In diesem Dokument werden die Ereignisse und Parameter für verschiedene Arten von Aktivitätsereignissen im Anmeldeaudit aufgeführt. Sie können diese Ereignisse durch Aufrufen von Activities.list() mit applicationName=login
abrufen.
Anmeldung für die Bestätigung in zwei Schritten geändert
Ereignisse dieses Typs werden mit type=2sv_change
zurückgegeben.
Bestätigung in zwei Schritten deaktivieren
Veranstaltungsdetails |
Ereignisname |
2sv_disable |
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_disable&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
{actor} has disabled 2-step verification
|
Bestätigung in zwei Schritten aktivieren
Veranstaltungsdetails |
Ereignisname |
2sv_enroll |
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
{actor} has enrolled for 2-step verification
|
Kontopasswort geändert
Ereignisse dieses Typs werden mit type=password_change
zurückgegeben.
Änderung des Kontopassworts
Veranstaltungsdetails |
Ereignisname |
password_edit |
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=password_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
{actor} has changed Account password
|
Informationen zur Kontowiederherstellung geändert
Informationen zur Kontowiederherstellung geändert.
Ereignisse dieses Typs werden mit type=recovery_info_change
zurückgegeben.
E-Mail-Adresse zur Kontowiederherstellung geändert
Veranstaltungsdetails |
Ereignisname |
recovery_email_edit |
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_email_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
{actor} has changed Account recovery email
|
Telefonnummer zur Kontowiederherstellung geändert
Veranstaltungsdetails |
Ereignisname |
recovery_phone_edit |
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_phone_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
{actor} has changed Account recovery phone
|
Geheime Frage/Antwort zur Kontowiederherstellung geändert
Veranstaltungsdetails |
Ereignisname |
recovery_secret_qa_edit |
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_secret_qa_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
{actor} has changed Account recovery secret question/answer
|
Kontowarnung
Ereignistyp „Kontowarnung“.
Ereignisse dieses Typs werden mit type=account_warning
zurückgegeben.
Passwort gehackt
Kontowarnungsereignis „Konto deaktiviert – Passwortleck“.
Veranstaltungsdetails |
Ereignisname |
account_disabled_password_leak |
Parameter |
affected_email_address |
string
E-Mail-ID des Nutzers, der von dem Ereignis betroffen ist
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_password_leak&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
Account {affected_email_address} disabled because Google has become aware that someone else knows its password
|
Verdächtige Anmeldung blockiert
Kontowarnungsereignis „Verdächtige Anmeldung“.
Veranstaltungsdetails |
Ereignisname |
suspicious_login |
Parameter |
affected_email_address |
string
E-Mail-ID des Nutzers, der von dem Ereignis betroffen ist
|
login_timestamp |
integer
Zeitpunkt der Anmeldung des Kontos in Mikros.
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
Google has detected a suspicious login for {affected_email_address}
|
Verdächtige Anmeldung über eine weniger sichere App blockiert
Kontowarnungsereignis „Verdächtige Anmeldung – weniger sichere App-Beschreibung“.
Veranstaltungsdetails |
Ereignisname |
suspicious_login_less_secure_app |
Parameter |
affected_email_address |
string
E-Mail-ID des Nutzers, der von dem Ereignis betroffen ist
|
login_timestamp |
integer
Zeitpunkt der Anmeldung des Kontos in Mikros.
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login_less_secure_app&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
Google has detected a suspicious login for {affected_email_address} from a less secure app
|
Verdächtige programmatische Anmeldung blockiert
Kontowarnungsereignis „Verdächtige programmatische Anmeldung“.
Veranstaltungsdetails |
Ereignisname |
suspicious_programmatic_login |
Parameter |
affected_email_address |
string
E-Mail-ID des Nutzers, der von dem Ereignis betroffen ist
|
login_timestamp |
integer
Zeitpunkt der Anmeldung des Kontos in Mikros.
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_programmatic_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
Google has detected a suspicious programmatic login for {affected_email_address}
|
Nutzer hat sich aufgrund eines verdächtigen Sitzungscookies abgemeldet
Nutzer hat sich wegen eines verdächtigen Sitzungscookies abgemeldet(Cookie-Cutter-Malware-Ereignis).
