Login Audit Activity Events

In diesem Dokument werden die Ereignisse und Parameter für verschiedene Arten von Aktivitätsereignissen im Anmeldeaudit aufgeführt. Sie können diese Ereignisse durch Aufrufen von Activities.list() mit applicationName=login abrufen.

Anmeldung für die Bestätigung in zwei Schritten geändert

Ereignisse dieses Typs werden mit type=2sv_change zurückgegeben.

Bestätigung in zwei Schritten deaktivieren

Veranstaltungsdetails
Ereignisname 2sv_disable
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_disable&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
{actor} has disabled 2-step verification

Bestätigung in zwei Schritten aktivieren

Veranstaltungsdetails
Ereignisname 2sv_enroll
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
{actor} has enrolled for 2-step verification

Kontopasswort geändert

Ereignisse dieses Typs werden mit type=password_change zurückgegeben.

Änderung des Kontopassworts

Veranstaltungsdetails
Ereignisname password_edit
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=password_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
{actor} has changed Account password

Informationen zur Kontowiederherstellung geändert

Informationen zur Kontowiederherstellung geändert. Ereignisse dieses Typs werden mit type=recovery_info_change zurückgegeben.

E-Mail-Adresse zur Kontowiederherstellung geändert

Veranstaltungsdetails
Ereignisname recovery_email_edit
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_email_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
{actor} has changed Account recovery email

Telefonnummer zur Kontowiederherstellung geändert

Veranstaltungsdetails
Ereignisname recovery_phone_edit
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_phone_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
{actor} has changed Account recovery phone

Geheime Frage/Antwort zur Kontowiederherstellung geändert

Veranstaltungsdetails
Ereignisname recovery_secret_qa_edit
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_secret_qa_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
{actor} has changed Account recovery secret question/answer

Kontowarnung

Ereignistyp „Kontowarnung“. Ereignisse dieses Typs werden mit type=account_warning zurückgegeben.

Passwort gehackt

Kontowarnungsereignis „Konto deaktiviert – Passwortleck“.

Veranstaltungsdetails
Ereignisname account_disabled_password_leak
Parameter
affected_email_address

string

E-Mail-ID des Nutzers, der von dem Ereignis betroffen ist

Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_password_leak&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
Account {affected_email_address} disabled because Google has become aware that someone else knows its password

Verdächtige Anmeldung blockiert

Kontowarnungsereignis „Verdächtige Anmeldung“.

Veranstaltungsdetails
Ereignisname suspicious_login
Parameter
affected_email_address

string

E-Mail-ID des Nutzers, der von dem Ereignis betroffen ist

login_timestamp

integer

Zeitpunkt der Anmeldung des Kontos in Mikros.

Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
Google has detected a suspicious login for {affected_email_address}

Verdächtige Anmeldung über eine weniger sichere App blockiert

Kontowarnungsereignis „Verdächtige Anmeldung – weniger sichere App-Beschreibung“.

Veranstaltungsdetails
Ereignisname suspicious_login_less_secure_app
Parameter
affected_email_address

string

E-Mail-ID des Nutzers, der von dem Ereignis betroffen ist

login_timestamp

integer

Zeitpunkt der Anmeldung des Kontos in Mikros.

Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login_less_secure_app&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
Google has detected a suspicious login for {affected_email_address} from a less secure app

Verdächtige programmatische Anmeldung blockiert

Kontowarnungsereignis „Verdächtige programmatische Anmeldung“.

Veranstaltungsdetails
Ereignisname suspicious_programmatic_login
Parameter
affected_email_address

string

E-Mail-ID des Nutzers, der von dem Ereignis betroffen ist

login_timestamp

integer

Zeitpunkt der Anmeldung des Kontos in Mikros.

Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_programmatic_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
Google has detected a suspicious programmatic login for {affected_email_address}

Nutzer hat sich wegen eines verdächtigen Sitzungscookies abgemeldet(Cookie-Cutter-Malware-Ereignis).

