Login Audit Activity Events
本文档列出了各种类型的登录审核活动事件的事件和参数。您可以使用 applicationName=login 调用 Activities.list() 来检索这些活动。
两步验证注册已更改
系统会使用 type=2sv_change 返回此类事件。
两步验证停用
| 活动详情 |
| 事件名称 |
2sv_disable |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_disable&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} has disabled 2-step verification
|
两步验证注册
| 活动详情 |
| 事件名称 |
2sv_enroll |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} has enrolled for 2-step verification
|
账号密码已更改
系统会使用 type=password_change 返回此类事件。
账号密码更改
| 活动详情 |
| 事件名称 |
password_edit |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=password_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} has changed Account password
|
账号恢复信息已更改
账号恢复信息已更改。
系统会使用 type=recovery_info_change 返回此类事件。
账号恢复辅助邮箱更改
| 活动详情 |
| 事件名称 |
recovery_email_edit |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_email_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} has changed Account recovery email
|
账号恢复辅助电话号码更改
| 活动详情 |
| 事件名称 |
recovery_phone_edit |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_phone_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} has changed Account recovery phone
|
账号恢复保密问题/答案更改
| 活动详情 |
| 事件名称 |
recovery_secret_qa_edit |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_secret_qa_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} has changed Account recovery secret question/answer
|
账号警告
账号警告事件类型。
系统会使用 type=account_warning 返回此类事件。
密码泄露
账号警告事件“账号已停用,密码泄露”说明。
| 活动详情 |
| 事件名称 |
account_disabled_password_leak |
| 参数 |
affected_email_address |
string
受事件影响的用户的电子邮件 ID。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_password_leak&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
Account {affected_email_address} disabled because Google has become aware that someone else knows its password
|
已注册通行密钥
用户注册的通行密钥。
| 活动详情 |
| 事件名称 |
passkey_enrolled |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=passkey_enrolled&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} enrolled a new passkey
|
移除了通行密钥
通行密钥已被用户移除。
| 活动详情 |
| 事件名称 |
passkey_removed |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=passkey_removed&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} removed passkey
|
已阻止可疑登录
账号警告事件“可疑登录”说明。
| 活动详情 |
| 事件名称 |
suspicious_login |
| 参数 |
affected_email_address |
string
受事件影响的用户的电子邮件 ID。
|
login_timestamp |
integer
账号警告事件的登录时间(以微秒为单位)。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
Google has detected a suspicious login for {affected_email_address}
|
已阻止使用安全性较低的应用进行的可疑登录
账号警告事件“使用安全性较低的应用进行的可疑登录”说明。
| 活动详情 |
| 事件名称 |
suspicious_login_less_secure_app |
| 参数 |
affected_email_address |
string
受事件影响的用户的电子邮件 ID。
|
login_timestamp |
integer
账号警告事件的登录时间(以微秒为单位)。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login_less_secure_app&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
Google has detected a suspicious login for {affected_email_address} from a less secure app
|
阻止了通过程序化方式进行的可疑登录
账号警告事件“可疑的程序化登录”说明。
| 活动详情 |
| 事件名称 |
suspicious_programmatic_login |
| 参数 |
affected_email_address |
string
受事件影响的用户的电子邮件 ID。
|
login_timestamp |
integer
账号警告事件的登录时间(以微秒为单位)。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_programmatic_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
Google has detected a suspicious programmatic login for {affected_email_address}
|
用户因可疑的会话 Cookie 而退出账号
用户因可疑的会话 Cookie 而退出账号(Cookie Cutter 恶意软件事件)。
| 活动详情 |
| 事件名称 |
user_signed_out_due_to_suspicious_session_cookie |
| 参数 |
affected_email_address |
string
受事件影响的用户的电子邮件 ID。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=user_signed_out_due_to_suspicious_session_cookie&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
Suspicious session cookie detected for user {affected_email_address}
|
用户被暂停
账号警告事件“账号已停用”的通用说明。
| 活动详情 |
| 事件名称 |
account_disabled_generic |
| 参数 |
affected_email_address |
string
受事件影响的用户的电子邮件 ID。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_generic&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
Account {affected_email_address} disabled
|
已暂停用户(通过中继服务发送垃圾内容)
账号警告事件“账号因通过中继服务发送垃圾内容而被停用”说明。
| 活动详情 |
| 事件名称 |
account_disabled_spamming_through_relay |
| 参数 |
affected_email_address |
string
受事件影响的用户的电子邮件 ID。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming_through_relay&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming through SMTP relay service
|
已暂停用户(垃圾内容)
账号警告事件账号已因垃圾内容而被停用说明。
| 活动详情 |
| 事件名称 |
account_disabled_spamming |
| 参数 |
affected_email_address |
string
受事件影响的用户的电子邮件 ID。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming
|
已暂停用户(可疑活动)
账号警告事件账号已停用被盗用说明。
| 活动详情 |
| 事件名称 |
account_disabled_hijacked |
| 参数 |
affected_email_address |
string
受事件影响的用户的电子邮件 ID。
|
login_timestamp |
integer
账号警告事件的登录时间(以微秒为单位)。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_hijacked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
Account {affected_email_address} disabled because Google has detected a suspicious activity indicating it might have been compromised
|
已更改高级保护计划注册状态
系统会使用 type=titanium_change 返回此类事件。
注册高级保护计划
| 活动详情 |
| 事件名称 |
titanium_enroll |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} has enrolled for Advanced Protection
|
取消注册高级保护计划
| 活动详情 |
| 事件名称 |
titanium_unenroll |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_unenroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} has disabled Advanced Protection
|
攻击警告
攻击警告事件类型。
系统会使用 type=attack_warning 返回此类事件。
政府支持的攻击
政府支持的攻击警告事件名称。
| 活动详情 |
| 事件名称 |
gov_attack_warning |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=gov_attack_warning&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} might have been targeted by government-backed attack
|
“已屏蔽的发件人”设置已更改
系统会使用 type=blocked_sender_change 返回此类事件。
已阻止此发件人日后发送的所有电子邮件。
屏蔽的电子邮件地址。
| 活动详情 |
| 事件名称 |
blocked_sender |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=blocked_sender&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} has blocked all future messages from {affected_email_address}.
