GCPAuditLogs
Med Google Cloud Platform (GCP) granskningsloggar, som matas in från Sentinels anslutningsprogram, kan du samla in tre typer av granskningsloggar: administratörsaktivitetsloggar, dataåtkomstloggar och åtkomst till transparensloggar. Googles molngranskningsloggar registrerar ett spår som utövare kan använda för att övervaka åtkomst och identifiera potentiella hot i Google Cloud Platform-resurser (GCP).
Tabellattribut
Attribut | Värde |
---|---|
Resurstyper | - |
Kategorier | Säkerhet |
Lösningar | SecurityInsights |
Grundläggande logg | No |
Inmatningstidstransformering | Yes |
Exempelfrågor | Ja |
Kolumner
Kolumn | Typ | Description |
---|---|---|
AuthenticationInfo | dynamisk | Autentiseringsinformation. |
AuthorizationInfo | dynamisk | Auktoriseringsinformation. Om det finns flera resurser eller behörigheter finns det ett AuthorizationInfo-element för varje {resurs, behörighet} tuppeln. |
_BilledSize | real | Poststorleken i byte |
GCPResourceName | sträng | Den resurs eller samling som är målet för åtgärden. Namnet är en schemalös URI, utan api-tjänstens namn. |
GCPResourceType | sträng | Identifieraren för den typ som är associerad med den här resursen, till exempel "pubsub_subscription". |
InsertId | sträng | Valfritt. Genom att tillhandahålla en unik identifierare för loggposten kan loggning ta bort dubblettposter med samma tidsstämpel och insertId i ett enda frågeresultat. |
_IsBillable | sträng | Anger om inmatning av data är fakturerbar. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
LogName | sträng | Information inklusive ett suffix som identifierar loggens undertyp (t.ex. administratörsaktivitet, systemåtkomst, dataåtkomst) och var i hierarkin begäran gjordes. |
Metadata | dynamisk | Andra tjänstspecifika data om begäran, svar och annan information som är associerad med den aktuella granskade händelsen. |
MethodName | sträng | Namnet på tjänstmetoden eller -åtgärden. För API-anrop ska detta vara namnet på API-metoden. |
NumResponseItems | sträng | Antalet objekt som returneras från en list- eller fråge-API-metod, om tillämpligt. |
PrincipalEmail | sträng | E-postadressen för den autentiserade användaren (eller tjänstkontot för tredje parts huvudnamn) som gör begäran. För identitetsuppringare från tredje part fylls fältet principalSubject i i stället för det här fältet. Av sekretessskäl redigeras ibland den huvudsakliga e-postadressen. |
ProjectId | sträng | Identifieraren för google cloud platform-projektet (GCP) som är associerat med den här resursen, till exempel "my-project". |
Förfrågan | dynamisk | Åtgärdsbegäran. Detta omfattar kanske inte alla parametrar för begäran, till exempel de som är för stora, sekretesskänsliga eller duplicerade någon annanstans i loggposten. Den bör aldrig innehålla användargenererade data, till exempel filinnehåll. När JSON-objektet som representeras här har en proto-motsvarighet anges proto-namnet i @type egenskapen . |
RequestMetadata | dynamisk | Metadata om åtgärden. |
ResourceLocation | dynamisk | Information om resursplats. |
ResourceOriginalState | dynamisk | Resursens ursprungliga tillstånd före mutationen. Finns endast för åtgärder som har ändrat målresurserna. I allmänhet bör det här fältet innehålla alla ändrade fält, förutom de som redan har inkluderats i fälten begäran, svar, metadata eller serviceData. När JSON-objektet som representeras här har en proto-motsvarighet anges proto-namnet i @type egenskapen . |
Svarsåtgärder | dynamisk | Åtgärdssvaret. Detta kanske inte innehåller alla svarselement, till exempel de som är för stora, sekretesskänsliga eller duplicerade någon annanstans i loggposten. Den bör aldrig innehålla användargenererade data, till exempel filinnehåll. När JSON-objektet som representeras här har en proto-motsvarighet anges proto-namnet i @type egenskapen . |
ServiceData | dynamisk | Ett objekt som innehåller fält av godtycklig typ. Ett ytterligare fält "@type" innehåller en URI som identifierar typen. Exempel: { "id": 1234, "@type": "types.example.com/standard/id" }. |
ServiceName | sträng | Namnet på DEN API-tjänst som utför åtgärden. Till exempel "compute.googleapis.com". |
Allvarlighetsgrad | sträng | Valfritt. Loggpostens allvarlighetsgrad. Följande filteruttryck matchar till exempel loggposter med allvarlighetsgradERNA INFO, NOTICE och WARNING. |
SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
Status | dynamisk | Status för den övergripande åtgärden. |
StatusMessage | sträng | Meddelandestatus för den övergripande åtgärden. |
Prenumeration | sträng | En namngiven resurs som representerar strömmen av meddelanden från ett enda specifikt ämne som ska levereras till det prenumererande programmet. |
TenantId | sträng | Log Analytics-arbetsytans ID |
TimeGenerated | datetime | Den tid då loggposten togs emot genom loggning. |
Timestamp | datetime | Den tid då händelsen som beskrivs av loggposten inträffade. |
Typ | sträng | Namnet på tabellen |
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för