Veranstaltungsdetails
Ereignisname user_signed_out_due_to_suspicious_session_cookie
Parameter
affected_email_address

string

E-Mail-ID des Nutzers, der von dem Ereignis betroffen ist

Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=user_signed_out_due_to_suspicious_session_cookie&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
Suspicious session cookie detected for user {affected_email_address}

Nutzer gesperrt

Allgemeine Kontowarnung – Konto deaktiviert – allgemeine Beschreibung

Veranstaltungsdetails
Ereignisname account_disabled_generic
Parameter
affected_email_address

string

E-Mail-ID des Nutzers, der von dem Ereignis betroffen ist

Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_generic&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
Account {affected_email_address} disabled

Nutzer gesperrt (Relay-Spam)

Das Kontowarnungsereignis hat Spamming über die Relay-Beschreibung deaktiviert.

Veranstaltungsdetails
Ereignisname account_disabled_spamming_through_relay
Parameter
affected_email_address

string

E-Mail-ID des Nutzers, der von dem Ereignis betroffen ist

Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming_through_relay&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming through SMTP relay service

Nutzer gesperrt (Spam)

Kontowarnungsereignis „Konto deaktiviert – Beschreibung für Spamming“.

Veranstaltungsdetails
Ereignisname account_disabled_spamming
Parameter
affected_email_address

string

E-Mail-ID des Nutzers, der von dem Ereignis betroffen ist

Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming

Nutzer gesperrt (verdächtige Aktivität)

Kontowarnungsereignis „Konto gehackt“ – Beschreibung deaktiviert.

Veranstaltungsdetails
Ereignisname account_disabled_hijacked
Parameter
affected_email_address

string

E-Mail-ID des Nutzers, der von dem Ereignis betroffen ist

login_timestamp

integer

Zeitpunkt der Anmeldung des Kontos in Mikros.

Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_hijacked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
Account {affected_email_address} disabled because Google has detected a suspicious activity indicating it might have been compromised

Anmeldung für das erweiterte Sicherheitsprogramm geändert

Ereignisse dieses Typs werden mit type=titanium_change zurückgegeben.

Anmeldung für das erweiterte Sicherheitsprogramm

Veranstaltungsdetails
Ereignisname titanium_enroll
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
{actor} has enrolled for Advanced Protection

Von der erweiterten Sicherheit abmelden

Veranstaltungsdetails
Ereignisname titanium_unenroll
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_unenroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
{actor} has disabled Advanced Protection

Angriffswarnung

Typ der Angriffswarnung. Ereignisse dieses Typs werden mit type=attack_warning zurückgegeben.

Von staatlichen Stellen unterstützter Angriff

Name des von staatlichen Stellen unterstützten Angriffs.

Veranstaltungsdetails
Ereignisname gov_attack_warning
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=gov_attack_warning&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
{actor} might have been targeted by government-backed attack

Einstellungen für blockierte Absender geändert

Ereignisse dieses Typs werden mit type=blocked_sender_change zurückgegeben.

Alle zukünftigen E-Mails des Absenders wurden blockiert.

Blockierte E-Mail-Adresse.

Veranstaltungsdetails
Ereignisname blocked_sender
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=blocked_sender&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
{actor} has blocked all future messages from {affected_email_address}.

Einstellungen für die E-Mail-Weiterleitung geändert

Ereignisse dieses Typs werden mit type=email_forwarding_change zurückgegeben.

E-Mail-Weiterleitung außerhalb der Domain aktiviert

Veranstaltungsdetails
Ereignisname email_forwarding_out_of_domain
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=email_forwarding_out_of_domain&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
{actor} has enabled out of domain email forwarding to {email_forwarding_destination_address}.

Anmelden

Ereignistyp „Anmeldung“. Ereignisse dieses Typs werden mit type=login zurückgegeben.

Fehler bei der Anmeldung

Ein Anmeldeversuch war nicht erfolgreich.

Veranstaltungsdetails
Ereignisname login_failure
Parameter
login_challenge_method

string

Methode der Identitätsbestätigung. Mögliche Werte:

