Method: activities.watch

开始接收账号活动通知。如需了解详情,请参阅接收推送通知

HTTP 请求

POST https://admin.googleapis.com/admin/reports/v1/activity/users/{userKey or all}/applications/{applicationName}/watch

网址采用 gRPC 转码语法。

路径参数

参数
userKey or all

string

表示要过滤其数据的个人资料 ID 或用户电子邮件。可以是 all(表示所有信息),也可以是 userKey(表示用户的唯一 Google Workspace 个人资料 ID 或主电子邮件地址)。不得是已删除的用户。对于已删除的用户,请在 Directory API 中使用 showDeleted=true 调用 users.list,然后将返回的 ID 用作 userKey

applicationName

enum (ApplicationName)

要为其检索事件的应用名称。

查询参数

参数
actorIpAddress

string

执行事件的主机的互联网协议 (IP) 地址。这是使用被报告活动的用户的 IP 地址来过滤报告摘要的另一种方式。此 IP 地址不一定反映用户的实际位置。例如,IP 地址可以是用户的代理服务器的地址,也可以是虚拟专用网 (VPN) 地址。此参数支持 IPv4IPv6 地址版本。

customerId

string

要为其检索数据的客户的唯一 ID。

endTime

string

设置报告中显示的时间范围的结束时间。日期采用 RFC 3339 格式,例如 2010-10-28T10:26:35.000Z。默认值为 API 请求的大致时间。API 报告有三个基本的时间概念:

  • API 请求报告的日期:API 创建并检索报告的时间。
  • 报告开始时间:报告中显示的时间范围的开始时间。startTime 必须早于 endTime(如果已指定)和发出请求时的当前时间,否则 API 会返回错误。
  • 报表的结束时间:报告中显示的时间范围的结束时间。例如,报告中汇总的事件的时间范围可以从 4 月开始,在 5 月结束。您也可以在 8 月份请求报告本身。
如果未指定 endTime,报表会返回从 startTime 到当前时间或最近 180 天(如果 startTime 超过 180 天之前)的所有活动。

eventName

string

API 正在查询的事件的名称。每个eventName都与一项特定的 Google Workspace 服务或功能相关,API 会将该服务或功能划分为不同的活动类型。例如,管理控制台应用的报告中的 Google 日历活动。日历设置 type 结构包含该 API 报告的所有日历 eventName 活动。管理员更改日历设置后,API 会在日历设置 typeeventName 参数中报告此活动。如需详细了解 eventName 查询字符串和参数,请参阅上文 applicationName 中各种应用的事件名称列表。

filters

string

filters 查询字符串是一个逗号分隔列表,由关系运算符操纵的事件参数组成。事件参数的格式为 {parameter1 name}{relational operator}{parameter1 value},{parameter2 name}{relational operator}{parameter2 value},...

这些事件参数与特定 eventName 相关联。如果请求的参数不属于 eventName,系统会返回空报告。如需详细了解每个应用的可用 eventName 字段及其关联的参数,请转到 ApplicationName 表格,然后点击进入“附录”中与所需应用对应的“活动事件”页面。

在以下云端硬盘 activity 示例中,返回的列表包含所有 edit 事件,其中 doc_id 参数值与关系运算符定义的条件匹配。在第一个示例中,请求会返回 doc_id 值等于 12345 的所有已修改文档。在第二个示例中,报告会返回 doc_id 值不等于 98765 的所有已修改文档。<> 运算符在请求的查询字符串 (%3C%3E) 中进行了网址编码:

GET...&eventName=edit&filters=doc_id==12345
GET...&eventName=edit&filters=doc_id%3C%3E98765

filters 查询支持以下关系运算符:

  • ==—“等于”。
  • <>—“不等于”。必须经过网址编码 (%3C%3E)。
  • <—“小于”。必须经过网址编码 (%3C)。
  • <=—“小于或等于”。必须经过网址编码 (%3C=)。
  • >—“大于”。必须经过网址编码 (%3E)。
  • >=—“大于或等于”。必须经过网址编码 (%3E=)。

注意:该 API 不接受同一参数的多个值。如果一个参数在 API 请求中被提供了多次,该 API 仅接受该参数的最后一个值。此外,如果 API 请求中提供了无效参数,API 会忽略该参数并返回与其余有效参数对应的响应。如果未请求任何参数,系统将返回所有参数。

maxResults

integer

确定每个响应页上显示的活动记录数。例如,如果请求设置了 maxResults=1,且报表包含两个活动,则报表有两个页面。响应的 nextPageToken 属性包含指向第二页的令牌。maxResults 查询字符串在请求中是可选的。默认值为 1000。

orgUnitID
(deprecated)

