本文档列出了
各种类型
登录审核活动事件。您可以通过
调用 Activities.list()
与applicationName=login共享。
两步验证注册已更改
此类事件会与 type=2sv_change 一起返回。
两步验证停用
| 活动详情 |
| 事件名称 |
2sv_disable |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_disable&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} has disabled 2-step verification
|
两步验证注册
| 活动详情 |
| 事件名称 |
2sv_enroll |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} has enrolled for 2-step verification
|
账号密码已更改
此类事件会与 type=password_change 一起返回。
账号密码更改
| 活动详情 |
| 事件名称 |
password_edit |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=password_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} has changed Account password
|
账号恢复信息已更改
账号恢复信息已更改。
此类事件会与 type=recovery_info_change 一起返回。
账号恢复辅助邮箱更改
| 活动详情 |
| 事件名称 |
recovery_email_edit |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_email_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} has changed Account recovery email
|
账号恢复辅助电话号码更改
| 活动详情 |
| 事件名称 |
recovery_phone_edit |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_phone_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} has changed Account recovery phone
|
账号恢复保密问题/答案更改
| 活动详情 |
| 事件名称 |
recovery_secret_qa_edit |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_secret_qa_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} has changed Account recovery secret question/answer
|
账号警告
账号警告事件类型。
此类事件会与 type=account_warning 一起返回。
密码泄露
账号警告事件(账号因密码泄露而停用)的说明。
| 活动详情 |
| 事件名称 |
account_disabled_password_leak |
| 参数 |
affected_email_address |
string
受事件影响的用户的电子邮件 ID。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_password_leak&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
Account {affected_email_address} disabled because Google has become aware that someone else knows its password
|
已阻止可疑登录
账号警告事件可疑登录说明。
| 活动详情 |
| 事件名称 |
suspicious_login |
| 参数 |
affected_email_address |
string
受事件影响的用户的电子邮件 ID。
|
login_timestamp |
integer
账号警告事件的登录时间(以微秒为单位)。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
Google has detected a suspicious login for {affected_email_address}
|
已阻止使用安全性较低的应用进行的可疑登录
账号警告事件:可疑登录安全性较低的应用的说明。
| 活动详情 |
| 事件名称 |
suspicious_login_less_secure_app |
| 参数 |
affected_email_address |
string
受事件影响的用户的电子邮件 ID。
|
login_timestamp |
integer
账号警告事件的登录时间(以微秒为单位)。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login_less_secure_app&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
Google has detected a suspicious login for {affected_email_address} from a less secure app
|
阻止了通过程序化方式进行的可疑登录
账号警告事件可疑的程序化登录说明。
| 活动详情 |
| 事件名称 |
suspicious_programmatic_login |
| 参数 |
affected_email_address |
string
受事件影响的用户的电子邮件 ID。
|
login_timestamp |
integer
账号警告事件的登录时间(以微秒为单位)。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_programmatic_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
Google has detected a suspicious programmatic login for {affected_email_address}
|
用户因可疑的会话 Cookie 而退出账号
用户因可疑的会话 Cookie 而退出(Cookie Cutter 恶意软件事件)。
| 活动详情 |
| 事件名称 |
user_signed_out_due_to_suspicious_session_cookie |
| 参数 |
affected_email_address |
string
受事件影响的用户的电子邮件 ID。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=user_signed_out_due_to_suspicious_session_cookie&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
Suspicious session cookie detected for user {affected_email_address}
|
用户被暂停
账号警告事件账号已停用的一般说明。
| 活动详情 |
| 事件名称 |
account_disabled_generic |
| 参数 |
affected_email_address |
string
受事件影响的用户的电子邮件 ID。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_generic&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
Account {affected_email_address} disabled
|
用户被暂停(通过中继服务发送垃圾内容)
账号警告事件(账号因中继说明而发送垃圾内容而被停用)。
| 活动详情 |
| 事件名称 |
account_disabled_spamming_through_relay |
| 参数 |
affected_email_address |
string
受事件影响的用户的电子邮件 ID。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming_through_relay&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming through SMTP relay service
|
用户被中止(发送垃圾内容)
有关账号警告事件(账号因发送垃圾内容而被停用)的说明。
| 活动详情 |
| 事件名称 |
account_disabled_spamming |
| 参数 |
affected_email_address |
string
受事件影响的用户的电子邮件 ID。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming
|
已暂停用户(可疑活动)
账号警告事件(账号已停用)说明。
| 活动详情 |
| 事件名称 |
account_disabled_hijacked |
| 参数 |
affected_email_address |
string
受事件影响的用户的电子邮件 ID。
|
login_timestamp |
integer
账号警告事件的登录时间(以微秒为单位)。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_hijacked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
Account {affected_email_address} disabled because Google has detected a suspicious activity indicating it might have been compromised
|
已更改高级保护计划注册状态
此类事件会与 type=titanium_change 一起返回。
注册高级保护计划
| 活动详情 |
| 事件名称 |
titanium_enroll |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} has enrolled for Advanced Protection
|
取消注册高级保护计划
| 活动详情 |
| 事件名称 |
titanium_unenroll |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_unenroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} has disabled Advanced Protection
|
攻击警告
攻击警告事件类型。
此类事件会与 type=attack_warning 一起返回。
政府支持的攻击
政府支持的攻击警告事件名称。
| 活动详情 |
| 事件名称 |
gov_attack_warning |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=gov_attack_warning&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} might have been targeted by government-backed attack
|
已阻止的发件人设置已更改
此类事件会与 type=blocked_sender_change 一起返回。
已阻止该发件人日后发送的所有电子邮件。
已屏蔽的电子邮件地址。
| 活动详情 |
| 事件名称 |
blocked_sender |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=blocked_sender&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} has blocked all future messages from {affected_email_address}.
