- JSON 表示法
- UsageLogEvent
- KeyguardDismissedEvent
- KeyguardDismissAuthAttemptEvent
- KeyguardSecuredEvent
- FilePulledEvent
- FilePushedEvent
- CertAuthorityInstalledEvent
- CertAuthorityRemovedEvent
- CertValidationFailureEvent
- CryptoSelfTestCompletedEvent
- KeyDestructionEvent
- KeyGeneratedEvent
- KeyImportEvent
- KeyIntegrityViolationEvent
- LoggingStartedEvent
- LoggingStoppedEvent
- LogBufferSizeCriticalEvent
- MediaMountEvent
- MediaUnmountEvent
- OsShutdownEvent
- OsStartupEvent
- RemoteLockEvent
- WipeFailureEvent
- ConnectEvent
- DnsEvent
- StopLostModeUserAttemptEvent
- LostModeOutgoingPhoneCallEvent
- LostModeLocationEvent
- Location
- EnrollmentCompleteEvent
裝置中 events
的批次事件記錄。
JSON 表示法 |
---|
{
"device": string,
"user": string,
"retrievalTime": string,
"usageLogEvents": [
{
object ( |
欄位 | |
---|---|
device |
裝置名稱,格式為「enterprises/{enterpriseId}/devices/{deviceId}」 |
user |
擁有這部裝置的使用者資源名稱,格式為「enterprises/{enterpriseId}/users/{userId}」。 |
retrievalTime |
從裝置收集事件批次的裝置時間戳記。 RFC3339 世界標準時間「Zulu」格式的時間戳記,採用奈秒解析度,且最多 9 個小數位數。範例: |
usageLogEvents[] |
裝置回報的 UsageLogEvent 清單,依事件時間先後排序。 |
UsageLogEvent
裝置上記錄的事件。
JSON 表示法 |
---|
{ "eventId": string, "eventTime": string, "eventType": enum ( |
欄位 | |
---|---|
eventId |
事件的專屬 ID。 |
eventTime |
記錄事件時的裝置時間戳記。 RFC3339 世界標準時間「Zulu」格式的時間戳記,採用奈秒解析度,且最多 9 個小數位數。範例: |
eventType |
裝置上回報的特定使用記錄事件類型。請使用這個欄位決定要存取的 |
聯集欄位 event 。裝置上記錄的事件類型。如要進一步瞭解事件的傳送時機和記錄事件的依據,以及事件包含的欄位,請參閱各個事件類型。event 只能是下列其中一項: |
|
adbShellCommandEvent |
殼層指令是透過「adb shell 指令」透過 ADB 發出。屬於 |
adbShellInteractiveEvent |
ADB 互動殼層是透過「ADB 殼層」開啟。這是 |
appProcessStartEvent |
應用程式程序已啟動。「 |
keyguardDismissedEvent |
鍵盤鎖已關閉。「 |
keyguardDismissAuthAttemptEvent |
有人嘗試解鎖裝置。「 |
keyguardSecuredEvent |
裝置遭使用者或逾時遭到鎖定。「 |
filePulledEvent |
已從裝置下載檔案。「 |
filePushedEvent |
檔案已上傳到裝置上。「 |
certAuthorityInstalledEvent |
新的根憑證已安裝至系統的信任憑證儲存空間。「 |
certAuthorityRemovedEvent |
已從系統的信任憑證儲存空間中移除根憑證。「 |
certValidationFailureEvent |
無法驗證 X.509v3 憑證,目前這項驗證是在 Wi-Fi 存取點上執行,原因可能是伺服器憑證驗證不符所致。但日後可能會包含 X.509v3 憑證的其他驗證事件。「 |