string

Deprecated。此字段已弃用,不再受支持。

要针对其生成报告的组织部门的 ID。系统只会为属于指定组织部门的用户显示活动记录。

pageToken

string

用于指定下一页的令牌。包含多个网页的报告在响应中具有 nextPageToken 属性。在获取下一页报告的后续请求中,在 pageToken 查询字符串中输入 nextPageToken 值。

startTime

string

设置报告中显示时间范围的开始时间。日期采用 RFC 3339 格式,例如 2010-10-28T10:26:35.000Z。该报告会返回从 startTimeendTime 的所有活动。startTime 必须早于 endTime(如果已指定)和发出请求时的当前时间,否则 API 会返回错误。

groupIdFilter

string

以逗号分隔的群组 ID(经过混淆处理),用于过滤用户活动,即,响应将仅包含属于此处提及的至少一个群组 ID 的用户的活动。格式:“id:abc123,id:xyz456”

请求正文

请求正文包含一个 SubscriptionChannel 实例。

响应正文

用于监视资源更改的通知渠道。

如果成功,响应正文将包含结构如下的数据:

JSON 表示法
{
  "id": string,
  "token": string,
  "expiration": string,
  "type": string,
  "address": string,
  "payload": boolean,
  "params": {
    string: string,
    ...
  },
  "resourceId": string,
  "resourceUri": string,
  "kind": string
}
字段
id

string

用于标识此信道的 UUID 或类似的唯一字符串。

token

string

向目标地址传递的任意字符串,随通过该渠道传递的每条通知发送。可选。

expiration

string (int64 format)

通知渠道到期的日期和时间,以 Unix 时间戳表示,以毫秒为单位。可选。

type

string

此渠道使用的传送机制的类型。该值应设置为 "web_hook"

address

string

接收此频道通知的地址。

payload

boolean

一个布尔值,用于表示是否需要载荷。有效负载是在 HTTP POST、PUT 或 PATCH 消息的正文中发送的数据,其中包含有关请求的重要信息。可选。

params

map (key: string, value: string)

用于控制分发渠道行为的其他参数。可选。

包含一系列 "key": value 对的对象。示例:{ "name": "wrench", "mass": "1.3kg", "count": "3" }

resourceId

string

不透明的 ID,用于标识此频道上所监控的资源。在不同的 API 版本中保持稳定。

resourceUri

string

受监控资源的版本特定标识符。

kind

string

标识为用于监视资源更改的通知渠道,即“api#channel”。

授权范围

需要以下 OAuth 作用域:

  • https://www.googleapis.com/auth/admin.reports.audit.readonly

有关详情,请参阅授权指南

ApplicationName

要为其检索事件的应用名称。

枚举
access_transparency

Google Workspace Access Transparency 活动报告会返回不同类型的 Access Transparency 活动事件的相关信息。

admin

管理控制台应用的活动报告会返回不同类型管理员活动事件的帐号信息。

calendar

Google 日历应用的活动报告会返回有关各种日历活动活动的信息。

chat Chat 活动报告会返回有关各种 Chat 活动事件的信息。
drive

Google 云端硬盘应用的活动报告会返回有关各种 Google 云端硬盘活动事件的信息。云端硬盘活动报告仅供 Google Workspace 商务版和 Google Workspace 企业版客户使用。

gcp Google Cloud Platform 应用的活动报告会返回有关各种 GCP 活动事件的信息。
gplus Google+ 应用的动态报告会返回有关各种 Google+ 活动事件的信息。
groups

Google 网上论坛应用的活动报告会返回各种网上论坛活动事件的相关信息。

groups_enterprise

企业群组活动报告会返回有关各种企业群组活动事件的信息。

jamboard Jamboard 活动报告会返回各种 Jamboard 活动事件的相关信息。
login

登录应用的活动报告会返回关于不同类型的登录活动事件的帐号信息。

meet Meet 审核活动报告会返回不同类型的 Meet 审核活动事件的相关信息。
mobile “设备审核活动”报告会返回有关不同类型的设备审核活动事件的信息。
rules

“规则活动”报告会返回不同类型的规则活动事件的相关信息。

saml

SAML 活动报告会返回不同类型的 SAML 活动事件的相关信息。

token

令牌应用的活动报告会返回有关不同类型的令牌活动事件的帐号信息。

user_accounts

“用户帐号”应用的活动报告会返回关于不同类型的用户帐号活动事件的帐号信息。

context_aware_access

情境感知访问权限活动报告会返回用户由于 情境感知访问权限规则而拒绝访问事件的相关信息。

chrome

“Chrome 活动”报告会返回 Chrome 浏览器和 Chrome 操作系统事件的相关信息。

data_studio 数据洞察活动报告会返回有关各种类型数据洞察活动事件的信息。
keep Keep 应用的活动报告会返回有关各种 Google Keep 活动事件的信息。Keep 活动报告仅供 Google Workspace 商务版和企业版客户使用。