|
电子邮件转发设置已更改
此类事件会与 type=email_forwarding_change 一起返回。
网域外电子邮件转发功能已启用
| 活动详情 |
| 事件名称 |
email_forwarding_out_of_domain |
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=email_forwarding_out_of_domain&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} has enabled out of domain email forwarding to {email_forwarding_destination_address}.
|
登录
登录事件类型。
此类事件会与 type=login 一起返回。
登录失败
登录尝试失败。
| 活动详情 |
| 事件名称 |
login_failure |
| 参数 |
login_challenge_method |
string
登录验证方法。
可能的值:
backup_code
要求用户输入备用验证码。google_authenticator
要求用户输入身份验证器应用中的动态密码。google_prompt
登录验证方法的 Google 提示。idv_any_phone
用户要求输入电话号码,然后输入发送至该手机的验证码。idv_preregistered_phone
用户输入发送到其预注册手机上的代码。internal_two_factor
登录验证方法:内部双重身份验证。knowledge_employee_id
登录验证方法的知识员工 ID。knowledge_preregistered_email
用户需证明自己知晓预注册的电子邮件地址。knowledge_preregistered_phone
用户需证明自己知晓预注册的手机。login_location
用户输入通常登录的位置。none
无需进行任何登录验证。offline_otp
用户输入在手机的设置中获取的动态密码(仅限 Android 设备)。other
其他登录验证方法。password
密码。security_key
用户通过安全密钥加密验证。security_key_otp
登录验证方法安全密钥动态密码。
|
login_failure_type |
string
登录失败的原因。
可能的值:
login_failure_access_code_disallowed
该用户无权登录该服务。login_failure_account_disabled
该用户的账号已停用。login_failure_invalid_password
用户的密码无效。login_failure_unknown
登录失败的原因未知。
|
login_type |
string
用于尝试登录的凭据类型。
可能的值:
exchange
用户提供现有凭据并将其交换为其他类型的凭据,例如用 OAuth 令牌交换 SID。可能表示用户已登录某个会话,且这两个会话已合并。google_password
用户提供 Google 账号密码。reauth
用户已通过身份验证,但必须重新授权。saml
用户提供来自 SAML 身份提供方的 SAML 断言。unknown
登录类型未知。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_failure&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} failed to login
|
登录验证
系统要求登录验证用户的身份。登录会话期间遇到的任何登录验证都会汇总到一个 events 条目中。例如,如果用户输入两次错误密码,然后输入正确密码,接着使用安全密钥进行两步验证,则 activities.list 响应的 events 字段如下所示:
"events": [
{
"type": "login",
"name": "login_success",
"parameters": [
{
"name": "login_type",
"value": "google_password"
},
{
"name": "login_challenge_method",
"multiValue": [
"password",
"password",
"password",
"security_key"
]
},
{
"name": "is_suspicious",
"boolValue": false
}
]
}
]
如需详细了解登录验证,请参阅使用额外安全措施验证用户的身份。
| 活动详情 |
| 事件名称 |
login_challenge |
| 参数 |
login_challenge_method |
string
登录验证方法。
可能的值:
backup_code
要求用户输入备用验证码。google_authenticator
要求用户输入身份验证器应用中的动态密码。google_prompt
登录验证方法的 Google 提示。idv_any_phone
用户要求输入电话号码,然后输入发送至该手机的验证码。idv_preregistered_phone
用户输入发送到其预注册手机上的代码。internal_two_factor
登录验证方法:内部双重身份验证。knowledge_employee_id
登录验证方法的知识员工 ID。knowledge_preregistered_email
用户需证明自己知晓预注册的电子邮件地址。knowledge_preregistered_phone
用户需证明自己知晓预注册的手机。login_location
用户输入通常登录的位置。none
无需进行任何登录验证。offline_otp
用户输入在手机的设置中获取的动态密码(仅限 Android 设备)。other
其他登录验证方法。password
密码。security_key
用户通过安全密钥加密验证。security_key_otp
登录验证方法安全密钥动态密码。
|
login_challenge_status |
string
登录验证成功还是失败,表示为“验证已通过”。和“挑战失败”。。空字符串表示未知状态。
|
login_type |
string
用于尝试登录的凭据类型。
可能的值:
exchange
用户提供现有凭据并将其交换为其他类型的凭据,例如用 OAuth 令牌交换 SID。可能表示用户已登录某个会话,且这两个会话已合并。google_password
用户提供 Google 账号密码。reauth
用户已通过身份验证,但必须重新授权。saml
用户提供来自 SAML 身份提供方的 SAML 断言。unknown