cryptoSelfTestCompletedEvent |
驗證 Android 內建的加密編譯程式庫 (BoringSSL) 是否有效。在裝置開機時應一律成功,如果失敗,則應將裝置視為不受信任。「 |
keyDestructionEvent |
加密編譯金鑰 (包括使用者已安裝、由管理員安裝,以及由系統維護的私密金鑰) 會從使用者或管理服務中移除。「 |
keyGeneratedEvent |
使用者或管理服務會在裝置上安裝加密編譯金鑰,包括使用者已安裝、由管理員安裝,以及由系統維護的私密金鑰。「 |
keyImportEvent |
使用者或管理服務會將加密編譯金鑰 (包括使用者已安裝、已安裝管理員,以及由系統維護的私密金鑰) 匯入裝置。「 |
keyIntegrityViolationEvent |
因為儲存體損毀、硬體故障或 OS 問題,包含由使用者安裝、由管理員安裝、由系統維護的私密金鑰等加密編譯金鑰已經損毀。「 |
loggingStartedEvent |
已啟用 |
loggingStoppedEvent |
已停用 |
logBufferSizeCriticalEvent |
稽核記錄緩衝區已達 90% 的容量,因此較舊的事件可能會遭到捨棄。「 |
mediaMountEvent |
已掛接卸除式媒體。「 |
mediaUnmountEvent |
已卸載卸除式媒體。「 |
osShutdownEvent |
裝置已關閉。「 |
osStartupEvent |
裝置已啟動。「 |
remoteLockEvent |
已透過 |
wipeFailureEvent |
系統無法依要求抹除工作資料夾或公司擁有的裝置。檔案可能是由使用者啟動,或由管理員啟動 (例如收到 |
connectEvent |
TCP 連線事件透過標準網路堆疊啟動。「 |
dnsEvent |
已透過標準網路堆疊啟動 DNS 查詢事件。「 |
stopLostModeUserAttemptEvent |
試圖讓裝置退出遺失模式。 |
lostModeOutgoingPhoneCallEvent |
當裝置處於遺失模式時,已撥出電話。 |
lostModeLocationEvent |
當裝置處於遺失模式時,系統會更新遺失模式的位置。 |
enrollmentCompleteEvent |
裝置已完成註冊。「 |
KeyguardDismissedEvent
這個類型沒有任何欄位。
鍵盤鎖已關閉。刻意空白。
KeyguardDismissAuthAttemptEvent
有人嘗試解鎖裝置。
JSON 表示法 |
---|
{ "success": boolean, "strongAuthMethodUsed": boolean } |
欄位 | |
---|---|
success |
解鎖嘗試是否成功。 |
strongAuthMethodUsed |
是否使用高強度驗證方式 (密碼、PIN 碼或解鎖圖案) 解鎖裝置。 |
KeyguardSecuredEvent
這個類型沒有任何欄位。
裝置遭使用者或逾時遭到鎖定。刻意空白。
FilePulledEvent
已從裝置下載檔案。
JSON 表示法 |
---|
{ "filePath": string } |
欄位 | |
---|---|
filePath |
所提取檔案的路徑。 |
FilePushedEvent
檔案已上傳到裝置上。
JSON 表示法 |
---|
{ "filePath": string } |
欄位 | |
---|---|
filePath |
推送檔案的路徑。 |
CertAuthorityInstalledEvent
新的根憑證已安裝至系統的信任憑證儲存空間。這項功能適用於全裝置管理,包括全代管裝置,以及設有工作資料夾的機構裝置工作資料夾。
JSON 表示法 |
---|
{ "certificate": string, "userId": integer, "success": boolean } |
欄位 | |
---|---|
certificate |
憑證主體。 |
userId |
發生憑證安裝事件的使用者。僅適用於搭載 Android 11 以上版本的裝置。 |
success |
安裝事件是否成功。 |
CertAuthorityRemovedEvent
已從系統的信任憑證儲存空間中移除根憑證。這項功能適用於全裝置管理,包括全代管裝置,以及設有工作資料夾的機構裝置工作資料夾。
JSON 表示法 |
---|
