GCPAuditLogs
Mit den Überwachungsprotokollen von Google Cloud Platform (GCP), die über den Sentinel-Connector erfasst werden, können Sie drei Arten von Überwachungsprotokollen erfassen: Protokolle für Administratoraktivitäten, Datenzugriffsprotokolle und Zugriffstransparenzprotokolle. Google Cloud-Überwachungsprotokolle zeichnen einen Trail auf, mit dem Die Experten den Zugriff überwachen und potenzielle Bedrohungen in Google Cloud Platform -Ressourcen (GCP) erkennen können.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | No |
| Transformation der Erfassungszeit | Yes |
| Beispielabfragen | Ja |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| AuthenticationInfo | dynamisch | Authentifizierungsinformationen. |
| AuthorizationInfo | dynamisch | Autorisierungsinformationen. Wenn mehrere Ressourcen oder Berechtigungen betroffen sind, gibt es ein AuthorizationInfo-Element für jedes {resource, permission}-Tupel. |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| GCPResourceName | Zeichenfolge | Die Ressource oder Sammlung, die das Ziel des Vorgangs ist. Der Name ist ein schemafreier URI, der den API-Dienstnamen nicht einschließt. |
| GCPResourceType | Zeichenfolge | Der Bezeichner des dieser Ressource zugeordneten Typs, z. B. "pubsub_subscription". |
| InsertId | Zeichenfolge | Optional. Durch die Bereitstellung eines eindeutigen Bezeichners für den Protokolleintrag kann protokollierung doppelte Einträge mit dem gleichen Zeitstempel und insertId in einem einzelnen Abfrageergebnis entfernen. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| LogName | Zeichenfolge | Informationen, einschließlich eines Suffixes, das den Protokolluntertyp (z. B. Administratoraktivität, Systemzugriff, Datenzugriff) identifiziert, und wo in der Hierarchie die Anforderung gestellt wurde. |
| Metadaten | dynamisch | Weitere dienstspezifische Daten zur Anforderung, Antwort und anderen Informationen, die dem aktuellen überwachten Ereignis zugeordnet sind. |
| MethodName | Zeichenfolge | Der Name der Dienstmethode oder des Vorgangs. Bei API-Aufrufen sollte dies der Name der API-Methode sein. |
| NumResponseItems | Zeichenfolge | Die Anzahl der Elemente, die von einer Listen- oder Abfrage-API-Methode zurückgegeben werden, falls zutreffend. |
| PrincipalEmail | Zeichenfolge | Die E-Mail-Adresse des authentifizierten Benutzers (oder des Dienstkontos im Auftrag des Drittanbieterprinzipals), das die Anforderung stellt. Bei Identitätsaufrufern von Drittanbietern wird anstelle dieses Felds das Feld principalSubject aufgefüllt. Aus Datenschutzgründen wird die Prinzipal-E-Mail-Adresse manchmal redigiert. |
| ProjectId | Zeichenfolge | Der Bezeichner des Google Cloud Platform-Projekts (GCP), das dieser Ressource zugeordnet ist, z. B. "my-project". |
| Anforderung | dynamisch | Die Vorgangsanforderung. Dies umfasst möglicherweise nicht alle Anforderungsparameter, z. B. solche, die zu groß sind, datenschutzabhängig oder an anderer Stelle im Protokolldatensatz dupliziert sind. Es sollte niemals vom Benutzer generierte Daten wie Dateiinhalte enthalten. Wenn das hier dargestellte JSON-Objekt über eine Proto-Entsprechung verfügt, wird der Protoname in der @type -Eigenschaft angegeben. |
| RequestMetadata | dynamisch | Metadaten zum Vorgang. |
| ResourceLocation | dynamisch | Die Informationen zum Ressourcenstandort. |
| ResourceOriginalState | dynamisch | Der ursprüngliche Ressourcenzustand vor der Mutation. Nur für Vorgänge vorhanden, die die Zielressource(en) erfolgreich geändert haben. Im Allgemeinen sollte dieses Feld alle geänderten Felder enthalten, mit Ausnahme der Felder, die bereits in Anforderungs-, Antwort-, Metadaten- oder serviceData-Feldern enthalten sind. Wenn das hier dargestellte JSON-Objekt über eine Proto-Entsprechung verfügt, wird der Protoname in der @type -Eigenschaft angegeben. |
| Antwort | dynamisch | Die Vorgangsantwort. Dies kann nicht alle Antwortelemente umfassen, z. B. solche, die zu groß, datenschutzabhängig oder an anderer Stelle im Protokolldatensatz dupliziert sind. Es sollte niemals vom Benutzer generierte Daten wie Dateiinhalte enthalten. Wenn das hier dargestellte JSON-Objekt über eine Proto-Entsprechung verfügt, wird der Protoname in der @type -Eigenschaft angegeben. |
| ServiceData | dynamisch | Ein Objekt, das Felder eines beliebigen Typs enthält. Ein zusätzliches Feld "@type" enthält einen URI, der den Typ identifiziert. Beispiel: { "id": 1234, "@type": "types.example.com/standard/id" }. |
| Dienstname | Zeichenfolge | Der Name des API-Diensts, der den Vorgang ausführt. Beispiel: "compute.googleapis.com". |
| severity | Zeichenfolge | Optional. Der Schweregrad des Protokolleintrags. Der folgende Filterausdruck entspricht beispielsweise Protokolleinträgen mit den Schweregraden INFO, NOTICE und WARNING. |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| Status | dynamisch | Die status des Gesamtvorgangs. |
| StatusMessage | Zeichenfolge | Die Meldung status des Gesamtvorgangs. |
| Subscription | Zeichenfolge | Eine benannte Ressource, die den Nachrichtenstrom aus einem einzelnen, bestimmten Thema darstellt, das an die abonnierende Anwendung übermittelt werden soll. |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| TimeGenerated | datetime | Der Zeitpunkt, zu dem der Protokolleintrag von der Protokollierung empfangen wurde. |
| Timestamp | datetime | Der Zeitpunkt, zu dem das vom Protokolleintrag beschriebene Ereignis aufgetreten ist. |
| type | Zeichenfolge | Der Name der Tabelle. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für