Veranstaltungsdetails |
Ereignisname |
user_signed_out_due_to_suspicious_session_cookie |
Parameter |
affected_email_address |
string
E-Mail-ID des Nutzers, der von dem Ereignis betroffen ist
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=user_signed_out_due_to_suspicious_session_cookie&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
Suspicious session cookie detected for user {affected_email_address}
|
Nutzer gesperrt
Allgemeine Kontowarnung – Konto deaktiviert – allgemeine Beschreibung
Veranstaltungsdetails |
Ereignisname |
account_disabled_generic |
Parameter |
affected_email_address |
string
E-Mail-ID des Nutzers, der von dem Ereignis betroffen ist
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_generic&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
Account {affected_email_address} disabled
|
Nutzer gesperrt (Relay-Spam)
Das Kontowarnungsereignis hat Spamming über die Relay-Beschreibung deaktiviert.
Veranstaltungsdetails |
Ereignisname |
account_disabled_spamming_through_relay |
Parameter |
affected_email_address |
string
E-Mail-ID des Nutzers, der von dem Ereignis betroffen ist
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming_through_relay&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming through SMTP relay service
|
Nutzer gesperrt (Spam)
Kontowarnungsereignis „Konto deaktiviert – Beschreibung für Spamming“.
Veranstaltungsdetails |
Ereignisname |
account_disabled_spamming |
Parameter |
affected_email_address |
string
E-Mail-ID des Nutzers, der von dem Ereignis betroffen ist
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming
|
Nutzer gesperrt (verdächtige Aktivität)
Kontowarnungsereignis „Konto gehackt“ – Beschreibung deaktiviert.
Veranstaltungsdetails |
Ereignisname |
account_disabled_hijacked |
Parameter |
affected_email_address |
string
E-Mail-ID des Nutzers, der von dem Ereignis betroffen ist
|
login_timestamp |
integer
Zeitpunkt der Anmeldung des Kontos in Mikros.
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_hijacked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
Account {affected_email_address} disabled because Google has detected a suspicious activity indicating it might have been compromised
|
Anmeldung für das erweiterte Sicherheitsprogramm geändert
Ereignisse dieses Typs werden mit type=titanium_change
zurückgegeben.
Anmeldung für das erweiterte Sicherheitsprogramm
Veranstaltungsdetails |
Ereignisname |
titanium_enroll |
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
{actor} has enrolled for Advanced Protection
|
Von der erweiterten Sicherheit abmelden
Veranstaltungsdetails |
Ereignisname |
titanium_unenroll |
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_unenroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
{actor} has disabled Advanced Protection
|
Angriffswarnung
Typ der Angriffswarnung.
Ereignisse dieses Typs werden mit type=attack_warning
zurückgegeben.
Von staatlichen Stellen unterstützter Angriff
Name des von staatlichen Stellen unterstützten Angriffs.
Veranstaltungsdetails |
Ereignisname |
gov_attack_warning |
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=gov_attack_warning&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
{actor} might have been targeted by government-backed attack
|
Einstellungen für blockierte Absender geändert
Ereignisse dieses Typs werden mit type=blocked_sender_change
zurückgegeben.
Alle zukünftigen E-Mails des Absenders wurden blockiert.
Blockierte E-Mail-Adresse.
Veranstaltungsdetails |
Ereignisname |
blocked_sender |
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=blocked_sender&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
{actor} has blocked all future messages from {affected_email_address}.
|
Einstellungen für die E-Mail-Weiterleitung geändert
Ereignisse dieses Typs werden mit type=email_forwarding_change
zurückgegeben.
E-Mail-Weiterleitung außerhalb der Domain aktiviert
Veranstaltungsdetails |
Ereignisname |
email_forwarding_out_of_domain |
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=email_forwarding_out_of_domain&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
{actor} has enabled out of domain email forwarding to {email_forwarding_destination_address}.
|
Anmelden
Ereignistyp „Anmeldung“.
Ereignisse dieses Typs werden mit type=login
zurückgegeben.
