Login Audit Activity Events

Questo documento elenca gli eventi e i parametri per vari tipi di eventi di attività di controllo dell'accesso. Puoi recuperare questi eventi chiamando Activities.list() con applicationName=login.

Registrazione per la verifica in due passaggi modificata

Gli eventi di questo tipo vengono restituiti con type=2sv_change.

Disattivazione della verifica in due passaggi

Dettagli dell'evento
Nome evento 2sv_disable
Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_disable&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
{actor} has disabled 2-step verification

Registrazione per la verifica in due passaggi

Dettagli dell'evento
Nome evento 2sv_enroll
Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=2sv_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
{actor} has enrolled for 2-step verification

Password dell'account cambiata

Gli eventi di questo tipo vengono restituiti con type=password_change.

Modifica password account

Dettagli dell'evento
Nome evento password_edit
Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=password_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
{actor} has changed Account password

Informazioni di recupero dell'account modificate

Informazioni di recupero dell'account modificate. Gli eventi di questo tipo vengono restituiti con type=recovery_info_change.

Modifica email di recupero dell'account

Dettagli dell'evento
Nome evento recovery_email_edit
Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_email_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
{actor} has changed Account recovery email

Modifica del numero di telefono di recupero dell'account

Dettagli dell'evento
Nome evento recovery_phone_edit
Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_phone_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
{actor} has changed Account recovery phone

Modifica domanda/risposta segreta di recupero dell'account

Dettagli dell'evento
Nome evento recovery_secret_qa_edit
Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=recovery_secret_qa_edit&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
{actor} has changed Account recovery secret question/answer

Avviso relativo all'account

Tipo di evento avviso dell'account. Gli eventi di questo tipo vengono restituiti con type=account_warning.

Password divulgata

Evento di avviso sull'account: account disattivato per descrizione fuga password.

Dettagli dell'evento
Nome evento account_disabled_password_leak
Parametri
affected_email_address

string

ID email dell'utente interessato dall'evento.

Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_password_leak&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
Account {affected_email_address} disabled because Google has become aware that someone else knows its password

Accesso sospetto bloccato

Descrizione dell'evento di avviso di account sospetto.

Dettagli dell'evento
Nome evento suspicious_login
Parametri
affected_email_address

string

ID email dell'utente interessato dall'evento.

login_timestamp

integer

Ora di accesso dell'evento di avviso dell'account in micro.

Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
Google has detected a suspicious login for {affected_email_address}

Accesso sospetto da app meno sicure bloccato

Evento di avviso sull'account: accesso sospetto Descrizione dell'app meno sicura.

Dettagli dell'evento
Nome evento suspicious_login_less_secure_app
Parametri
affected_email_address

string

ID email dell'utente interessato dall'evento.

login_timestamp

integer

Ora di accesso dell'evento di avviso dell'account in micro.

Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_login_less_secure_app&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
Google has detected a suspicious login for {affected_email_address} from a less secure app

Accesso programmatico sospetto bloccato

Descrizione dell'evento di avviso di account sospetto.

Dettagli dell'evento
Nome evento suspicious_programmatic_login
Parametri
affected_email_address

string

ID email dell'utente interessato dall'evento.

login_timestamp

integer

Ora di accesso dell'evento di avviso dell'account in micro.

Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=suspicious_programmatic_login&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
Google has detected a suspicious programmatic login for {affected_email_address}

L'utente si è disconnesso a causa di un cookie di sessione sospetto(evento Cookie Cutter).

Dettagli dell'evento
Nome evento user_signed_out_due_to_suspicious_session_cookie
Parametri
affected_email_address

string

ID email dell'utente interessato dall'evento.

Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=user_signed_out_due_to_suspicious_session_cookie&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
Suspicious session cookie detected for user {affected_email_address}

Utente sospeso

Descrizione generica dell'account di evento associato all'avviso dell'account disattivato.

Dettagli dell'evento
Nome evento account_disabled_generic
Parametri
affected_email_address

string

ID email dell'utente interessato dall'evento.

Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_generic&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
Account {affected_email_address} disabled

Utente sospeso (spam tramite inoltro)

L'account dell'evento di avviso dell'account ha disattivato lo spam tramite la descrizione dell'inoltro.

