Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit den Google Cloud Platform (GCP)-Überwachungsprotokollen, die vom Sentinel-Connector aufgenommen werden, können Sie drei Arten von Überwachungsprotokollen erfassen: Administratoraktivitätsprotokolle, Datenzugriffsprotokolle und Zugriffstransparenzprotokolle. Google Cloud Audit Logs zeichnet einen Trail auf, den Praktiker verwenden können, um den Zugriff zu überwachen und potenzielle Bedrohungen in den Ressourcen der Google Cloud Platform (GCP) zu erkennen.
Tabellenattribute
| Attribute | Value |
|---|---|
| Ressourcentypen | - |
| Categories | Security |
| Solutions | SecurityInsights |
| Standardprotokoll | Yes |
| Transformation bei Ingestion | Yes |
| Beispielabfragen | Yes |
Columns
| Column | Type | Description |
|---|---|---|
| AuthenticationInfo | dynamic | Authentifizierungsinformationen. |
| AuthorizationInfo | dynamic | Autorisierungsinformationen. Wenn mehrere Ressourcen oder Berechtigungen beteiligt sind, gibt es für jedes {resource, permission}-Tupel ein AuthorizationInfo-Element. |
| _BilledSize | real | Die Datensatzgröße in Bytes. |
| GCPResourceName | string | Die Ressource oder Sammlung, die das Ziel des Vorgangs darstellt. Der Name ist ein URI ohne Schema ohne den API-Dienstnamen |
| GCPResourceType | string | Der Bezeichner des Typs, der dieser Ressource zugeordnet ist, z. B. "pubsub_subscription". |
| InsertId | string | Optional. Durch die Bereitstellung eines eindeutigen Bezeichners für den Protokolleintrag kann Logging doppelte Einträge mit demselben Zeitstempel und derselben insertId in einem einzigen Abfrageergebnis entfernen. |
| _IsBillable | string | Gibt an, ob die Eingabe der Daten kostenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| LogName | string | Informationen, einschließlich eines Suffixes, das den Protokolluntertyp identifiziert (z. B. Administratoraktivität, Systemzugriff, Datenzugriff) und wo in der Hierarchie die Anforderung gestellt wurde. |
| Metadata | dynamic | Andere dienstspezifische Daten über die Anforderung, Antwort und andere Informationen, die dem aktuellen überwachten Ereignis zugeordnet sind. |
| MethodName | string | Der Name der Dienstmethode oder des Vorgangs. Bei API-Aufrufen sollte dies der Name der API-Methode sein. |
| NumResponseItems | string | Die Anzahl der elemente, die von einer Listen- oder Abfrage-API-Methode zurückgegeben werden, falls zutreffend. |
| PrincipalEmail | string | E-Mail-Adresse des authentifizierten Benutzerkontos (oder Dienstkontos im Auftrag eines Drittanbieterprinzipals), von dem die Anforderung stammt. Wenn die Aufrufer Drittanbieteridentitäten sind, wird anstelle dieses Felds das Feld „principalSubject“ aufgefüllt. Aus Datenschutzgründen wird die Haupt-E-Mail-Adresse manchmal redigiert. |
| ProjectId | string | Der Bezeichner des Google Cloud Platform (GCP)-Projekts, das dieser Ressource zugeordnet ist, z. B. "my-project". |
| Request | dynamic | Die Vorgangsanforderung. Dies kann nicht alle Anforderungsparameter enthalten, z. B. solche, die zu groß, datenschutzempfindlich oder an anderer Stelle im Protokolldatensatz dupliziert sind. Sie sollte niemals vom Benutzer generierte Daten enthalten, z. B. Dateiinhalte. Wenn das hier dargestellte JSON-Objekt eine Proto-Entsprechung aufweist, wird der Protoname in der @type Eigenschaft angegeben. |
| RequestMetadata | dynamic | Metadaten zum Vorgang. |
| ResourceLocation | dynamic | Die Informationen zum Ressourcenstandort. |
| ResourceOriginalState | dynamic | Der ursprüngliche Zustand der Ressource vor der Mutation. Nur für Vorgänge vorhanden, die die Zielressource(n) erfolgreich geändert haben. Im Allgemeinen sollte dieses Feld alle geänderten Felder enthalten, mit Ausnahme der Felder, die bereits in Anforderungs-, Antwort-, Metadaten- oder ServiceData-Feldern enthalten sind. Wenn das hier dargestellte JSON-Objekt eine Proto-Entsprechung aufweist, wird der Protoname in der @type Eigenschaft angegeben. |
| Response | dynamic | Antwort des Vorgangs Dies kann nicht alle Antwortelemente umfassen, z. B. solche, die zu groß, datenschutzempfindlich oder an anderer Stelle im Protokolldatensatz dupliziert sind. Sie sollte niemals vom Benutzer generierte Daten enthalten, z. B. Dateiinhalte. Wenn das hier dargestellte JSON-Objekt eine Proto-Entsprechung aufweist, wird der Protoname in der @type Eigenschaft angegeben. |
| ServiceData | dynamic | Ein Objekt, das Felder eines beliebigen Typs enthält. Ein zusätzliches Feld "@type" enthält einen URI, der den Typ identifiziert. Beispiel: { "id": 1234, "@type": "types.example.com/standard/id" }. |
| ServiceName | string | Der Name des API-Diensts, der den Vorgang ausführt. Beispiel: "compute.googleapis.com". |
| Severity | string | Optional. Der Schweregrad des Protokolleintrags. Beispielsweise entspricht der folgende Filterausdruck Protokolleinträgen mit SchweregradINFORMATIONEN, HINWEIS und WARNUNG. |
| SourceSystem | string | Typ des Agenten, durch den das Ereignis erfasst wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| Status | dynamic | Der Status des Gesamtvorgangs. |
| StatusMessage | string | Der Nachrichtenstatus des Gesamtvorgangs. |
| Subscription | string | Eine benannte Ressource, die den Datenstrom von Nachrichten aus einem einzelnen, bestimmten Thema darstellt, der an die abonnierende Anwendung übermittelt werden soll. |
| TenantId | string | Die ID des Log Analytics-Arbeitsbereichs. |
| TimeGenerated | datetime | Zeitpunkt, zu dem der Protokolleintrag von der Protokollierung empfangen wurde |
| Timestamp | datetime | Der Zeitpunkt, zu dem das durch den Protokolleintrag beschriebene Ereignis aufgetreten ist. |
| Type | string | Der Name der Tabelle. |