Fehler bei der Anmeldung
Ein Anmeldeversuch war nicht erfolgreich.
Veranstaltungsdetails |
Ereignisname |
login_failure |
Parameter |
login_challenge_method |
string
Methode der Identitätsbestätigung.
Mögliche Werte:
backup_code Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
google_authenticator Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
google_prompt Aufforderung zur Anmeldung mit Aufforderung von Google.
idv_any_phone Der Nutzer fragt nach der Telefonnummer und gibt den Code ein, der an dieses Smartphone gesendet wurde.
idv_preregistered_phone Der Nutzer gibt den Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
internal_two_factor Interne Bestätigung in zwei Schritten
knowledge_employee_id Methode zur Bestätigung der Mitarbeiteridentität.
knowledge_preregistered_email Der Nutzer weist Kenntnisse über vorregistrierte E-Mails nach.
knowledge_preregistered_phone Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
login_location Die Nutzer geben an, von wo aus sie sich normalerweise anmelden.
none Es gab keine Identitätsbestätigung.
offline_otp Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhält (nur Android).
other Andere Methode zur Identitätsbestätigung.
password Passwort.
security_key Der Nutzer übergibt einen kryptografischen Sicherheitsschlüssel.
security_key_otp OTP für die Methode der Identitätsbestätigung.
|
login_failure_type |
string
Der Grund für den Anmeldefehler.
Mögliche Werte:
login_failure_access_code_disallowed Der Nutzer ist nicht berechtigt, sich im Dienst anzumelden.
login_failure_account_disabled Das Konto des Nutzers ist deaktiviert.
login_failure_invalid_password Das Passwort des Nutzers ist ungültig.
login_failure_unknown Der Grund für den Fehler bei der Anmeldung ist unbekannt.
|
login_type |
string
Die Art der Anmeldedaten, mit denen versucht wird, sich anzumelden.
Mögliche Werte:
exchange Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen aus, z. B. einen OAuth-Token gegen eine SID. Gibt an, dass der Nutzer bereits in einer Sitzung angemeldet war und die beiden Sitzungen zusammengeführt wurden.
google_password Der Nutzer stellt ein Passwort für sein Google-Konto bereit.
reauth Der Nutzer ist bereits authentifiziert, muss ihn aber noch einmal autorisieren.
saml Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
unknown Log-in-Typ „Unbekannt“.
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_failure&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
{actor} failed to login
|
Identitätsbestätigung
Die Identitätsbestätigung des Nutzers wurde zur Identitätsbestätigung aufgefordert. Alle während der Anmeldung auftretenden Identitätsbestätigungen werden in einem einzigen events
-Eintrag zusammengefasst. Wenn ein Nutzer beispielsweise zweimal ein falsches Passwort und dann das richtige Passwort eingibt, gefolgt von einer Bestätigung in zwei Schritten mit einem Sicherheitsschlüssel, sieht das Feld events
der activities.list
-Antwort so aus:
"events": [
{
"type": "login",
"name": "login_success",
"parameters": [
{
"name": "login_type",
"value": "google_password"
},
{
"name": "login_challenge_method",
"multiValue": [
"password",
"password",
"password",
"security_key"
]
},
{
"name": "is_suspicious",
"boolValue": false
}
]
}
]
Weitere Informationen zur Identitätsbestätigung finden Sie im Hilfeartikel Identitätsbestätigung mit zusätzlichen Sicherheitsmaßnahmen.
Veranstaltungsdetails |
Ereignisname |
login_challenge |
Parameter |
login_challenge_method |
string
Methode der Identitätsbestätigung.
