GCPAuditLogs
Google Cloud Platform (GCP) 从 Sentinel 的连接器引入的审核日志,使你能够捕获三种类型的审核日志:管理活动日志、数据访问日志和访问透明度日志。 Google 云审核日志记录了一条线索,从业者可以使用该跟踪来监视 Google Cloud Platform (GCP) 资源的访问和检测潜在威胁。
表属性
Attribute | 值 |
---|---|
资源类型 | - |
类别 | 安全性 |
解决方案 | SecurityInsights |
基本日志 | 否 |
引入时间转换 | 是 |
示例查询 | 是 |
列
列 | 类型 | 说明 |
---|---|---|
AuthenticationInfo | dynamic | 身份验证信息。 |
AuthorizationInfo | dynamic | 授权信息。 如果涉及多个资源或权限,则每个 {resource, permission} 元组都有一个 AuthorizationInfo 元素。 |
_BilledSize | real | 记录大小(以字节为单位) |
GCPResourceName | 字符串 | 操作目标的资源或集合。 该名称是无方案的 URI,不包括 API 服务名称。 |
GCPResourceType | 字符串 | 与此资源关联的类型的标识符,例如“pubsub_subscription”。 |
InsertId | 字符串 | 可选。 为日志条目提供唯一标识符允许 Logging 删除单个查询结果中时间戳和 insertId 相同的重复条目。 |
_IsBillable | 字符串 | 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费 |
LogName | 字符串 | 信息包括标识日志子类型 (后缀的信息,例如管理活动、系统访问、数据访问) 以及发出请求的层次结构中的位置。 |
元数据 | dynamic | 有关请求、响应以及与当前审核事件关联的其他信息的其他特定于服务的数据。 |
MethodName | 字符串 | 服务方法或操作的名称。 对于 API 调用,应为 API 方法的名称。 |
NumResponseItems | 字符串 | 从列表或查询 API 方法返回的项数(如果适用)。 |
PrincipalEmail | 字符串 | 发出请求) 代表第三方主体 (或服务帐户的经过身份验证的用户的电子邮件地址。 对于第三方标识调用方,将填充 principalSubject 字段,而不是此字段。 出于隐私原因,有时会对主体电子邮件地址进行修订。 |
ProjectId | 字符串 | Google Cloud Platform (GCP) 与此资源关联的项目的标识符,例如“my-project”。 |
请求 | dynamic | 操作请求。 这可能不包括所有请求参数,例如过大、隐私敏感或日志记录中其他位置重复的请求参数。 它绝不应包含用户生成的数据,例如文件内容。 当此处表示的 JSON 对象具有等效的 proto 时,将在 属性中 @type 指示 proto 名称。 |
RequestMetadata | dynamic | 有关操作的元数据。 |
ResourceLocation | dynamic | 资源位置信息。 |
ResourceOriginalState | dynamic | 发生突变之前的资源原始状态。 仅适用于已成功修改目标资源 () 的操作。 通常,此字段应包含所有已更改的字段,请求、响应、元数据或 serviceData 字段中已包含的字段除外。 当此处表示的 JSON 对象具有等效的 proto 时,将在 属性中 @type 指示 proto 名称。 |
响应 | dynamic | 操作响应。 这可能不包括所有响应元素,例如过大、隐私敏感或日志记录中其他位置重复的响应元素。 它绝不应包含用户生成的数据,例如文件内容。 当此处表示的 JSON 对象具有等效的 proto 时,将在 属性中 @type 指示 proto 名称。 |
ServiceData | dynamic | 包含任意类型的字段的 对象。 其他字段“@type”包含标识类型的 URI。 示例: { “id”: 1234, “@type”: “types.example.com/standard/id” }。 |
ServiceName | string | 执行操作的 API 服务的名称。 例如,“compute.googleapis.com”。 |
严重性 | 字符串 | 可选。 日志条目的严重性。 例如,以下筛选器表达式将匹配具有严重性信息、注意和警告的日志条目。 |
SourceSystem | 字符串 | 事件所收集的代理的类型。 例如,OpsManager 对于 Windows 代理,直接连接或 Operations Manager,Linux 对于所有 Linux 代理,或者Azure 对于 Azure 诊断 |
状态 | dynamic | 整体操作的状态。 |
StatusMessage | 字符串 | 整个操作的消息状态。 |
订阅 | 字符串 | 一个命名资源,表示来自要传递到订阅应用程序的单个特定主题的消息流。 |
TenantId | 字符串 | Log Analytics 工作区 ID |
TimeGenerated | datetime | 日志记录接收日志条目的时间。 |
时间戳 | datetime | 日志条目描述的事件发生时间。 |
类型 | 字符串 | 表的名称 |
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