此堆栈通过创建一个具有最低权限的 IAM 角色来集成 Microsoft Sentinel,允许其访问存储在指定 S3 存储桶中的 S3 服务器访问日志,并将日志事件发送到 SQS 队列。
数据表属性
Attribute |
Value |
资源类型 |
- |
Categories |
安全性 |
Solutions |
SecurityInsights |
基本日志 |
是的 |
引入时转换 |
No |
示例查询 |
- |
Columns
Column |
类型 |
Description |
AccessPointARN |
字符串 |
用于请求的 S3 接入点的 Amazon 资源名称(ARN),如果未使用,则为“-”。 |
ACLRequired |
字符串 |
请求是否需要 ACL:“是”表示需要,否则为“-”。 |
AuthenticationType |
字符串 |
用于未经身份验证的请求的身份验证类型:AuthHeader、QueryString 或“-”。 |
_BilledSize |
real |
记录大小(字节) |
Bucket |
字符串 |
用于处理请求的 S3 存储桶的名称。 |
BucketOwner |
字符串 |
源存储桶所有者的规范用户 ID(另一种形式的 AWS 帐户 ID)。 |
BytesSent |
int |
响应字节数(不包括 HTTP 开销),或者为 0。 |
CipherSuite |
字符串 |
为 HTTPS 协商的 TLS 密码套件;如果是 HTTP,则为“-”。 |
ErrorCode |
字符串 |
响应中返回的 S3 错误代码,如果没有,则返回“-”。 |
HostHeader |
字符串 |
用于连接到 S3 的终结点(主机标头)。 |
HostId |
字符串 |
Amazon S3 扩展请求 ID (x-amz-id-2)。 |
HttpStatus |
int |
响应中返回的 HTTP 状态代码。 |
_IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
Key |
字符串 |
请求中涉及的对象键(名称)。 |
ObjectSize |
int |
对象的大小(以字节为单位)。 |
Operation |
字符串 |
操作类型(例如,REST.PUT.OBJECT,S3.LIFECYCLETRANSITION.OBJECT)。 |
Referer |
字符串 |
HTTP 引用标头(链接页面 URL)的值(如果存在)。 |
RemoteIp |
字符串 |
请求者的明显 IP 地址(可能被代理或防火墙遮盖)。 |
Requester |
字符串 |
Canonical 用户 ID、IAM 用户、发出请求的假定角色,如果未经过身份验证则为“-”。 |
RequestId |
字符串 |
Amazon S3 生成的唯一字符串 ID,用于标识请求。 |
RequestUri |
字符串 |
HTTP 请求的 URI 部分。 |
SignatureVersion |
字符串 |
用于验证请求的签名版本(SigV2 或 SigV4),或者在未进行身份验证时使用“-”。 |
SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager (可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux ,或适用于 Azure Diagnostics 的 Azure 。 |
TenantId |
字符串 |
Log Analytics 工作区 ID |
TimeGenerated |
日期/时间 |
S3 存储桶接收 AWS 服务器访问日志的时间(UTC)。 |
TLSVersion |
字符串 |
客户端使用的 TLS 版本(例如 TLSv1.2),如果未使用 TLS,则为“-”。 |
TotalTime |
int |
请求传输(从接收到发送最后一个响应字节)的总时间(毫秒)。 |
TurnAroundTime |
字符串 |
S3 处理请求所用的时间以毫秒为单位(从最后一个请求字节到第一个响应字节)。 |
类型 |
字符串 |
表的名称 |
UserAgent |
字符串 |
HTTP User-Agent 标头(例如客户端软件或浏览器)的值。 |
VersionId |
字符串 |
请求中涉及的对象的版本 ID;如果不适用,则为“-”。 |