Mögliche Werte:
backup_code Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
google_authenticator Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
google_prompt Aufforderung zur Anmeldung mit Aufforderung von Google.
idv_any_phone Der Nutzer fragt nach der Telefonnummer und gibt den Code ein, der an dieses Smartphone gesendet wurde.
idv_preregistered_phone Der Nutzer gibt den Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
internal_two_factor Interne Bestätigung in zwei Schritten
knowledge_employee_id Methode zur Bestätigung der Mitarbeiteridentität.
knowledge_preregistered_email Der Nutzer weist Kenntnisse über vorregistrierte E-Mails nach.
knowledge_preregistered_phone Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
login_location Die Nutzer geben an, von wo aus sie sich normalerweise anmelden.
none Es gab keine Identitätsbestätigung.
offline_otp Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhält (nur Android).
other Andere Methode zur Identitätsbestätigung.
password Passwort.
security_key Der Nutzer übergibt einen kryptografischen Sicherheitsschlüssel.
security_key_otp OTP für die Methode der Identitätsbestätigung.
|
login_challenge_status |
string
Gibt an, ob die Identitätsbestätigung erfolgreich war oder fehlgeschlagen ist. Er wird als „Challenge bestanden“ bzw. „Challenge fehlgeschlagen“ angezeigt. Ein leerer String weist auf einen unbekannten Status hin.
|
login_type |
string
Die Art der Anmeldedaten, mit denen versucht wird, sich anzumelden.
Mögliche Werte:
exchange Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen aus, z. B. einen OAuth-Token gegen eine SID. Gibt an, dass der Nutzer bereits in einer Sitzung angemeldet war und die beiden Sitzungen zusammengeführt wurden.
google_password Der Nutzer stellt ein Passwort für sein Google-Konto bereit.
reauth Der Nutzer ist bereits authentifiziert, muss ihn aber noch einmal autorisieren.
saml Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
unknown Log-in-Typ „Unbekannt“.
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_challenge&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
{actor} was presented with a login challenge
|
Log-in-Bestätigung
Name des Anmeldebestätigungsereignisses.
Veranstaltungsdetails |
Ereignisname |
login_verification |
Parameter |
is_second_factor |
boolean
Gibt an, ob die Bestätigung in zwei Schritten aktiviert ist.
Mögliche Werte:
false Boolescher Wert „falsch“
true Boolescher Wert „wahr“.
|
login_challenge_method |
string
Methode der Identitätsbestätigung.
Mögliche Werte:
backup_code Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
google_authenticator Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
google_prompt Aufforderung zur Anmeldung mit Aufforderung von Google.
idv_any_phone Der Nutzer fragt nach der Telefonnummer und gibt den Code ein, der an dieses Smartphone gesendet wurde.
idv_preregistered_phone Der Nutzer gibt den Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
internal_two_factor Interne Bestätigung in zwei Schritten
knowledge_employee_id Methode zur Bestätigung der Mitarbeiteridentität.
knowledge_preregistered_email Der Nutzer weist Kenntnisse über vorregistrierte E-Mails nach.
knowledge_preregistered_phone Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
login_location Die Nutzer geben an, von wo aus sie sich normalerweise anmelden.
none Es gab keine Identitätsbestätigung.
offline_otp Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhält (nur Android).
other Andere Methode zur Identitätsbestätigung.
password Passwort.
security_key Der Nutzer übergibt einen kryptografischen Sicherheitsschlüssel.
security_key_otp OTP für die Methode der Identitätsbestätigung.
|
login_challenge_status |
string
Gibt an, ob die Identitätsbestätigung erfolgreich war oder fehlgeschlagen ist. Er wird als „Challenge bestanden“ bzw. „Challenge fehlgeschlagen“ angezeigt. Ein leerer String weist auf einen unbekannten Status hin.
|
login_type |
string
Die Art der Anmeldedaten, mit denen versucht wird, sich anzumelden.
Mögliche Werte:
exchange Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen aus, z. B. einen OAuth-Token gegen eine SID. Gibt an, dass der Nutzer bereits in einer Sitzung angemeldet war und die beiden Sitzungen zusammengeführt wurden.
google_password Der Nutzer stellt ein Passwort für sein Google-Konto bereit.
reauth Der Nutzer ist bereits authentifiziert, muss ihn aber noch einmal autorisieren.
saml Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
unknown Log-in-Typ „Unbekannt“.
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_verification&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
{actor} was presented with login verification
|
Abmelden
Der Nutzer hat sich abgemeldet.
Veranstaltungsdetails |
Ereignisname |
logout |
Parameter |
login_type |
string
Die Art der Anmeldedaten, mit denen versucht wird, sich anzumelden.