|
电子邮件转发设置已更改
系统会使用 type=email_forwarding_change 返回此类事件。
网域外电子邮件转发功能已启用
| 活动详情 |
| 事件名称 |
email_forwarding_out_of_domain |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=email_forwarding_out_of_domain&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} has enabled out of domain email forwarding to {email_forwarding_destination_address}.
|
登录
登录事件类型。
系统会使用 type=login 返回此类事件。
登录失败
登录尝试失败。
| 活动详情 |
| 事件名称 |
login_failure |
| 参数 |
login_challenge_method |
string
登录验证方法。
可能的值:
access_to_preregistered_email
一种需要访问收件箱中的验证电子邮件的质询。assistant_approval
一种质询,可让用户批准 Google 助理产品进行身份验证。backup_code
要求用户输入备用验证码。captcha
一种验证方式,用于区分真人和自动化机器人。cname
这项质询要求用户通过更改其托管服务商处的 CNAME 记录来证明对域名的所有权。cross_account
一种质询,可让产品在一部设备上使用主要账号启动身份验证会话,将其委托给另一个账号完成,然后在主要账号所拥有的原始发起设备上接收会话凭据。cross_device
一种质询,要求用户在辅助设备上完成身份验证。deny
用户登录遭拒。device_assertion
基于识别之前使用过的设备的挑战。device_preregistered_phone
一种质询,要求用户在设备上验证其电话号码。此功能目前仅用于用户名恢复,不适用于其他身份验证流程。device_prompt
用户移动设备上的质询。extended_botguard
一种验证,需要用户完成一系列额外的验证步骤,以确保人机互动。google_authenticator
要求用户输入验证器应用提供的动态密码。google_prompt
登录验证方法 Google 提示。idv_any_email
一种验证方式,要求用户提供 Google 在验证期间发送到他们提供的任何电子邮件地址的验证码。idv_any_phone
系统会要求用户提供电话号码,并输入通过该号码收到的验证码。idv_preregistered_email
一种验证方式,系统会向用户之前提供的另一个电子邮件地址发送验证码。idv_preregistered_phone
用户输入发送到其预注册手机的验证码。internal_two_factor
登录质询方法:内部两步验证。knowledge_account_creation_date
一种质询,要求用户提供其账号的创建日期(大致日期)。knowledge_cloud_pin
基于用户的云服务 PIN 码的质询。knowledge_date_of_birth
一种验证,要求用户提供其 Google 账号中注册的出生日期。knowledge_domain_title
一种质询,要求用户提供其网域标题(组织名称)。knowledge_employee_id
登录验证方法:知识库员工 ID。knowledge_historical_password
一种质询,可让用户输入当前或之前的密码。使用此质询时,KNOWLEDGE_PASSWORD 将仅引用当前密码。knowledge_last_login_date
一种质询,要求用户提供上次登录的大致日期。knowledge_lockscreen
一种质询,允许用户在符合条件的设备上输入锁屏知识凭据。knowledge_preregistered_email
用户证明自己知晓预注册的电子邮件地址。knowledge_preregistered_phone
用户证明自己知晓预注册的电话号码。knowledge_real_name
一种验证,要求用户提供其 Google 账号中注册的姓名(名字、姓氏)。knowledge_secret_question
一种挑战,要求用户提供他们选择的问题的答案。knowledge_user_count
一个质询,要求用户提供网域中的用户数。knowledge_youtube
根据用户对其 YouTube 账号详细信息的了解而提出的质询。login_location
用户从其通常登录的位置输入。manual_recovery
用户只能在管理员的帮助下恢复账号。math
需要解数学方程的挑战。none
未遇到登录验证。offline_otp
用户输入通过手机上的设置获取的动态密码(仅限 Android)。oidc
使用 OIDC 协议的质询。other
登录验证方法 - 其他。outdated_app_warning
警告页面,旨在作为一种质询,告知用户他们使用的应用版本可能已过时。用户可以选择继续。parent_auth
需要家长或监护人授权的验证问题。passkey
一种质询,用于使用符合 FIDO2 标准的通行密钥或安全密钥来验证用户的身份。password
密码。recaptcha
一种验证,可使用 reCAPTCHA v2 API 保护用户免受垃圾内容和其他类型的自动滥用行为的侵扰。rescue_code
一种质询,允许用户输入救援代码。救援代码是 32 个字符的字母数字字符串,用户应妥善保管,并可使用该代码来恢复账号。same_device_screenlock
一种质询,要求用户解锁其尝试登录或执行敏感操作的设备。saml
用户提供来自 SAML 身份提供商的 SAML 断言。security_key
用户通过安全密钥加密验证。security_key_otp
