BatchUsageLogEvents

来自设备 events 的批量事件日志。

JSON 表示法
{
  "device": string,
  "user": string,
  "retrievalTime": string,
  "usageLogEvents": [
    {
      object (UsageLogEvent)
    }
  ]
}
字段
device

string

设备的名称,格式为“enterprises/{enterpriseId}/devices/{deviceId}”

user

string

拥有此设备的用户的资源名称,格式为“enterprises/{enterpriseId}/users/{userId}”。

retrievalTime

string (Timestamp format)

从设备收集到一批事件时的设备时间戳。

时间戳,采用 RFC3339 世界协调时间 (UTC)(即“祖鲁时”)格式,具有纳秒级分辨率,最多包含九个小数位。示例:"2014-10-02T15:01:23Z""2014-10-02T15:01:23.045123456Z"

usageLogEvents[]

object (UsageLogEvent)

设备报告的 UsageLogEvent 列表(按事件时间按时间顺序排列)。

UsageLogEvent

设备上记录的事件。

JSON 表示法
{
  "eventId": string,
  "eventTime": string,
  "eventType": enum (EventType),

  // Union field event can be only one of the following:
  "adbShellCommandEvent": {
    object (AdbShellCommandEvent)
  },
  "adbShellInteractiveEvent": {
    object (AdbShellInteractiveEvent)
  },
  "appProcessStartEvent": {
    object (AppProcessStartEvent)
  },
  "keyguardDismissedEvent": {
    object (KeyguardDismissedEvent)
  },
  "keyguardDismissAuthAttemptEvent": {
    object (KeyguardDismissAuthAttemptEvent)
  },
  "keyguardSecuredEvent": {
    object (KeyguardSecuredEvent)
  },
  "filePulledEvent": {
    object (FilePulledEvent)
  },
  "filePushedEvent": {
    object (FilePushedEvent)
  },
  "certAuthorityInstalledEvent": {
    object (CertAuthorityInstalledEvent)
  },
  "certAuthorityRemovedEvent": {
    object (CertAuthorityRemovedEvent)
  },
  "certValidationFailureEvent": {
    object (CertValidationFailureEvent)
  },
  "cryptoSelfTestCompletedEvent": {
    object (CryptoSelfTestCompletedEvent)
  },
  "keyDestructionEvent": {
    object (KeyDestructionEvent)
  },
  "keyGeneratedEvent": {
    object (KeyGeneratedEvent)
  },
  "keyImportEvent": {
    object (KeyImportEvent)
  },
  "keyIntegrityViolationEvent": {
    object (KeyIntegrityViolationEvent)
  },
  "loggingStartedEvent": {
    object (LoggingStartedEvent)
  },
  "loggingStoppedEvent": {
    object (LoggingStoppedEvent)
  },
  "logBufferSizeCriticalEvent": {
    object (LogBufferSizeCriticalEvent)
  },
  "mediaMountEvent": {
    object (MediaMountEvent)
  },
  "mediaUnmountEvent": {
    object (MediaUnmountEvent)
  },
  "osShutdownEvent": {
    object (OsShutdownEvent)
  },
  "osStartupEvent": {
    object (OsStartupEvent)
  },
  "remoteLockEvent": {
    object (RemoteLockEvent)
  },
  "wipeFailureEvent": {
    object (WipeFailureEvent)
  },
  "connectEvent": {
    object (ConnectEvent)
  },
  "dnsEvent": {
    object (DnsEvent)
  },
  "stopLostModeUserAttemptEvent": {
    object (StopLostModeUserAttemptEvent)
  },
  "lostModeOutgoingPhoneCallEvent": {
    object (LostModeOutgoingPhoneCallEvent)
  },
  "lostModeLocationEvent": {
    object (LostModeLocationEvent)
  },
  "enrollmentCompleteEvent": {
    object (EnrollmentCompleteEvent)
  }
  // End of list of possible types for union field event.
}
字段
eventId

string (int64 format)

事件的唯一 ID。

eventTime

string (Timestamp format)

记录事件时的设备时间戳。

时间戳,采用 RFC3339 世界协调时间 (UTC)(即“祖鲁时”)格式,具有纳秒级分辨率,最多包含九个小数位。示例:"2014-10-02T15:01:23Z""2014-10-02T15:01:23.045123456Z"

eventType

enum (EventType)

