Login Audit Activity Events

En este documento, se enumeran los eventos y parámetros de varios tipos de Accede a los eventos de actividad de auditoría. Puedes recuperar estos eventos Cómo llamar a Activities.list() con applicationName=login.

Se modificó la inscripción en la verificación en 2 pasos

Los eventos de este tipo se muestran con type=2sv_change.

Se inhabilitó la verificación en 2 pasos

Detalles del evento
Nombre del evento 2sv_disable
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_disable&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
{actor} has disabled 2-step verification

Inscripción en la verificación en 2 pasos

Detalles del evento
Nombre del evento 2sv_enroll
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
{actor} has enrolled for 2-step verification

Se cambió la contraseña de la cuenta

Los eventos de este tipo se muestran con type=password_change.

Cambio de contraseña de la cuenta

Detalles del evento
Nombre del evento password_edit
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=password_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
{actor} has changed Account password

Se cambió la información de recuperación de la cuenta

Se modificó la información de recuperación de la cuenta. Los eventos de este tipo se muestran con type=recovery_info_change.

Cambio del correo de recuperación de la cuenta

Detalles del evento
Nombre del evento recovery_email_edit
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_email_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
{actor} has changed Account recovery email

Cambio de teléfono de recuperación de la cuenta

Detalles del evento
Nombre del evento recovery_phone_edit
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_phone_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
{actor} has changed Account recovery phone

Cambio de la pregunta o respuesta secreta de recuperación de la cuenta

Detalles del evento
Nombre del evento recovery_secret_qa_edit
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_secret_qa_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
{actor} has changed Account recovery secret question/answer

Advertencia sobre la cuenta

Tipo de evento de advertencia de la cuenta. Los eventos de este tipo se muestran con type=account_warning.

Contraseña filtrada

Descripción del evento de advertencia de la cuenta inhabilitada en la descripción de filtración de contraseñas.

Detalles del evento
Nombre del evento account_disabled_password_leak
Parámetros
affected_email_address

string

Es el ID de correo electrónico del usuario afectado por el evento.

Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_password_leak&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
Account {affected_email_address} disabled because Google has become aware that someone else knows its password

Acceso sospechoso bloqueado

Descripción del evento de advertencia de la cuenta sobre el acceso sospechoso.

Detalles del evento
Nombre del evento suspicious_login
Parámetros
affected_email_address

string

Es el ID de correo electrónico del usuario afectado por el evento.

login_timestamp

integer

Hora de acceso del evento de advertencia de la cuenta en microsegundos.

Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
Google has detected a suspicious login for {affected_email_address}

Se bloqueó el acceso sospechoso desde una app menos segura

Descripción del evento de advertencia de la cuenta: acceso sospechoso a la app menos segura.

Detalles del evento
Nombre del evento suspicious_login_less_secure_app
Parámetros
affected_email_address

string

Es el ID de correo electrónico del usuario afectado por el evento.

login_timestamp

integer

Hora de acceso del evento de advertencia de la cuenta en microsegundos.

Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login_less_secure_app&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
Google has detected a suspicious login for {affected_email_address} from a less secure app

Acceso programático sospechoso bloqueado

Descripción del evento de advertencia de la cuenta sobre el acceso programático sospechoso.

Detalles del evento
Nombre del evento suspicious_programmatic_login
Parámetros
affected_email_address

string

Es el ID de correo electrónico del usuario afectado por el evento.

login_timestamp

integer

Hora de acceso del evento de advertencia de la cuenta en microsegundos.

Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_programmatic_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
Google has detected a suspicious programmatic login for {affected_email_address}

El usuario salió de su cuenta debido a una cookie de sesión sospechosa(evento de software malicioso del cortador de cookies).

Detalles del evento
Nombre del evento user_signed_out_due_to_suspicious_session_cookie
Parámetros
affected_email_address

string

Es el ID de correo electrónico del usuario afectado por el evento.

Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=user_signed_out_due_to_suspicious_session_cookie&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
Suspicious session cookie detected for user {affected_email_address}

Usuario suspendido

Se inhabilitó la descripción genérica del evento de advertencia de la cuenta.