登录类型未知。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_challenge&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} was presented with a login challenge
|
登录验证
登录验证事件名称。
| 活动详情 |
| 事件名称 |
login_verification |
| 参数 |
is_second_factor |
boolean
用于指明登录验证方式是否为两步验证。
可能的值:
false
布尔值 false。true
布尔值 true。
|
login_challenge_method |
string
登录验证方法。
可能的值:
backup_code
要求用户输入备用验证码。google_authenticator
要求用户输入身份验证器应用中的动态密码。google_prompt
登录验证方法的 Google 提示。idv_any_phone
用户要求输入电话号码,然后输入发送至该手机的验证码。idv_preregistered_phone
用户输入发送到其预注册手机上的代码。internal_two_factor
登录验证方法:内部双重身份验证。knowledge_employee_id
登录验证方法的知识员工 ID。knowledge_preregistered_email
用户需证明自己知晓预注册的电子邮件地址。knowledge_preregistered_phone
用户需证明自己知晓预注册的手机。login_location
用户输入通常登录的位置。none
无需进行任何登录验证。offline_otp
用户输入在手机的设置中获取的动态密码(仅限 Android 设备)。other
其他登录验证方法。password
密码。security_key
用户通过安全密钥加密验证。security_key_otp
登录验证方法安全密钥动态密码。
|
login_challenge_status |
string
登录验证成功还是失败,表示为“验证已通过”。和“挑战失败”。。空字符串表示未知状态。
|
login_type |
string
用于尝试登录的凭据类型。
可能的值:
exchange
用户提供现有凭据并将其交换为其他类型的凭据,例如用 OAuth 令牌交换 SID。可能表示用户已登录某个会话,且这两个会话已合并。google_password
用户提供 Google 账号密码。reauth
用户已通过身份验证,但必须重新授权。saml
用户提供来自 SAML 身份提供方的 SAML 断言。unknown
登录类型未知。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_verification&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} was presented with login verification
|
退出
用户已退出账号。
| 活动详情 |
| 事件名称 |
logout |
| 参数 |
login_type |
string
用于尝试登录的凭据类型。
可能的值:
exchange
用户提供现有凭据并将其交换为其他类型的凭据,例如用 OAuth 令牌交换 SID。可能表示用户已登录某个会话,且这两个会话已合并。google_password
用户提供 Google 账号密码。reauth
用户已通过身份验证,但必须重新授权。saml
用户提供来自 SAML 身份提供方的 SAML 断言。unknown
登录类型未知。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=logout&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} logged out
|
允许执行敏感操作
| 活动详情 |
| 事件名称 |
risky_sensitive_action_allowed |
| 参数 |
is_suspicious |
boolean
此次登录尝试存在一些异常情况,例如用户通过陌生的 IP 地址登录。
可能的值:
false
布尔值 false。true
布尔值 true。
|
login_challenge_method |
string
登录验证方法。
可能的值:
backup_code
要求用户输入备用验证码。google_authenticator
要求用户输入身份验证器应用中的动态密码。google_prompt
登录验证方法的 Google 提示。idv_any_phone
用户要求输入电话号码,然后输入发送至该手机的验证码。idv_preregistered_phone
用户输入发送到其预注册手机上的代码。internal_two_factor
登录验证方法:内部双重身份验证。knowledge_employee_id
登录验证方法的知识员工 ID。knowledge_preregistered_email
用户需证明自己知晓预注册的电子邮件地址。knowledge_preregistered_phone
用户需证明自己知晓预注册的手机。login_location
用户输入通常登录的位置。none
无需进行任何登录验证。offline_otp
用户输入在手机的设置中获取的动态密码(仅限 Android 设备)。other
其他登录验证方法。password
密码。security_key
用户通过安全密钥加密验证。security_key_otp
登录验证方法安全密钥动态密码。
|
login_challenge_status |
string
登录验证成功还是失败,表示为“验证已通过”。和“挑战失败”。。空字符串表示未知状态。
|
login_type |
string
用于尝试登录的凭据类型。
可能的值:
exchange
用户提供现有凭据并将其交换为其他类型的凭据,例如用 OAuth 令牌交换 SID。可能表示用户已登录某个会话,且这两个会话已合并。google_password
用户提供 Google 账号密码。reauth
用户已通过身份验证,但必须重新授权。saml
用户提供来自 SAML 身份提供方的 SAML 断言。unknown
登录类型未知。
|
sensitive_action_name |
string
有风险的敏感操作质询事件中的敏感操作名称的说明。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_allowed&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} was permitted to take the action: {sensitive_action_name}.