  • backup_code
    Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
  • google_authenticator
    Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
  • google_prompt
    Aufforderung zur Anmeldung mit Aufforderung von Google.
  • idv_any_phone
    Der Nutzer fragt nach der Telefonnummer und gibt den Code ein, der an dieses Smartphone gesendet wurde.
  • idv_preregistered_phone
    Der Nutzer gibt den Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
  • internal_two_factor
    Interne Bestätigung in zwei Schritten
  • knowledge_employee_id
    Methode zur Bestätigung der Mitarbeiteridentität.
  • knowledge_preregistered_email
    Der Nutzer weist Kenntnisse über vorregistrierte E-Mails nach.
  • knowledge_preregistered_phone
    Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
  • login_location
    Die Nutzer geben an, von wo aus sie sich normalerweise anmelden.
  • none
    Es gab keine Identitätsbestätigung.
  • offline_otp
    Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhält (nur Android).
  • other
    Andere Methode zur Identitätsbestätigung.
  • password
    Passwort.
  • security_key
    Der Nutzer übergibt einen kryptografischen Sicherheitsschlüssel.
  • security_key_otp
    OTP für die Methode der Identitätsbestätigung.
login_failure_type

string

Der Grund für den Anmeldefehler. Mögliche Werte:

  • login_failure_access_code_disallowed
    Der Nutzer ist nicht berechtigt, sich im Dienst anzumelden.
  • login_failure_account_disabled
    Das Konto des Nutzers ist deaktiviert.
  • login_failure_invalid_password
    Das Passwort des Nutzers ist ungültig.
  • login_failure_unknown
    Der Grund für den Fehler bei der Anmeldung ist unbekannt.
login_type

string

Die Art der Anmeldedaten, mit denen versucht wird, sich anzumelden. Mögliche Werte:

  • exchange
    Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen aus, z. B. einen OAuth-Token gegen eine SID. Gibt an, dass der Nutzer bereits in einer Sitzung angemeldet war und die beiden Sitzungen zusammengeführt wurden.
  • google_password
    Der Nutzer stellt ein Passwort für sein Google-Konto bereit.
  • reauth
    Der Nutzer ist bereits authentifiziert, muss ihn aber noch einmal autorisieren.
  • saml
    Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
  • unknown
    Log-in-Typ „Unbekannt“.
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_failure&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
{actor} failed to login

Identitätsbestätigung

Die Identitätsbestätigung des Nutzers wurde zur Identitätsbestätigung aufgefordert. Alle während der Anmeldung auftretenden Identitätsbestätigungen werden in einem einzigen events-Eintrag zusammengefasst. Wenn ein Nutzer beispielsweise zweimal ein falsches Passwort und dann das richtige Passwort eingibt, gefolgt von einer Bestätigung in zwei Schritten mit einem Sicherheitsschlüssel, sieht das Feld events der activities.list-Antwort so aus:

"events": [
  {
    "type": "login",
    "name": "login_success",
    "parameters": [
      {
        "name": "login_type",
        "value": "google_password"
      },
      {
        "name": "login_challenge_method",
        "multiValue": [
          "password",
          "password",
          "password",
          "security_key"
        ]
      },
      {
        "name": "is_suspicious",
        "boolValue": false
      }
    ]
  }
]
Weitere Informationen zur Identitätsbestätigung finden Sie im Hilfeartikel Identitätsbestätigung mit zusätzlichen Sicherheitsmaßnahmen.

Veranstaltungsdetails
Ereignisname login_challenge
Parameter
login_challenge_method

string

Methode der Identitätsbestätigung. Mögliche Werte:

  • backup_code
    Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
  • google_authenticator
    Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
  • google_prompt
    Aufforderung zur Anmeldung mit Aufforderung von Google.
  • idv_any_phone
    Der Nutzer fragt nach der Telefonnummer und gibt den Code ein, der an dieses Smartphone gesendet wurde.
  • idv_preregistered_phone
    Der Nutzer gibt den Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
  • internal_two_factor
    Interne Bestätigung in zwei Schritten
  • knowledge_employee_id
    Methode zur Bestätigung der Mitarbeiteridentität.
  • knowledge_preregistered_email
    Der Nutzer weist Kenntnisse über vorregistrierte E-Mails nach.
  • knowledge_preregistered_phone
    Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
  • login_location
    Die Nutzer geben an, von wo aus sie sich normalerweise anmelden.
  • none
    Es gab keine Identitätsbestätigung.
  • offline_otp
    Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhält (nur Android).
  • other
    Andere Methode zur Identitätsbestätigung.
  • password
    Passwort.
  • security_key
    Der Nutzer übergibt einen kryptografischen Sicherheitsschlüssel.
  • security_key_otp
    OTP für die Methode der Identitätsbestätigung.
login_challenge_status

string

Gibt an, ob die Identitätsbestätigung erfolgreich war oder fehlgeschlagen ist. Er wird als „Challenge bestanden“ bzw. „Challenge fehlgeschlagen“ angezeigt. Ein leerer String weist auf einen unbekannten Status hin.

