GCPResourceManager(GCP 资源管理器)

Google Cloud Platform Resource Manager 数据连接器提供了使用云资源管理器 API 将 Resource Manager 管理员活动和数据访问审核日志 引入 Microsoft Sentinel 的功能。 有关更多详细信息,请参阅 产品概述 文档。

数据表属性

特征 价值
资源类型 -
类别 安全性
解决方案 SecurityInsights
基本日志 是的
引入时转换
示例查询 -

类型 DESCRIPTION
身份验证信息主体电子邮件 字符串 发出请求的经过身份验证的主体的电子邮件地址。
AuthenticationInfoPrincipalSubject 字符串 主体的唯一主体标识符(适用于联合标识)。
AuthenticationInfoServiceAccountKeyName 字符串 用于对请求进行身份验证的服务帐户密钥的资源名称。
授权信息 字符串 有关执行的授权检查的详细信息,包括评估的权限。
_BilledSize(账单大小) 真实 记录大小(字节)
GCP资源名称 (GCPResourceName) 字符串 操作所作用的资源名称。
GCP资源类型 (GCPResourceType) 字符串 作中涉及的资源类型(例如项目、文件夹、组织)。
InsertID 字符串 用于去重的日志条目的唯一 ID。
_IsBillable 字符串 指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
LogName (日志名称) 字符串 日志的完整资源名称(例如 projects/[PROJECT_ID]/logs/[LOG_ID])。
MetadataParentDeltaDestinationParentId 字符串 资源在父级之间移动时的目标父 ID(例如文件夹或组织)。
MetadataParentDeltaDestinationParentType 字符串 目标父级的类型(例如文件夹、组织)。
MetadataParentDeltaSourceParentId 字符串 移动之前资源的原始父项 ID。
MetadataParentDeltaSourceParentType 字符串 源父类型(例如文件夹、组织)。
元数据类型 字符串 与日志条目关联的元数据的类型。
方法名称 字符串 调用的 API 方法(例如 google.cloud.resourcemanager.v3.Projects.CreateProject)。
NumResponseItems 字符串 响应中返回的项数(如果适用)。
OperationFirst 布尔 指示这是否是长时间运行操作的第一个日志条目。
操作ID 字符串 跨相关日志项目共享的长时间运行的操作的标识符。
OperationLast 布尔 指示这是否是长时间运行操作的最后一个日志条目。
OperationProducer 字符串 操作的生产者名称(例如执行操作的 GCP 服务)。
载荷类型 字符串 日志负载的类型(例如 protoPayload、textPayload)。
接收时间戳 日期/时间 日志条目被云日志接收的时间。
RequestConstraint 字符串 请求中指定的组织策略约束。
请求创建时间 日期/时间 在请求中指定的资源创建时的时间戳。
RequestCustomConstraint (请求自定义约束) 字符串 请求中指定的自定义约束配置。
RequestDestinationParent 字符串 在资源移动中使用的目标父级的资源名称。
请求文件夹显示名称 字符串 请求中提供的文件夹的显示名称。
RequestFolderParent 字符串 请求中指定的文件夹的父资源。
RequestLifecycleState 字符串 请求中资源的生命周期状态(例如 ACTIVE、DELETE_REQUESTED)。
RequestListValue 字符串 请求中指定的值列表(例如标记、约束)。
RequestMetadataCallerIP 字符串 发出请求的调用方 IP 地址。
请求元数据调用方提供的用户代理 字符串 调用方客户端应用程序提供的用户代理字符串。
RequestMetadataDestinationAttributes 字符串 有关请求目标的元数据,例如端口或协议。
RequestMetadataRequestAttributesAuth 字符串 与请求相关的身份验证属性,例如权限选择器或主体电子邮件。
请求元数据请求属性原因 字符串 发出请求的原因或理由(如果提供)。
RequestMetadataRequestAttributesTime 日期/时间 发出请求时的时间戳。
请求名称 字符串 请求所针对的资源的名称或 ID。
RequestOptionsRequestedPolicyVersion 字符串 请求的 IAM 策略格式版本。
RequestPageSize 字符串 列表请求中每页返回的结果数量。
RequestParent 字符串 发出请求时所依据的父资源(例如文件夹或组织)。
RequestPolicyAuditConfigs 字符串 策略请求中定义的审核配置设置。
