Eventos de registro de usuarios

Página Auditoría e investigación: revisar la actividad de inicio de sesión de los usuarios
La página del registro de auditoría se ha sustituido por una nueva página de auditoría e investigación. Para obtener información sobre este cambio, consulta el artículo Experiencia mejorada de auditoría e investigación: Novedades de Google Workspace.

En la página Auditoría e investigación, puedes hacer búsquedas relacionadas con eventos de registro de usuarios y consultar qué acciones importantes han realizado los usuarios en sus propias cuentas. Entre estas acciones se incluyen cambios en contraseñas, en la información de recuperación de la cuenta (números de teléfono o direcciones de correo electrónico) y en el registro en la verificación en dos pasos. En este informe no se incluyen los inicios de sesión hechos desde clientes de correo o desde aplicaciones que no sean navegadores, a excepción de si se tratan de inicios de sesión programáticos realizados desde una sesión que se haya considerado sospechosa.

Nota: 

  • En uno de los últimos lanzamientos, las antiguas fuentes de datos Registro de auditoría de inicio de sesión y Registro de auditoría de cuentas de usuario se combinaron en Eventos de registro de usuarios. Puedes consultar más información en el artículo que incluye las novedades que ha traído la experiencia mejorada de auditoría e investigación.
  • Si no hay datos de eventos de registro de usuarios en los últimos 6 meses, es posible que la fuente de datos Eventos de registro de usuarios no se muestre en el menú de navegación izquierdo.

Para ver una lista completa de los servicios y actividades que puedes investigar, como Google Drive o la actividad de usuario, consulta las fuentes de datos de la página de auditoría e investigación.

Reenviar datos de eventos de registro a Google Cloud

Puedes aceptar compartir los datos de eventos de registro con Google Cloud. Si lo haces, esos datos se envían a Cloud Logging, donde podrás consultar tus registros y controlar cómo se enrutan y almacenan.

Abrir la página de auditoría e investigación

Acceder a datos de eventos de registro de usuarios

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la parte izquierda, haz clic en Informesy luegoAuditoría e investigacióny luegoEventos de registro de usuarios.

Filtrar los datos

  1. Abre los eventos de registro tal como se indica arriba, en el apartado Acceder a datos de eventos de registro de usuarios.
  2. Haz clic en Añadir un filtro y selecciona un atributo.
  3. En la ventana emergente, selecciona un operadory luegoselecciona un valory luegohaz clic en Aplicar.
  4. (Opcional) Para crear varios filtros de búsqueda, haz lo siguiente:
    1. Haz clic en Añadir un filtro y repite el paso 3.
    2. (Opcional) Para añadir un operador de búsqueda, encima de Añadir un filtro, selecciona AND u OR.
  5. Haz clic en Buscar.

Nota: En la pestaña Filtro, puedes incluir pares de parámetros y valores sencillos para filtrar los resultados de búsqueda. También puedes usar la pestaña Creador de condiciones, donde los filtros se representan como condiciones con los operadores AND/OR.

Descripciones de atributos

En esta fuente de datos, puedes usar los siguientes atributos cuando busques datos de eventos de registro:

Atributo Descripción
Actor La dirección de correo electrónico del usuario que realizó la acción.
Nombre del grupo actor El nombre del grupo del actor.
Unidad organizativa del actor Unidad organizativa del actor
Usuario afectado Dirección de correo del usuario afectado
Tipo de verificación de la identidad Tipo de verificación que se utiliza para comprobar la identidad del usuario; por ejemplo, Contraseña o Llave de seguridad
Fecha Fecha y hora en las que se ha producido el evento (se muestran en la zona horaria predeterminada de tu navegador)
Dominio El dominio en el que se ha producido la acción
Dirección de reenvío de correo Dirección de correo a la que reenviar los mensajes de Gmail

Evento

La acción del evento registrado; por ejemplo, Registro en la verificación en dos pasos o Inicio de sesión sospechoso

Nota: En el caso del evento Cerrar sesión, aunque el usuario haya utilizado métodos diferentes de la contraseña de Google para iniciar sesión (por ejemplo, Exchange, Reautenticación, SAML o Desconocido), en el campo Tipo de inicio de sesión de los eventos Cerrar sesión aparecerá Contraseña de Google.
Dirección IP Dirección IP desde la que el usuario ha iniciado sesión. Normalmente la dirección es la ubicación física del usuario, pero puede ser un servidor proxy o una dirección de red privada virtual (VPN).
Es el segundo factor Verdadero si el usuario ha iniciado sesión con la autenticación de dos factores 
Falso si el usuario no ha iniciado sesión con la autenticación de dos factores
Es sospechoso Verdadero si el intento de inicio de sesión ha sido sospechoso; de lo contrario, es falso. Aplicable únicamente al evento login_success.
Hora de inicio de sesión Fecha y hora en las que el usuario ha iniciado sesión
Tipo de inicio de sesión

Método de autenticación utilizado por el usuario:

  • Intercambio: el usuario se ha autenticado mediante un intercambio de tokens; por ejemplo, mediante un inicio de sesión con OAuth. También puede indicar que el usuario ya tenía abierta otra sesión y que las dos sesiones se han combinado.
  • Contraseña de Google: se ha utilizado una contraseña de Google. En esta categoría se incluyen los inicios de sesión en aplicaciones poco seguras (si están permitidas)
  • OIDC: autenticación mediante inicio de sesión único basado en OpenID Connect (OIDC).
  • Reautenticación: se ha utilizado una solicitud de reautenticación de contraseña.
  • SAML: autenticación mediante el lenguaje de marcado para confirmaciones de seguridad (SAML)
  • Desconocido: usuario que ha iniciado sesión mediante un método desconocido.
Usuario La dirección de correo electrónico del usuario que realizó la actividad

Gestionar datos de eventos de registro

Gestionar datos de columnas de resultados de búsqueda

Puedes controlar qué columnas de datos quieres que aparezcan en los resultados de búsqueda.

  1. En la parte superior derecha de la tabla de resultados de búsqueda, haz clic en Gestionar columnas "".
  2. (Opcional) Para quitar columnas, haz clic en Quitar "".
  3. (Opcional) Para añadir columnas, junto a Añadir nueva columna, haz clic en la flecha hacia abajo "" y selecciona la columna de datos.
    Repite el proceso tantas veces como sea necesario.
  4. (Opcional) Para cambiar el orden de las columnas, arrastra los nombres de las columnas de datos.
  5. Haz clic en Guardar.

Exportar datos de resultados de búsqueda

  1. En la parte superior de la tabla de resultados de búsqueda, haz clic en Exportar todo.
  2. Introduce un nombre y luego haz clic en Exportar.
    La exportación se muestra debajo de la tabla de resultados de búsqueda, en Resultados de la acción Exportar.
  3. Para ver los datos, haz clic en el nombre de tu exportación.
    La exportación se abrirá en Hojas de cálculo de Google.

Crear reglas de informes

Consulta el artículo Crear y gestionar reglas de notificación.

¿Cuándo están disponibles los datos y durante cuánto tiempo?

Consulta el artículo Plazos de conservación y periodos de retraso de los datos.

Temas relacionados

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.

true
' data-mime-type=
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal
Buscar en el Centro de ayuda
true
true
true
true
true
73010