登录质询方法:安全密钥动态密码。time_delay
一种异步质询,会在指定的暂停期结束后通过电子邮件发送链接。userless_fido
与特定用户无关的 FIDO 质询。web_approval
这项质询要求用户使用 Apple iOS 设备的原生相机扫描二维码,并使用网页版审批流程进行登录。
|
login_failure_type |
string
(已废弃)登录失败的原因。
可能的值:
login_failure_access_code_disallowed
用户无权登录该服务。login_failure_account_disabled
用户的账号已停用。login_failure_invalid_password
用户的密码无效。login_failure_unknown
登录失败的原因未知。
|
login_type |
string
用于尝试登录的凭据类型。
可能的值:
exchange
用户提供现有凭据并用其交换另一种凭据,例如用 OAuth 令牌交换 SID。可能表示用户已登录某个会话,而系统合并了两个会话。google_password
用户提供 Google 账号密码。reauth
用户已通过身份验证,但必须重新授权。saml
用户提供来自 SAML 身份提供商的 SAML 断言。unknown
登录类型未知。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_failure&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} failed to login
|
登录验证
系统发起了登录质询,以验证用户的身份。登录会话期间遇到的所有登录问题都会归为一项 events 条目。例如,如果用户输错密码两次,然后输入正确的密码,接着使用安全密钥进行两步验证,则 activities.list 响应的 events 字段将如下所示:
"events": [
{
"type": "login",
"name": "login_success",
"parameters": [
{
"name": "login_type",
"value": "google_password"
},
{
"name": "login_challenge_method",
"multiValue": [
"password",
"password",
"password",
"security_key"
]
},
{
"name": "is_suspicious",
"boolValue": false
}
]
}
]
如需详细了解登录验证,请参阅使用额外安全措施验证用户身份。
| 活动详情 |
| 事件名称 |
login_challenge |
| 参数 |
login_challenge_method |
string
登录验证方法。
可能的值:
access_to_preregistered_email
一种需要访问收件箱中的验证电子邮件的质询。assistant_approval
一种质询,可让用户批准 Google 助理产品进行身份验证。backup_code
要求用户输入备用验证码。captcha
一种验证方式,用于区分真人和自动化机器人。cname
这项质询要求用户通过更改其托管服务商处的 CNAME 记录来证明对域名的所有权。cross_account
一种质询,可让产品在一部设备上使用主要账号启动身份验证会话,将其委托给另一个账号完成,然后在主要账号所拥有的原始发起设备上接收会话凭据。cross_device
一种质询,要求用户在辅助设备上完成身份验证。deny
用户登录遭拒。device_assertion
基于识别之前使用过的设备的挑战。device_preregistered_phone
一种质询,要求用户在设备上验证其电话号码。此功能目前仅用于用户名恢复,不适用于其他身份验证流程。device_prompt
用户移动设备上的质询。extended_botguard
一种验证,需要用户完成一系列额外的验证步骤,以确保人机互动。google_authenticator
要求用户输入验证器应用提供的动态密码。google_prompt
登录验证方法 Google 提示。idv_any_email
一种验证方式,要求用户提供 Google 在验证期间发送到他们提供的任何电子邮件地址的验证码。idv_any_phone
系统会要求用户提供电话号码,并输入通过该号码收到的验证码。idv_preregistered_email
一种验证方式,系统会向用户之前提供的另一个电子邮件地址发送验证码。idv_preregistered_phone
用户输入发送到其预注册手机的验证码。internal_two_factor
登录质询方法:内部两步验证。knowledge_account_creation_date
一种质询,要求用户提供其账号的创建日期(大致日期)。knowledge_cloud_pin
基于用户的云服务 PIN 码的质询。knowledge_date_of_birth
一种验证,要求用户提供其 Google 账号中注册的出生日期。knowledge_domain_title
一种质询,要求用户提供其网域标题(组织名称)。knowledge_employee_id
登录验证方法:知识库员工 ID。knowledge_historical_password
一种质询,可让用户输入当前或之前的密码。使用此质询时,KNOWLEDGE_PASSWORD 将仅引用当前密码。knowledge_last_login_date
一种质询,要求用户提供上次登录的大致日期。knowledge_lockscreen
一种质询,允许用户在符合条件的设备上输入锁屏知识凭据。knowledge_preregistered_email
用户证明自己知晓预注册的电子邮件地址。knowledge_preregistered_phone
