登录审核日志

跟踪用户的登录活动

您可以使用登录审核日志来跟踪用户登录您网域的情况。您可以查看所有通过网络浏览器的登录活动。如果某个用户通过电子邮件客户端或非浏览器应用登录,您仅能查看可疑的登录尝试的报告。

您可以选择与 Google Cloud Platform (GCP) 共享审核日志数据。如果您开启共享功能,数据会转发至 GCP Cloud Logging,您可以在此查询和查看您的日志,并控制如何转送和存储您的日志。

打开登录审核日志

  1. 登录您的Google 管理控制台

    请使用您的管理员帐号(不是以“@gmail.com”结尾的帐号)登录。

  2. 在管理控制台首页,转到报告
  3. 在左侧的审核日志下方,点击登录
  4. (可选)要自定义系统显示的数据,请点击右侧的“管理列”图标 ""。选择您希望显示或隐藏的列,并执行相应操作 接着点击 点击保存

  5. (可选)查看过滤和导出日志数据以及创建提醒的方法。

可查看的数据

登录审核日志包含以下信息:

数据类型 说明
事件说明 用户和登录尝试的详细信息
IP 地址 用户用于登录的 IP 地址。该地址通常是用户的实际位置,但也可能是代理服务器或虚拟专用网 (VPN) 地址。
登录类型

用户使用的身份验证方式:

  • Exchange - 用户通过交换令牌的方式进行身份验证,如通过 OAuth 登录。这也可能是已登录某个会话的用户又登录了其他会话,而系统合并了两个会话
  • Google 密码 - 使用 Google 密码登录,包括登录安全性较低的应用(如果允许)
  • 重新验证 - 用户通过请求重新验证密码的方式进行身份验证
  • SAML - 通过单点登录安全断言标记语言 (SAML) 进行身份验证
  • 未知 - 用户使用未知方式登录
日期 事件发生的日期和时间(以您浏览器的默认时区显示)

事件名称说明

添加过滤条件处选择事件名称,为该事件过滤数据。在您设置的时间范围内,每发生一次该事件,系统便会生成对应的日志条目,而审核日志会显示这些条目。审核日志中的事件名称包括:

事件名称 说明
两步验证停用 每次用户停用两步验证时,系统生成的日志条目中包含的事件名称
两步验证注册 每次用户注册两步验证时,系统生成的日志条目中包含的事件名称
帐号密码更改 每次用户更改帐号密码时,系统生成的日志条目中包含的事件名称

注意:这指的是用户通过 myaccount.google.com 更改密码,不包括用户根据管理员的强制要求在下次登录时更改密码的情形。

帐号恢复辅助邮箱更改 每次用户更改帐号恢复辅助邮箱地址时,系统生成的日志条目中包含的事件名称
帐号恢复辅助电话号码更改 每次用户更改帐号恢复辅助电话号码时,系统生成的日志条目中包含的事件名称
帐号恢复保密问题/答案更改 每次用户更改帐号恢复保密问题和答案时,系统生成的日志条目中包含的事件名称
注册高级保护计划 每次用户注册高级保护计划时,系统生成的日志条目中包含的事件名称
取消注册高级保护计划 每次用户取消注册高级保护计划时,系统生成的日志条目中包含的事件名称
登录失败

每次用户登录失败时,系统生成的日志条目中包含的事件名称。您可以使用 Reports API 查看失败原因。例如,用户输入了错误密码,没有访问服务的权限,或者帐号已被暂停。

受政府支持的攻击

每次政府支持的攻击者尝试入侵用户的帐号或计算机时,系统生成的日志条目中包含的事件名称

密码泄露 系统在因为 Google 检测到凭据遭盗用的情况而要求重置密码时,系统生成的日志条目中包含的事件名称
登录验证

系统因为检测到可疑登录尝试而要求用户回答额外安全问题时,系统生成的日志条目中包含的事件名称

登录验证 Google 在未检测到可疑登录尝试的情况下要求用户回答额外安全问题时,系统生成的日志条目中包含的事件名称
退出

每次用户退出时,系统生成的日志条目中包含的事件名称

注意:即使用户是通过 Google 密码以外的登录类型(如 ExchangeReauthSAML未知)登录的,退出事件的登录类型仍会显示为 Google 密码

网域外电子邮件转发功能已启用 每次用户启用网域外电子邮件转发功能时,系统生成的日志条目中包含的事件名称
成功登录 每次用户成功登录时,系统生成的日志条目中包含的事件名称
可疑登录

每次用户成功登录但存在异常情况(例如用户通过陌生的 IP 地址登录)时,系统生成的日志条目中包含的事件名称。

可疑登录事件会带有红色警告图标。

已阻止可疑登录 每次可疑登录遭到阻止时,系统生成的日志条目中包含的事件名称
已阻止使用安全性较低的应用进行的可疑登录 每次用户使用安全性较低的应用进行可疑登录而遭到阻止时,系统生成的日志条目中包含的事件名称
阻止了通过程序化方式进行的可疑登录 每次用户使用程序化方式进行的可疑登录行为遭到阻止时,系统生成的日志条目中包含的事件名称
用户遭到暂停 每次用户遭到暂停时,系统生成的日志条目中包含的事件名称
用户遭到暂停(通过中继服务发送垃圾邮件) 每次用户因通过中继服务发送垃圾邮件遭到暂停时,系统生成的日志条目中包含的事件名称
用户遭到暂停(发送垃圾邮件) 每次用户因为发送垃圾邮件遭到暂停时,系统生成的日志条目中包含的事件名称
用户遭到暂停(可疑活动) 每次用户因可疑活动遭到暂停时,系统生成的日志条目中包含的事件名称

何时可以查看数据?数据会保留多久?

请参阅数据保留时间和延迟时间

相关主题

该内容对您有帮助吗?
您有什么改进建议?
搜索
清除搜索查询
关闭搜索框
Google 应用
主菜单
搜索支持中心
false