Mögliche Werte:
exchange Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen aus, z. B. einen OAuth-Token gegen eine SID. Gibt an, dass der Nutzer bereits in einer Sitzung angemeldet war und die beiden Sitzungen zusammengeführt wurden.
google_password Der Nutzer stellt ein Passwort für sein Google-Konto bereit.
reauth Der Nutzer ist bereits authentifiziert, muss ihn aber noch einmal autorisieren.
saml Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
unknown Log-in-Typ „Unbekannt“.
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=logout&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
{actor} logged out
|
Sensible Aktion zugelassen
Veranstaltungsdetails |
Ereignisname |
risky_sensitive_action_allowed |
Parameter |
is_suspicious |
boolean
Der Anmeldeversuch hat ungewöhnliche Merkmale festgestellt, z. B. hat sich der Nutzer von einer unbekannten IP-Adresse angemeldet.
Mögliche Werte:
false Boolescher Wert „falsch“
true Boolescher Wert „wahr“.
|
login_challenge_method |
string
Methode der Identitätsbestätigung.
Mögliche Werte:
backup_code Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
google_authenticator Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
google_prompt Aufforderung zur Anmeldung mit Aufforderung von Google.
idv_any_phone Der Nutzer fragt nach der Telefonnummer und gibt den Code ein, der an dieses Smartphone gesendet wurde.
idv_preregistered_phone Der Nutzer gibt den Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
internal_two_factor Interne Bestätigung in zwei Schritten
knowledge_employee_id Methode zur Bestätigung der Mitarbeiteridentität.
knowledge_preregistered_email Der Nutzer weist Kenntnisse über vorregistrierte E-Mails nach.
knowledge_preregistered_phone Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
login_location Die Nutzer geben an, von wo aus sie sich normalerweise anmelden.
none Es gab keine Identitätsbestätigung.
offline_otp Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhält (nur Android).
other Andere Methode zur Identitätsbestätigung.
password Passwort.
security_key Der Nutzer übergibt einen kryptografischen Sicherheitsschlüssel.
security_key_otp OTP für die Methode der Identitätsbestätigung.
|
login_challenge_status |
string
Gibt an, ob die Identitätsbestätigung erfolgreich war oder fehlgeschlagen ist. Er wird als „Challenge bestanden“ bzw. „Challenge fehlgeschlagen“ angezeigt. Ein leerer String weist auf einen unbekannten Status hin.
|
login_type |
string
Die Art der Anmeldedaten, mit denen versucht wird, sich anzumelden.
Mögliche Werte:
exchange Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen aus, z. B. einen OAuth-Token gegen eine SID. Gibt an, dass der Nutzer bereits in einer Sitzung angemeldet war und die beiden Sitzungen zusammengeführt wurden.
google_password Der Nutzer stellt ein Passwort für sein Google-Konto bereit.
reauth Der Nutzer ist bereits authentifiziert, muss ihn aber noch einmal autorisieren.
saml Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
unknown Log-in-Typ „Unbekannt“.
|
sensitive_action_name |
string
Beschreibung für den Namen der vertraulichen Aktion in diesem Ereignis.
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_allowed&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
{actor} was permitted to take the action: {sensitive_action_name}.
|
Sensible Aktion blockiert
Veranstaltungsdetails |
Ereignisname |
risky_sensitive_action_blocked |
Parameter |
is_suspicious |
boolean
Der Anmeldeversuch hat ungewöhnliche Merkmale festgestellt, z. B. hat sich der Nutzer von einer unbekannten IP-Adresse angemeldet.
Mögliche Werte:
false Boolescher Wert „falsch“
true Boolescher Wert „wahr“.
|
login_challenge_method |
string
Methode der Identitätsbestätigung.