Dettagli dell'evento
Nome evento account_disabled_spamming_through_relay
Parametri
affected_email_address

string

ID email dell'utente interessato dall'evento.

Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming_through_relay&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming through SMTP relay service

Utente sospeso (spam)

Descrizione dell'account evento di avviso sull'account disattivato per spam.

Dettagli dell'evento
Nome evento account_disabled_spamming
Parametri
affected_email_address

string

ID email dell'utente interessato dall'evento.

Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_spamming&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
Account {affected_email_address} disabled because Google has become aware that it was used to engage in spamming

Utente sospeso (attività sospetta)

L'account di evento di avviso relativo all'account ha disattivato la descrizione compromessa.

Dettagli dell'evento
Nome evento account_disabled_hijacked
Parametri
affected_email_address

string

ID email dell'utente interessato dall'evento.

login_timestamp

integer

Ora di accesso dell'evento di avviso dell'account in micro.

Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=account_disabled_hijacked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
Account {affected_email_address} disabled because Google has detected a suspicious activity indicating it might have been compromised

Registrazione alla protezione avanzata modificata

Gli eventi di questo tipo vengono restituiti con type=titanium_change.

Registrazione alla protezione avanzata

Dettagli dell'evento
Nome evento titanium_enroll
Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_enroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
{actor} has enrolled for Advanced Protection

Annullamento registrazione alla protezione avanzata

Dettagli dell'evento
Nome evento titanium_unenroll
Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=titanium_unenroll&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
{actor} has disabled Advanced Protection

Avviso di attacco

Tipo di evento avviso di attacco. Gli eventi di questo tipo vengono restituiti con type=attack_warning.

Attacco supportato da enti governativi

Nome dell'evento di avviso dell'attacco supportato dal governo.

Dettagli dell'evento
Nome evento gov_attack_warning
Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=gov_attack_warning&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
{actor} might have been targeted by government-backed attack

Impostazioni del mittente bloccate modificate

Gli eventi di questo tipo vengono restituiti con type=blocked_sender_change.

Bloccate tutte le email future del mittente.

Indirizzo email bloccato.

Dettagli dell'evento
Nome evento blocked_sender
Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=blocked_sender&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
{actor} has blocked all future messages from {affected_email_address}.

Impostazioni di inoltro email modificate

Gli eventi di questo tipo vengono restituiti con type=email_forwarding_change.

Inoltro email al di fuori del dominio abilitato

Dettagli dell'evento
Nome evento email_forwarding_out_of_domain
Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=email_forwarding_out_of_domain&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
{actor} has enabled out of domain email forwarding to {email_forwarding_destination_address}.

Accedi

Tipo di evento di accesso. Gli eventi di questo tipo vengono restituiti con type=login.

Accesso non riuscito

Tentativo di accesso non riuscito.

Dettagli dell'evento
Nome evento login_failure
Parametri
login_challenge_method

string

Metodo di verifica dell'accesso. Valori possibili:

  • backup_code
    Chiedi all'utente di inserire un codice di verifica di backup.
  • google_authenticator
    Chiedi all'utente di inserire l'OTP dall'app di autenticazione.
  • google_prompt
    Metodo di verifica dell'accesso Messaggio di Google.
  • idv_any_phone
    L'utente ha chiesto il numero di telefono e ha inserito il codice che è stato inviato a quel numero.
  • idv_preregistered_phone
    L'utente inserisce il codice inviato al suo telefono preregistrato.
  • internal_two_factor
    Metodo a due fattori interno per la verifica dell'accesso.
  • knowledge_employee_id
    Metodo di verifica dell'accesso: ID dipendente della conoscenza.
  • knowledge_preregistered_email
    L'utente dimostra di conoscere le email preregistrate.
  • knowledge_preregistered_phone
    L'utente dimostra di conoscere i telefoni preregistrati.
  • login_location
    L'utente accede dal punto in cui accede di solito.
  • none
    Non è stata apportata alcuna verifica dell'accesso.
  • offline_otp
    L'utente inserisce il codice OTP ricevuto dalle impostazioni del proprio telefono (solo Android).
  • other
    Metodo di verifica dell'accesso (altro).
  • password
    Password.
  • security_key
    L'utente supera la verifica crittografica del token di sicurezza.
  • security_key_otp
    OTP della chiave di sicurezza del metodo di verifica dell'accesso.
login_failure_type

string

Il motivo dell'errore di accesso. Valori possibili:

  • login_failure_access_code_disallowed
    L'utente non dispone delle autorizzazioni per accedere al servizio.
  • login_failure_account_disabled
    L'account dell'utente è stato disattivato.
  • login_failure_invalid_password
    La password dell'utente non è valida.
  • login_failure_unknown
    Il motivo dell'errore di accesso non è noto.
login_type

string

Il tipo di credenziali utilizzate per tentare di eseguire l'accesso. Valori possibili:

  • exchange
    L'utente fornisce una credenziale esistente e la scambia con un altro tipo, ad esempio scambiando un token OAuth con un SID. Potrebbe indicare che l'utente ha già eseguito l'accesso a una sessione e che le due sessioni sono state unite.
  • google_password
    L'utente fornisce una password per l'Account Google.
  • reauth
    L'utente è già autenticato, ma deve ripetere l'autorizzazione.
  • saml
    L'utente fornisce un'asserzione SAML da un provider di identità SAML.
  • unknown
    Tipo di accesso sconosciuto.
Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_failure&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
{actor} failed to login

Verifica dell'accesso

La verifica dell'identità dell'utente richiedeva un accesso. Le eventuali verifiche dell'accesso rilevate durante una sessione di accesso vengono raggruppate in un'unica voce events. Ad esempio, se un utente inserisce una password errata due volte e poi quella corretta, seguita da una verifica in due passaggi mediante un token di sicurezza, il campo events della risposta activities.list ha il seguente aspetto:

"events": [
  {
    "type": "login",
    "name": "login_success",
    "parameters": [
      {
        "name": "login_type",
        "value": "google_password"
      },
      {
        "name": "login_challenge_method",
        "multiValue": [
          "password",
          "password",
          "password",
          "security_key"
        ]
      },
      {
        "name": "is_suspicious",
        "boolValue": false
      }
    ]
  }
]
Per saperne di più sulle verifiche dell'accesso, vedi Verificare l'identità di un utente con ulteriori misure di sicurezza.

Dettagli dell'evento
Nome evento login_challenge
Parametri
login_challenge_method

string

Metodo di verifica dell'accesso. Valori possibili:

  • backup_code
    Chiedi all'utente di inserire un codice di verifica di backup.
  • google_authenticator
    Chiedi all'utente di inserire l'OTP dall'app di autenticazione.
  • google_prompt
    Metodo di verifica dell'accesso Messaggio di Google.
  • idv_any_phone
    L'utente ha chiesto il numero di telefono e ha inserito il codice che è stato inviato a quel numero.
  • idv_preregistered_phone
    L'utente inserisce il codice inviato al suo telefono preregistrato.
  • internal_two_factor
    Metodo a due fattori interno per la verifica dell'accesso.
  • knowledge_employee_id
    Metodo di verifica dell'accesso: ID dipendente della conoscenza.
  • knowledge_preregistered_email
    L'utente dimostra di conoscere le email preregistrate.
  • knowledge_preregistered_phone
    L'utente dimostra di conoscere i telefoni preregistrati.
  • login_location
    L'utente accede dal punto in cui accede di solito.
  • none
    Non è stata apportata alcuna verifica dell'accesso.
  • offline_otp
    L'utente inserisce il codice OTP ricevuto dalle impostazioni del proprio telefono (solo Android).
  • other
    Metodo di verifica dell'accesso (altro).
  • password
    Password.
  • security_key
    L'utente supera la verifica crittografica del token di sicurezza.
  • security_key_otp
    OTP della chiave di sicurezza del metodo di verifica dell'accesso.
login_challenge_status

string

Se la verifica dell'accesso è riuscita o meno, viene visualizzata rispettivamente come "Sfida superata" e "Sfida non riuscita". Una stringa vuota indica uno stato sconosciuto.

login_type

string

Il tipo di credenziali utilizzate per tentare di eseguire l'accesso. Valori possibili:

  • exchange
    L'utente fornisce una credenziale esistente e la scambia con un altro tipo, ad esempio scambiando un token OAuth con un SID. Potrebbe indicare che l'utente ha già eseguito l'accesso a una sessione e che le due sessioni sono state unite.
  • google_password
    L'utente fornisce una password per l'Account Google.
  • reauth
    L'utente è già autenticato, ma deve ripetere l'autorizzazione.
  • saml
    L'utente fornisce un'asserzione SAML da un provider di identità SAML.
  • unknown
    Tipo di accesso sconosciuto.
Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_challenge&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
{actor} was presented with a login challenge

Verifica dell'accesso

Nome dell'evento di verifica dell'accesso.