login_type

string

Die Art der Anmeldedaten, mit denen versucht wird, sich anzumelden. Mögliche Werte:

  • exchange
    Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen aus, z. B. einen OAuth-Token gegen eine SID. Gibt an, dass der Nutzer bereits in einer Sitzung angemeldet war und die beiden Sitzungen zusammengeführt wurden.
  • google_password
    Der Nutzer stellt ein Passwort für sein Google-Konto bereit.
  • reauth
    Der Nutzer ist bereits authentifiziert, muss ihn aber noch einmal autorisieren.
  • saml
    Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
  • unknown
    Log-in-Typ „Unbekannt“.
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_challenge&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
{actor} was presented with a login challenge

Log-in-Bestätigung

Name des Anmeldebestätigungsereignisses.

Veranstaltungsdetails
Ereignisname login_verification
Parameter
is_second_factor

boolean

Gibt an, ob die Bestätigung in zwei Schritten aktiviert ist. Mögliche Werte:

  • false
    Boolescher Wert „falsch“
  • true
    Boolescher Wert „wahr“.
login_challenge_method

string

Methode der Identitätsbestätigung. Mögliche Werte:

  • backup_code
    Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
  • google_authenticator
    Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
  • google_prompt
    Aufforderung zur Anmeldung mit Aufforderung von Google.
  • idv_any_phone
    Der Nutzer fragt nach der Telefonnummer und gibt den Code ein, der an dieses Smartphone gesendet wurde.
  • idv_preregistered_phone
    Der Nutzer gibt den Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
  • internal_two_factor
    Interne Bestätigung in zwei Schritten
  • knowledge_employee_id
    Methode zur Bestätigung der Mitarbeiteridentität.
  • knowledge_preregistered_email
    Der Nutzer weist Kenntnisse über vorregistrierte E-Mails nach.
  • knowledge_preregistered_phone
    Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
  • login_location
    Die Nutzer geben an, von wo aus sie sich normalerweise anmelden.
  • none
    Es gab keine Identitätsbestätigung.
  • offline_otp
    Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhält (nur Android).
  • other
    Andere Methode zur Identitätsbestätigung.
  • password
    Passwort.
  • security_key
    Der Nutzer übergibt einen kryptografischen Sicherheitsschlüssel.
  • security_key_otp
    OTP für die Methode der Identitätsbestätigung.
login_challenge_status

string

Gibt an, ob die Identitätsbestätigung erfolgreich war oder fehlgeschlagen ist. Er wird als „Challenge bestanden“ bzw. „Challenge fehlgeschlagen“ angezeigt. Ein leerer String weist auf einen unbekannten Status hin.

login_type

string

Die Art der Anmeldedaten, mit denen versucht wird, sich anzumelden. Mögliche Werte:

  • exchange
    Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen aus, z. B. einen OAuth-Token gegen eine SID. Gibt an, dass der Nutzer bereits in einer Sitzung angemeldet war und die beiden Sitzungen zusammengeführt wurden.
  • google_password
    Der Nutzer stellt ein Passwort für sein Google-Konto bereit.
  • reauth
    Der Nutzer ist bereits authentifiziert, muss ihn aber noch einmal autorisieren.
  • saml
    Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
  • unknown
    Log-in-Typ „Unbekannt“.
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_verification&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
{actor} was presented with login verification

Abmelden

Der Nutzer hat sich abgemeldet.

Veranstaltungsdetails
Ereignisname logout
Parameter
login_type

string

Die Art der Anmeldedaten, mit denen versucht wird, sich anzumelden. Mögliche Werte:

  • exchange
    Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen aus, z. B. einen OAuth-Token gegen eine SID. Gibt an, dass der Nutzer bereits in einer Sitzung angemeldet war und die beiden Sitzungen zusammengeführt wurden.
  • google_password
    Der Nutzer stellt ein Passwort für sein Google-Konto bereit.
  • reauth
    Der Nutzer ist bereits authentifiziert, muss ihn aber noch einmal autorisieren.
  • saml
    Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
  • unknown
    Log-in-Typ „Unbekannt“.
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=logout&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
{actor} logged out