Detalles del evento
Nombre del evento account_disabled_generic
Parámetros
affected_email_address

string

Es el ID de correo electrónico del usuario afectado por el evento.

Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_generic&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
Account {affected_email_address} disabled

Usuario suspendido (spam mediante retransmisión)

El evento de advertencia de la cuenta inhabilitó el envío de spam a través de la descripción de retransmisión.

Detalles del evento
Nombre del evento account_disabled_spamming_through_relay
Parámetros
affected_email_address

string

Es el ID de correo electrónico del usuario afectado por el evento.

Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming_through_relay&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming through SMTP relay service

Usuario suspendido (spam)

Se inhabilitó la descripción del evento de advertencia de la cuenta para generar spam.

Detalles del evento
Nombre del evento account_disabled_spamming
Parámetros
affected_email_address

string

Es el ID de correo electrónico del usuario afectado por el evento.

Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming

Usuario suspendido (actividad sospechosa)

Se inhabilitó la descripción de usurpación de la cuenta del evento de advertencia de la cuenta.

Detalles del evento
Nombre del evento account_disabled_hijacked
Parámetros
affected_email_address

string

Es el ID de correo electrónico del usuario afectado por el evento.

login_timestamp

integer

Hora de acceso del evento de advertencia de la cuenta en microsegundos.

Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_hijacked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
Account {affected_email_address} disabled because Google has detected a suspicious activity indicating it might have been compromised

Se modificó la inscripción en la Protección avanzada

Los eventos de este tipo se muestran con type=titanium_change.

Inscripción en la Protección avanzada

Detalles del evento
Nombre del evento titanium_enroll
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
{actor} has enrolled for Advanced Protection

Dar de baja la Protección avanzada

Detalles del evento
Nombre del evento titanium_unenroll
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_unenroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
{actor} has disabled Advanced Protection

Advertencia de ataque

Tipo de evento de advertencia de ataque. Los eventos de este tipo se muestran con type=attack_warning.

Ataque respaldado por el Gobierno

Nombre del evento de advertencia de ataque respaldado por el Gobierno.

Detalles del evento
Nombre del evento gov_attack_warning
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=gov_attack_warning&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
{actor} might have been targeted by government-backed attack

Se cambió la configuración de remitentes bloqueados

Los eventos de este tipo se muestran con type=blocked_sender_change.

Se bloquearon todos los correos electrónicos futuros del remitente.

Dirección de correo electrónico bloqueada.

Detalles del evento
Nombre del evento blocked_sender
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=blocked_sender&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
{actor} has blocked all future messages from {affected_email_address}.

Se cambió la configuración de reenvío de correo electrónico

Los eventos de este tipo se muestran con type=email_forwarding_change.

Se habilitó el reenvío de correo electrónico fuera del dominio

Detalles del evento
Nombre del evento email_forwarding_out_of_domain
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=email_forwarding_out_of_domain&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
{actor} has enabled out of domain email forwarding to {email_forwarding_destination_address}.

Acceder

Tipo de evento de acceso. Los eventos de este tipo se muestran con type=login.

Acceso fallido

No se pudo completar un intento de acceso.

Detalles del evento
Nombre del evento login_failure
Parámetros
login_challenge_method

string

Método de verificación de identidad. Valores posibles:

  • backup_code
    Le solicita al usuario que ingrese un código de verificación de respaldo.
  • google_authenticator
    Le pide al usuario que ingrese una OTP desde la app de autenticador.
  • google_prompt
    Mensaje de Google sobre el método de verificación de acceso.
  • idv_any_phone
    El usuario solicitó el número de teléfono y, luego, ingresa el código que se envió a ese teléfono.
  • idv_preregistered_phone
    El usuario ingresa el código que se envió a su teléfono registrado previamente.
  • internal_two_factor
    Método de verificación de identidad interno de dos factores.
  • knowledge_employee_id
    Método de verificación de identidad Conocimiento del ID del empleado
  • knowledge_preregistered_email
    El usuario demuestra que tiene conocimiento del correo electrónico con registro previo.
  • knowledge_preregistered_phone
    El usuario demuestra que conoce el teléfono registrado previamente.
  • login_location
    El usuario ingresa desde la ubicación habitual.
  • none
    No se enfrentó ninguna verificación de identidad.
  • offline_otp
    El usuario ingresa el código OTP que obtiene en la configuración del teléfono (solo Android).
  • other
    Otro método de verificación de identidad
  • password
    Contraseña.
  • security_key
    El usuario pasa el desafío criptográfico de la llave de seguridad.
  • security_key_otp
    OTP de la llave de seguridad del método de verificación de identidad.
login_failure_type

string

Motivo del error de acceso. Valores posibles:

  • login_failure_access_code_disallowed
    El usuario no tiene permiso para acceder al servicio.
  • login_failure_account_disabled
    La cuenta del usuario está inhabilitada.
  • login_failure_invalid_password
    La contraseña del usuario no es válida.
  • login_failure_unknown
    Se desconoce el motivo del error en el acceso.
login_type

string

El tipo de credenciales que se usan para intentar acceder. Valores posibles:

  • exchange
    El usuario proporciona una credencial existente y la intercambia por otro tipo, como el intercambio de un token de OAuth por un SID. Puede indicar que el usuario ya accedió a una sesión y que las dos sesiones se combinaron.
  • google_password
    El usuario proporciona la contraseña de una Cuenta de Google.
  • reauth
    El usuario ya se autenticó, pero se debe volver a autorizar.
  • saml
    El usuario proporciona una aserción de SAML desde un proveedor de identidad SAML.
  • unknown
    Tipo de acceso desconocido.
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_failure&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
{actor} failed to login

Verificación de identidad

Se desafió un acceso para verificar la identidad del usuario. Las verificaciones de identidad que se encuentran durante una sesión se agrupan en una sola entrada events. Por ejemplo, si un usuario ingresa una contraseña incorrecta dos veces y, luego, ingresa la correcta, seguida de una verificación en dos pasos con una llave de seguridad, el campo events de la respuesta activities.list se verá de la siguiente manera:

"events": [
  {
    "type": "login",
    "name": "login_success",
    "parameters": [
      {
        "name": "login_type",
        "value": "google_password"
      },
      {
        "name": "login_challenge_method",
        "multiValue": [
          "password",
          "password",
          "password",
          "security_key"
        ]
      },
      {
        "name": "is_suspicious",
        "boolValue": false
      }
    ]
  }
]
Para obtener más información sobre las verificaciones de identidad, consulta Cómo verificar la identidad de un usuario con mayor seguridad.

Detalles del evento
Nombre del evento login_challenge
Parámetros
login_challenge_method

string

Método de verificación de identidad. Valores posibles:

  • backup_code
    Le solicita al usuario que ingrese un código de verificación de respaldo.
  • google_authenticator
    Le pide al usuario que ingrese una OTP desde la app de autenticador.
  • google_prompt
    Mensaje de Google sobre el método de verificación de acceso.
  • idv_any_phone
    El usuario solicitó el número de teléfono y, luego, ingresa el código que se envió a ese teléfono.
  • idv_preregistered_phone
    El usuario ingresa el código que se envió a su teléfono registrado previamente.
  • internal_two_factor
    Método de verificación de identidad interno de dos factores.
  • knowledge_employee_id
    Método de verificación de identidad Conocimiento del ID del empleado
  • knowledge_preregistered_email
    El usuario demuestra que tiene conocimiento del correo electrónico con registro previo.
  • knowledge_preregistered_phone
    El usuario demuestra que conoce el teléfono registrado previamente.
  • login_location
    El usuario ingresa desde la ubicación habitual.
  • none
    No se enfrentó ninguna verificación de identidad.
  • offline_otp
    El usuario ingresa el código OTP que obtiene en la configuración del teléfono (solo Android).
  • other
    Otro método de verificación de identidad
  • password
    Contraseña.
  • security_key
    El usuario pasa el desafío criptográfico de la llave de seguridad.
  • security_key_otp
    OTP de la llave de seguridad del método de verificación de identidad.
login_challenge_status

string

Indica si la verificación de identidad se realizó correctamente o no, y se indica como "Desafío aprobado". y "Falló el desafío". respectivamente. Una cadena vacía indica un estado desconocido.