Dettagli dell'evento
Nome evento login_verification
Parametri
is_second_factor

boolean

Indica se la verifica dell'accesso è V2P. Valori possibili:

  • false
    Valore booleano falso.
  • true
    Valore booleano true.
login_challenge_method

string

Metodo di verifica dell'accesso. Valori possibili:

  • backup_code
    Chiedi all'utente di inserire un codice di verifica di backup.
  • google_authenticator
    Chiedi all'utente di inserire l'OTP dall'app di autenticazione.
  • google_prompt
    Metodo di verifica dell'accesso Messaggio di Google.
  • idv_any_phone
    L'utente ha chiesto il numero di telefono e ha inserito il codice che è stato inviato a quel numero.
  • idv_preregistered_phone
    L'utente inserisce il codice inviato al suo telefono preregistrato.
  • internal_two_factor
    Metodo a due fattori interno per la verifica dell'accesso.
  • knowledge_employee_id
    Metodo di verifica dell'accesso: ID dipendente della conoscenza.
  • knowledge_preregistered_email
    L'utente dimostra di conoscere le email preregistrate.
  • knowledge_preregistered_phone
    L'utente dimostra di conoscere i telefoni preregistrati.
  • login_location
    L'utente accede dal punto in cui accede di solito.
  • none
    Non è stata apportata alcuna verifica dell'accesso.
  • offline_otp
    L'utente inserisce il codice OTP ricevuto dalle impostazioni del proprio telefono (solo Android).
  • other
    Metodo di verifica dell'accesso (altro).
  • password
    Password.
  • security_key
    L'utente supera la verifica crittografica del token di sicurezza.
  • security_key_otp
    OTP della chiave di sicurezza del metodo di verifica dell'accesso.
login_challenge_status

string

Se la verifica dell'accesso è riuscita o meno, viene visualizzata rispettivamente come "Sfida superata" e "Sfida non riuscita". Una stringa vuota indica uno stato sconosciuto.

login_type

string

Il tipo di credenziali utilizzate per tentare di eseguire l'accesso. Valori possibili:

  • exchange
    L'utente fornisce una credenziale esistente e la scambia con un altro tipo, ad esempio scambiando un token OAuth con un SID. Potrebbe indicare che l'utente ha già eseguito l'accesso a una sessione e che le due sessioni sono state unite.
  • google_password
    L'utente fornisce una password per l'Account Google.
  • reauth
    L'utente è già autenticato, ma deve ripetere l'autorizzazione.
  • saml
    L'utente fornisce un'asserzione SAML da un provider di identità SAML.
  • unknown
    Tipo di accesso sconosciuto.
Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_verification&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
{actor} was presented with login verification

Esci

L'utente si è disconnesso.

Dettagli dell'evento
Nome evento logout
Parametri
login_type

string

Il tipo di credenziali utilizzate per tentare di eseguire l'accesso. Valori possibili:

  • exchange
    L'utente fornisce una credenziale esistente e la scambia con un altro tipo, ad esempio scambiando un token OAuth con un SID. Potrebbe indicare che l'utente ha già eseguito l'accesso a una sessione e che le due sessioni sono state unite.
  • google_password
    L'utente fornisce una password per l'Account Google.
  • reauth
    L'utente è già autenticato, ma deve ripetere l'autorizzazione.
  • saml
    L'utente fornisce un'asserzione SAML da un provider di identità SAML.
  • unknown
    Tipo di accesso sconosciuto.
Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=logout&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
{actor} logged out

Azione sensibile consentita

Dettagli dell'evento
Nome evento risky_sensitive_action_allowed
Parametri
is_suspicious

boolean

Il tentativo di accesso ha alcune caratteristiche insolite, ad esempio l'utente ha eseguito l'accesso da un indirizzo IP insolito. Valori possibili:

