你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
从 Sentinel 的连接器引入的 Google Cloud Platform IAM 审核日志、与 Google Cloud 中的标识和访问管理 (IAM) 活动相关的 eAudit 日志。
数据表属性
| 特征 | 价值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 是的 |
| 引入时转换 | 否 |
| 示例查询 | - |
列
| 列 | 类型 | DESCRIPTION |
|---|---|---|
| AuthenticationInfoPrincipalSubject | 字符串 | 与请求中经过身份验证的主体相关联的使用者。 |
| AuthInfoPrincipalEmail | 字符串 | 与执行作的主体(例如用户、服务帐户)关联的电子邮件地址。 |
| AuthInfoPrincipalSubject | 字符串 | 与执行操作的主体相关联的使用者或标识符。 |
| AuthInfoServiceAccountDelegationInfo | 字符串 | 服务帐户的委派信息。 |
| 授权信息 | 字符串 | 与请求授权相关的信息。 |
| _BilledSize(账单大小) | real | 记录大小(字节) |
| GCPResourceName | 字符串 | 请求或记录的事件中涉及的资源的名称。 |
| GCP资源类型 (GCPResourceType) | 字符串 | 请求中涉及的资源类型。 |
| InsertId | 字符串 | 日志条目的唯一标识符,通常用于重复数据删除。 |
| _IsBillable | 字符串 | 指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| LogName | 字符串 | 条目所在的日志的名称。 |
| MetadataIdentityDelegationChain | 字符串 | 请求的委派标识链。 |
| MetadataMappedPrincipal | 字符串 | 元数据中的映射主体。 |
| 元数据类型 | 字符串 | 要提供的元数据的类型。 |
| 方法名称 | 字符串 | 要调用的方法的名称。 |
| NumResponseItems | 字符串 | 响应中返回的项数。 |
| OperationFirst | 布尔 | 布尔值,指示这是否是序列中的第一个操作。 |
| OperationId | 字符串 | 操作的唯一标识符。 |
| OperationLast | 布尔 | 布尔值指示这是序列中的最后一个操作。 |
| OperationProducer | 字符串 | 启动操作的创建器(系统或服务)。 |
| 载荷类型 | 字符串 | 正在处理或传输的有效负载的类型。 |
| ReceiveTimestamp | 日期/时间 | 时间戳,表示系统接收日志条目的时间。 |
| RequestAccountId | 字符串 | 与请求关联的帐户 ID。 |
| 请求完整资源名称 | 字符串 | 请求的资源的完整名称。 |
| RequestGrantType | 字符串 | 与请求关联的授予类型。 |
| RequestIncludeInactiveApiRoles | 布尔 | 指示是否应在请求中包含非活动 API 角色的布尔值。 |
| 请求密钥类型 | 字符串 | 请求中涉及的密钥类型。 |
| RequestMetadataCallerIp | 字符串 | 请求源自的 IP 地址。 |
| RequestMetadataCallerSuppliedUserAgent | 字符串 | 请求期间调用方提供的用户代理字符串。 |
| RequestMetadataRequestAttributesTime | 字符串 | 请求元数据的时间相关属性。 |
| 请求名称 | 字符串 | 请求的名称。 |
| RequestOptionsRequestedPolicyVersion | 字符串 | 请求的策略版本。 |
| RequestPageSize | 字符串 | 分页请求中请求的页面的大小。 |
| RequestPageToken | 字符串 | 请求中的分页令牌。 |
| RequestParent | 字符串 | 请求的父资源。 |
| RequestPolicyAuditConfigs | 字符串 | 用于在请求策略中进行审核的配置。 |
| RequestPolicyBindings | 字符串 | 与请求策略相关联的绑定配置。 |
| RequestPolicyEtag | 字符串 | 请求策略的 ETag 值。 |
| RequestPrivateKeyType | 字符串 | 请求中使用的私钥的类型。 |
| 请求移除已删除的服务帐户 | 布尔 | 指示是否应删除已删除的服务帐户的布尔值。 |
| RequestRequestedTokenType | 字符串 | 请求的令牌类型。 |
| RequestResource | 字符串 | 所请求的资源。 |
| RequestRoleDescription | 字符串 | 所需角色说明 |
| RequestRoleId | 字符串 | 角色的唯一标识符。 |