用户证明自己知晓预注册的电话号码。knowledge_real_name
一种验证,要求用户提供其 Google 账号中注册的姓名(名字、姓氏)。knowledge_secret_question
一种挑战,要求用户提供他们选择的问题的答案。knowledge_user_count
一个质询,要求用户提供网域中的用户数。knowledge_youtube
根据用户对其 YouTube 账号详细信息的了解而提出的质询。login_location
用户从其通常登录的位置输入。manual_recovery
用户只能在管理员的帮助下恢复账号。math
需要解数学方程的挑战。none
未遇到登录验证。offline_otp
用户输入通过手机上的设置获取的动态密码(仅限 Android)。oidc
使用 OIDC 协议的质询。other
登录验证方法 - 其他。outdated_app_warning
警告页面,旨在作为一种质询,告知用户他们使用的应用版本可能已过时。用户可以选择继续。parent_auth
需要家长或监护人授权的验证问题。passkey
一种质询,用于使用符合 FIDO2 标准的通行密钥或安全密钥来验证用户的身份。password
密码。recaptcha
一种验证,可使用 reCAPTCHA v2 API 保护用户免受垃圾内容和其他类型的自动滥用行为的侵扰。rescue_code
一种质询,允许用户输入救援代码。救援代码是 32 个字符的字母数字字符串,用户应妥善保管,并可使用该代码来恢复账号。same_device_screenlock
一种质询,要求用户解锁其尝试登录或执行敏感操作的设备。saml
用户提供来自 SAML 身份提供商的 SAML 断言。security_key
用户通过安全密钥加密验证。security_key_otp
登录质询方法:安全密钥动态密码。time_delay
一种异步质询,会在指定的暂停期结束后通过电子邮件发送链接。userless_fido
与特定用户无关的 FIDO 质询。web_approval
这项质询要求用户使用 Apple iOS 设备的原生相机扫描二维码,并使用网页版审批流程进行登录。
|
login_challenge_status |
string
登录验证是否成功,分别表示为“验证通过”和“验证失败”。空字符串表示未知状态。
|
login_type |
string
用于尝试登录的凭据类型。
可能的值:
exchange
用户提供现有凭据并用其交换另一种凭据,例如用 OAuth 令牌交换 SID。可能表示用户已登录某个会话,而系统合并了两个会话。google_password
用户提供 Google 账号密码。reauth
用户已通过身份验证,但必须重新授权。saml
用户提供来自 SAML 身份提供商的 SAML 断言。unknown
登录类型未知。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_challenge&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} was presented with a login challenge
|
登录验证
登录验证事件名称。
| 活动详情 |
| 事件名称 |
login_verification |
| 参数 |
is_second_factor |
boolean
登录验证是否为两步验证。
可能的值:
false
布尔值 false。true
布尔值 true。
|
login_challenge_method |
string
登录验证方法。
可能的值:
access_to_preregistered_email
一种需要访问收件箱中的验证电子邮件的质询。assistant_approval
一种质询,可让用户批准 Google 助理产品进行身份验证。backup_code
要求用户输入备用验证码。captcha
一种验证方式,用于区分真人和自动化机器人。cname
这项质询要求用户通过更改其托管服务商处的 CNAME 记录来证明对域名的所有权。cross_account
一种质询,可让产品在一部设备上使用主要账号启动身份验证会话,将其委托给另一个账号完成,然后在主要账号所拥有的原始发起设备上接收会话凭据。cross_device
一种质询,要求用户在辅助设备上完成身份验证。deny
用户登录遭拒。device_assertion
基于识别之前使用过的设备的挑战。device_preregistered_phone
一种质询,要求用户在设备上验证其电话号码。此功能目前仅用于用户名恢复,不适用于其他身份验证流程。device_prompt
用户移动设备上的质询。extended_botguard
一种验证,需要用户完成一系列额外的验证步骤,以确保人机互动。google_authenticator
要求用户输入验证器应用提供的动态密码。google_prompt
登录验证方法 Google 提示。idv_any_email
一种验证方式,要求用户提供 Google 在验证期间发送到他们提供的任何电子邮件地址的验证码。idv_any_phone
系统会要求用户提供电话号码,并输入通过该号码收到的验证码。idv_preregistered_email
一种验证方式,系统会向用户之前提供的另一个电子邮件地址发送验证码。idv_preregistered_phone
用户输入发送到其预注册手机的验证码。internal_two_factor
登录质询方法:内部两步验证。knowledge_account_creation_date
一种质询,要求用户提供其账号的创建日期(大致日期)。knowledge_cloud_pin
基于用户的云服务 PIN 码的质询。knowledge_date_of_birth
一种验证,要求用户提供其 Google 账号中注册的出生日期。knowledge_domain_title