设备上报告的特定使用情况日志事件类型。使用此方法确定要访问的 event 字段。

联合字段 event。设备上记录的事件类型。请参阅每种事件类型,详细了解其发送时间、事件记录时间和包含的字段等限制。event 只能是下列其中一项:
adbShellCommandEvent

object (AdbShellCommandEvent)

shell 命令是通过“adb shell 命令”通过 ADB 发出的。是 SECURITY_LOGS 的一部分。

adbShellInteractiveEvent

object (AdbShellInteractiveEvent)

通过“adb shell”打开了一个 ADB 交互式 shell。它是 SECURITY_LOGS 的一部分。

appProcessStartEvent

object (AppProcessStartEvent)

已启动应用进程。属于 SECURITY_LOGS

keyguardDismissedEvent

object (KeyguardDismissedEvent)

键盘锁已关闭。属于 SECURITY_LOGS

keyguardDismissAuthAttemptEvent

object (KeyguardDismissAuthAttemptEvent)

尝试解锁此设备。属于 SECURITY_LOGS

keyguardSecuredEvent

object (KeyguardSecuredEvent)

设备被用户锁定或超时。属于 SECURITY_LOGS

filePulledEvent

object (FilePulledEvent)

已从设备中下载了一个文件。属于 SECURITY_LOGS

filePushedEvent

object (FilePushedEvent)

文件上传到了设备。属于 SECURITY_LOGS

certAuthorityInstalledEvent

object (CertAuthorityInstalledEvent)

将新的根证书安装到了系统的受信任凭据存储空间中。属于 SECURITY_LOGS

certAuthorityRemovedEvent

object (CertAuthorityRemovedEvent)

系统从可信凭据存储空间中移除了根证书。属于 SECURITY_LOGS

certValidationFailureEvent

object (CertValidationFailureEvent)

X.509v3 证书验证失败。目前,此验证在 Wi-Fi 接入点执行,失败可能是由于服务器证书验证不匹配。不过,将来可能会包含 X.509v3 证书的其他验证事件。属于 SECURITY_LOGS

cryptoSelfTestCompletedEvent

object (CryptoSelfTestCompletedEvent)

用于验证 Android 的内置加密库 (BoringSSL) 是否有效。应该在设备启动时始终成功,如果失败,设备应被视为不受信任。属于 SECURITY_LOGS

keyDestructionEvent

object (KeyDestructionEvent)

由用户或管理层从设备中移除包括用户安装、管理员安装和系统维护的私钥在内的加密密钥。属于 SECURITY_LOGS

keyGeneratedEvent

object (KeyGeneratedEvent)

由用户或管理人员安装在设备上,包括用户安装、管理员安装和系统维护的私钥的加密密钥。属于 SECURITY_LOGS

keyImportEvent

object (KeyImportEvent)

由用户或管理层将加密密钥(包括用户安装、管理员安装和系统维护的私钥)导入设备上。属于 SECURITY_LOGS

keyIntegrityViolationEvent

object (KeyIntegrityViolationEvent)

由于存储设备损坏、硬件故障或某些操作系统问题,加密密钥(包括用户安装、管理员安装和系统维护的私钥)被确定为已损坏。属于 SECURITY_LOGS

loggingStartedEvent

object (LoggingStartedEvent)

已启用 usageLog 政策。属于 SECURITY_LOGS

loggingStoppedEvent

object (LoggingStoppedEvent)

usageLog 政策已停用。属于 SECURITY_LOGS

logBufferSizeCriticalEvent

object (LogBufferSizeCriticalEvent)

审核日志缓冲区已达到其容量的 90%,因此较早的事件可能会被丢弃。属于 SECURITY_LOGS

mediaMountEvent

object (MediaMountEvent)

已装载可移动介质。属于 SECURITY_LOGS

mediaUnmountEvent

object (MediaUnmountEvent)

已卸载可移动介质。属于 SECURITY_LOGS

osShutdownEvent

object (OsShutdownEvent)

设备已关机。属于 SECURITY_LOGS

osStartupEvent

object (OsStartupEvent)

设备已启动。属于 SECURITY_LOGS

remoteLockEvent

object (RemoteLockEvent)

已通过 LOCK 命令远程锁定设备或个人资料。属于 SECURITY_LOGS

wipeFailureEvent

object (WipeFailureEvent)

未能根据请求擦除工作资料或公司自有设备。这可能是用户启动或管理员启动的,例如收到了 delete。属于 SECURITY_LOGS

connectEvent

object (ConnectEvent)

TCP 连接事件是通过标准网络堆栈启动的。属于 NETWORK_ACTIVITY_LOGS

dnsEvent

object (DnsEvent)

DNS 查找事件是通过标准网络堆栈启动的。属于 NETWORK_ACTIVITY_LOGS

stopLostModeUserAttemptEvent

object (StopLostModeUserAttemptEvent)