Mögliche Werte:
backup_code Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
google_authenticator Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
google_prompt Aufforderung zur Anmeldung mit Aufforderung von Google.
idv_any_phone Der Nutzer fragt nach der Telefonnummer und gibt den Code ein, der an dieses Smartphone gesendet wurde.
idv_preregistered_phone Der Nutzer gibt den Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
internal_two_factor Interne Bestätigung in zwei Schritten
knowledge_employee_id Methode zur Bestätigung der Mitarbeiteridentität.
knowledge_preregistered_email Der Nutzer weist Kenntnisse über vorregistrierte E-Mails nach.
knowledge_preregistered_phone Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
login_location Die Nutzer geben an, von wo aus sie sich normalerweise anmelden.
none Es gab keine Identitätsbestätigung.
offline_otp Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhält (nur Android).
other Andere Methode zur Identitätsbestätigung.
password Passwort.
security_key Der Nutzer übergibt einen kryptografischen Sicherheitsschlüssel.
security_key_otp OTP für die Methode der Identitätsbestätigung.
|
login_challenge_status |
string
Gibt an, ob die Identitätsbestätigung erfolgreich war oder fehlgeschlagen ist. Er wird als „Challenge bestanden“ bzw. „Challenge fehlgeschlagen“ angezeigt. Ein leerer String weist auf einen unbekannten Status hin.
|
login_type |
string
Die Art der Anmeldedaten, mit denen versucht wird, sich anzumelden.
Mögliche Werte:
exchange Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen aus, z. B. einen OAuth-Token gegen eine SID. Gibt an, dass der Nutzer bereits in einer Sitzung angemeldet war und die beiden Sitzungen zusammengeführt wurden.
google_password Der Nutzer stellt ein Passwort für sein Google-Konto bereit.
reauth Der Nutzer ist bereits authentifiziert, muss ihn aber noch einmal autorisieren.
saml Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
unknown Log-in-Typ „Unbekannt“.
|
sensitive_action_name |
string
Beschreibung für den Namen der vertraulichen Aktion in diesem Ereignis.
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_blocked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
{actor} was blocked from the action: {sensitive_action_name}. Their session was risky and identity couldn’t be verified.
|
Erfolgreiche Anmeldung
Ein Anmeldeversuch war erfolgreich.
Veranstaltungsdetails |
Ereignisname |
login_success |
Parameter |
is_suspicious |
boolean
Der Anmeldeversuch hat ungewöhnliche Merkmale festgestellt, z. B. hat sich der Nutzer von einer unbekannten IP-Adresse angemeldet.
Mögliche Werte:
false Boolescher Wert „falsch“
true Boolescher Wert „wahr“.
|
login_challenge_method |
string
Methode der Identitätsbestätigung.
Mögliche Werte:
backup_code Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
google_authenticator Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
google_prompt Aufforderung zur Anmeldung mit Aufforderung von Google.
idv_any_phone Der Nutzer fragt nach der Telefonnummer und gibt den Code ein, der an dieses Smartphone gesendet wurde.
idv_preregistered_phone Der Nutzer gibt den Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
internal_two_factor Interne Bestätigung in zwei Schritten
knowledge_employee_id Methode zur Bestätigung der Mitarbeiteridentität.
knowledge_preregistered_email Der Nutzer weist Kenntnisse über vorregistrierte E-Mails nach.
knowledge_preregistered_phone Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
login_location Die Nutzer geben an, von wo aus sie sich normalerweise anmelden.
none Es gab keine Identitätsbestätigung.
offline_otp Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhält (nur Android).
other Andere Methode zur Identitätsbestätigung.
password Passwort.
security_key Der Nutzer übergibt einen kryptografischen Sicherheitsschlüssel.
security_key_otp OTP für die Methode der Identitätsbestätigung.
|
login_type |
string
Die Art der Anmeldedaten, mit denen versucht wird, sich anzumelden.
Mögliche Werte:
exchange Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen aus, z. B. einen OAuth-Token gegen eine SID. Gibt an, dass der Nutzer bereits in einer Sitzung angemeldet war und die beiden Sitzungen zusammengeführt wurden.
google_password Der Nutzer stellt ein Passwort für sein Google-Konto bereit.
reauth Der Nutzer ist bereits authentifiziert, muss ihn aber noch einmal autorisieren.
saml Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
unknown Log-in-Typ „Unbekannt“.
|
|
Beispielanfrage |
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_success&maxResults=10&access_token=YOUR_ACCESS_TOKEN
|
Nachrichtenformat der Admin-Konsole |
{actor} logged in
|