{ "certificate": string, "userId": integer, "success": boolean } |
欄位 | |
---|---|
certificate |
憑證主體。 |
userId |
發生憑證移除事件的使用者。僅適用於搭載 Android 11 以上版本的裝置。 |
success |
移除是否成功。 |
CertValidationFailureEvent
無法驗證 X.509v3 憑證,目前這項驗證是在 Wi-Fi 存取點上執行,原因可能是伺服器憑證驗證不符所致。但日後可能會包含 X.509v3 憑證的其他驗證事件。
JSON 表示法 |
---|
{ "failureReason": string } |
欄位 | |
---|---|
failureReason |
認證驗證失敗的原因。 |
CryptoSelfTestCompletedEvent
驗證 Android 內建的加密編譯程式庫 (BoringSSL) 是否有效。在裝置開機時應一律成功,如果失敗,則應將裝置視為不受信任。
JSON 表示法 |
---|
{ "success": boolean } |
欄位 | |
---|---|
success |
測試是否成功。 |
KeyDestructionEvent
加密編譯金鑰 (包括使用者已安裝、由管理員安裝,以及由系統維護的私密金鑰) 會從使用者或管理服務中移除。這項功能適用於全裝置管理,包括全代管裝置,以及設有工作資料夾的機構裝置工作資料夾。
JSON 表示法 |
---|
{ "keyAlias": string, "applicationUid": integer, "success": boolean } |
欄位 | |
---|---|
keyAlias |
金鑰的別名。 |
applicationUid |
擁有金鑰的應用程式 UID。 |
success |
作業是否成功。 |
KeyGeneratedEvent
使用者或管理服務會在裝置上安裝加密編譯金鑰,包括使用者已安裝、由管理員安裝,以及由系統維護的私密金鑰。這適用於全代管裝置,以及設有工作資料夾的機構裝置工作資料夾。
JSON 表示法 |
---|
{ "keyAlias": string, "applicationUid": integer, "success": boolean } |
欄位 | |
---|---|
keyAlias |
金鑰的別名。 |
applicationUid |
產生金鑰的應用程式 UID。 |
success |
作業是否成功。 |
KeyImportEvent
使用者或管理服務會將加密編譯金鑰 (包括使用者已安裝、已安裝管理員,以及由系統維護的私密金鑰) 匯入裝置。這項功能適用於全裝置管理,包括全代管裝置,以及設有工作資料夾的機構裝置工作資料夾。
JSON 表示法 |
---|
{ "keyAlias": string, "applicationUid": integer, "success": boolean } |
欄位 | |
---|---|
keyAlias |
金鑰的別名。 |
applicationUid |
已匯入金鑰的應用程式 UID |
success |
作業是否成功。 |
KeyIntegrityViolationEvent
因為儲存體損毀、硬體故障或 OS 問題,包含由使用者安裝、由管理員安裝、由系統維護的私密金鑰等加密編譯金鑰已經損毀。這項功能適用於全裝置管理,包括全代管裝置,以及設有工作資料夾的機構裝置工作資料夾。
JSON 表示法 |
---|
{ "keyAlias": string, "applicationUid": integer } |
欄位 | |
---|---|
keyAlias |
金鑰的別名。 |
applicationUid |
擁有金鑰的應用程式 UID |
LoggingStartedEvent
這個類型沒有任何欄位。
已啟用
政策。刻意空白。usageLog
LoggingStoppedEvent
這個類型沒有任何欄位。
已停用
政策。刻意空白。usageLog
LogBufferSizeCriticalEvent
這個類型沒有任何欄位。
裝置上的
緩衝區已達 90% 的容量,因此較舊的事件可能會遭到捨棄。刻意空白。usageLog
MediaMountEvent
已掛接卸除式媒體。
JSON 表示法 |
---|
{ "mountPoint": string, "volumeLabel": string } |
欄位 | |
---|---|
mountPoint |
掛接點。 |
volumeLabel |
