你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Google Cloud Platform Resource Manager 数据连接器提供了使用云资源管理器 API 将 Resource Manager 管理员活动和数据访问审核日志 引入 Microsoft Sentinel 的功能。 有关更多详细信息,请参阅 产品概述 文档。
数据表属性
| 特征 | 价值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 是的 |
| 引入时转换 | 否 |
| 示例查询 | - |
列
| 列 | 类型 | DESCRIPTION |
|---|---|---|
| 身份验证信息主体电子邮件 | 字符串 | 发出请求的经过身份验证的主体的电子邮件地址。 |
| AuthenticationInfoPrincipalSubject | 字符串 | 主体的唯一主体标识符(适用于联合标识)。 |
| AuthenticationInfoServiceAccountKeyName | 字符串 | 用于对请求进行身份验证的服务帐户密钥的资源名称。 |
| 授权信息 | 字符串 | 有关执行的授权检查的详细信息,包括评估的权限。 |
| _BilledSize(账单大小) | 真实 | 记录大小(字节) |
| GCP资源名称 (GCPResourceName) | 字符串 | 操作所作用的资源名称。 |
| GCP资源类型 (GCPResourceType) | 字符串 | 作中涉及的资源类型(例如项目、文件夹、组织)。 |
| InsertID | 字符串 | 用于去重的日志条目的唯一 ID。 |
| _IsBillable | 字符串 | 指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| LogName (日志名称) | 字符串 | 日志的完整资源名称(例如 projects/[PROJECT_ID]/logs/[LOG_ID])。 |
| MetadataParentDeltaDestinationParentId | 字符串 | 资源在父级之间移动时的目标父 ID(例如文件夹或组织)。 |
| MetadataParentDeltaDestinationParentType | 字符串 | 目标父级的类型(例如文件夹、组织)。 |
| MetadataParentDeltaSourceParentId | 字符串 | 移动之前资源的原始父项 ID。 |
| MetadataParentDeltaSourceParentType | 字符串 | 源父类型(例如文件夹、组织)。 |
| 元数据类型 | 字符串 | 与日志条目关联的元数据的类型。 |
| 方法名称 | 字符串 | 调用的 API 方法(例如 google.cloud.resourcemanager.v3.Projects.CreateProject)。 |
| NumResponseItems | 字符串 | 响应中返回的项数(如果适用)。 |
| OperationFirst | 布尔 | 指示这是否是长时间运行操作的第一个日志条目。 |
| 操作ID | 字符串 | 跨相关日志项目共享的长时间运行的操作的标识符。 |
| OperationLast | 布尔 | 指示这是否是长时间运行操作的最后一个日志条目。 |
| OperationProducer | 字符串 | 操作的生产者名称(例如执行操作的 GCP 服务)。 |
| 载荷类型 | 字符串 | 日志负载的类型(例如 protoPayload、textPayload)。 |
| 接收时间戳 | 日期/时间 | 日志条目被云日志接收的时间。 |
| RequestConstraint | 字符串 | 请求中指定的组织策略约束。 |
| 请求创建时间 | 日期/时间 | 在请求中指定的资源创建时的时间戳。 |
| RequestCustomConstraint (请求自定义约束) | 字符串 | 请求中指定的自定义约束配置。 |
| RequestDestinationParent | 字符串 | 在资源移动中使用的目标父级的资源名称。 |
| 请求文件夹显示名称 | 字符串 | 请求中提供的文件夹的显示名称。 |
| RequestFolderParent | 字符串 | 请求中指定的文件夹的父资源。 |
| RequestLifecycleState | 字符串 | 请求中资源的生命周期状态(例如 ACTIVE、DELETE_REQUESTED)。 |
| RequestListValue | 字符串 | 请求中指定的值列表(例如标记、约束)。 |
| RequestMetadataCallerIP | 字符串 | 发出请求的调用方 IP 地址。 |
| RequestMetadataCallerSuppliedUserAgent | 字符串 | 调用方客户端应用程序提供的用户代理字符串。 |
| RequestMetadataDestinationAttributes | 字符串 | 有关请求目标的元数据,例如端口或协议。 |
| RequestMetadataRequestAttributesAuth | 字符串 | 与请求相关的身份验证属性,例如权限选择器或主体电子邮件。 |
| 请求元数据请求属性原因 | 字符串 | 发出请求的原因或理由(如果提供)。 |
| RequestMetadataRequestAttributesTime | 日期/时间 | 发出请求时的时间戳。 |
| 请求名称 | 字符串 | 请求所针对的资源的名称或 ID。 |
| RequestOptionsRequestedPolicyVersion | 字符串 | 请求的 IAM 策略格式版本。 |
| RequestPageSize | 字符串 | 列表请求中每页返回的结果数量。 |
| RequestParent | 字符串 | 发出请求时所依据的父资源(例如文件夹或组织)。 |
| RequestPolicyAuditConfigs | 字符串 | 策略请求中定义的审核配置设置。 |