Sensible Aktion zugelassen

Veranstaltungsdetails
Ereignisname risky_sensitive_action_allowed
Parameter
is_suspicious

boolean

Der Anmeldeversuch hat ungewöhnliche Merkmale festgestellt, z. B. hat sich der Nutzer von einer unbekannten IP-Adresse angemeldet. Mögliche Werte:

  • false
    Boolescher Wert „falsch“
  • true
    Boolescher Wert „wahr“.
login_challenge_method

string

Methode der Identitätsbestätigung. Mögliche Werte:

  • backup_code
    Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
  • google_authenticator
    Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
  • google_prompt
    Aufforderung zur Anmeldung mit Aufforderung von Google.
  • idv_any_phone
    Der Nutzer fragt nach der Telefonnummer und gibt den Code ein, der an dieses Smartphone gesendet wurde.
  • idv_preregistered_phone
    Der Nutzer gibt den Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
  • internal_two_factor
    Interne Bestätigung in zwei Schritten
  • knowledge_employee_id
    Methode zur Bestätigung der Mitarbeiteridentität.
  • knowledge_preregistered_email
    Der Nutzer weist Kenntnisse über vorregistrierte E-Mails nach.
  • knowledge_preregistered_phone
    Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
  • login_location
    Die Nutzer geben an, von wo aus sie sich normalerweise anmelden.
  • none
    Es gab keine Identitätsbestätigung.
  • offline_otp
    Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhält (nur Android).
  • other
    Andere Methode zur Identitätsbestätigung.
  • password
    Passwort.
  • security_key
    Der Nutzer übergibt einen kryptografischen Sicherheitsschlüssel.
  • security_key_otp
    OTP für die Methode der Identitätsbestätigung.
login_challenge_status

string

Gibt an, ob die Identitätsbestätigung erfolgreich war oder fehlgeschlagen ist. Er wird als „Challenge bestanden“ bzw. „Challenge fehlgeschlagen“ angezeigt. Ein leerer String weist auf einen unbekannten Status hin.

login_type

string

Die Art der Anmeldedaten, mit denen versucht wird, sich anzumelden. Mögliche Werte:

  • exchange
    Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen aus, z. B. einen OAuth-Token gegen eine SID. Gibt an, dass der Nutzer bereits in einer Sitzung angemeldet war und die beiden Sitzungen zusammengeführt wurden.
  • google_password
    Der Nutzer stellt ein Passwort für sein Google-Konto bereit.
  • reauth
    Der Nutzer ist bereits authentifiziert, muss ihn aber noch einmal autorisieren.
  • saml
    Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
  • unknown
    Log-in-Typ „Unbekannt“.
sensitive_action_name

string

Beschreibung für den Namen der vertraulichen Aktion in diesem Ereignis.

Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_allowed&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
{actor} was permitted to take the action: {sensitive_action_name}.

Sensible Aktion blockiert

Veranstaltungsdetails
Ereignisname risky_sensitive_action_blocked
Parameter
is_suspicious

boolean

Der Anmeldeversuch hat ungewöhnliche Merkmale festgestellt, z. B. hat sich der Nutzer von einer unbekannten IP-Adresse angemeldet. Mögliche Werte:

  • false
    Boolescher Wert „falsch“
  • true
    Boolescher Wert „wahr“.
login_challenge_method

string

Methode der Identitätsbestätigung. Mögliche Werte:

  • backup_code
    Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
  • google_authenticator
    Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
  • google_prompt
    Aufforderung zur Anmeldung mit Aufforderung von Google.
  • idv_any_phone
    Der Nutzer fragt nach der Telefonnummer und gibt den Code ein, der an dieses Smartphone gesendet wurde.
  • idv_preregistered_phone
    Der Nutzer gibt den Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
  • internal_two_factor
    Interne Bestätigung in zwei Schritten
  • knowledge_employee_id
    Methode zur Bestätigung der Mitarbeiteridentität.
  • knowledge_preregistered_email
    Der Nutzer weist Kenntnisse über vorregistrierte E-Mails nach.
  • knowledge_preregistered_phone
    Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
  • login_location
    Die Nutzer geben an, von wo aus sie sich normalerweise anmelden.
  • none
    Es gab keine Identitätsbestätigung.
  • offline_otp
    Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhält (nur Android).
  • other
    Andere Methode zur Identitätsbestätigung.
  • password
    Passwort.
  • security_key
    Der Nutzer übergibt einen kryptografischen Sicherheitsschlüssel.
  • security_key_otp
    OTP für die Methode der Identitätsbestätigung.
login_challenge_status

string

Gibt an, ob die Identitätsbestätigung erfolgreich war oder fehlgeschlagen ist. Er wird als „Challenge bestanden“ bzw. „Challenge fehlgeschlagen“ angezeigt. Ein leerer String weist auf einen unbekannten Status hin.

