共用方式為

GCPAuditLogs

  • 發行項

從 Sentinel 連接器擷取的 Google Cloud Platform (GCP) 稽核記錄可讓您擷取三種類型的稽核記錄:系統管理活動記錄、數據存取記錄,以及存取透明度記錄。 Google 雲端稽核記錄記錄記錄了一個記錄,從業者可以用來監視 Google Cloud Platform (GCP) 資源之間的存取和偵測潛在威脅。

數據表屬性

屬性
資源類型 -
類別 安全性
方案 SecurityInsights
基本記錄 No
擷取時間轉換 Yes
範例查詢

資料行

資料行 類型​ 描述
AuthenticationInfo dynamic 驗證資訊。
AuthorizationInfo dynamic 授權資訊。 如果涉及多個資源或許可權,則每個 {resource, permission} Tuple 都有一個 AuthorizationInfo 元素。
_BilledSize real 以位元組為單位的記錄大小
GCPResourceName 字串 作業目標的資源或集合。 此名稱是無配置 URI,不包括 API 服務名稱。
GCPResourceType 字串 與此資源相關聯的型別標識符,例如 『pubsub_subscription』。
InsertId 字串 選擇性。 提供記錄專案的唯一標識碼可讓Logging 移除具有相同時間戳和insertId的單一查詢結果中的重複專案。
_IsBillable 字串 指定內嵌資料是否可計費。 false_IsBillable擷取時,不會向 Azure 帳戶收費
LogName 字串 資訊包括後綴,可識別記錄子類型(例如系統管理活動、系統存取、數據存取),以及在階層中提出要求的位置。
中繼資料 dynamic 與目前稽核事件相關聯的要求、回應和其他相關信息的其他服務特定數據。
MethodName 字串 服務方法或作業的名稱。 針對 API 呼叫,這應該是 API 方法的名稱。
NumResponseItems 字串 如果適用,則從清單或查詢 API 方法傳回的項目數目。
PrincipalEmail 字串 提出要求之已驗證使用者的電子郵件位址(或服務帳戶代表第三方主體)。 對於第三方身分識別呼叫者,會填入 principalSubject 欄位,而不是此字段。 基於隱私權考慮,主體電子郵件地址有時會被修訂。
ProjectId 字串 與此資源相關聯的 Google Cloud Platform (GCP) 專案的標識碼,例如 “my-project”。
Request dynamic 作業要求。 這可能不包含所有要求參數,例如記錄記錄中其他位置太大、隱私權敏感或重複的要求參數。 它不應該包含用戶產生的數據,例如檔案內容。 當這裡表示的 JSON 物件具有對等的 Proto 時,屬性中 @type 將會指出 Proto 名稱。
RequestMetadata dynamic 作業的相關元數據。
資源位置 dynamic 資源位置資訊。
ResourceOriginalState dynamic 在突變之前的資源原始狀態。 僅適用於已成功修改目標資源的作業。 一般而言,此欄位應該包含所有已變更的欄位,但要求、回應、元數據或服務數據欄位已包含的欄位除外。 當這裡表示的 JSON 物件具有對等的 Proto 時,屬性中 @type 將會指出 Proto 名稱。
回應 dynamic 作業回應。 這可能不包括所有響應元素,例如記錄記錄中其他位置太大、隱私權敏感或重複的專案。 它不應該包含用戶產生的數據,例如檔案內容。 當這裡表示的 JSON 物件具有對等的 Proto 時,屬性中 @type 將會指出 Proto 名稱。
ServiceData dynamic 物件,包含任意類型的欄位。 另一個字段 「@type」 包含識別類型的 URI。 範例: { “id”: 1234, “@type”: “types.example.com/standard/id” }。
ServiceName 字串 執行作業的 API 服務名稱。 例如,『compute.googleapis.com』。
嚴重性 字串 選擇性。 記錄專案的嚴重性。 例如,下列篩選表達式會比對記錄專案與嚴重性 INFO、NOTICE 和 WARNING。
SourceSystem 字串 收集事件的代理程序類型。 例如,OpsManager針對 Windows 代理程式、直接連線或 Operations Manager、Linux所有 Linux 代理程式,或Azure針對 Azure 診斷
狀態 dynamic 整體作業的狀態。
StatusMessage 字串 整體作業的訊息狀態。
訂用帳戶 字串 具名資源,代表要傳遞至訂閱應用程式的單一特定主題訊息數據流。
TenantId 字串 Log Analytics 工作區標識符
TimeGenerated Datetime 記錄檔專案收到的時間。
時間戳記 Datetime 記錄專案所描述的事件發生時間。
型別 string 資料表的名稱