Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Журналы аудита Google Cloud Platform (GCP), полученные из соединителя Sentinel, позволяют записывать три типа журналов аудита: журналы действий администратора, журналы доступа к данным и журналы прозрачности доступа. Журналы аудита облака Google записывают след, который практикующие специалисты могут использовать для мониторинга доступа и обнаружения потенциальных угроз в ресурсах Google Cloud Platform (GCP).
Свойства таблицы
| Attribute | Value |
|---|---|
| Типы ресурсов | - |
| Categories | Security |
| Solutions | SecurityInsights |
| Базовый журнал | Yes |
| Трансформация во время поглощения | Yes |
| Примеры запросов | Yes |
Columns
| Column | Type | Description |
|---|---|---|
| AuthenticationInfo | dynamic | Сведения о проверке подлинности. |
| AuthorizationInfo | dynamic | Сведения о авторизации. Если задействовано несколько ресурсов или разрешений, для каждого кортежа {resource, permission} существует один элемент AuthorizationInfo. |
| _BilledSize | real | Размер записи в байтах |
| GCPResourceName | string | Ресурс или коллекция, которая является целью операции. Имя — это URI без схемы и без имени службы API. |
| GCPResourceType | string | Идентификатор типа, связанного с этим ресурсом, например «pubsub_subscription». |
| InsertId | string | Optional. Предоставление уникального идентификатора записи журнала позволяет системе ведения логов удалять повторяющиеся записи с той же меткой времени и insertId в результате одного запроса. |
| _IsBillable | string | Указывает, подлежит ли прием данных оплате. Если _IsBillable false, прием не будет оплачиваться с вашего аккаунта Azure. |
| LogName | string | Сведения, включая суффикс, определяющий подтип журнала (например, действия администратора, доступ к системе, доступ к данным) и где в иерархии был выполнен запрос. |
| Metadata | dynamic | Данные, специфичные для услуги, о запросе, ответе и другой информации, связанной с текущим событием аудита. |
| MethodName | string | Имя метода или операции службы. Для вызовов API это должно быть имя метода API. |
| NumResponseItems | string | Количество элементов, возвращаемых из метода API списка или запроса, если применимо. |
| PrincipalEmail | string | Адрес электронной почты аутентифицированного пользователя (или учетной записи сервисов от имени стороннего участника), выполняющего запрос. Для сторонних абонентов, участвующих в идентификации, поле principalSubject заполняется вместо указанного поля. По соображениям конфиденциальности основной адрес электронной почты иногда редактируется. |
| ProjectId | string | Идентификатор проекта Google Cloud Platform (GCP), связанного с этим ресурсом, например my-project. |
| Request | dynamic | Запрос операции. Это может не включать все параметры запроса, такие как слишком большие, затрагивающие конфиденциальность или повторяющиеся где-то еще в записи журнала. Он никогда не должен включать данные, созданные пользователем, например содержимое файла. Если объект JSON, представленный здесь, имеет эквивалентный proto, имя proto будет указано в свойстве @type . |
| RequestMetadata | dynamic | Метаданные операции. |
| ResourceLocation | dynamic | Сведения о расположении ресурса. |
| ResourceOriginalState | dynamic | Исходное состояние ресурса перед мутацией. Присутствует только для тех операций, которые успешно изменили целевые ресурсы. Как правило, это поле должно содержать все измененные поля, кроме тех, которые уже включены в поля request, response, metadata или serviceData. Если объект JSON, представленный здесь, имеет эквивалентный proto, имя proto будет указано в свойстве @type . |
| Response | dynamic | Ответ операции. Это может не включать все элементы ответа, такие как очень большие, конфиденциальные или дублирующиеся в записи журнала. Он никогда не должен включать данные, созданные пользователем, например содержимое файла. Если объект JSON, представленный здесь, имеет эквивалентный proto, имя proto будет указано в свойстве @type . |
| ServiceData | dynamic | Объект, содержащий поля произвольного типа. Дополнительное поле "@type" содержит универсальный код ресурса (URI), определяющий тип. Пример: { "id": 1234, "@type": "types.example.com/standard/id" }. |
| ServiceName | string | Имя службы API, выполняющей операцию. Например, "compute.googleapis.com". |
| Severity | string | Optional. Серьезность записи журнала. Например, следующее выражение фильтра будет соответствовать записям журнала с уровнями серьезности INFO, NOTICE и WARNING. |
| SourceSystem | string | Тип агента, которым было собрано событие. Например, для OpsManager агента Windows с прямым подключением или Operations Manager, для Linux всех агентов Linux, или для Azure диагностики Azure. |
| Status | dynamic | Состояние общей операции. |
| StatusMessage | string | Статус сообщения в рамках общей операции. |
| Subscription | string | Именованный ресурс, представляющий поток сообщений из одной конкретной темы, который будет доставлен приложению-подписчику. |
| TenantId | string | Идентификатор рабочей области Log Analytics |
| TimeGenerated | datetime | Время, когда запись была получена системой журналирования. |
| Timestamp | datetime | Время возникновения события, описанного записью журнала. |
| Type | string | Имя таблицы. |