login_type

string

Die Art der Anmeldedaten, mit denen versucht wird, sich anzumelden. Mögliche Werte:

  • exchange
    Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen aus, z. B. einen OAuth-Token gegen eine SID. Gibt an, dass der Nutzer bereits in einer Sitzung angemeldet war und die beiden Sitzungen zusammengeführt wurden.
  • google_password
    Der Nutzer stellt ein Passwort für sein Google-Konto bereit.
  • reauth
    Der Nutzer ist bereits authentifiziert, muss ihn aber noch einmal autorisieren.
  • saml
    Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
  • unknown
    Log-in-Typ „Unbekannt“.
sensitive_action_name

string

Beschreibung für den Namen der vertraulichen Aktion in diesem Ereignis.

Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_blocked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
{actor} was blocked from the action: {sensitive_action_name}. Their session was risky and identity couldn’t be verified.

Erfolgreiche Anmeldung

Ein Anmeldeversuch war erfolgreich.

Veranstaltungsdetails
Ereignisname login_success
Parameter
is_suspicious

boolean

Der Anmeldeversuch hat ungewöhnliche Merkmale festgestellt, z. B. hat sich der Nutzer von einer unbekannten IP-Adresse angemeldet. Mögliche Werte:

  • false
    Boolescher Wert „falsch“
  • true
    Boolescher Wert „wahr“.
login_challenge_method

string

Methode der Identitätsbestätigung. Mögliche Werte:

  • backup_code
    Nutzer wird aufgefordert, einen Back-up-Code einzugeben.
  • google_authenticator
    Nutzer wird aufgefordert, das OTP über die Authentifizierungs-App einzugeben.
  • google_prompt
    Aufforderung zur Anmeldung mit Aufforderung von Google.
  • idv_any_phone
    Der Nutzer fragt nach der Telefonnummer und gibt den Code ein, der an dieses Smartphone gesendet wurde.
  • idv_preregistered_phone
    Der Nutzer gibt den Code ein, der an sein vorab registriertes Smartphone gesendet wurde.
  • internal_two_factor
    Interne Bestätigung in zwei Schritten
  • knowledge_employee_id
    Methode zur Bestätigung der Mitarbeiteridentität.
  • knowledge_preregistered_email
    Der Nutzer weist Kenntnisse über vorregistrierte E-Mails nach.
  • knowledge_preregistered_phone
    Der Nutzer weist die Kenntnis eines vorab registrierten Smartphones nach.
  • login_location
    Die Nutzer geben an, von wo aus sie sich normalerweise anmelden.
  • none
    Es gab keine Identitätsbestätigung.
  • offline_otp
    Der Nutzer gibt den OTP-Code ein, den er in den Einstellungen seines Smartphones erhält (nur Android).
  • other
    Andere Methode zur Identitätsbestätigung.
  • password
    Passwort.
  • security_key
    Der Nutzer übergibt einen kryptografischen Sicherheitsschlüssel.
  • security_key_otp
    OTP für die Methode der Identitätsbestätigung.
login_type

string

Die Art der Anmeldedaten, mit denen versucht wird, sich anzumelden. Mögliche Werte:

  • exchange
    Der Nutzer stellt vorhandene Anmeldedaten bereit und tauscht sie gegen einen anderen aus, z. B. einen OAuth-Token gegen eine SID. Gibt an, dass der Nutzer bereits in einer Sitzung angemeldet war und die beiden Sitzungen zusammengeführt wurden.
  • google_password
    Der Nutzer stellt ein Passwort für sein Google-Konto bereit.
  • reauth
    Der Nutzer ist bereits authentifiziert, muss ihn aber noch einmal autorisieren.
  • saml
    Der Nutzer stellt eine SAML-Assertion von einem SAML-Identitätsanbieter bereit.
  • unknown
    Log-in-Typ „Unbekannt“.
Beispielanfrage
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_success&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Nachrichtenformat der Admin-Konsole
{actor} logged in