|
敏感操作已被阻止
| 活动详情 |
| 事件名称 |
risky_sensitive_action_blocked |
| 参数 |
is_suspicious |
boolean
此次登录尝试存在一些异常情况,例如用户通过陌生的 IP 地址登录。
可能的值:
false
布尔值 false。true
布尔值 true。
|
login_challenge_method |
string
登录验证方法。
可能的值:
backup_code
要求用户输入备用验证码。google_authenticator
要求用户输入身份验证器应用中的动态密码。google_prompt
登录验证方法的 Google 提示。idv_any_phone
用户要求输入电话号码,然后输入发送至该手机的验证码。idv_preregistered_phone
用户输入发送到其预注册手机上的代码。internal_two_factor
登录验证方法:内部双重身份验证。knowledge_employee_id
登录验证方法的知识员工 ID。knowledge_preregistered_email
用户需证明自己知晓预注册的电子邮件地址。knowledge_preregistered_phone
用户需证明自己知晓预注册的手机。login_location
用户输入通常登录的位置。none
无需进行任何登录验证。offline_otp
用户输入在手机的设置中获取的动态密码(仅限 Android 设备)。other
其他登录验证方法。password
密码。security_key
用户通过安全密钥加密验证。security_key_otp
登录验证方法安全密钥动态密码。
|
login_challenge_status |
string
登录验证成功还是失败,表示为“验证已通过”。和“挑战失败”。。空字符串表示未知状态。
|
login_type |
string
用于尝试登录的凭据类型。
可能的值:
exchange
用户提供现有凭据并将其交换为其他类型的凭据,例如用 OAuth 令牌交换 SID。可能表示用户已登录某个会话,且这两个会话已合并。google_password
用户提供 Google 账号密码。reauth
用户已通过身份验证,但必须重新授权。saml
用户提供来自 SAML 身份提供方的 SAML 断言。unknown
登录类型未知。
|
sensitive_action_name |
string
有风险的敏感操作质询事件中的敏感操作名称的说明。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_blocked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} was blocked from the action: {sensitive_action_name}. Their session was risky and identity couldn’t be verified.
|
成功登录
登录尝试成功。
| 活动详情 |
| 事件名称 |
login_success |
| 参数 |
is_suspicious |
boolean
此次登录尝试存在一些异常情况,例如用户通过陌生的 IP 地址登录。
可能的值:
false
布尔值 false。true
布尔值 true。
|
login_challenge_method |
string
登录验证方法。
可能的值:
backup_code
要求用户输入备用验证码。google_authenticator
要求用户输入身份验证器应用中的动态密码。google_prompt
登录验证方法的 Google 提示。idv_any_phone
用户要求输入电话号码,然后输入发送至该手机的验证码。idv_preregistered_phone
用户输入发送到其预注册手机上的代码。internal_two_factor
登录验证方法:内部双重身份验证。knowledge_employee_id
登录验证方法的知识员工 ID。knowledge_preregistered_email
用户需证明自己知晓预注册的电子邮件地址。knowledge_preregistered_phone
用户需证明自己知晓预注册的手机。login_location
用户输入通常登录的位置。none
无需进行任何登录验证。offline_otp
用户输入在手机的设置中获取的动态密码(仅限 Android 设备)。other
其他登录验证方法。password
密码。security_key
用户通过安全密钥加密验证。security_key_otp
登录验证方法安全密钥动态密码。
|
login_type |
string
用于尝试登录的凭据类型。
可能的值:
exchange
用户提供现有凭据并将其交换为其他类型的凭据,例如用 OAuth 令牌交换 SID。可能表示用户已登录某个会话,且这两个会话已合并。google_password
用户提供 Google 账号密码。reauth
用户已通过身份验证,但必须重新授权。saml
用户提供来自 SAML 身份提供方的 SAML 断言。unknown
登录类型未知。
|
|
| 示例请求 |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_success&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
| 管理控制台消息格式 |
{actor} logged in
|
