Freigeben über


GCPAuditLogs

Mit den Google Cloud Platform (GCP)-Überwachungsprotokollen, die vom Sentinel-Connector aufgenommen werden, können Sie drei Arten von Überwachungsprotokollen erfassen: Administratoraktivitätsprotokolle, Datenzugriffsprotokolle und Zugriffstransparenzprotokolle. Google Cloud Audit Logs zeichnet einen Trail auf, den Praktiker verwenden können, um den Zugriff zu überwachen und potenzielle Bedrohungen in den Ressourcen der Google Cloud Platform (GCP) zu erkennen.

Tabellenattribute

attribute Wert
Ressourcentypen -
Kategorien Sicherheit
Lösungen SecurityInsights
Standardprotokoll No
Erfassungszeittransformation Ja
Beispielabfragen Ja

Spalten

Spalte Type Beschreibung
AuthenticationInfo dynamisch Authentifizierungsinformationen.
AuthorizationInfo dynamisch Autorisierungsinformationen. Wenn mehrere Ressourcen oder Berechtigungen beteiligt sind, gibt es für jedes {resource, permission}-Tupel ein AuthorizationInfo-Element.
_BilledSize real Die Datensatzgröße in Bytes.
GCPResourceName Zeichenfolge Die Ressource oder Auflistung, die das Ziel des Vorgangs ist. Der Name ist ein schemaloser URI, nicht einschließlich des API-Dienstnamens.
GCPResourceType Zeichenfolge Der Bezeichner des Typs, der dieser Ressource zugeordnet ist, z. B. "pubsub_subscription".
InsertId Zeichenfolge Optional. Durch das Bereitstellen eines eindeutigen Bezeichners für den Protokolleintrag können doppelte Einträge mit demselben Zeitstempel und insertId in einem einzigen Abfrageergebnis entfernt werden.
_IsBillable Zeichenfolge Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt.
LogName Zeichenfolge Informationen, einschließlich eines Suffixes, das den Protokolluntertyp identifiziert (z. B. Administratoraktivität, Systemzugriff, Datenzugriff) und wo in der Hierarchie die Anforderung gestellt wurde.
Metadaten dynamisch Andere dienstspezifische Daten über die Anforderung, Antwort und andere Informationen, die dem aktuellen überwachten Ereignis zugeordnet sind.
MethodName Zeichenfolge Der Name der Dienstmethode oder des Vorgangs. Bei API-Aufrufen sollte dies der Name der API-Methode sein.
NumResponseItems Zeichenfolge Die Anzahl der elemente, die von einer Listen- oder Abfrage-API-Methode zurückgegeben werden, falls zutreffend.
PrincipalEmail Zeichenfolge Die E-Mail-Adresse des authentifizierten Benutzers (oder des Dienstkontos im Auftrag von Drittanbieterprinzipal), der die Anforderung vornimmt. Bei Identitätsaufrufern von Drittanbietern wird das PrincipalSubject-Feld anstelle dieses Felds aufgefüllt. Aus Datenschutzgründen wird die Haupt-E-Mail-Adresse manchmal redigiert.
ProjectId Zeichenfolge Der Bezeichner des Google Cloud Platform (GCP)-Projekts, das dieser Ressource zugeordnet ist, z. B. "my-project".
Anfordern dynamisch Die Vorgangsanforderung. Dies kann nicht alle Anforderungsparameter enthalten, z. B. solche, die zu groß, datenschutzempfindlich oder an anderer Stelle im Protokolldatensatz dupliziert sind. Sie sollte niemals vom Benutzer generierte Daten enthalten, z. B. Dateiinhalte. Wenn das hier dargestellte JSON-Objekt eine Proto-Entsprechung aufweist, wird der Protoname in der @type Eigenschaft angegeben.
RequestMetadata dynamisch Metadaten zum Vorgang.
ResourceLocation dynamisch Die Informationen zum Ressourcenspeicherort.
ResourceOriginalState dynamisch Der ursprüngliche Zustand der Ressource vor der Mutation. Nur für Vorgänge vorhanden, die die Zielressource(n) erfolgreich geändert haben. Im Allgemeinen sollte dieses Feld alle geänderten Felder enthalten, mit Ausnahme der Felder, die bereits in Anforderungs-, Antwort-, Metadaten- oder ServiceData-Feldern enthalten sind. Wenn das hier dargestellte JSON-Objekt eine Proto-Entsprechung aufweist, wird der Protoname in der @type Eigenschaft angegeben.
Antwort dynamisch Die Vorgangsantwort. Dies kann nicht alle Antwortelemente umfassen, z. B. solche, die zu groß, datenschutzempfindlich oder an anderer Stelle im Protokolldatensatz dupliziert sind. Sie sollte niemals vom Benutzer generierte Daten enthalten, z. B. Dateiinhalte. Wenn das hier dargestellte JSON-Objekt eine Proto-Entsprechung aufweist, wird der Protoname in der @type Eigenschaft angegeben.
ServiceData dynamisch Ein Objekt, das Felder eines beliebigen Typs enthält. Ein zusätzliches Feld "@type" enthält einen URI, der den Typ identifiziert. Beispiel: { "id": 1234, "@type": "types.example.com/standard/id" }.
ServiceName Zeichenfolge Der Name des API-Diensts, der den Vorgang ausführt. Beispiel: "compute.googleapis.com".
Severity Zeichenfolge Optional. Der Schweregrad des Protokolleintrags. Beispielsweise entspricht der folgende Filterausdruck Protokolleinträgen mit SchweregradINFORMATIONEN, HINWEIS und WARNUNG.
SourceSystem Zeichenfolge Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose
Status dynamisch Der Status des Gesamtvorgangs.
StatusMessage Zeichenfolge Der Nachrichtenstatus des Gesamtvorgangs.
Abonnement Zeichenfolge Eine benannte Ressource, die den Datenstrom von Nachrichten aus einem einzelnen, bestimmten Thema darstellt, der an die abonnierende Anwendung übermittelt werden soll.
TenantId Zeichenfolge Die ID des Log Analytics-Arbeitsbereichs.
TimeGenerated datetime Der Zeitpunkt, zu dem der Protokolleintrag von der Protokollierung empfangen wurde.
Timestamp datetime Der Zeitpunkt, zu dem das durch den Protokolleintrag beschriebene Ereignis aufgetreten ist.
type Zeichenfolge Der Name der Tabelle.