  • false
    Valore booleano falso.
  • true
    Valore booleano true.
login_challenge_method

string

Metodo di verifica dell'accesso. Valori possibili:

  • backup_code
    Chiedi all'utente di inserire un codice di verifica di backup.
  • google_authenticator
    Chiedi all'utente di inserire l'OTP dall'app di autenticazione.
  • google_prompt
    Metodo di verifica dell'accesso Messaggio di Google.
  • idv_any_phone
    L'utente ha chiesto il numero di telefono e ha inserito il codice che è stato inviato a quel numero.
  • idv_preregistered_phone
    L'utente inserisce il codice inviato al suo telefono preregistrato.
  • internal_two_factor
    Metodo a due fattori interno per la verifica dell'accesso.
  • knowledge_employee_id
    Metodo di verifica dell'accesso: ID dipendente della conoscenza.
  • knowledge_preregistered_email
    L'utente dimostra di conoscere le email preregistrate.
  • knowledge_preregistered_phone
    L'utente dimostra di conoscere i telefoni preregistrati.
  • login_location
    L'utente accede dal punto in cui accede di solito.
  • none
    Non è stata apportata alcuna verifica dell'accesso.
  • offline_otp
    L'utente inserisce il codice OTP ricevuto dalle impostazioni del proprio telefono (solo Android).
  • other
    Metodo di verifica dell'accesso (altro).
  • password
    Password.
  • security_key
    L'utente supera la verifica crittografica del token di sicurezza.
  • security_key_otp
    OTP della chiave di sicurezza del metodo di verifica dell'accesso.
login_challenge_status

string

Se la verifica dell'accesso è riuscita o meno, viene visualizzata rispettivamente come "Sfida superata" e "Sfida non riuscita". Una stringa vuota indica uno stato sconosciuto.

login_type

string

Il tipo di credenziali utilizzate per tentare di eseguire l'accesso. Valori possibili:

  • exchange
    L'utente fornisce una credenziale esistente e la scambia con un altro tipo, ad esempio scambiando un token OAuth con un SID. Potrebbe indicare che l'utente ha già eseguito l'accesso a una sessione e che le due sessioni sono state unite.
  • google_password
    L'utente fornisce una password per l'Account Google.
  • reauth
    L'utente è già autenticato, ma deve ripetere l'autorizzazione.
  • saml
    L'utente fornisce un'asserzione SAML da un provider di identità SAML.
  • unknown
    Tipo di accesso sconosciuto.
sensitive_action_name

string

Descrizione del nome di un'azione sensibile in un'azione sensibile rischiosa.

Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_allowed&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
{actor} was permitted to take the action: {sensitive_action_name}.

Azione sensibile bloccata

Dettagli dell'evento
Nome evento risky_sensitive_action_blocked
Parametri
is_suspicious

boolean

Il tentativo di accesso ha alcune caratteristiche insolite, ad esempio l'utente ha eseguito l'accesso da un indirizzo IP insolito. Valori possibili:

  • false
    Valore booleano falso.
  • true
    Valore booleano true.
login_challenge_method

string

Metodo di verifica dell'accesso. Valori possibili:

  • backup_code
    Chiedi all'utente di inserire un codice di verifica di backup.
  • google_authenticator
    Chiedi all'utente di inserire l'OTP dall'app di autenticazione.
  • google_prompt
    Metodo di verifica dell'accesso Messaggio di Google.
  • idv_any_phone
    L'utente ha chiesto il numero di telefono e ha inserito il codice che è stato inviato a quel numero.
  • idv_preregistered_phone
    L'utente inserisce il codice inviato al suo telefono preregistrato.
  • internal_two_factor
    Metodo a due fattori interno per la verifica dell'accesso.
  • knowledge_employee_id
    Metodo di verifica dell'accesso: ID dipendente della conoscenza.
  • knowledge_preregistered_email
    L'utente dimostra di conoscere le email preregistrate.
  • knowledge_preregistered_phone
    L'utente dimostra di conoscere i telefoni preregistrati.
  • login_location
    L'utente accede dal punto in cui accede di solito.
  • none
    Non è stata apportata alcuna verifica dell'accesso.
  • offline_otp
    L'utente inserisce il codice OTP ricevuto dalle impostazioni del proprio telefono (solo Android).
  • other
    Metodo di verifica dell'accesso (altro).
  • password
    Password.
  • security_key
    L'utente supera la verifica crittografica del token di sicurezza.
  • security_key_otp
    OTP della chiave di sicurezza del metodo di verifica dell'accesso.
login_challenge_status

string

Se la verifica dell'accesso è riuscita o meno, viene visualizzata rispettivamente come "Sfida superata" e "Sfida non riuscita". Una stringa vuota indica uno stato sconosciuto.

