Ejemplos de auditoría de acceso a Google Workspace

En este documento, se proporcionan ejemplos registros de auditoría enviados a Google Cloud de la Auditoría de acceso de Google Workspace.

Para obtener más información sobre los eventos y parámetros de varios tipos de eventos de actividad de auditoría de acceso, consulta la referencia de Eventos de actividad de auditoría de acceso.

Registros de auditoría de accesos disponibles

En la siguiente tabla, se muestran los registros de auditoría que produce la auditoría de acceso y sus AuditLog.method_name correspondientes:

Descripción Nombre del evento AuditLog.method_name
Tipo de evento: Se cambió la inscripción en la verificación en 2 pasos
Se inhabilitó la verificación en 2 pasos 2sv_disable google.login.LoginService.2svDisable
Inscripción en la verificación en 2 pasos 2sv_enroll google.login.LoginService.2svEnroll
Tipo de evento: Se cambió la contraseña de la cuenta
Cambio de contraseña de la cuenta password_edit google.login.LoginService.passwordEdit
Tipo de evento: Se modificó la información de recuperación de la cuenta
Cambio de correo electrónico de recuperación de la cuenta recovery_email_edit google.login.LoginService.recoveryEmailEdit
Cambio de teléfono de recuperación de la cuenta recovery_phone_edit google.login.LoginService.recoveryPhoneEdit
Cambio de pregunta/respuesta secreta de recuperación de la cuenta recovery_secret_qa_edit google.login.LoginService.recoverySecretQaEdit
Tipo de evento: Advertencia de la cuenta
Contraseña filtrada account_disabled_password_leak google.login.LoginService.accountDisabledPasswordLeak
Se permitió una acción riesgosa y sensible risky_sensitive_action_allowed google.login.LoginService.riskySensitiveActionAllowed
Risky, senstive action_blocked risky_sensitive_action_blocked google.login.LoginService.riskySensitiveActionBlocked
Acceso sospechoso bloqueado suspicious_login google.login.LoginService.suspiciousLogin
Se bloqueó el acceso sospechoso desde una app menos segura suspicious_login_less_secure_app google.login.LoginService.suspiciousLoginLessSecureApp
Acceso programático sospechoso bloqueado suspicious_programmatic_login google.login.LoginService.suspiciousProgrammaticLogin
Usuario suspendido account_disabled_generic google.login.LoginService.accountDisabledGeneric
Usuario suspendido (spam mediante retransmisión) account_disabled_spamming_through_relay google.login.LoginService.accountDisabledSpammingThroughRelay
Usuario suspendido (spam) account_disabled_spamming google.login.LoginService.accountDisabledSpamming
Usuario suspendido (actividad sospechosa) account_disabled_hijacked google.login.LoginService.accountDisabledHijacked
Tipo de evento: Se modificó la inscripción a la Protección avanzada
Inscripción en Protección avanzada titanium_enroll google.login.LoginService.titaniumEnroll
Baja de Protección avanzada titanium_unenroll google.login.LoginService.titaniumUnenroll
Tipo de evento: Advertencia de ataque
Ataque respaldado por el Gobierno gov_attack_warning google.login.LoginService.govAttackWarning
Tipo de evento: Se modificó la configuración de reenvío de correo electrónico
Se habilitó el reenvío de correo electrónico fuera del dominio email_forwarding_out_of_domain google.login.LoginService.emailForwardingOutOfDomain
Tipo de evento: Acceso
Acceso fallido login_failure google.login.LoginService.loginFailure
Verificación de identidad login_challenge google.login.LoginService.loginChallenge
Verificación de acceso login_verification google.login.LoginService.loginVerification
Salir logout google.login.LoginService.logout
Se accedió correctamente login_success google.login.LoginService.loginSuccess

Muestras

A continuación, se muestran muestras de registros de auditoría para la auditoría de inicio de sesión según el tipo y nombre del evento.