RequestPolicyBindings 字符串 IAM 策略请求中定义的角色绑定列表。
RequestPolicyEtag 字符串 用于策略请求中并发控制的 ETag。
RequestPolicyName 字符串 请求中正在修改的策略的资源名称。
RequestPolicySpec 字符串 所应用的组织策略的详细规范。
请求项目创建时间 日期/时间 根据请求创建项目的时间。
RequestProjectId 字符串 与请求关联的项目 ID。
RequestProjectLabels 字符串 请求中为项目分配的键值标签。
请求项目生命周期状态 (RequestProjectLifecycleState) 字符串 项目的生命周期状态(例如 ACTIVE、DELETE_REQUESTED)。
请求项目名称 字符串 请求中指定的项目的显示名称。
RequestProjectParent 字符串 在其中创建项目的父资源(文件夹或组织)。
RequestProjectProjectId 字符串 请求中提供的唯一项目 ID。
RequestProjectProjectNumber 字符串 数字项目标识符。
RequestQuery 字符串 用于筛选结果的查询字符串(例如,在搜索或列表作中)。
RequestResource 字符串 请求中包含的资源的完整表示形式。
RequestTagBindingParent 字符串 标记要绑定到的资源的全名。
RequestTagBindingTagValue 字符串 绑定到请求中的资源的标记值。
RequestTagKeyName 字符串 请求中引用的标记键的完整资源名称。
请求标签值名称 字符串 请求中标签值的完整资源名称。
请求类型 字符串 正在发出的请求类型(例如,创建、更新、删除)。
请求更新掩码 字符串 一个逗号分隔的列表,指定要在部分更新请求中更新的字段。
ResourceLabelsFolderId 字符串 与资源关联的文件夹 ID。
ResourceLabelsMethod 字符串 用于日志筛选的方法名称标签。
ResourceLabelsOrganizationId 字符串 与资源关联的组织 ID。
ResourceLabelsProjectId 字符串 与资源关联的项目 ID。
ResourceLabelsService 字符串 用于在日志中筛选的服务名称标签。
ResponseAuditConfigs 字符串 响应中返回的审核配置。
ResponseBindings 字符串 响应中包含的 IAM 角色绑定。
响应创建时间 日期/时间 创建资源的时间戳,如响应中返回。
响应描述 字符串 响应中返回的资源或结果的说明。
ResponseDisplayName 字符串 响应中返回的资源的显示名称。
ResponseEtag 字符串 用于响应中的并发控制的 ETag。
ResponseLabels 字符串 响应中与资源关联的键值标签。
响应生命周期状态 (ResponseLifecycleState) 字符串 响应中资源的生命周期状态(例如 ACTIVE、DELETE_REQUESTED)。
响应名称 字符串 响应中返回的完整资源名称。
ResponseNamespacedName 字符串 资源的命名空间标识符(用于标记)。
ResponseParent 字符串 与响应关联的父资源名称。
响应策略规范 字符串 响应中返回的策略规范(组织策略或 IAM 策略)。
ResponseProjectId 字符串 响应中返回的项目 ID。
ResponseProjectNumber 字符串 响应中返回的项目 ID。
ResponseShortName 字符串 响应中返回的资源的短用户定义名称。
ResponseState 字符串 资源的当前状态(例如 ACTIVE、DELETED)。
ResponseTagKey 字符串 与响应中返回的资源关联的标记键。
响应标签值 字符串 与响应中的资源关联的标记值。
ResponseTagValueNamespacedName 字符串 用于标签值的完全限定名称(包括标签键)。
响应类型 字符串 响应有效负载的类型。
响应更新时间 日期/时间 资源的上次更新时间,如响应所示。
ServiceDataPolicyDeltaBindingDeltas 字符串 IAM 绑定的更改(添加或删除),作为策略增量的一部分。
服务数据类型 字符串 响应中返回的服务特定数据类型。
服务名称 字符串 处理请求的 GCP 服务的名称(例如,cloudresourcemanager.googleapis.com)。
严重程度 字符串 表示事件严重性的“日志级别”(例如 INFO、ERROR)。
SourceSystem 字符串 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure
状态 字符串 请求的状态,包括错误代码和消息(如果作失败)。
租户ID 字符串 Log Analytics 工作区 ID
TimeGenerated 日期/时间 记录接收日志项目的时间。
时间戳 日期/时间 发生日志条目描述的事件的时间。
类型 字符串 表的名称