借助 Google Cloud Platform (GCP) 防火墙日志,可以捕获网络入站和出站活动,从而监视所有 Google Cloud Platform (GCP) 资源中的访问和检测潜在威胁。
表属性
| 属性 |
值 |
|
资源类型 |
- |
|
类别 |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是 |
|
引入时转换 |
否 |
|
示例查询 |
- |
列
| 列 |
类型 |
说明 |
| 操作 |
字符串 |
防火墙规则的操作。 |
| _BilledSize |
real |
记录大小(字节) |
| DestIp |
字符串 |
传入或传出网络流量尝试到达的目标设备或服务的 IP 地址。 |
| DestPort |
字符串 |
传入或传出网络流量尝试到达的目标设备或服务的端口。 |
| 方向 |
字符串 |
防火墙规则适用的方向。 |
| Disposition |
字符串 |
对符合给定规则的网络流量执行的最终操作。 |
| GCPResourceType |
字符串 |
与此资源关联的类型的标识符,例如“pubsub_subscription”。 |
| InsertId |
字符串 |
可选。 为日志条目提供唯一标识符后,日志记录可移除单个查询结果中具有相同时间戳和 insertId 的重复条目。 |
| InstanceProjectId |
字符串 |
与防火墙规则事件中涉及的实例关联的项目 ID。 |
| InstanceRegion |
字符串 |
与防火墙规则事件中涉及的实例关联的区域。 |
| InstanceVmName |
字符串 |
与防火墙规则事件中涉及的实例关联的虚拟机名称。 |
| InstanceZone |
字符串 |
与防火墙规则事件中涉及的实例关联的地区。 |
| IpPortInfo |
动态 |
规则端口和协议的相关信息。 |
| _IsBillable |
字符串 |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| LogName |
字符串 |
包括标识日志子类型(例如,管理活动、系统访问、数据访问)的后缀以及请求在层次结构中的位置的信息。 |
| 优先级 |
字符串 |
规则的优先级。 |
| ProjectId |
字符串 |
与此资源关联的 Google Cloud Platform (GCP) 项目的标识符,例如“my-project”。 |
| 协议 |
字符串 |
传入或传出网络流量尝试到达的目标设备或服务的协议。 |
| 参考 |
字符串 |
触发日志的规则。 |
| RemoteLocationCity |
字符串 |
基于资源位置的城市名称。 |
| RemoteLocationContinent |
字符串 |
基于资源位置的大陆名称。 |
| RemoteLocationCountry |
字符串 |
基于资源位置的国家/地区名称。 |
| RemoteLocationRegion |
字符串 |
基于资源位置的区域名称。 |
| ResourceLocation |
字符串 |
资源位置信息。 |
| ResourceSubnetworkName |
字符串 |
资源子网名称。 |
| SourceRange |
动态 |
规则适用的 IP 地址的范围。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| SrcIp |
字符串 |
传入或传出网络流量尝试到达的源设备或服务的 IP 地址。 |
| SrcPort |
字符串 |
传入或传出网络流量尝试到达的源设备或服务的端口。 |
| SubnetworkId |
字符串 |
资源子网 ID。 |
| TenantId |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期/时间 |
日志记录收到日志条目的时间。 |
| 时间戳 |
日期/时间 |
发生日志条目描述的事件的时间。 |
| 类型 |
字符串 |
表的名称 |
| VpName |
字符串 |
适用防火墙规则的虚拟专用网 (VPC) 的名称。 |
| VpProjectId |
字符串 |
适用防火墙规则的虚拟专用网 (VPC) 的项目 ID。 |
| VpSubnetworkName |
字符串 |
适用防火墙规则的虚拟专用网 (VPC) 的子网名称。 |