GCPAuditLogs
Журналы аудита Google Cloud Platform (GCP), полученные из соединителя Sentinel, позволяют собирать журналы аудита трех типов: журналы действий администратора, журналы доступа к данным и журналы прозрачности доступа. Журналы аудита облака Google записывают журналы, которые специалисты-практики могут использовать для мониторинга доступа и обнаружения потенциальных угроз в ресурсах Google Cloud Platform (GCP).
Атрибуты таблицы
attribute | Значение |
---|---|
Типы ресурсов | - |
Категории | Безопасность |
Решения | SecurityInsights |
Базовый журнал | Нет |
Преобразование во время приема | Да |
Примеры запросов | Да |
Столбцы
Столбец | Type | Описание |
---|---|---|
AuthenticationInfo | Динамический | Сведения о проверке подлинности. |
AuthorizationInfo | Динамический | Сведения об авторизации. Если задействовано несколько ресурсов или разрешений, для каждого кортежа {resource, permission} имеется один элемент AuthorizationInfo. |
_BilledSize | real | Размер записи в байтах |
GCPResourceName | строка | Ресурс или коллекция, которые являются целевым объектом операции. Имя является URI без схемы, не включая имя службы API. |
GCPResourceType | строка | Идентификатор типа, связанного с этим ресурсом, например "pubsub_subscription". |
InsertId | строка | Необязательный параметр. Предоставление уникального идентификатора для записи журнала позволяет ведению журнала удалять повторяющиеся записи с одной и той же меткой времени и insertId в одном результате запроса. |
_IsBillable | строка | Указывает, взимается ли плата за прием данных. Если _IsBillable прием false не выставляется в вашей учетной записи Azure |
LogName | строка | Сведения, включая суффикс, определяющий подтип журнала (например, действия администратора, доступ к системе, доступ к данным) и место в иерархии запроса. |
Метаданные | Динамический | Другие зависящие от службы данные о запросе, ответе и другие сведения, связанные с текущим событием аудита. |
MethodName | строка | Имя метода или операции службы. Для вызовов API это должно быть имя метода API. |
NumResponseItems | строка | Количество элементов, возвращаемых из списка или метода API запроса, если применимо. |
PrincipalEmail | строка | Адрес электронной почты пользователя, прошедшего проверку подлинности (или учетной записи службы от имени стороннего субъекта), выполняющего запрос. Для сторонних вызывающих удостоверений вместо этого поля заполняется поле principalSubject. В целях конфиденциальности основной адрес электронной почты иногда отредактируется. |
ProjectId | строка | Идентификатор проекта Google Cloud Platform (GCP), связанного с этим ресурсом, например my-project. |
Запрос | Динамический | Запрос операции. Это может быть не все параметры запроса, например слишком большие, чувствительные к конфиденциальности или дублирующиеся в других местах записи журнала. Он никогда не должен включать данные, созданные пользователем, например содержимое файла. Если объект JSON, представленный здесь, имеет эквивалент proto, имя proto будет указано в свойстве @type . |
RequestMetadata | Динамический | Метаданные об операции. |
ResourceLocation | Динамический | Сведения о расположении ресурса. |
ResourceOriginalState | Динамический | Исходное состояние ресурса перед изменением. Присутствует только для операций, которые успешно изменили целевые ресурсы. Как правило, это поле должно содержать все измененные поля, кроме тех, которые уже включены в поля запроса, ответа, метаданных или serviceData. Если объект JSON, представленный здесь, имеет эквивалент proto, имя proto будет указано в свойстве @type . |
Ответ | Динамический | Ответ операции. Это может быть не все элементы ответа, например слишком большие, чувствительные к конфиденциальности или дублирующиеся в других местах записи журнала. Он никогда не должен включать данные, созданные пользователем, например содержимое файла. Если объект JSON, представленный здесь, имеет эквивалент proto, имя proto будет указано в свойстве @type . |
ServiceData | Динамический | Объект , содержащий поля произвольного типа. Дополнительное поле "@type" содержит универсальный код ресурса (URI), определяющий тип . Пример: { "id": 1234, "@type": "types.example.com/standard/id" }. |
ServiceName | строка | Имя службы API, выполняющей операцию. Например, "compute.googleapis.com". |
Статус | строка | Необязательный параметр. Серьезность записи журнала. Например, следующее выражение фильтра будет сопоставлять записи журнала с серьезностью INFO, NOTICE и WARNING. |
SourceSystem | строка | Тип агента, с помощью который было собрано событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
Состояние | Динамический | Состояние общей операции. |
StatusMessage | строка | Состояние сообщения общей операции. |
Подписка | строка | Именованный ресурс, представляющий поток сообщений из одного определенного раздела, который будет доставлен в приложение подписки. |
TenantId | строка | Идентификатор рабочей области Log Analytics |
TimeGenerated | DATETIME | Время получения записи журнала при ведении журнала. |
Отметка времени | DATETIME | Время возникновения события, описанного в записи журнала. |
Тип | строка | Имя таблицы. |
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по