尝试使设备退出丢失模式。

lostModeOutgoingPhoneCallEvent

object (LostModeOutgoingPhoneCallEvent)

当设备处于丢失模式时,已拨出电话。

lostModeLocationEvent

object (LostModeLocationEvent)

当设备处于丢失模式时,丢失模式位置信息更新。

enrollmentCompleteEvent

object (EnrollmentCompleteEvent)

设备已完成注册。属于 AMAPI_LOGS

KeyguardDismissedEvent

此类型没有任何字段。

键盘锁已关闭。有意为空。

KeyguardDismissAuthAttemptEvent

尝试解锁此设备。

JSON 表示法
{
  "success": boolean,
  "strongAuthMethodUsed": boolean
}
字段
success

boolean

解锁尝试是否成功。

strongAuthMethodUsed

boolean

设备是否使用了安全系数高的身份验证方式(密码、PIN 码或图案)。

KeyguardSecuredEvent

此类型没有任何字段。

设备被用户锁定或超时。有意为空。

FilePulledEvent

已从设备中下载了一个文件。

JSON 表示法
{
  "filePath": string
}
字段
filePath

string

要提取的文件的路径。

FilePushedEvent

文件上传到了设备。

JSON 表示法
{
  "filePath": string
}
字段
filePath

string

要推送的文件的路径。

CertAuthorityInstalledEvent

将新的根证书安装到了系统的受信任凭据存储空间中。无论是在完全受管的设备上,还是在组织自有设备上设置了工作资料的设备上使用工作资料,此功能均可用。

JSON 表示法
{
  "certificate": string,
  "userId": integer,
  "success": boolean
}
字段
certificate

string

证书的主题。

userId

integer

发生证书安装事件的用户。仅适用于搭载 Android 11 及更高版本的设备。

success

boolean

安装事件是否成功。

CertAuthorityRemovedEvent

系统从可信凭据存储空间中移除了根证书。无论是在完全受管的设备上,还是在组织自有设备上设置了工作资料的设备上使用工作资料,此功能均可用。

JSON 表示法
{
  "certificate": string,
  "userId": integer,
  "success": boolean
}
字段
certificate

string

证书的主题。

userId

integer

发生证书移除事件的用户。仅适用于搭载 Android 11 及更高版本的设备。

success

boolean

移除是否成功。

CertValidationFailureEvent

X.509v3 证书验证失败。目前,此验证在 Wi-Fi 接入点执行,失败可能是由于服务器证书验证不匹配。不过,将来可能会包含 X.509v3 证书的其他验证事件。

JSON 表示法
{
  "failureReason": string
}
字段
failureReason

string

认证验证失败的原因。

CryptoSelfTestCompletedEvent

用于验证 Android 的内置加密库 (BoringSSL) 是否有效。应该在设备启动时始终成功,如果失败,设备应被视为不受信任。

JSON 表示法
{
  "success": boolean
}
字段
success

boolean

测试是否成功。

KeyDestructionEvent

由用户或管理层从设备中移除包括用户安装、管理员安装和系统维护的私钥在内的加密密钥。无论是在完全受管的设备上,还是在组织自有设备上设置了工作资料的设备上使用工作资料,此功能均可用。

JSON 表示法
{
  "keyAlias": string,
  "applicationUid": integer,
  "success": boolean
}
字段
keyAlias

string

密钥的别名。

applicationUid

integer

拥有密钥的应用的 UID。

success

boolean

操作是否成功。

KeyGeneratedEvent

加密密钥(包括用户安装的私钥、由管理员安装的以及由系统维护的私钥)由用户或管理人员安装在设备上。您可以在完全受管设备上以及组织自有设备上设置了工作资料的工作资料中找到该加密密钥。

JSON 表示法
{
  "keyAlias": string,
  "applicationUid": integer,
  "success": boolean
}
字段
keyAlias

string

密钥的别名。

applicationUid

integer

生成密钥的应用的 UID。

success

boolean

操作是否成功。

KeyImportEvent

由用户或管理层将加密密钥(包括用户安装、管理员安装和系统维护的私钥)导入设备上。无论是在完全受管的设备上,还是在组织自有设备上设置了工作资料的设备上使用工作资料,此功能均可用。

JSON 表示法
{
  "keyAlias": string,
  "applicationUid": integer,
  "success": boolean
}
字段
keyAlias

string

密钥的别名。

applicationUid

integer

导入密钥的应用的 UID

success

boolean

操作是否成功。

KeyIntegrityViolationEvent

由于存储设备损坏、硬件故障或某些操作系统问题,加密密钥(包括用户安装、管理员安装和系统维护的私钥)被确定为已损坏。无论是在完全受管的设备上,还是在组织自有设备上设置了工作资料的设备上使用工作资料,此功能均可用。