login_type

string

Il tipo di credenziali utilizzate per tentare di eseguire l'accesso. Valori possibili:

  • exchange
    L'utente fornisce una credenziale esistente e la scambia con un altro tipo, ad esempio scambiando un token OAuth con un SID. Potrebbe indicare che l'utente ha già eseguito l'accesso a una sessione e che le due sessioni sono state unite.
  • google_password
    L'utente fornisce una password per l'Account Google.
  • reauth
    L'utente è già autenticato, ma deve ripetere l'autorizzazione.
  • saml
    L'utente fornisce un'asserzione SAML da un provider di identità SAML.
  • unknown
    Tipo di accesso sconosciuto.
sensitive_action_name

string

Descrizione del nome di un'azione sensibile in un'azione sensibile rischiosa.

Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=risky_sensitive_action_blocked&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
{actor} was blocked from the action: {sensitive_action_name}. Their session was risky and identity couldn’t be verified.

Accesso riuscito

Tentativo di accesso riuscito.

Dettagli dell'evento
Nome evento login_success
Parametri
is_suspicious

boolean

Il tentativo di accesso ha alcune caratteristiche insolite, ad esempio l'utente ha eseguito l'accesso da un indirizzo IP insolito. Valori possibili:

  • false
    Valore booleano falso.
  • true
    Valore booleano true.
login_challenge_method

string

Metodo di verifica dell'accesso. Valori possibili:

  • backup_code
    Chiedi all'utente di inserire un codice di verifica di backup.
  • google_authenticator
    Chiedi all'utente di inserire l'OTP dall'app di autenticazione.
  • google_prompt
    Metodo di verifica dell'accesso Messaggio di Google.
  • idv_any_phone
    L'utente ha chiesto il numero di telefono e ha inserito il codice che è stato inviato a quel numero.
  • idv_preregistered_phone
    L'utente inserisce il codice inviato al suo telefono preregistrato.
  • internal_two_factor
    Metodo a due fattori interno per la verifica dell'accesso.
  • knowledge_employee_id
    Metodo di verifica dell'accesso: ID dipendente della conoscenza.
  • knowledge_preregistered_email
    L'utente dimostra di conoscere le email preregistrate.
  • knowledge_preregistered_phone
    L'utente dimostra di conoscere i telefoni preregistrati.
  • login_location
    L'utente accede dal punto in cui accede di solito.
  • none
    Non è stata apportata alcuna verifica dell'accesso.
  • offline_otp
    L'utente inserisce il codice OTP ricevuto dalle impostazioni del proprio telefono (solo Android).
  • other
    Metodo di verifica dell'accesso (altro).
  • password
    Password.
  • security_key
    L'utente supera la verifica crittografica del token di sicurezza.
  • security_key_otp
    OTP della chiave di sicurezza del metodo di verifica dell'accesso.
login_type

string

Il tipo di credenziali utilizzate per tentare di eseguire l'accesso. Valori possibili:

  • exchange
    L'utente fornisce una credenziale esistente e la scambia con un altro tipo, ad esempio scambiando un token OAuth con un SID. Potrebbe indicare che l'utente ha già eseguito l'accesso a una sessione e che le due sessioni sono state unite.
  • google_password
    L'utente fornisce una password per l'Account Google.
  • reauth
    L'utente è già autenticato, ma deve ripetere l'autorizzazione.
  • saml
    L'utente fornisce un'asserzione SAML da un provider di identità SAML.
  • unknown
    Tipo di accesso sconosciuto.
Richiesta di esempio
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/login?eventName=login_success&maxResults=10&access_token=YOUR_ACCESS_TOKEN
Formato del messaggio della Console di amministrazione
{actor} logged in