Registro de auditoria de login

Rastrear a atividade de login dos usuários

Você pode usar o registro de auditoria de login para rastrear os logins dos usuários no seu domínio. Também é possível ver todos os seus login nos navegadores da Web. Se um usuário fizer login em um cliente de e-mail ou em um app que não utiliza um navegador, você só poderá ver os relatórios de tentativas suspeitas.

Você pode ativar o compartilhamento de dados do registro de auditoria com o Google Cloud Platform (GCP). Se você fizer isso, os dados serão encaminhados para o Registro na nuvem do GCP, onde você pode consultar e ver seus registros e controlar como direciona e armazena registros.

Abrir o registro de auditoria de login

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin Console, acesse Relatórios.
  3. À esquerda, em Registro de auditoria, clique em Login.
  4. (Opcional) Para personalizar os dados exibidos, clique em Gerenciar colunas "" à direita. Selecione as colunas que você quer ver ou ocultar e depois clique em Salvar.

Dados exibidos

O registro de auditoria de login mostra as seguintes informações:

Tipo de dado Descrição
Descrição do evento Mostra os detalhes do usuário e da tentativa de login.
Endereço IP Mostra o endereço IP utilizado para fazer login. Geralmente o endereço é a localização física do usuário, mas também pode ser o endereço de um servidor proxy ou de uma rede privada virtual (VPN).
Tipo de login

Mostra o método de autenticação do usuário:

  • Exchange: quando um usuário é autenticado por troca de tokens, como em um login do OAuth. Também pode indicar que o usuário já estava conectado a uma sessão quando fez login em outra, e as duas sessões foram mescladas.
  • Senha do Google: com uma senha do Google. Inclui logins em apps menos seguros (se permitido).
  • Reautenticação: com uma solicitação de reautenticação de senha.
  • SAML: autenticação com a Linguagem de marcação para autorização de segurança (SAML)
  • Desconhecido: o usuário fez login com um método desconhecido.
Data A data e a hora do evento no fuso horário padrão do navegador

Nomes de eventos

Em Adicionar um filtro, selecione um Nome do evento para filtrar os dados desse evento. O registro de auditoria mostra as entradas de cada evento no período definido. Os nomes dos eventos do registro de auditoria de login incluem:

Nome do evento Descrição
Desativação da verificação em duas etapas Exibido sempre que um usuário desativa a verificação em duas etapas.
Inscrição na verificação em duas etapas Exibido sempre que um usuário se inscreve na verificação em duas etapas.
Mudança da senha da conta Exibido sempre que um usuário altera a senha de uma conta.

Observação: este evento se refere aos usuários que alteram as senhas em myaccount.google.com. Ele não inclui mudanças de senha quando o administrador força os usuários a alterar a senha no próximo login.

Mudança do e-mail de recuperação de conta Exibido sempre que um usuário altera um endereço de e-mail de recuperação.
Mudança do telefone de recuperação de conta Exibido sempre que um usuário altera um número de telefone de recuperação de conta.
Mudança da pergunta/resposta secreta de recuperação de conta Exibido sempre que um usuário altera uma pergunta e uma resposta secreta de recuperação de conta.
Inscrição na Proteção Avançada Exibido sempre que um usuário se inscreve no Programa Proteção Avançada.
Cancelamento da inscrição na Proteção Avançada Exibido sempre que um usuário cancela a inscrição no Programa Proteção Avançada.
Falha no login

Este evento é exibido sempre que um usuário não consegue fazer login. Você pode usar a API Reports para ver a causa da falha. Por exemplo, o usuário digitou uma senha incorreta, não teve acesso ao serviço ou a conta dele foi suspensa. 

Ataque apoiado pelo governo

Exibido quando um ataque apoiado pelo governo tenta comprometer uma conta de usuário ou um computador.

Senha vazada Exibido sempre que uma redefinição de senha é necessária porque o Google detectou credenciais comprometidas.
Desafio de login

O usuário solicitou uma pergunta de segurança extra devido a uma tentativa de login suspeita.

Verificação de login O usuário solicitou uma pergunta de segurança extra quando o Google não identificou uma tentativa de login suspeita.
Sair

Exibido sempre que um usuário sai do produto.

Observação: mesmo que o usuário tenha se conectado com outros tipos de login, como Exchange, Reautenticação, SAML ou Desconhecido, o Tipo de login dos eventos de logout é exibido como Senha do Google.

Encaminhamento de e-mail fora do domínio ativado Exibido sempre que um usuário tenta encaminhar e-mails fora do domínio.
Login efetuado Exibido sempre que um usuário faz login.
Login suspeito

Exibido quando um usuário faz login com características incomuns, como de um endereço IP desconhecido.

Os eventos de login suspeitos são indicados por um ícone de aviso vermelho.

Login suspeito bloqueado Exibido quando um login suspeito é bloqueado.
Login suspeito de um app menos seguro bloqueado Exibido quando um login suspeito de um app menos seguro é bloqueado.
Login programático suspeito bloqueado Exibido quando um login suspeito com elementos programáticos é bloqueado.
Usuário suspenso Exibido quando um usuário é suspenso.
Usuário suspenso (spam por redirecionamento) Exibido quando um usuário é suspenso devido a um redirecionamento de spam.
Usuário suspenso (spam) Exibido quando um usuário é suspenso devido a spam.
Usuário suspenso (atividade suspeita) Exibido quando um usuário é suspenso devido a atividade suspeita.

Quando e por quanto tempo os dados ficam disponíveis?

Acesse Períodos de atraso e retenção de dados.

Temas relacionados

Isso foi útil?
Como podemos melhorá-lo?
Pesquisa
Limpar pesquisa
Fechar pesquisa
Google Apps
Menu principal
Pesquisar na Central de Ajuda
false