| RequestRoleIncludedPermissions | 字符串 | 请求中角色所包含的权限。 |
| RequestRoleTitle | 字符串 | 所请求的角色的标题。 |
| RequestServiceAccountDescription | 字符串 | 正在请求的服务帐户的说明。 |
| RequestServiceAccountDisplayName | 字符串 | 正在请求的服务帐户的显示名称。 |
| RequestShowDeleted | 布尔 | 指示是否应在响应中包含已删除项的布尔值。 |
| RequestSkipVisibilityCheck | 布尔 | 指示是否应跳过请求的可见性检查的布尔值。 |
| RequestSubjectTokenType | 字符串 | 请求中使用的主题令牌的类型。 |
| 请求类型 | 字符串 | 正在发出的请求的类型。 |
| RequestUpdateMaskPaths | 字符串 | 请求中要更新的路径。 |
| RequestView | 字符串 | 请求的视图或透视。 |
| ResourceLabelsEmailId | 字符串 | 与资源关联的电子邮件标识符。 |
| ResourceLabelsLocation | 字符串 | 资源的地理位置或逻辑位置。 |
| ResourceLabelsMethod | 字符串 | 与资源关联的方法,通常用于筛选或分类。 |
| ResourceLabelsProjectId | 字符串 | 要访问或记录的资源的项目 ID。 |
| ResourceLabelsRoleName | 字符串 | 与资源关联的角色的名称。 |
| ResourceLabelsService | 字符串 | 资源所属的服务。 |
| ResourceLabelsTopicId | 字符串 | 与资源关联的主题 ID。 |
| ResourceLabelsUniqueId | 字符串 | 资源的唯一标识符。 |
| ResourceLabelsVersion | 字符串 | 正在记录的资源的版本。 |
| ResponseAuditConfigs | 字符串 | 响应中的审核配置。 |
| ResponseBindings | 字符串 | 响应中使用的绑定。 |
| 响应描述 | 字符串 | 响应的说明。 |
| ResponseDisplayName | 字符串 | 与响应相关联的显示名称。 |
| ResponseEmail | 字符串 | 与响应关联的电子邮件。 |
| ResponseEtag | 字符串 | 响应的 ETag 值。 |
| 响应组名称 | 字符串 | 响应的组名称。 |
| ResponseGroupTitle | 字符串 | 响应中组的标题。 |
| ResponseIncludedPermissions | 字符串 | 响应中包含的权限。 |
| ResponseKeyAlgorithm | 字符串 | 响应中使用的密钥算法。 |
| ResponseKeyOrigin | 字符串 | 响应中密钥的源。 |
| 响应键类型 | 字符串 | 响应中使用的密钥类型。 |
| 响应名称 | 字符串 | 与响应关联的名称。 |
| ResponseOauth2ClientId | 字符串 | 与响应关联的 OAuth2 客户端 ID。 |
| 响应私钥类型 | 字符串 | 响应中使用的私钥的类型。 |
| ResponseProjectId | 字符串 | 与响应关联的项目 ID。 |
| ResponseTitle | 字符串 | 与响应相关联的标题。 |
| 响应类型 | 字符串 | 正在返回的响应的类型。 |
| ResponseUniqueId | 字符串 | 响应的唯一标识符。 |
| ResponseValidAfterTimeSeconds | 字符串 | 响应生效的时间(以秒为单位)。 |
| ResponseValidBeforeTimeSeconds | 字符串 | 响应生效前的时间(以秒为单位)。 |
| ServiceDataPermissionDeltaAddedPermissions | 字符串 | 在服务数据策略中添加的权限。 |
| ServiceDataPermissionDeltaRemovedPermissions | 字符串 | 在服务数据策略中删除的权限。 |
| ServiceDataPolicyDeltaBindingDeltas | 字符串 | 响应中策略绑定的更改。 |
| 服务数据类型 | 字符串 | 要记录的服务数据类型。 |
| 服务名称 | 字符串 | 生成日志条目的服务的名称。 |
| 严重程度 | 字符串 | 日志条目或请求的严重性级别。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| 状态码 | 字符串 | 响应的 HTTP 或操作状态代码。 |
| 状态消息 | 字符串 | 与状态代码相关联的消息。 |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | 日期/时间 | 表示生成日志条目的时间的时间戳。 |
| 时间戳 | 日期/时间 | 日志条目或事件发生时的时间戳。 |
| 类型 | 字符串 | 表的名称 |