login_type

string

El tipo de credenciales que se usan para intentar acceder. Valores posibles:

  • exchange
    El usuario proporciona una credencial existente y la intercambia por otro tipo, como el intercambio de un token de OAuth por un SID. Puede indicar que el usuario ya accedió a una sesión y que las dos sesiones se combinaron.
  • google_password
    El usuario proporciona la contraseña de una Cuenta de Google.
  • reauth
    El usuario ya se autenticó, pero se debe volver a autorizar.
  • saml
    El usuario proporciona una aserción de SAML desde un proveedor de identidad SAML.
  • unknown
    Tipo de acceso desconocido.
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_challenge&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
{actor} was presented with a login challenge

Verificación de acceso

El nombre del evento de verificación de acceso.

Detalles del evento
Nombre del evento login_verification
Parámetros
is_second_factor

boolean

Si la verificación de acceso es 2SV. Valores posibles:

  • false
    El valor booleano es falso.
  • true
    El valor booleano es verdadero.
login_challenge_method

string

Método de verificación de identidad. Valores posibles:

  • backup_code
    Le solicita al usuario que ingrese un código de verificación de respaldo.
  • google_authenticator
    Le pide al usuario que ingrese una OTP desde la app de autenticador.
  • google_prompt
    Mensaje de Google sobre el método de verificación de acceso.
  • idv_any_phone
    El usuario solicitó el número de teléfono y, luego, ingresa el código que se envió a ese teléfono.
  • idv_preregistered_phone
    El usuario ingresa el código que se envió a su teléfono registrado previamente.
  • internal_two_factor
    Método de verificación de identidad interno de dos factores.
  • knowledge_employee_id
    Método de verificación de identidad Conocimiento del ID del empleado
  • knowledge_preregistered_email
    El usuario demuestra que tiene conocimiento del correo electrónico con registro previo.
  • knowledge_preregistered_phone
    El usuario demuestra que conoce el teléfono registrado previamente.
  • login_location
    El usuario ingresa desde la ubicación habitual.
  • none
    No se enfrentó ninguna verificación de identidad.
  • offline_otp
    El usuario ingresa el código OTP que obtiene en la configuración del teléfono (solo Android).
  • other
    Otro método de verificación de identidad
  • password
    Contraseña.
  • security_key
    El usuario pasa el desafío criptográfico de la llave de seguridad.
  • security_key_otp
    OTP de la llave de seguridad del método de verificación de identidad.
login_challenge_status

string

Indica si la verificación de identidad se realizó correctamente o no, y se indica como "Desafío aprobado". y "Falló el desafío". respectivamente. Una cadena vacía indica un estado desconocido.

login_type

string

El tipo de credenciales que se usan para intentar acceder. Valores posibles:

  • exchange
    El usuario proporciona una credencial existente y la intercambia por otro tipo, como el intercambio de un token de OAuth por un SID. Puede indicar que el usuario ya accedió a una sesión y que las dos sesiones se combinaron.
  • google_password
    El usuario proporciona la contraseña de una Cuenta de Google.
  • reauth
    El usuario ya se autenticó, pero se debe volver a autorizar.
  • saml
    El usuario proporciona una aserción de SAML desde un proveedor de identidad SAML.
  • unknown
    Tipo de acceso desconocido.
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_verification&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
{actor} was presented with login verification

Cerrar sesión

El usuario salió de la cuenta.

Detalles del evento
Nombre del evento logout
Parámetros
login_type

string

El tipo de credenciales que se usan para intentar acceder. Valores posibles:

  • exchange
    El usuario proporciona una credencial existente y la intercambia por otro tipo, como el intercambio de un token de OAuth por un SID. Puede indicar que el usuario ya accedió a una sesión y que las dos sesiones se combinaron.
  • google_password
    El usuario proporciona la contraseña de una Cuenta de Google.
  • reauth
    El usuario ya se autenticó, pero se debe volver a autorizar.
  • saml
    El usuario proporciona una aserción de SAML desde un proveedor de identidad SAML.
  • unknown
    Tipo de acceso desconocido.
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=logout&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
{actor} logged out

