GCPAuditLogs
Google Cloud Platform (GCP) 從 Sentinel 連接器擷取的稽核記錄,可讓您擷取三種類型的稽核記錄:系統管理活動記錄、數據存取記錄,以及存取透明度記錄。 Google 雲端稽核記錄的記錄,可讓專業人員用來監視存取權,並偵測 Google Cloud Platform (GCP) 資源的潛在威脅。
數據表屬性
屬性 | 值 |
---|---|
資源類型 | - |
類別 | 安全性 |
方案 | SecurityInsights |
基本記錄檔 | No |
擷取時間轉換 | Yes |
範例查詢 | 是 |
資料行
資料行 | 類型 | Description |
---|---|---|
AuthenticationInfo | 動態 | 驗證資訊。 |
AuthorizationInfo | 動態 | 授權資訊。 如果涉及多個資源或許可權,則每個 {resource, permission} 元組都有一個 AuthorizationInfo 元素。 |
_BilledSize | real | 以位元組為單位的記錄大小 |
GCPResourceName | 字串 | 作業目標的資源或集合。 名稱是無配置 URI,不包括 API 服務名稱。 |
GCPResourceType | 字串 | 與此資源相關聯的類型標識碼,例如 『pubsub_subscription』。 |
InsertId | 字串 | 選擇性。 提供記錄專案的唯一標識符,可讓Logging 移除具有相同時間戳和insertId的單一查詢結果中的重複專案。 |
_IsBillable | 字串 | 指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
LogName | 字串 | 包含後綴的資訊,可識別記錄子類型 (例如系統管理員活動、系統存取、數據存取) ,以及要求在階層中的位置。 |
中繼資料 | 動態 | 關於要求、回應和其他與目前稽核事件相關聯的其他服務特定數據。 |
MethodName | 字串 | 服務方法或作業的名稱。 針對 API 呼叫,這應該是 API 方法的名稱。 |
NumResponseItems | 字串 | 如果適用,則從清單或查詢 API 方法傳回的項目數。 |
PrincipalEmail | 字串 | 已驗證的使用者 (或服務帳戶的電子郵件位址,代表提出要求的第三方主體) 。 針對第三方身分識別呼叫端,會填入 principalSubject 欄位,而不是此字段。 基於隱私權考慮,主體電子郵件地址有時會進行修訂。 |
ProjectId | 字串 | 與此資源相關聯的 Google Cloud Platform (GCP) 項目的標識符,例如 “my-project”。 |
要求 | 動態 | 作業要求。 這可能不包含所有要求參數,例如太大、隱私權敏感或記錄記錄中其他位置重複的要求參數。 它不應該包含用戶產生的數據,例如檔案內容。 當這裡所表示的 JSON 物件具有對等的 proto 時,proto 名稱將會在 屬性中 @type 指出。 |
RequestMetadata | 動態 | 作業的相關元數據。 |
ResourceLocation | 動態 | 資源位置資訊。 |
ResourceOriginalState | 動態 | 資源原始狀態在改變之前。 僅適用於已成功修改目標資源的作業, (s) 。 一般而言,此欄位應該包含所有已變更的欄位,但已包含在要求、回應、元數據或服務Data 字段中。 當這裡所表示的 JSON 物件具有對等的 proto 時,proto 名稱將會在 屬性中 @type 指出。 |
回應 | 動態 | 作業回應。 這可能不包含所有響應元素,例如記錄檔記錄中太大、隱私權敏感或重複的專案。 它不應該包含用戶產生的數據,例如檔案內容。 當這裡所表示的 JSON 物件具有對等的 proto 時,proto 名稱將會在 屬性中 @type 指出。 |
ServiceData | 動態 | 物件,包含任意類型的欄位。 其他欄位 「@type」 包含識別類型的 URI。 範例: { “id”: 1234, “@type”: “types.example.com/standard/id” }。 |
ServiceName | 字串 | 執行作業的 API 服務名稱。 例如,『compute.googleapis.com』。 |
嚴重性 | 字串 | 選擇性。 記錄專案的嚴重性。 例如,下列篩選表達式會比對具有嚴重性 INFO、NOTICE 和 WARNING 的記錄專案。 |
SourceSystem | 字串 | 事件所收集的代理程序類型。 例如,OpsManager 針對 Windows 代理程式、直接連線或 Operations Manager、Linux 所有 Linux 代理程式,或Azure 針對 Azure 診斷 |
狀態 | 動態 | 整體作業的狀態。 |
StatusMessage | 字串 | 整體作業的訊息狀態。 |
訂用帳戶 | 字串 | 具名資源,代表要傳遞至訂閱應用程式的單一特定主題中的訊息串流。 |
TenantId | 字串 | Log Analytics 工作區標識符 |
TimeGenerated | Datetime | 記錄檔專案收到的時間。 |
時間戳記 | datetime | 記錄專案描述的事件發生時間。 |
類型 | 字串 | 資料表的名稱 |
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應