Registro de auditoría de inicio de sesión

Controlar la actividad de inicio de sesión de los usuarios

Con el registro de auditoría de inicio de sesión, puedes controlar los inicios de sesión de los usuarios en tu dominio. Puedes revisar todos los inicios de sesión en los navegadores web. Si un usuario inicia sesión desde un cliente de correo o una aplicación no basada en un navegador, solo podrás revisar los informes de intentos sospechosos.

Puedes aceptar compartir los datos de registros de auditoría con Google Cloud Platform (GCP). Si lo haces, esos datos se envían a GCP Cloud Logging, donde podrás consultar tus registros y controlar cómo se enrutan y almacenan.

Abrir el registro de auditoría de inicio de sesión

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Informes.
  3. A la izquierda, en Registro de auditoría, haz clic en Inicio de sesión.
  4. (Opcional) Para personalizar los datos que se muestran, en la parte derecha, haz clic en Gestionar columnas "". Selecciona las columnas que quieres mostrar u ocultary luegohaz clic en Guardar.

Datos que pueden aparecer

En el registro de auditoría de Inicio de sesión, se proporciona la siguiente información:

Tipo de datos Descripción
Descripción del evento Datos del usuario y del intento de acceso
Dirección IP Dirección IP desde la que el usuario ha iniciado sesión. Normalmente la dirección es la ubicación física del usuario, pero puede ser un servidor proxy o una dirección de red privada virtual (VPN).
Tipo de inicio de sesión

Método de autenticación utilizado por el usuario:

  • Intercambio: el usuario se ha autenticado mediante un intercambio de tokens; por ejemplo, mediante un inicio de sesión con OAuth. También puede indicar que el usuario ya tenía abierta otra sesión y que las dos sesiones se han combinado.
  • Contraseña de Google: se ha utilizado una contraseña de Google. En esta categoría se incluyen los inicios de sesión en aplicaciones poco seguras (si están permitidas)
  • Reautenticación: se ha utilizado una solicitud de reautenticación de contraseña.
  • SAML: autenticación mediante el lenguaje de marcado para confirmaciones de seguridad (SAML)
  • Desconocido: usuario que ha iniciado sesión mediante un método desconocido
Fecha Fecha y hora en las que se ha producido el evento (se muestran en la zona horaria predeterminada de tu navegador)

Nombres de eventos

En Añadir un filtro, selecciona un Nombre de evento para filtrar los datos de ese evento. En el registro de auditoría se muestra una entrada por cada vez que se ha producido ese evento durante el periodo seleccionado. Entre los nombres de eventos que aparecen en el registro de auditoría de Inicio de sesión se incluyen:

Nombre del evento Descripción
Inhabilitación de la verificación en dos pasos Se registra una entrada cada vez que un usuario inhabilita la verificación en dos pasos
Registro en la verificación en dos pasos Se registra una entrada cada vez que un usuario se registra en la verificación en dos pasos
Cambio de la contraseña de la cuenta Se registra cada vez que un usuario cambia la contraseña de una cuenta.

Nota: Este evento se refiere a los cambios de contraseña que los usuarios llevan a cabo en myaccount.google.com. No se incluyen los cambios de contraseña que impone obligatoriamente el administrador la siguiente vez que los usuarios inician sesión.

Cambio del correo electrónico de recuperación de la cuenta Se registra cada vez que un usuario cambia una dirección de correo electrónico de recuperación.
Cambio del teléfono de recuperación de la cuenta Se registra cada vez que un usuario cambia un número de teléfono de recuperación de la cuenta.
Cambio de la pregunta o la respuesta secretas de recuperación de la cuenta Se registra una entrada cada vez que un usuario cambia una pregunta o una respuesta secretas de recuperación de la cuenta
Registro en la Protección Avanzada Se registra una entrada cada vez que un usuario se registra en el Programa de Protección Avanzada
Cancelación del registro en la Protección Avanzada Se registra una entrada cada vez que un usuario se registra en el Programa de Protección Avanzada
Error al iniciar sesión

Se registra una entrada cada vez que un usuario no puede iniciar sesión. Puedes utilizar la API Reports para ver la causa del error, por ejemplo, si el usuario introdujo una contraseña incorrecta, no tenía acceso al servicio o su cuenta estaba suspendida. 

Ataque respaldado por un gobierno

Se registra una entrada cada vez que se sospecha que atacantes respaldados por un gobierno han intentado vulnerar el ordenador o la cuenta de un usuario.

Contraseña divulgada Se registra una entrada cada vez que Google detecta que se han vulnerado credenciales y, por tanto, hay que cambiar de contraseña.
Verificación de la identidad

Se registra una entrada cada vez que se pide a un usuario que responda a una pregunta de seguridad adicional debido a un intento de inicio de sesión sospechoso

Verificación de inicio de sesión Se registra una entrada cada vez que se pide a un usuario que responda a una pregunta de seguridad adicional sin que Google haya detectado un intento de inicio de sesión sospechoso
Cerrar sesión

Se registra una entrada cada vez que un usuario cierra sesión

Nota: Aunque el usuario haya utilizado métodos diferentes de la contraseña de Google para iniciar sesión (por ejemplo, Exchange, Reautenticación, SAMLDesconocido), en el campo Tipo de inicio de sesión de los eventos Cerrar sesión aparecerá Contraseña de Google.

Reenvío de correo fuera del dominio habilitado Se registra una entrada cada vez que un usuario habilita el reenvío de correos fuera del dominio
Se ha iniciado sesión correctamente Se registra una entrada cada vez que un usuario inicia sesión
Inicio de sesión sospechoso

Se registra una entrada cada vez que un usuario inicia sesión de un modo que no es habitual; por ejemplo, si inicia sesión desde una dirección IP desconocida.

Estos eventos se marcan con un icono de advertencia rojo.

Inicio de sesión sospechoso bloqueado Se registra una entrada cada vez que se bloquea un inicio de sesión sospechoso
Se ha bloqueado un inicio de sesión sospechoso desde una aplicación poco segura Se registra una entrada cada vez que se bloquea un inicio de sesión sospechoso en una aplicación poco segura
Inicio de sesión programático sospechoso bloqueado Se registra una entrada cada vez que se bloquea un inicio de sesión sospechoso con elementos programáticos
Usuario suspendido Se registra una entrada cada vez que se suspende un usuario
Usuario suspendido (spam por relay) Se registra una entrada cada vez que se suspende un usuario por enviar spam por relay
Usuario suspendido (spam) Se registra una entrada cada vez que se suspende un usuario por enviar spam
Usuario suspendido (actividad sospechosa) Se registra una entrada cada vez que se suspende un usuario por realizar actividades sospechosas

¿Cuándo están disponibles los datos y durante cuánto tiempo?

Consulta el artículo Plazos de conservación y periodos de retraso de los datos.

Temas relacionados

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.