Se permitió una acción sensible

Detalles del evento
Nombre del evento risky_sensitive_action_allowed
Parámetros
is_suspicious

boolean

El intento de acceso tenía algunas características inusuales; por ejemplo, el usuario accedió desde una dirección IP desconocida. Valores posibles:

  • false
    El valor booleano es falso.
  • true
    El valor booleano es verdadero.
login_challenge_method

string

Método de verificación de identidad. Valores posibles:

  • backup_code
    Le solicita al usuario que ingrese un código de verificación de respaldo.
  • google_authenticator
    Le pide al usuario que ingrese una OTP desde la app de autenticador.
  • google_prompt
    Mensaje de Google sobre el método de verificación de acceso.
  • idv_any_phone
    El usuario solicitó el número de teléfono y, luego, ingresa el código que se envió a ese teléfono.
  • idv_preregistered_phone
    El usuario ingresa el código que se envió a su teléfono registrado previamente.
  • internal_two_factor
    Método de verificación de identidad interno de dos factores.
  • knowledge_employee_id
    Método de verificación de identidad Conocimiento del ID del empleado
  • knowledge_preregistered_email
    El usuario demuestra que tiene conocimiento del correo electrónico con registro previo.
  • knowledge_preregistered_phone
    El usuario demuestra que conoce el teléfono registrado previamente.
  • login_location
    El usuario ingresa desde la ubicación habitual.
  • none
    No se enfrentó ninguna verificación de identidad.
  • offline_otp
    El usuario ingresa el código OTP que obtiene en la configuración del teléfono (solo Android).
  • other
    Otro método de verificación de identidad
  • password
    Contraseña.
  • security_key
    El usuario pasa el desafío criptográfico de la llave de seguridad.
  • security_key_otp
    OTP de la llave de seguridad del método de verificación de identidad.
login_challenge_status

string

Indica si la verificación de identidad se realizó correctamente o no, y se indica como "Desafío aprobado". y "Falló el desafío". respectivamente. Una cadena vacía indica un estado desconocido.

login_type

string

El tipo de credenciales que se usan para intentar acceder. Valores posibles:

  • exchange
    El usuario proporciona una credencial existente y la intercambia por otro tipo, como el intercambio de un token de OAuth por un SID. Puede indicar que el usuario ya accedió a una sesión y que las dos sesiones se combinaron.
  • google_password
    El usuario proporciona la contraseña de una Cuenta de Google.
  • reauth
    El usuario ya se autenticó, pero se debe volver a autorizar.
  • saml
    El usuario proporciona una aserción de SAML desde un proveedor de identidad SAML.
  • unknown
    Tipo de acceso desconocido.
sensitive_action_name

string

Descripción del nombre de una acción sensible en un evento de acción sensible riesgoso.

Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_allowed&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
{actor} was permitted to take the action: {sensitive_action_name}.

Se bloqueó una acción sensible

Detalles del evento
Nombre del evento risky_sensitive_action_blocked
Parámetros
is_suspicious

boolean

El intento de acceso tenía algunas características inusuales; por ejemplo, el usuario accedió desde una dirección IP desconocida. Valores posibles:

  • false
    El valor booleano es falso.
  • true
    El valor booleano es verdadero.
login_challenge_method

string

Método de verificación de identidad. Valores posibles:

  • backup_code
    Le solicita al usuario que ingrese un código de verificación de respaldo.
  • google_authenticator
    Le pide al usuario que ingrese una OTP desde la app de autenticador.
  • google_prompt
    Mensaje de Google sobre el método de verificación de acceso.
  • idv_any_phone
    El usuario solicitó el número de teléfono y, luego, ingresa el código que se envió a ese teléfono.
  • idv_preregistered_phone
    El usuario ingresa el código que se envió a su teléfono registrado previamente.
  • internal_two_factor
    Método de verificación de identidad interno de dos factores.
  • knowledge_employee_id
    Método de verificación de identidad Conocimiento del ID del empleado
  • knowledge_preregistered_email
    El usuario demuestra que tiene conocimiento del correo electrónico con registro previo.
  • knowledge_preregistered_phone
    El usuario demuestra que conoce el teléfono registrado previamente.
  • login_location
    El usuario ingresa desde la ubicación habitual.
  • none
    No se enfrentó ninguna verificación de identidad.
  • offline_otp
    El usuario ingresa el código OTP que obtiene en la configuración del teléfono (solo Android).
  • other
    Otro método de verificación de identidad
  • password
    Contraseña.
  • security_key
    El usuario pasa el desafío criptográfico de la llave de seguridad.
  • security_key_otp
    OTP de la llave de seguridad del método de verificación de identidad.
login_challenge_status