一种质询,要求用户提供其网域标题(组织名称)。knowledge_employee_id
登录验证方法:知识库员工 ID。knowledge_historical_password
一种质询,可让用户输入当前或之前的密码。使用此质询时,KNOWLEDGE_PASSWORD 将仅引用当前密码。knowledge_last_login_date
一种质询,要求用户提供上次登录的大致日期。knowledge_lockscreen
一种质询,允许用户在符合条件的设备上输入锁屏知识凭据。knowledge_preregistered_email
用户证明自己知晓预注册的电子邮件地址。knowledge_preregistered_phone
用户证明自己知晓预注册的电话号码。knowledge_real_name
一种验证,要求用户提供其 Google 账号中注册的姓名(名字、姓氏)。knowledge_secret_question
一种挑战,要求用户提供他们选择的问题的答案。knowledge_user_count
一个质询,要求用户提供网域中的用户数。knowledge_youtube
根据用户对其 YouTube 账号详细信息的了解而提出的质询。login_location
用户从其通常登录的位置输入。manual_recovery
用户只能在管理员的帮助下恢复账号。math
需要解数学方程的挑战。none
未遇到登录验证。offline_otp
用户输入通过手机上的设置获取的动态密码(仅限 Android)。oidc
使用 OIDC 协议的质询。other
登录验证方法 - 其他。outdated_app_warning
警告页面,旨在作为一种质询,告知用户他们使用的应用版本可能已过时。用户可以选择继续。parent_auth
需要家长或监护人授权的验证问题。passkey
一种质询,用于使用符合 FIDO2 标准的通行密钥或安全密钥来验证用户的身份。password
密码。recaptcha
一种验证,可使用 reCAPTCHA v2 API 保护用户免受垃圾内容和其他类型的自动滥用行为的侵扰。rescue_code
一种质询,允许用户输入救援代码。救援代码是 32 个字符的字母数字字符串,用户应妥善保管,并可使用该代码来恢复账号。same_device_screenlock
一种质询,要求用户解锁其尝试登录或执行敏感操作的设备。saml
用户提供来自 SAML 身份提供商的 SAML 断言。security_key
用户通过安全密钥加密验证。security_key_otp
登录质询方法:安全密钥动态密码。time_delay
一种异步质询,会在指定的暂停期结束后通过电子邮件发送链接。userless_fido
与特定用户无关的 FIDO 质询。web_approval
这项质询要求用户使用 Apple iOS 设备的原生相机扫描二维码,并使用网页版审批流程进行登录。
|
login_challenge_status |
string
登录验证是否成功,分别表示为“验证通过”和“验证失败”。空字符串表示未知状态。
|
login_type |
string
用于尝试登录的凭据类型。
可能的值:
exchange
用户提供现有凭据并用其交换另一种凭据,例如用 OAuth 令牌交换 SID。可能表示用户已登录某个会话,而系统合并了两个会话。google_password
用户提供 Google 账号密码。reauth
用户已通过身份验证,但必须重新授权。saml
用户提供来自 SAML 身份提供商的 SAML 断言。unknown
登录类型未知。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_verification&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} was presented with login verification
|
退出
用户已退出。
| 活动详情 |
| 事件名称 |
logout |
| 参数 |
login_type |
string
用于尝试登录的凭据类型。
可能的值:
exchange
用户提供现有凭据并用其交换另一种凭据,例如用 OAuth 令牌交换 SID。可能表示用户已登录某个会话,而系统合并了两个会话。google_password
用户提供 Google 账号密码。reauth
用户已通过身份验证,但必须重新授权。saml
用户提供来自 SAML 身份提供商的 SAML 断言。unknown
登录类型未知。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=logout&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} logged out
|
敏感操作已获允许
| 活动详情 |
| 事件名称 |
risky_sensitive_action_allowed |
| 参数 |
is_suspicious |
boolean
登录尝试存在异常情况,例如用户通过陌生的 IP 地址登录。
可能的值:
false
布尔值 false。true
布尔值 true。
|
login_challenge_method |
string
登录验证方法。
可能的值:
access_to_preregistered_email
一种需要访问收件箱中的验证电子邮件的质询。assistant_approval
一种质询,可让用户批准 Google 助理产品进行身份验证。backup_code
要求用户输入备用验证码。captcha
一种验证方式,用于区分真人和自动化机器人。cname
这项质询要求用户通过更改其托管服务商处的 CNAME 记录来证明对域名的所有权。cross_account
一种质询,可让产品在一部设备上使用主要账号启动身份验证会话,将其委托给另一个账号完成,然后在主要账号所拥有的原始发起设备上接收会话凭据。cross_device
