GCPAuditLogs
本文內容
從 Sentinel 連接器擷取的 Google Cloud Platform (GCP) 稽核記錄可讓您擷取三種類型的稽核記錄:系統管理活動記錄、數據存取記錄,以及存取透明度記錄。 Google 雲端稽核記錄記錄記錄了一個記錄,從業者可以用來監視 Google Cloud Platform (GCP) 資源之間的存取和偵測潛在威脅。
數據表屬性
屬性
值
資源類型
-
類別
安全性
方案
SecurityInsights
基本記錄
No
擷取時間轉換
Yes
範例查詢
是
資料行
資料行
類型
描述
AuthenticationInfo
dynamic
驗證資訊。
AuthorizationInfo
dynamic
授權資訊。 如果涉及多個資源或許可權,則每個 {resource, permission} Tuple 都有一個 AuthorizationInfo 元素。
_BilledSize
real
以位元組為單位的記錄大小
GCPResourceName
字串
作業目標的資源或集合。 此名稱是無配置 URI,不包括 API 服務名稱。
GCPResourceType
字串
與此資源相關聯的型別標識符,例如 『pubsub_subscription』。
InsertId
字串
選擇性。 提供記錄專案的唯一標識碼可讓Logging 移除具有相同時間戳和insertId的單一查詢結果中的重複專案。
_IsBillable
字串
指定內嵌資料是否可計費。 當 _IsBillable 為 false
時,擷取不會向您的 Azure 帳戶收費
LogName
字串
資訊包括後綴,可識別記錄子類型(例如系統管理活動、系統存取、數據存取),以及在階層中提出要求的位置。
中繼資料
dynamic
與目前稽核事件相關聯的要求、回應和其他相關信息的其他服務特定數據。
MethodName
字串
服務方法或作業的名稱。 針對 API 呼叫,這應該是 API 方法的名稱。
NumResponseItems
字串
如果適用,則從清單或查詢 API 方法傳回的項目數目。
PrincipalEmail
字串
提出要求之已驗證使用者的電子郵件位址(或服務帳戶代表第三方主體)。 對於第三方身分識別呼叫者,會填入 principalSubject 欄位,而不是此字段。 基於隱私權考慮,主體電子郵件地址有時會被修訂。
ProjectId
字串
與此資源相關聯的 Google Cloud Platform (GCP) 專案的標識碼,例如 “my-project”。
Request
dynamic
作業要求。 這可能不包含所有要求參數,例如記錄記錄中其他位置太大、隱私權敏感或重複的要求參數。 它不應該包含用戶產生的數據,例如檔案內容。 當這裡表示的 JSON 物件具有對等的 Proto 時,屬性中 @type 將會指出 Proto 名稱。
RequestMetadata
dynamic
作業的相關元數據。
資源位置
dynamic
資源位置資訊。
ResourceOriginalState
dynamic
在突變之前的資源原始狀態。 僅適用於已成功修改目標資源的作業。 一般而言,此欄位應該包含所有已變更的欄位,但要求、回應、元數據或服務數據欄位已包含的欄位除外。 當這裡表示的 JSON 物件具有對等的 Proto 時,屬性中 @type 將會指出 Proto 名稱。
回應
dynamic
作業回應。 這可能不包括所有響應元素,例如記錄記錄中其他位置太大、隱私權敏感或重複的專案。 它不應該包含用戶產生的數據,例如檔案內容。 當這裡表示的 JSON 物件具有對等的 Proto 時,屬性中 @type 將會指出 Proto 名稱。
ServiceData
dynamic
物件,包含任意類型的欄位。 另一個字段 「@type」 包含識別類型的 URI。 範例: { “id”: 1234, “@type”: “types.example.com/standard/id” }。
ServiceName
字串
執行作業的 API 服務名稱。 例如,『compute.googleapis.com』。
嚴重性
字串
選擇性。 記錄專案的嚴重性。 例如,下列篩選表達式會比對記錄專案與嚴重性 INFO、NOTICE 和 WARNING。
SourceSystem
字串
收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager
、直接連線或 Operations Manager、適用於 Linux
的所有 Linux 代理程式,或適用於 Azure
的 Azure 診斷
狀態
dynamic
整體作業的狀態。
StatusMessage
字串
整體作業的訊息狀態。
訂用帳戶
字串
具名資源,代表要傳遞至訂閱應用程式的單一特定主題訊息數據流。
TenantId
字串
Log Analytics 工作區識別碼
TimeGenerated
Datetime
記錄檔專案收到的時間。
時間戳記
Datetime
記錄專案所描述的事件發生時間。
型別
string
資料表的名稱