磁碟區標籤。系統已在機構擁有的受管理設定檔裝置上遮蓋為空白字串。 |
MediaUnmountEvent
已卸載卸除式媒體。
JSON 表示法 |
---|
{ "mountPoint": string, "volumeLabel": string } |
欄位 | |
---|---|
mountPoint |
掛接點。 |
volumeLabel |
磁碟區標籤。系統已在機構擁有的受管理設定檔裝置上遮蓋為空白字串。 |
OsShutdownEvent
這個類型沒有任何欄位。
裝置已關閉。刻意空白。
OsStartupEvent
裝置已啟動。
JSON 表示法 |
---|
{ "verifiedBootState": enum ( |
欄位 | |
---|---|
verifiedBootState |
驗證開機程序狀態。 |
verityMode |
dm-verity 模式。 |
RemoteLockEvent
已透過
指令從遠端鎖定裝置或設定檔。LOCK
JSON 表示法 |
---|
{ "adminPackageName": string, "adminUserId": integer, "targetUserId": integer } |
欄位 | |
---|---|
adminPackageName |
要求變更的管理員應用程式的套件名稱。 |
adminUserId |
請求變更的管理員應用程式使用者 ID。 |
targetUserId |
請求變更的使用者 ID。 |
WipeFailureEvent
這個類型沒有任何欄位。
系統無法依要求抹除工作資料夾或公司擁有的裝置。檔案可能是由使用者啟動,或由管理員啟動 (例如收到 delete
)。刻意空白。
ConnectEvent
TCP 連線事件透過標準網路堆疊啟動。
JSON 表示法 |
---|
{ "destinationIpAddress": string, "destinationPort": integer, "packageName": string } |
欄位 | |
---|---|
destinationIpAddress |
連線呼叫的目的地 IP 位址。 |
destinationPort |
連線通話的目的地通訊埠。 |
packageName |
執行連線呼叫的 UID 套件名稱。 |
DnsEvent
已透過標準網路堆疊啟動 DNS 查詢事件。
JSON 表示法 |
---|
{ "hostname": string, "ipAddresses": [ string ], "totalIpAddressesReturned": string, "packageName": string } |
欄位 | |
---|---|
hostname |
查詢的主機名稱。 |
ipAddresses[] |
DNS 查詢傳回的 IP 位址清單 (可能遭到截斷) 清單 (最多 10 個 IPv4 或 IPv6 位址)。 |
totalIpAddressesReturned |
DNS 查詢事件傳回的 IP 位址數量。如有要記錄的位址過多,該位址可能會高於 ipAddress 數量。 |
packageName |
執行 DNS 查詢的 UID 套件名稱。 |
StopLostModeUserAttemptEvent
遺失模式事件,指出使用者已嘗試停止遺失模式。
JSON 表示法 |
---|
{
"status": enum ( |
欄位 | |
---|---|
status |
嘗試停止遺失模式的狀態。 |
LostModeOutgoingPhoneCallEvent
這個類型沒有任何欄位。
事件顯示裝置處於遺失模式時已撥出電話。刻意空白。
LostModeLocationEvent
包含裝置位置和電池電量的百分比的遺失模式事件。
JSON 表示法 |
---|
{
"location": {
object ( |
欄位 | |
---|---|
location |
裝置位置 |
batteryLevel |
電池電量為介於 0 到 100 (含 0 和 100) 之間的數字 |
位置
包含經緯度的裝置位置。
JSON 表示法 |
---|
{ "latitude": number, "longitude": number } |
欄位 | |
---|---|
latitude |
位置的緯度位置 |
longitude |
位置的經度位置 |
EnrollmentCompleteEvent
這個類型沒有任何欄位。
代表裝置已完成註冊。使用者應在此啟動器中瀏覽,現在裝置即符合規定,且所有設定步驟均已完成。刻意空白。