| RequestPolicyBindings | 字符串 | IAM 策略请求中定义的角色绑定列表。 |
| RequestPolicyEtag | 字符串 | 用于策略请求中并发控制的 ETag。 |
| RequestPolicyName | 字符串 | 请求中正在修改的策略的资源名称。 |
| RequestPolicySpec | 字符串 | 所应用的组织策略的详细规范。 |
| 请求项目创建时间 | 日期/时间 | 根据请求创建项目的时间。 |
| RequestProjectId | 字符串 | 与请求关联的项目 ID。 |
| RequestProjectLabels | 字符串 | 请求中为项目分配的键值标签。 |
| 请求项目生命周期状态 (RequestProjectLifecycleState) | 字符串 | 项目的生命周期状态(例如 ACTIVE、DELETE_REQUESTED)。 |
| 请求项目名称 | 字符串 | 请求中指定的项目的显示名称。 |
| RequestProjectParent | 字符串 | 在其中创建项目的父资源(文件夹或组织)。 |
| RequestProjectProjectId | 字符串 | 请求中提供的唯一项目 ID。 |
| RequestProjectProjectNumber | 字符串 | 数字项目标识符。 |
| RequestQuery | 字符串 | 用于筛选结果的查询字符串(例如,在搜索或列表作中)。 |
| RequestResource | 字符串 | 请求中包含的资源的完整表示形式。 |
| RequestTagBindingParent | 字符串 | 标记要绑定到的资源的全名。 |
| RequestTagBindingTagValue | 字符串 | 绑定到请求中的资源的标记值。 |
| RequestTagKeyName | 字符串 | 请求中引用的标记键的完整资源名称。 |
| 请求标签值名称 | 字符串 | 请求中标签值的完整资源名称。 |
| 请求类型 | 字符串 | 正在发出的请求类型(例如,创建、更新、删除)。 |
| 请求更新掩码 | 字符串 | 一个逗号分隔的列表,指定要在部分更新请求中更新的字段。 |
| ResourceLabelsFolderId | 字符串 | 与资源关联的文件夹 ID。 |
| ResourceLabelsMethod | 字符串 | 用于日志筛选的方法名称标签。 |
| ResourceLabelsOrganizationId | 字符串 | 与资源关联的组织 ID。 |
| ResourceLabelsProjectId | 字符串 | 与资源关联的项目 ID。 |
| ResourceLabelsService | 字符串 | 用于在日志中筛选的服务名称标签。 |
| ResponseAuditConfigs | 字符串 | 响应中返回的审核配置。 |
| ResponseBindings | 字符串 | 响应中包含的 IAM 角色绑定。 |
| 响应创建时间 | 日期/时间 | 创建资源的时间戳,如响应中返回。 |
| 响应描述 | 字符串 | 响应中返回的资源或结果的说明。 |
| ResponseDisplayName | 字符串 | 响应中返回的资源的显示名称。 |
| ResponseEtag | 字符串 | 用于响应中的并发控制的 ETag。 |
| ResponseLabels | 字符串 | 响应中与资源关联的键值标签。 |
| 响应生命周期状态 (ResponseLifecycleState) | 字符串 | 响应中资源的生命周期状态(例如 ACTIVE、DELETE_REQUESTED)。 |
| 响应名称 | 字符串 | 响应中返回的完整资源名称。 |
| ResponseNamespacedName | 字符串 | 资源的命名空间标识符(用于标记)。 |
| ResponseParent | 字符串 | 与响应关联的父资源名称。 |
| 响应策略规范 | 字符串 | 响应中返回的策略规范(组织策略或 IAM 策略)。 |
| ResponseProjectId | 字符串 | 响应中返回的项目 ID。 |
| ResponseProjectNumber | 字符串 | 响应中返回的项目 ID。 |
| ResponseShortName | 字符串 | 响应中返回的资源的短用户定义名称。 |
| ResponseState | 字符串 | 资源的当前状态(例如 ACTIVE、DELETED)。 |
| ResponseTagKey | 字符串 | 与响应中返回的资源关联的标记键。 |
| 响应标签值 | 字符串 | 与响应中的资源关联的标记值。 |
| ResponseTagValueNamespacedName | 字符串 | 用于标签值的完全限定名称(包括标签键)。 |
| 响应类型 | 字符串 | 响应有效负载的类型。 |
| 响应更新时间 | 日期/时间 | 资源的上次更新时间,如响应所示。 |
| ServiceDataPolicyDeltaBindingDeltas | 字符串 | IAM 绑定的更改(添加或删除),作为策略增量的一部分。 |
| 服务数据类型 | 字符串 | 响应中返回的服务特定数据类型。 |
| 服务名称 | 字符串 | 处理请求的 GCP 服务的名称(例如,cloudresourcemanager.googleapis.com)。 |
| 严重程度 | 字符串 | 表示事件严重性的“日志级别”(例如 INFO、ERROR)。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| 状态 | 字符串 | 请求的状态,包括错误代码和消息(如果作失败)。 |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | 日期/时间 | 记录接收日志项目的时间。 |
| 时间戳 | 日期/时间 | 发生日志条目描述的事件的时间。 |
| 类型 | 字符串 | 表的名称 |