Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Med granskningsloggarna för Google Cloud Platform (GCP), som matas in från Sentinels anslutningsapp, kan du samla in tre typer av granskningsloggar: administratörsaktivitetsloggar, dataåtkomstloggar och åtkomst till transparensloggar. Googles molngranskningsloggar registrerar ett spår som utövare kan använda för att övervaka åtkomst och identifiera potentiella hot i GCP-resurser (Google Cloud Platform).
Attributer för tabeller
| Attribute | Value |
|---|---|
| Resurstyper | - |
| Categories | Security |
| Solutions | SecurityInsights |
| Grundläggande logg | Yes |
| Intagstidsförvandling | Yes |
| Exempelfrågor | Yes |
Columns
| Column | Type | Description |
|---|---|---|
| AuthenticationInfo | dynamic | Autentiseringsinformation. |
| AuthorizationInfo | dynamic | Auktoriseringsinformation. Om det finns flera resurser eller behörigheter finns det ett AuthorizationInfo-element för varje {resurs, behörighet} tuppeln. |
| _BilledSize | real | Rekordstorleken i byte |
| GCPResourceName | string | Den resurs eller samling som är målet för åtgärden. Namnet är en schemalös URI, som inte innehåller API-tjänstens namn. |
| GCPResourceType | string | Identifieraren för den typ som är associerad med den här resursen, till exempel "pubsub_subscription". |
| InsertId | string | Optional. Genom att tillhandahålla ett unikt ID för loggposten kan loggtjänsten ta bort duplicerade poster med samma tidsstämpel och insertId i resultatet av en enda fråga. |
| _IsBillable | string | Anger om inmatningen av data är fakturerbar. När _IsBillable är false så debiteras inte inmatning på ditt Azure-konto |
| LogName | string | Information inklusive ett suffix som identifierar loggundertypen (t.ex. administratörsaktivitet, systemåtkomst, dataåtkomst) och var i hierarkin begäran gjordes. |
| Metadata | dynamic | Andra tjänstspecifika data om begäran, svar och annan information som är associerad med den aktuella granskade händelsen. |
| MethodName | string | Namnet på tjänstmetoden eller -åtgärden. För API-anrop bör detta vara namnet på API-metoden. |
| NumResponseItems | string | Antalet objekt som returneras från en list- eller fråge-API-metod, om tillämpligt. |
| PrincipalEmail | string | E-postadressen till den autentiserade användaren (eller tjänstkontot för tredje parts huvudnamn) som gör begäran. För identitetsanropare från tredje part fylls fältet principalSubject i stället för det här fältet. Av sekretessskäl redigeras den huvudsakliga e-postadressen ibland. |
| ProjectId | string | Identifieraren för projektet Google Cloud Platform (GCP) som är associerat med den här resursen, till exempel "my-project". |
| Request | dynamic | Åtgärdsbegäran. Detta kanske inte innehåller alla parametrar för begäran, till exempel de som är för stora, sekretesskänsliga eller duplicerade någon annanstans i loggposten. Den får aldrig innehålla användargenererade data, till exempel filinnehåll. När JSON-objektet som representeras här har en proto-motsvarighet anges proto-namnet i @type egenskapen. |
| RequestMetadata | dynamic | Metadata om åtgärden. |
| ResourceLocation | dynamic | Information om resursens placering. |
| ResourceOriginalState | dynamic | Resursens ursprungliga tillstånd före mutationen. Finns endast för åtgärder som har ändrat målresurserna. I allmänhet bör det här fältet innehålla alla ändrade fält, förutom de som redan har inkluderats i fälten begäran, svar, metadata eller serviceData. När JSON-objektet som representeras här har en proto-motsvarighet anges proto-namnet i @type egenskapen. |
| Response | dynamic | Åtgärdssvaret. Detta kanske inte innehåller alla svarselement, till exempel de som är för stora, sekretesskänsliga eller duplicerade någon annanstans i loggposten. Den får aldrig innehålla användargenererade data, till exempel filinnehåll. När JSON-objektet som representeras här har en proto-motsvarighet anges proto-namnet i @type egenskapen. |
| ServiceData | dynamic | Ett objekt som innehåller fält av godtycklig typ. Ett ytterligare fält "@type" innehåller en URI som identifierar typen. Exempel: { "id": 1234, "@type": "types.example.com/standard/id" }. |
| ServiceName | string | Namnet på DEN API-tjänst som utför åtgärden. Till exempel "compute.googleapis.com". |
| Severity | string | Optional. Loggpostens allvarlighetsgrad. Följande filteruttryck matchar till exempel loggposter med allvarlighetsgraderna INFO, NOTICE och WARNING. |
| SourceSystem | string | Agenttypen som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| Status | dynamic | Status för den övergripande åtgärden. |
| StatusMessage | string | Meddelandestatus för den övergripande processen. |
| Subscription | string | En namngiven resurs som representerar strömmen av meddelanden från ett enskilt, specifikt ämne som ska levereras till det prenumererande programmet. |
| TenantId | string | Log Analytics-arbetsytans ID |
| TimeGenerated | datetime | Den tid då loggposten togs emot genom loggning. |
| Timestamp | datetime | Den tid då händelsen som beskrivs av loggposten inträffade. |
| Type | string | Namnet på tabellen |