GCPAuditLogs
Med Google Cloud Platform (GCP) granskningsloggar, som matas in från Sentinels anslutningsprogram, kan du samla in tre typer av granskningsloggar: administratörsaktivitetsloggar, dataåtkomstloggar och åtkomst till transparensloggar. Googles molngranskningsloggar registrerar ett spår som utövare kan använda för att övervaka åtkomst och identifiera potentiella hot i Google Cloud Platform-resurser (GCP).
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | No |
| Inmatningstidstransformering | Yes |
| Exempelfrågor | Ja |
Kolumner
| Kolumn | Typ | Description |
|---|---|---|
| AuthenticationInfo | dynamisk | Autentiseringsinformation. |
| AuthorizationInfo | dynamisk | Auktoriseringsinformation. Om det finns flera resurser eller behörigheter finns det ett AuthorizationInfo-element för varje {resurs, behörighet} tuppeln. |
| _BilledSize | real | Poststorleken i byte |
| GCPResourceName | sträng | Den resurs eller samling som är målet för åtgärden. Namnet är en schemalös URI, utan api-tjänstens namn. |
| GCPResourceType | sträng | Identifieraren för den typ som är associerad med den här resursen, till exempel "pubsub_subscription". |
| InsertId | sträng | Valfritt. Genom att tillhandahålla en unik identifierare för loggposten kan loggning ta bort dubblettposter med samma tidsstämpel och insertId i ett enda frågeresultat. |
| _IsBillable | sträng | Anger om inmatning av data är fakturerbar. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
| LogName | sträng | Information inklusive ett suffix som identifierar loggens undertyp (t.ex. administratörsaktivitet, systemåtkomst, dataåtkomst) och var i hierarkin begäran gjordes. |
| Metadata | dynamisk | Andra tjänstspecifika data om begäran, svar och annan information som är associerad med den aktuella granskade händelsen. |
| MethodName | sträng | Namnet på tjänstmetoden eller -åtgärden. För API-anrop ska detta vara namnet på API-metoden. |
| NumResponseItems | sträng | Antalet objekt som returneras från en list- eller fråge-API-metod, om tillämpligt. |
| PrincipalEmail | sträng | E-postadressen för den autentiserade användaren (eller tjänstkontot för tredje parts huvudnamn) som gör begäran. För identitetsuppringare från tredje part fylls fältet principalSubject i i stället för det här fältet. Av sekretessskäl redigeras ibland den huvudsakliga e-postadressen. |
| ProjectId | sträng | Identifieraren för google cloud platform-projektet (GCP) som är associerat med den här resursen, till exempel "my-project". |
| Förfrågan | dynamisk | Åtgärdsbegäran. Detta omfattar kanske inte alla parametrar för begäran, till exempel de som är för stora, sekretesskänsliga eller duplicerade någon annanstans i loggposten. Den bör aldrig innehålla användargenererade data, till exempel filinnehåll. När JSON-objektet som representeras här har en proto-motsvarighet anges proto-namnet i @type egenskapen . |
| RequestMetadata | dynamisk | Metadata om åtgärden. |
| ResourceLocation | dynamisk | Information om resursplats. |
| ResourceOriginalState | dynamisk | Resursens ursprungliga tillstånd före mutationen. Finns endast för åtgärder som har ändrat målresurserna. I allmänhet bör det här fältet innehålla alla ändrade fält, förutom de som redan har inkluderats i fälten begäran, svar, metadata eller serviceData. När JSON-objektet som representeras här har en proto-motsvarighet anges proto-namnet i @type egenskapen . |
| Svarsåtgärder | dynamisk | Åtgärdssvaret. Detta kanske inte innehåller alla svarselement, till exempel de som är för stora, sekretesskänsliga eller duplicerade någon annanstans i loggposten. Den bör aldrig innehålla användargenererade data, till exempel filinnehåll. När JSON-objektet som representeras här har en proto-motsvarighet anges proto-namnet i @type egenskapen . |
| ServiceData | dynamisk | Ett objekt som innehåller fält av godtycklig typ. Ett ytterligare fält "@type" innehåller en URI som identifierar typen. Exempel: { "id": 1234, "@type": "types.example.com/standard/id" }. |
| ServiceName | sträng | Namnet på DEN API-tjänst som utför åtgärden. Till exempel "compute.googleapis.com". |
| Allvarlighetsgrad | sträng | Valfritt. Loggpostens allvarlighetsgrad. Följande filteruttryck matchar till exempel loggposter med allvarlighetsgradERNA INFO, NOTICE och WARNING. |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| Status | dynamisk | Status för den övergripande åtgärden. |
| StatusMessage | sträng | Meddelandestatus för den övergripande åtgärden. |
| Prenumeration | sträng | En namngiven resurs som representerar strömmen av meddelanden från ett enda specifikt ämne som ska levereras till det prenumererande programmet. |
| TenantId | sträng | Log Analytics-arbetsytans ID |
| TimeGenerated | datetime | Den tid då loggposten togs emot genom loggning. |
| Timestamp | datetime | Den tid då händelsen som beskrivs av loggposten inträffade. |
| Typ | sträng | Namnet på tabellen |
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för