一种质询,要求用户在辅助设备上完成身份验证。deny
用户登录遭拒。device_assertion
基于识别之前使用过的设备的挑战。device_preregistered_phone
一种质询,要求用户在设备上验证其电话号码。此功能目前仅用于用户名恢复,不适用于其他身份验证流程。device_prompt
用户移动设备上的质询。extended_botguard
一种验证,需要用户完成一系列额外的验证步骤,以确保人机互动。google_authenticator
要求用户输入验证器应用提供的动态密码。google_prompt
登录验证方法 Google 提示。idv_any_email
一种验证方式,要求用户提供 Google 在验证期间发送到他们提供的任何电子邮件地址的验证码。idv_any_phone
系统会要求用户提供电话号码,并输入通过该号码收到的验证码。idv_preregistered_email
一种验证方式,系统会向用户之前提供的另一个电子邮件地址发送验证码。idv_preregistered_phone
用户输入发送到其预注册手机的验证码。internal_two_factor
登录质询方法:内部两步验证。knowledge_account_creation_date
一种质询,要求用户提供其账号的创建日期(大致日期)。knowledge_cloud_pin
基于用户的云服务 PIN 码的质询。knowledge_date_of_birth
一种验证,要求用户提供其 Google 账号中注册的出生日期。knowledge_domain_title
一种质询,要求用户提供其网域标题(组织名称)。knowledge_employee_id
登录验证方法:知识库员工 ID。knowledge_historical_password
一种质询,可让用户输入当前或之前的密码。使用此质询时,KNOWLEDGE_PASSWORD 将仅引用当前密码。knowledge_last_login_date
一种质询,要求用户提供上次登录的大致日期。knowledge_lockscreen
一种质询,允许用户在符合条件的设备上输入锁屏知识凭据。knowledge_preregistered_email
用户证明自己知晓预注册的电子邮件地址。knowledge_preregistered_phone
用户证明自己知晓预注册的电话号码。knowledge_real_name
一种验证,要求用户提供其 Google 账号中注册的姓名(名字、姓氏)。knowledge_secret_question
一种挑战,要求用户提供他们选择的问题的答案。knowledge_user_count
一个质询,要求用户提供网域中的用户数。knowledge_youtube
根据用户对其 YouTube 账号详细信息的了解而提出的质询。login_location
用户从其通常登录的位置输入。manual_recovery
用户只能在管理员的帮助下恢复账号。math
需要解数学方程的挑战。none
未遇到登录验证。offline_otp
用户输入通过手机上的设置获取的动态密码(仅限 Android)。oidc
使用 OIDC 协议的质询。other
登录验证方法 - 其他。outdated_app_warning
警告页面,旨在作为一种质询,告知用户他们使用的应用版本可能已过时。用户可以选择继续。parent_auth
需要家长或监护人授权的验证问题。passkey
一种质询,用于使用符合 FIDO2 标准的通行密钥或安全密钥来验证用户的身份。password
密码。recaptcha
一种验证,可使用 reCAPTCHA v2 API 保护用户免受垃圾内容和其他类型的自动滥用行为的侵扰。rescue_code
一种质询,允许用户输入救援代码。救援代码是 32 个字符的字母数字字符串,用户应妥善保管,并可使用该代码来恢复账号。same_device_screenlock
一种质询,要求用户解锁其尝试登录或执行敏感操作的设备。saml
用户提供来自 SAML 身份提供商的 SAML 断言。security_key
用户通过安全密钥加密验证。security_key_otp
登录质询方法:安全密钥动态密码。time_delay
一种异步质询,会在指定的暂停期结束后通过电子邮件发送链接。userless_fido
与特定用户无关的 FIDO 质询。web_approval
这项质询要求用户使用 Apple iOS 设备的原生相机扫描二维码,并使用网页版审批流程进行登录。
|
login_challenge_status |
string
登录验证是否成功,分别表示为“验证通过”和“验证失败”。空字符串表示未知状态。
|
login_type |
string
用于尝试登录的凭据类型。
可能的值:
exchange
用户提供现有凭据并用其交换另一种凭据,例如用 OAuth 令牌交换 SID。可能表示用户已登录某个会话,而系统合并了两个会话。google_password
用户提供 Google 账号密码。reauth
用户已通过身份验证,但必须重新授权。saml
用户提供来自 SAML 身份提供商的 SAML 断言。unknown
登录类型未知。
|
sensitive_action_name |
string
有风险的敏感操作质询事件中敏感操作名称的说明。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_allowed&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} was allowed to attempt sensitive action: {sensitive_action_name}. This action might be restricted based on privileges or other limitations.
