GCPFirewallLogs

借助 Google Cloud Platform (GCP) 防火墙日志,可以捕获网络入站和出站活动,从而监视所有 Google Cloud Platform (GCP) 资源中的访问和检测潜在威胁。

表属性

属性
资源类型 -
类别 安全性
解决方案 SecurityInsights
基本日志
引入时转换
示例查询 -

类型 说明
操作 字符串 防火墙规则的操作。
_BilledSize real 记录大小(字节)
DestIp 字符串 传入或传出网络流量尝试到达的目标设备或服务的 IP 地址。
DestPort 字符串 传入或传出网络流量尝试到达的目标设备或服务的端口。
方向 字符串 防火墙规则适用的方向。
Disposition 字符串 对符合给定规则的网络流量执行的最终操作。
GCPResourceType 字符串 与此资源关联的类型的标识符,例如“pubsub_subscription”。
InsertId 字符串 可选。 为日志条目提供唯一标识符后,日志记录可移除单个查询结果中具有相同时间戳和 insertId 的重复条目。
InstanceProjectId 字符串 与防火墙规则事件中涉及的实例关联的项目 ID。
InstanceRegion 字符串 与防火墙规则事件中涉及的实例关联的区域。
InstanceVmName 字符串 与防火墙规则事件中涉及的实例关联的虚拟机名称。
InstanceZone 字符串 与防火墙规则事件中涉及的实例关联的地区。
IpPortInfo 动态 规则端口和协议的相关信息。
_IsBillable 字符串 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
LogName 字符串 包括标识日志子类型(例如,管理活动、系统访问、数据访问)的后缀以及请求在层次结构中的位置的信息。
优先级 字符串 规则的优先级。
ProjectId 字符串 与此资源关联的 Google Cloud Platform (GCP) 项目的标识符,例如“my-project”。
协议 字符串 传入或传出网络流量尝试到达的目标设备或服务的协议。
参考 字符串 触发日志的规则。
RemoteLocationCity 字符串 基于资源位置的城市名称。
RemoteLocationContinent 字符串 基于资源位置的大陆名称。
RemoteLocationCountry 字符串 基于资源位置的国家/地区名称。
RemoteLocationRegion 字符串 基于资源位置的区域名称。
ResourceLocation 字符串 资源位置信息。
ResourceSubnetworkName 字符串 资源子网名称。
SourceRange 动态 规则适用的 IP 地址的范围。
SourceSystem 字符串 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure
SrcIp 字符串 传入或传出网络流量尝试到达的源设备或服务的 IP 地址。
SrcPort 字符串 传入或传出网络流量尝试到达的源设备或服务的端口。
SubnetworkId 字符串 资源子网 ID。
TenantId 字符串 Log Analytics 工作区 ID
TimeGenerated 日期/时间 日志记录收到日志条目的时间。
时间戳 日期/时间 发生日志条目描述的事件的时间。
类型 字符串 表的名称
VpName 字符串 适用防火墙规则的虚拟专用网 (VPC) 的名称。
VpProjectId 字符串 适用防火墙规则的虚拟专用网 (VPC) 的项目 ID。
VpSubnetworkName 字符串 适用防火墙规则的虚拟专用网 (VPC) 的子网名称。