GCPAuditLogs
- [アーティクル]
-
-
Sentinel のコネクタから取り込まれた Google Cloud Platform (GCP) 監査ログを使用すると、管理者アクティビティ ログ、データ アクセス ログ、アクセス透過性ログの 3 種類の監査ログをキャプチャできます。 Google クラウド監査ログには、実践者がアクセスを監視し、Google Cloud Platform (GCP) リソース全体の潜在的な脅威を検出するために使用できる証跡が記録されています。
テーブル属性
| 属性 |
Value |
| リソースの種類 |
- |
| Categories (カテゴリ) |
セキュリティ |
| ソリューション |
SecurityInsights |
| 基本的なログ |
いいえ |
| インジェスト時間変換 |
はい |
| サンプル クエリ |
はい |
列
| 列 |
タイプ |
説明 |
| AuthenticationInfo |
動的 |
認証情報です。 |
| AuthorizationInfo |
動的 |
承認情報。 複数のリソースまたはアクセス許可が関係する場合は、{resource, permission} タプルごとに 1 つの AuthorizationInfo 要素があります。 |
| _BilledSize |
real |
レコード サイズ (バイト単位) |
| GCPResourceName |
string |
操作のターゲットであるリソースまたはコレクション。 名前はスキームのない URI であり、API サービス名は含まれません。 |
| GCPResourceType |
string |
"pubsub_subscription" など、このリソースに関連付けられている型の識別子。 |
| InsertId |
string |
省略可能。 ログ エントリに一意の識別子を指定すると、1 つのクエリ結果で同じタイムスタンプと insertId を持つ重複するエントリを削除できます。 |
| _IsBillable |
string |
データ インジェストが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| LogName |
string |
ログのサブタイプ (管理者アクティビティ、システム アクセス、データ アクセスなど) と、要求が行われた階層内の場所を識別するサフィックスを含む情報。 |
| Metadata |
動的 |
現在の監査イベントに関連付けられている要求、応答、およびその他の情報に関するサービス固有のその他のデータ。 |
| MethodName |
string |
サービス メソッドまたは操作の名前。 API 呼び出しの場合、これは API メソッドの名前である必要があります。 |
| NumResponseItems |
string |
リストまたはクエリ API メソッドから返される項目の数 (該当する場合)。 |
| PrincipalEmail |
string |
要求を行う認証されたユーザー (またはサード パーティプリンシパルの代理としてのサービス アカウント) の電子メール アドレス。 サード パーティの ID 呼び出し元の場合、このフィールドの代わりに principalSubject フィールドが設定されます。 プライバシー上の理由から、プリンシパルのメール アドレスが編集されることがあります。 |
| ProjectId |
string |
このリソースに関連付けられている Google Cloud Platform (GCP) プロジェクトの識別子 ("my-project" など)。 |
| 要求 |
動的 |
操作要求。 これには、大きすぎる要求パラメーター、プライバシーに依存する要求パラメーター、またはログ レコード内の他の場所で重複している要求パラメーターが含まれていない場合があります。 ファイルの内容など、ユーザーが生成したデータを含めてはなりません。 ここで表される JSON オブジェクトに同等の proto がある場合、proto 名は @type プロパティに示されます。 |
| RequestMetadata |
動的 |
操作に関するメタデータ。 |
| ResourceLocation |
動的 |
リソースの場所の情報。 |
| ResourceOriginalState |
動的 |
変更前のリソースの元の状態。 ターゲット リソースが正常に変更された操作にのみ表示されます。 一般に、このフィールドには、要求、応答、メタデータ、または serviceData フィールドに既に含まれているフィールドを除き、変更されたすべてのフィールドを含める必要があります。 ここで表される JSON オブジェクトに同等の proto がある場合、proto 名は @type プロパティに示されます。 |
| 回答 |
動的 |
操作の応答。 これには、大きすぎる、プライバシーに依存する、またはログ レコード内の別の場所で重複している応答要素など、すべての応答要素が含まれているとは限りません。 ファイルの内容など、ユーザーが生成したデータを含めてはなりません。 ここで表される JSON オブジェクトに同等の proto がある場合、proto 名は @type プロパティに示されます。 |
| ServiceData |
動的 |
任意の型のフィールドを含むオブジェクト。 追加のフィールド "@type" には、型を識別する URI が含まれています。 例: { "id": 1234, "@type": "types.example.com/standard/id" }. |
| ServiceName |
string |
操作を実行する API サービスの名前。 たとえば、"compute.googleapis.com" です。 |
| 重要度 |
string |
省略可能。 ログ エントリの重大度。 たとえば、次のフィルター式は、ログ エントリと重大度 INFO、NOTICE、および WARNING と一致します。 |
| SourceSystem |
string |
イベント収集元のエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| 状態 |
動的 |
操作全体の状態。 |
| StatusMessage |
string |
操作全体のメッセージの状態。 |
| サブスクリプション |
string |
サブスクライブしているアプリケーションに配信される 1 つの特定のトピックからのメッセージのストリームを表す名前付きリソース。 |
| TenantId |
string |
Log Analytics ワークスペース ID |
| TimeGenerated |
datetime |
ログ記録によってログ エントリが受信された時刻。 |
| Timestamp |
datetime |
ログ エントリによって記述されたイベントが発生した時刻。 |
| 種類 |
string |
テーブルの名前 |