|
敏感操作已被阻止
| 活动详情 |
| 事件名称 |
risky_sensitive_action_blocked |
| 参数 |
is_suspicious |
boolean
登录尝试存在异常情况,例如用户通过陌生的 IP 地址登录。
可能的值:
false
布尔值 false。true
布尔值 true。
|
login_challenge_method |
string
登录验证方法。
可能的值:
access_to_preregistered_email
一种需要访问收件箱中的验证电子邮件的质询。assistant_approval
一种质询,可让用户批准 Google 助理产品进行身份验证。backup_code
要求用户输入备用验证码。captcha
一种验证方式,用于区分真人和自动化机器人。cname
这项质询要求用户通过更改其托管服务商处的 CNAME 记录来证明对域名的所有权。cross_account
一种质询,可让产品在一部设备上使用主要账号启动身份验证会话,将其委托给另一个账号完成,然后在主要账号所拥有的原始发起设备上接收会话凭据。cross_device
一种质询,要求用户在辅助设备上完成身份验证。deny
用户登录遭拒。device_assertion
基于识别之前使用过的设备的挑战。device_preregistered_phone
一种质询,要求用户在设备上验证其电话号码。此功能目前仅用于用户名恢复,不适用于其他身份验证流程。device_prompt
用户移动设备上的质询。extended_botguard
一种验证,需要用户完成一系列额外的验证步骤,以确保人机互动。google_authenticator
要求用户输入验证器应用提供的动态密码。google_prompt
登录验证方法 Google 提示。idv_any_email
一种验证方式,要求用户提供 Google 在验证期间发送到他们提供的任何电子邮件地址的验证码。idv_any_phone
系统会要求用户提供电话号码,并输入通过该号码收到的验证码。idv_preregistered_email
一种验证方式,系统会向用户之前提供的另一个电子邮件地址发送验证码。idv_preregistered_phone
用户输入发送到其预注册手机的验证码。internal_two_factor
登录质询方法:内部两步验证。knowledge_account_creation_date
一种质询,要求用户提供其账号的创建日期(大致日期)。knowledge_cloud_pin
基于用户的云服务 PIN 码的质询。knowledge_date_of_birth
一种验证,要求用户提供其 Google 账号中注册的出生日期。knowledge_domain_title
一种质询,要求用户提供其网域标题(组织名称)。knowledge_employee_id
登录验证方法:知识库员工 ID。knowledge_historical_password
一种质询,可让用户输入当前或之前的密码。使用此质询时,KNOWLEDGE_PASSWORD 将仅引用当前密码。knowledge_last_login_date
一种质询,要求用户提供上次登录的大致日期。knowledge_lockscreen
一种质询,允许用户在符合条件的设备上输入锁屏知识凭据。knowledge_preregistered_email
用户证明自己知晓预注册的电子邮件地址。knowledge_preregistered_phone
用户证明自己知晓预注册的电话号码。knowledge_real_name
一种验证,要求用户提供其 Google 账号中注册的姓名(名字、姓氏)。knowledge_secret_question
一种挑战,要求用户提供他们选择的问题的答案。knowledge_user_count
一个质询,要求用户提供网域中的用户数。knowledge_youtube
根据用户对其 YouTube 账号详细信息的了解而提出的质询。login_location
用户从其通常登录的位置输入。manual_recovery
用户只能在管理员的帮助下恢复账号。math
需要解数学方程的挑战。none
未遇到登录验证。offline_otp
用户输入通过手机上的设置获取的动态密码(仅限 Android)。oidc
使用 OIDC 协议的质询。other
登录验证方法 - 其他。outdated_app_warning
警告页面,旨在作为一种质询,告知用户他们使用的应用版本可能已过时。用户可以选择继续。parent_auth
需要家长或监护人授权的验证问题。passkey
一种质询,用于使用符合 FIDO2 标准的通行密钥或安全密钥来验证用户的身份。password
密码。recaptcha
一种验证,可使用 reCAPTCHA v2 API 保护用户免受垃圾内容和其他类型的自动滥用行为的侵扰。rescue_code
一种质询,允许用户输入救援代码。救援代码是 32 个字符的字母数字字符串,用户应妥善保管,并可使用该代码来恢复账号。same_device_screenlock
一种质询,要求用户解锁其尝试登录或执行敏感操作的设备。saml
用户提供来自 SAML 身份提供商的 SAML 断言。security_key
用户通过安全密钥加密验证。security_key_otp
登录质询方法:安全密钥动态密码。time_delay
一种异步质询,会在指定的暂停期结束后通过电子邮件发送链接。userless_fido
与特定用户无关的 FIDO 质询。web_approval
这项质询要求用户使用 Apple iOS 设备的原生相机扫描二维码,并使用网页版审批流程进行登录。
|
login_challenge_status |
string
登录验证是否成功,分别表示为“验证通过”和“验证失败”。空字符串表示未知状态。
|
login_type |
string
用于尝试登录的凭据类型。
可能的值:
exchange
用户提供现有凭据并用其交换另一种凭据,例如用 OAuth 令牌交换 SID。可能表示用户已登录某个会话,而系统合并了两个会话。google_password
用户提供 Google 账号密码。reauth
用户已通过身份验证,但必须重新授权。saml
用户提供来自 SAML 身份提供商的 SAML 断言。unknown
登录类型未知。
|
sensitive_action_name |
string
有风险的敏感操作质询事件中敏感操作名称的说明。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_blocked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} wasn't allowed to attempt sensitive action: {sensitive_action_name}.
