无关的 FIDO 质询。
web_approval
这项挑战要求用户使用 Apple iOS 设备的原生相机扫描二维码，并使用网页版审批流程进行登录。

login_type

string

用于尝试登录的凭据类型。可能的值：

exchange
用户提供现有凭据并用其交换另一种凭据，例如用 OAuth 令牌交换 SID。可能表示用户已登录某个会话，而系统合并了两个会话。
google_password
用户提供 Google 账号密码。
reauth
用户已通过身份验证，但必须重新授权。
saml
用户提供来自 SAML 身份提供商的 SAML 断言。
unknown
登录类型未知。

示例请求

GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_success&maxResults=10&access_token=YOUR_ACCESS_TOKEN

管理控制台消息格式

{actor} logged in