JSON 表示法
{
  "keyAlias": string,
  "applicationUid": integer
}
字段
keyAlias

string

密钥的别名。

applicationUid

integer

拥有密钥的应用的 UID

LoggingStartedEvent

此类型没有任何字段。

已启用 usageLog 政策。有意为空。

LoggingStoppedEvent

此类型没有任何字段。

usageLog 政策已停用。有意为空。

LogBufferSizeCriticalEvent

此类型没有任何字段。

设备上的 usageLog 缓冲区已达到其容量的 90%,因此较早的事件可能会被丢弃。有意为空。

MediaMountEvent

已装载可移动介质。

JSON 表示法
{
  "mountPoint": string,
  "volumeLabel": string
}
字段
mountPoint

string

装载点。

volumeLabel

string

卷标签。在组织拥有的受管理个人资料设备上,已隐去为空字符串。

MediaUnmountEvent

已卸载可移动介质。

JSON 表示法
{
  "mountPoint": string,
  "volumeLabel": string
}
字段
mountPoint

string

装载点。

volumeLabel

string

卷标签。在组织拥有的受管理个人资料设备上,已隐去为空字符串。

OsShutdownEvent

此类型没有任何字段。

设备已关机。有意为空。

OsStartupEvent

设备已启动。

JSON 表示法
{
  "verifiedBootState": enum (VerifiedBootState),
  "verityMode": enum (DmVerityMode)
}
字段
verifiedBootState

enum (VerifiedBootState)

启动时验证状态。

verityMode

enum (DmVerityMode)

dm-verity 模式。

RemoteLockEvent

已通过 LOCK 命令远程锁定设备或个人资料。

JSON 表示法
{
  "adminPackageName": string,
  "adminUserId": integer,
  "targetUserId": integer
}
字段
adminPackageName

string

请求更改的管理员应用的软件包名称。

adminUserId

integer

请求更改的管理应用的用户 ID。

targetUserId

integer

提出更改请求的用户 ID。

WipeFailureEvent

此类型没有任何字段。

未能根据请求擦除工作资料或公司自有设备。这可能是用户启动或管理员启动的,例如收到了 delete。有意为空。

ConnectEvent

TCP 连接事件是通过标准网络堆栈启动的。

JSON 表示法
{
  "destinationIpAddress": string,
  "destinationPort": integer,
  "packageName": string
}
字段
destinationIpAddress

string

连接调用的目标 IP 地址。

destinationPort

integer

连接调用的目标端口。

packageName

string

执行连接调用的 UID 的软件包名称。

DnsEvent

DNS 查找事件是通过标准网络堆栈启动的。

JSON 表示法
{
  "hostname": string,
  "ipAddresses": [
    string
  ],
  "totalIpAddressesReturned": string,
  "packageName": string
}
字段
hostname

string

所查找的主机名。

ipAddresses[]

string

为 DNS 查找所返回的 IP 地址列表(可能截断的)列表(最多 10 个 IPv4 或 IPv6 地址)。

totalIpAddressesReturned

string (int64 format)

DNS 查找事件返回的 IP 地址数量。如果要记录的地址过多,可能会高于 ipAddresses 的数量。

packageName

string

执行 DNS 查找的 UID 的软件包名称。

StopLostModeUserAttemptEvent

表示用户尝试停止丢失模式的丢失模式事件。

JSON 表示法
{
  "status": enum (Status)
}
字段
status

enum (Status)

尝试停止丢失模式的状态。

LostModeOutgoingPhoneCallEvent

此类型没有任何字段。

此事件表示当设备处于丢失模式时已拨出电话。有意为空。

LostModeLocationEvent

丢失模式事件,其中包含设备位置和电池电量(以百分比表示)。

JSON 表示法
{
  "location": {
    object (Location)
  },
  "batteryLevel": integer
}
字段
location

object (Location)

设备位置信息

batteryLevel

integer

电池电量,是一个介于 0 和 100(含 0 和 100)之间的数字

位置

包含纬度和经度的设备位置。

JSON 表示法
{
  "latitude": number,
  "longitude": number
}
字段
latitude

number

营业地点的纬度位置

longitude

number

营业地点的经度位置

EnrollmentCompleteEvent

此类型没有任何字段。

表示设备已完成注册。用户此时应位于启动器中,此时设备符合要求,且所有设置步骤均已完成。有意为空。