|
登录成功
登录尝试成功。
| 活动详情 |
| 事件名称 |
login_success |
| 参数 |
is_suspicious |
boolean
登录尝试存在异常情况,例如用户通过陌生的 IP 地址登录。
可能的值:
false
布尔值 false。true
布尔值 true。
|
login_challenge_method |
string
登录验证方法。
可能的值:
access_to_preregistered_email
一种需要访问收件箱中的验证电子邮件的质询。assistant_approval
一种质询,可让用户批准 Google 助理产品进行身份验证。backup_code
要求用户输入备用验证码。captcha
一种验证方式,用于区分真人和自动化机器人。cname
这项质询要求用户通过更改其托管服务商处的 CNAME 记录来证明对域名的所有权。cross_account
一种质询,可让产品在一部设备上使用主要账号启动身份验证会话,将其委托给另一个账号完成,然后在主要账号所拥有的原始发起设备上接收会话凭据。cross_device
一种质询,要求用户在辅助设备上完成身份验证。deny
用户登录遭拒。device_assertion
基于识别之前使用过的设备的挑战。device_preregistered_phone
一种质询,要求用户在设备上验证其电话号码。此功能目前仅用于用户名恢复,不适用于其他身份验证流程。device_prompt
用户移动设备上的质询。extended_botguard
一种验证,需要用户完成一系列额外的验证步骤,以确保人机互动。google_authenticator
要求用户输入验证器应用提供的动态密码。google_prompt
登录验证方法 Google 提示。idv_any_email
一种验证方式,要求用户提供 Google 在验证期间发送到他们提供的任何电子邮件地址的验证码。idv_any_phone
系统会要求用户提供电话号码,并输入通过该号码收到的验证码。idv_preregistered_email
一种验证方式,系统会向用户之前提供的另一个电子邮件地址发送验证码。idv_preregistered_phone
用户输入发送到其预注册手机的验证码。internal_two_factor
登录质询方法:内部两步验证。knowledge_account_creation_date
一种质询,要求用户提供其账号的创建日期(大致日期)。knowledge_cloud_pin
基于用户的云服务 PIN 码的质询。knowledge_date_of_birth
一种验证,要求用户提供其 Google 账号中注册的出生日期。knowledge_domain_title
一种质询,要求用户提供其网域标题(组织名称)。knowledge_employee_id
登录验证方法:知识库员工 ID。knowledge_historical_password
一种质询,可让用户输入当前或之前的密码。使用此质询时,KNOWLEDGE_PASSWORD 将仅引用当前密码。knowledge_last_login_date
一种质询,要求用户提供上次登录的大致日期。knowledge_lockscreen
一种质询,允许用户在符合条件的设备上输入锁屏知识凭据。knowledge_preregistered_email
用户证明自己知晓预注册的电子邮件地址。knowledge_preregistered_phone
用户证明自己知晓预注册的电话号码。knowledge_real_name
一种验证,要求用户提供其 Google 账号中注册的姓名(名字、姓氏)。knowledge_secret_question
一种挑战,要求用户提供他们选择的问题的答案。knowledge_user_count
一个质询,要求用户提供网域中的用户数。knowledge_youtube
根据用户对其 YouTube 账号详细信息的了解而提出的质询。login_location
用户从其通常登录的位置输入。manual_recovery
用户只能在管理员的帮助下恢复账号。math
需要解数学方程的挑战。none
未遇到登录验证。offline_otp
用户输入通过手机上的设置获取的动态密码(仅限 Android)。oidc
使用 OIDC 协议的质询。other
登录验证方法 - 其他。outdated_app_warning
警告页面,旨在作为一种质询,告知用户他们使用的应用版本可能已过时。用户可以选择继续。parent_auth
需要家长或监护人授权的验证问题。passkey
一种质询,用于使用符合 FIDO2 标准的通行密钥或安全密钥来验证用户的身份。password
密码。recaptcha
一种验证,可使用 reCAPTCHA v2 API 保护用户免受垃圾内容和其他类型的自动滥用行为的侵扰。rescue_code
一种质询,允许用户输入救援代码。救援代码是 32 个字符的字母数字字符串,用户应妥善保管,并可使用该代码来恢复账号。same_device_screenlock
一种质询,要求用户解锁其尝试登录或执行敏感操作的设备。saml
用户提供来自 SAML 身份提供商的 SAML 断言。security_key
用户通过安全密钥加密验证。security_key_otp
登录质询方法:安全密钥动态密码。time_delay
一种异步质询,会在指定的暂停期结束后通过电子邮件发送链接。userless_fido
与特定用户无关的 FIDO 质询。web_approval
这项挑战要求用户使用 Apple iOS 设备的原生相机扫描二维码,并使用网页版审批流程进行登录。
|
login_type |
string
用于尝试登录的凭据类型。
可能的值:
exchange
用户提供现有凭据并用其交换另一种凭据,例如用 OAuth 令牌交换 SID。可能表示用户已登录某个会话,而系统合并了两个会话。google_password
用户提供 Google 账号密码。reauth
用户已通过身份验证,但必须重新授权。saml
用户提供来自 SAML 身份提供商的 SAML 断言。unknown
登录类型未知。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_success&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} logged in
|
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2025-03-13。
[null,null,["最后更新时间 (UTC):2025-03-13。"],[[["This document outlines Google Workspace login audit activity events and their parameters, accessible via the Activities.list() API."],["These events provide insights into user login activities like challenges, verifications, logouts, and risky actions."],["Events include details like login methods, challenge outcomes, credential types, and suspicious activity flags."],["Login Audit Activity events can be forwarded to Google Cloud Audit Logs for further analysis and monitoring."],["You can retrieve specific login event data by specifying event names and parameters in API requests."]]],["This document outlines login audit events retrievable via the `Activities.list()` method. Key actions include enabling/disabling 2-step and advanced protection, and changing passwords or recovery information. It details account warnings such as leaked passwords, suspicious logins, and account suspensions. Additionally, it covers actions related to blocked senders, email forwarding settings and login events. It also includes failed login, login challenges, logouts, risky actions, and successful logins. Each event provides specific request parameters and associated messages.\n"]]
