Registro de auditoria de login

Rastrear a atividade de login de usuários

Como administrador do Google, você pode usar o registro de auditoria de login para rastrear logins no seu domínio. Todos os logins de navegadores da Web são registrados, inclusive as tentativas concluídas, não concluídas e suspeitas. Os eventos de login suspeitos são mostrados com um ícone de aviso vermelho. Quando os clientes fazem login usando um app que não utiliza o navegador ou um cliente de e-mail, apenas tentativas suspeitas são registradas. 

Etapa 1: abrir o registro de auditoria de login

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina com @gmail.com).

  2. Na página inicial do Admin Console, acesse Relatórios.

    Para ver "Relatórios", talvez seja preciso clicar em Mais controles na parte inferior.

  3. À esquerda, em Auditoria, clique em Fazer login.
  4. Também é possível clicar em Selecionar colunas Selecionar colunas no canto superior direito. Selecione as colunas que você quer ver ou ocultar:
    • Endereço IP: o endereço IP usado pelo usuário para fazer login.
    • Data: a data do login (exibida no seu fuso horário padrão).
    • Tipo de login (somente SSO): mostra como o usuário fez login. 

Etapa 2: entender os dados do registro de auditoria de login

Dados que você pode ver
Tipo de dado Descrição
Nome do evento A ação registrada, como um desafio de login ou uma falha na tentativa de login. Veja mais detalhes em Descrições de nomes de evento.
Descrição do evento Detalhes do evento descrito no campo "Nome do evento".
Endereço IP Endereço IP com o qual o usuário fez login no Admin Console. Esse endereço pode refletir sua localização física, mas também pode ser o endereço de um servidor proxy ou de uma VPN (Rede privada virtual).
Tipo de login 

Detalhes sobre como o usuário fez login.

  • Exchange: quando um usuário é autenticado por troca de tokens, como por meio de um login do OAuth. Também pode indicar que o usuário já estava conectado a uma sessão quando fez login em outra, e as duas sessões foram mescladas.
  • Senha do Google: com uma senha do Google. Inclui logins em apps menos seguros (se permitido). 
  • Reautenticação: com uma solicitação de reautenticação de senha.
  • SAML: com o logon único via Linguagem de marcação para autorização de segurança (SAML, na sigla em inglês).
  • Desconhecido: usando um método desconhecido.
Intervalo de data e hora Data e hora do evento (exibidas no fuso horário padrão do navegador).
Descrições de nomes de evento

Estes são os tipos de evento disponíveis na coluna "Nome do evento" (veja acima):

Nome do evento Descrição
Falha no login

Entrada de registro para cada vez que um usuário não consegue fazer login. Você pode usar a API Reports para ver a causa da falha. Por exemplo, o usuário digitou uma senha incorreta, não teve acesso ao serviço ou a conta dele foi suspensa. 

Ataque apoiado pelo governo Entrada de registro para cada vez que invasores apoiados pelo governo tentaram comprometer uma conta de usuário ou um computador. Clique aqui para saber mais sobre os ataques apoiados pelo governo.
Desafio de login

Entrada de registro para cada vez que uma pergunta extra de segurança foi feita a um usuário porque detectamos uma tentativa de login suspeita.

Veja mais detalhes em Verificar a identidade de um usuário com segurança extra.

Verificação de login Entrada de registro para cada vez que uma pergunta de segurança extra foi feita a um usuário quando não detectamos uma tentativa de login suspeita.
Sair Entrada de registro para cada vez que um usuário saiu da conta.
Login efetuado Entrada de registro para cada vez que um usuário fez login.
Login suspeito Entrada de registro para cada vez que um usuário fez login com algumas características incomuns, por exemplo, o usuário fez login de um endereço IP desconhecido.
Login suspeito bloqueado Entrada de registro para cada vez que um login é bloqueado porque o Google detectou um login suspeito. 
Login suspeito de
app menos seguro bloqueado
Entrada de registro para cada vez que um login é bloqueado porque o Google detectou um login suspeito de um app menos seguro (que não atende aos padrões de segurança do Google).
Usuário suspenso Entrada de registro para cada vez que um usuário é suspenso. Por exemplo, quando o Google detecta atividades suspeitas que sugerem o comprometimento de uma conta.
Usuário suspenso (spam) Entrada de registro para cada vez que um usuário é suspenso porque o Google detectou um comprometimento de conta, como provas de que o usuário está enviando spam.
Usuário suspenso (spam por meio de redirecionamento) Entrada de registro para cada vez que um usuário é suspenso porque o Google detectou um comprometimento de conta, como provas de que o usuário está enviando spam por meio do serviço de redirecionamento SMTP.
Usuário suspenso (atividade suspeita) Entrada de registro de um usuário suspenso devido a atividade suspeita.
Senha vazada Entrada de registro para cada vez que uma redefinição de senha é necessária porque o Google detectou credenciais comprometidas.

Etapa 3: personalizar e exportar os dados do registro de auditoria

Filtrar os dados do registro de auditoria por usuário ou atividade

Você pode restringir o registro de auditoria para mostrar eventos ou usuários específicos. Por exemplo, encontre todos os eventos de registro de quando um desafio de login foi exibido para um usuário ou encontrar toda a atividade de login de um determinado usuário.

  1. Abra o registro de auditoria de login como mostrado acima.
  2. Se você não encontrar a seção Filtros, clique em Filtrar Filtrar.
  3. Digite ou selecione os critérios do filtro. Você pode filtrar qualquer combinação dos dados exibidos no registro.
  4. Clique em Pesquisar.

Exportar os dados do registro de auditoria

Você pode exportar os dados do registro de auditoria para o Planilhas Google ou fazer o download desses dados em um arquivo CSV.

  1. Abra o registro de auditoria como mostrado acima.
  2. (Opcional) Para alterar os dados que serão exportados:
    1. Na barra de ferramentas, clique em Selecionar colunas Selecionar colunas.
    2. Marque a caixa ao lado dos dados que serão exportados e clique em Aplicar.
  3. Na barra de ferramentas, clique em Fazer download Fazer download.

Você pode exportar até 210.000 células. O número máximo de linhas depende do número de colunas selecionado. Os registros de auditoria no Planilhas estão limitados a 10.000 linhas, e as exportações de arquivos CSV podem incluir até 500.000 linhas.

Quando os dados que eu estou vendo foram disponibilizados?

Veja mais detalhes sobre a data exata de disponibilização dos dados e o tempo de retenção em Períodos de atraso e retenção de dados.

Etapa 4: configurar alertas por e-mail

Você pode receber alertas por e-mail referentes à atividade de login com base nos seus filtros.

  1. Abra o registro de auditoria de login como mostrado acima.
  2. Se você não encontrar a seção Filtros, clique em Filtrar filtro.
  3. Na seção Filtros, selecione os critérios do filtro. Você pode usar qualquer combinação de filtros, exceto Endereço IP e Intervalo de data e hora.
  4. Clique em Definir alerta.
  5. Digite o Nome do alerta.
  6. Escolha os destinatários do alerta por e-mail:
    1. Marque a caixa para enviar o alerta por e-mail para os superusuários.
    2. Digite os endereços de e-mail dos outros destinatários do alerta.
  7. Clique em Salvar.

Para editar seus alertas personalizados, consulte Alertas por e-mail do administrador.

Este artigo foi útil para você?
Como podemos melhorá-lo?