Registro de auditoría de inicio de sesión

Controlar la actividad de inicio de sesión de los usuarios

Con el registro de auditoría de inicio de sesión, puedes controlar los inicios de sesión de los usuarios de tu dominio. En él se registran todos los inicios de sesión de los navegadores web. Si los usuarios inician sesión desde un cliente de correo o una aplicación que no utiliza el navegador, solamente se registran los intentos sospechosos. 

Abrir el registro de auditoría de inicio de sesión

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Informes.
  3. En la parte izquierda, en Auditoría, haz clic en Inicio de sesión.
  4. (Opcional) Para personalizar el contenido que se muestra, en la parte derecha haz clic en Gestionar columnas Gestionar columnas y selecciona las columnas que quieras ver u ocultar. Luego, haz clic en Guardar.

Datos que puedes consultar

Dato Descripción
Descripción del evento Información sobre el evento que se indica en el campo Nombre del evento.
Dirección IP Dirección IP desde la que el usuario ha iniciado sesión en la consola de administración. Puede indicar la ubicación física, pero también puede ser, por ejemplo, la dirección de un servidor proxy o de una red privada virtual (VPN).
Tipo de inicio de sesión

Detalles de cómo se inició sesión.

  • Intercambio: el usuario se ha autenticado mediante un intercambio de tokens; por ejemplo, mediante un inicio de sesión con OAuth. También puede indicar que el usuario ya tenía abierta otra sesión y que las dos sesiones se han combinado.
  • Contraseña de Google: se ha utilizado una contraseña de Google. En esta categoría se incluyen los inicios de sesión en aplicaciones poco seguras (si están permitidas).
  • Reautenticación: se ha utilizado una solicitud de reautenticación de contraseña.
  • SAML: se ha utilizado un inicio de sesión único con lenguaje de marcado para confirmaciones de seguridad (SAML).
  • Desconocido: se ha utilizado un método desconocido.
Fecha Fecha y hora en las que se ha producido el evento. Se muestran en la zona horaria predeterminada de tu navegador.

Nombres de eventos

A continuación se indican los tipos de eventos que pueden aparecer en la columna Nombre del evento. Puedes consultar más información sobre esta columna en el apartado anterior.

Nombre del evento Descripción
No se ha podido iniciar sesión

Se registra una entrada cada vez que un usuario no puede iniciar sesión. Puedes consultar por qué no ha podido con la API de informes; por ejemplo, puedes ver si el usuario introdujo una contraseña incorrecta, si no tenía acceso al servicio o si su cuenta estaba suspendida. 

Ataque respaldado por un gobierno Se registra una entrada cada vez que se sospecha que atacantes respaldados por un gobierno han intentado vulnerar el ordenador o la cuenta de un usuario. Consulta más información sobre las alertas de ataques respaldados por un gobierno.
Contraseña filtrada Se registra una entrada cada vez que se obliga a cambiar una contraseña porque Google detecta que se han vulnerado las credenciales.
Verificación de la identidad

Se registra una entrada cada vez que se hace una pregunta de seguridad adicional a un usuario porque hemos detectado un intento de inicio de sesión sospechoso.

Para obtener más información, consulta el artículo Verificar la identidad de los usuarios mediante sistemas de seguridad adicionales.

Verificación de inicio de sesión Se registra una entrada cada vez que se hace una pregunta de seguridad adicional a un usuario aunque no hayamos detectado ningún intento de inicio de sesión sospechoso.
Cierre de sesión Se registra una entrada cada vez que un usuario cierra sesión.
Inicio de sesión correcto Se registra una entrada cada vez que un usuario inicia sesión.
Inicio de sesión sospechoso

Se registra una entrada cada vez que un usuario inicia sesión de un modo que no es habitual; por ejemplo, si inicia sesión desde una dirección IP desconocida.

Estos eventos se marcan con un icono de advertencia rojo.

Inicio de sesión sospechoso bloqueado Se registra una entrada cada vez que se bloquea un inicio de sesión sospechoso.
Se ha bloqueado un inicio de sesión sospechoso desde una aplicación poco segura Se registra una entrada cada vez que se bloquea un inicio de sesión sospechoso en una aplicación poco segura.
Inicio de sesión programático sospechoso bloqueado Se registra una entrada cada vez que se bloquea un inicio de sesión sospechoso con elementos programáticos.
Usuario suspendido Se registra una entrada cada vez que se suspende un usuario.
Usuario suspendido (spam por relay) Se registra una entrada cada vez que se suspende un usuario por enviar spam por relay.
Usuario suspendido (spam) Se registra una entrada cada vez que se suspende un usuario por enviar spam.
Usuario suspendido (actividad sospechosa) Se registra una entrada cada vez que se suspende un usuario por realizar actividades sospechosas.

¿Cuándo están disponibles los datos y durante cuánto tiempo?

Consulta el artículo Plazos de conservación y periodos de retraso de los datos.

Temas relacionados

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?