string

Indica si la verificación de identidad se realizó correctamente o no, y se indica como "Desafío aprobado". y "Falló el desafío". respectivamente. Una cadena vacía indica un estado desconocido.

login_type

string

El tipo de credenciales que se usan para intentar acceder. Valores posibles:

  • exchange
    El usuario proporciona una credencial existente y la intercambia por otro tipo, como el intercambio de un token de OAuth por un SID. Puede indicar que el usuario ya accedió a una sesión y que las dos sesiones se combinaron.
  • google_password
    El usuario proporciona la contraseña de una Cuenta de Google.
  • reauth
    El usuario ya se autenticó, pero se debe volver a autorizar.
  • saml
    El usuario proporciona una aserción de SAML desde un proveedor de identidad SAML.
  • unknown
    Tipo de acceso desconocido.
sensitive_action_name

string

Descripción del nombre de una acción sensible en un evento de acción sensible riesgoso.

Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_blocked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
{actor} was blocked from the action: {sensitive_action_name}. Their session was risky and identity couldn’t be verified.

Acceso correcto

Se intentó acceder correctamente.

Detalles del evento
Nombre del evento login_success
Parámetros
is_suspicious

boolean

El intento de acceso tenía algunas características inusuales; por ejemplo, el usuario accedió desde una dirección IP desconocida. Valores posibles:

  • false
    El valor booleano es falso.
  • true
    El valor booleano es verdadero.
login_challenge_method

string

Método de verificación de identidad. Valores posibles:

  • backup_code
    Le solicita al usuario que ingrese un código de verificación de respaldo.
  • google_authenticator
    Le pide al usuario que ingrese una OTP desde la app de autenticador.
  • google_prompt
    Mensaje de Google sobre el método de verificación de acceso.
  • idv_any_phone
    El usuario solicitó el número de teléfono y, luego, ingresa el código que se envió a ese teléfono.
  • idv_preregistered_phone
    El usuario ingresa el código que se envió a su teléfono registrado previamente.
  • internal_two_factor
    Método de verificación de identidad interno de dos factores.
  • knowledge_employee_id
    Método de verificación de identidad Conocimiento del ID del empleado
  • knowledge_preregistered_email
    El usuario demuestra que tiene conocimiento del correo electrónico con registro previo.
  • knowledge_preregistered_phone
    El usuario demuestra que conoce el teléfono registrado previamente.
  • login_location
    El usuario ingresa desde la ubicación habitual.
  • none
    No se enfrentó ninguna verificación de identidad.
  • offline_otp
    El usuario ingresa el código OTP que obtiene en la configuración del teléfono (solo Android).
  • other
    Otro método de verificación de identidad
  • password
    Contraseña.
  • security_key
    El usuario pasa el desafío criptográfico de la llave de seguridad.
  • security_key_otp
    OTP de la llave de seguridad del método de verificación de identidad.
login_type

string

El tipo de credenciales que se usan para intentar acceder. Valores posibles:

  • exchange
    El usuario proporciona una credencial existente y la intercambia por otro tipo, como el intercambio de un token de OAuth por un SID. Puede indicar que el usuario ya accedió a una sesión y que las dos sesiones se combinaron.
  • google_password
    El usuario proporciona la contraseña de una Cuenta de Google.
  • reauth
    El usuario ya se autenticó, pero se debe volver a autorizar.
  • saml
    El usuario proporciona una aserción de SAML desde un proveedor de identidad SAML.
  • unknown
    Tipo de acceso desconocido.
Solicitud de muestra
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_success&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del mensaje de la Consola del administrador
{actor} logged in