Exemples pour l'audit des connexions Google Workspace

Ce document fournit des exemples de journaux d'audit envoyés à Google Cloud par l'audit des connexions Google Workspace.

Pour en savoir plus sur les événements et les paramètres des différents types d'événements d'activités d'audit des connexions, consultez la documentation de référence sur les événements d'activités d'audit des connexions.

Journaux d'audit de connexion disponibles

Le tableau suivant répertorie les journaux d'audit générés par l'audit des connexions et les AuditLog.method_name correspondants:

Description Nom de l'événement AuditLog.method_name
Type d'événement: inscription à la validation en deux étapes modifiée
Désactivation de la validation en deux étapes 2sv_disable google.login.LoginService.2svDisable
Inscription à la validation en deux étapes 2sv_enroll google.login.LoginService.2svEnroll
Type d'événement: Mot de passe du compte modifié
Modification du mot de passe du compte password_edit google.login.LoginService.passwordEdit
Type d'événement: Informations de récupération de compte modifiées
Modification de l'adresse e-mail de récupération du compte recovery_email_edit google.login.LoginService.recoveryEmailEdit
Modification du numéro de téléphone de récupération du compte recovery_phone_edit google.login.LoginService.recoveryPhoneEdit
Modification de la question/réponse secrète de récupération du compte recovery_secret_qa_edit google.login.LoginService.recoverySecretQaEdit
Type d'événement: avertissement concernant le compte
Mot de passe volé account_disabled_password_leak google.login.LoginService.accountDisabledPasswordLeak
Action sensible et risquée autorisée risky_sensitive_action_allowed google.login.LoginService.riskySensitiveActionAllowed
Action risquée et sensible bloquée risky_sensitive_action_blocked google.login.LoginService.riskySensitiveActionBlocked
Connexion suspecte bloquée suspicious_login google.login.LoginService.suspiciousLogin
Connexion suspecte à partir d'une application moins sécurisée bloquée suspicious_login_less_secure_app google.login.LoginService.suspiciousLoginLessSecureApp
Connexion programmatique suspecte bloquée suspicious_programmatic_login google.login.LoginService.suspiciousProgrammaticLogin
Compte utilisateur suspendu account_disabled_generic google.login.LoginService.accountDisabledGeneric
Compte utilisateur suspendu (envoi de spam via un relais) account_disabled_spamming_through_relay google.login.LoginService.accountDisabledSpammingThroughRelay
Compte utilisateur suspendu (spam) account_disabled_spamming google.login.LoginService.accountDisabledSpamming
Compte utilisateur suspendu (activité suspecte) account_disabled_hijacked google.login.LoginService.accountDisabledHijacked
Type d'événement: inscription au Programme Protection Avancée modifiée
Inscription à la Protection Avancée titanium_enroll google.login.LoginService.titaniumEnroll
Désinscription de la Protection Avancée titanium_unenroll google.login.LoginService.titaniumUnenroll
Type d'événement: avertissement d'attaque
Attaque de personnes malveillantes soutenues par un gouvernement gov_attack_warning google.login.LoginService.govAttackWarning
Type d'événement: paramètres de transfert d'e-mails modifiés
Transfert des e-mails en dehors du domaine activé email_forwarding_out_of_domain google.login.LoginService.emailForwardingOutOfDomain
Type d'événement: connexion
Échec de la connexion login_failure google.login.LoginService.loginFailure
Question d'authentification à la connexion login_challenge google.login.LoginService.loginChallenge
Validation de la connexion login_verification google.login.LoginService.loginVerification
Déconnexion logout google.login.LoginService.logout
Connexion réussie login_success google.login.LoginService.loginSuccess

Exemples

Vous trouverez ci-dessous des exemples de journaux d'audit pour l'audit des connexions en fonction du type et du nom de l'événement.