GCPIAM

从 Sentinel 的连接器引入的 Google Cloud Platform IAM 审核日志、与 Google Cloud 中的标识和访问管理 (IAM) 活动相关的 eAudit 日志。

数据表属性

特征 价值
资源类型 -
类别 安全
解决方案 SecurityInsights
基本日志 是的
引入时转换
示例查询 -

类型 DESCRIPTION
认证信息主体身份 字符串 与请求中经过身份验证的主体相关联的使用者。
认证信息主体邮箱 字符串 与执行作的主体(例如用户、服务帐户)关联的电子邮件地址。
授权信息主体 字符串 与执行操作的主体相关联的使用者或标识符。
授权信息服务账号委托信息 字符串 服务帐户的委派信息。
授权信息 字符串 与请求授权相关的信息。
_BilledSize(账单大小) 真实 记录大小(字节)
GCP资源名称 字符串 请求或记录的事件中涉及的资源的名称。
GCP资源类型 (GCPResourceType) 字符串 请求中涉及的资源类型。
InsertId 字符串 日志条目的唯一标识符,通常用于重复数据删除。
_是否计费 字符串 指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
日志名称 字符串 条目所在的日志的名称。
元数据身份委派链 字符串 请求的委派标识链。
MetadataMappedPrincipal 字符串 元数据中的映射主体。
元数据类型 字符串 要提供的元数据的类型。
方法名称 字符串 要调用的方法的名称。
响应项数量 字符串 响应中返回的项数。
OperationFirst 布尔 布尔值,指示这是否是序列中的第一个操作。
OperationId 字符串 操作的唯一标识符。
OperationLast 布尔 布尔值指示这是序列中的最后一个操作。
OperationProducer 字符串 启动操作的创建器(系统或服务)。
载荷类型 字符串 正在处理或传输的有效负载的类型。
接收时间戳 日期时间 时间戳,表示系统接收日志条目的时间。
请求账号ID 字符串 与请求关联的帐户 ID。
请求完整资源名称 字符串 请求的资源的完整名称。
请求授权类型 字符串 与请求关联的授予类型。
请求包含不活动的API角色 布尔 指示是否应在请求中包含非活动 API 角色的布尔值。
请求密钥类型 字符串 请求中涉及的密钥类型。
请求元数据调用者IP地址 字符串 请求源自的 IP 地址。
请求元数据调用方提供的用户代理 字符串 请求期间调用方提供的用户代理字符串。
请求元数据请求属性时间 字符串 请求元数据的时间相关属性。
请求名称 字符串 请求的名称。
请求选项请求的策略版本 字符串 请求的策略版本。
请求页面大小 字符串 分页请求中请求的页面的大小。
RequestPageToken 字符串 请求中的分页令牌。
RequestParent 字符串 请求的父资源。
请求政策审计配置 字符串 用于在请求策略中进行审核的配置。
请求策略绑定 字符串 与请求策略相关联的绑定配置。
RequestPolicyEtag 字符串 请求策略的 ETag 值。
请求私钥类型 字符串 请求中使用的私钥的类型。
请求移除已删除的服务帐户 布尔 指示是否应删除已删除的服务帐户的布尔值。
请求的请求令牌类型 字符串 请求的令牌类型。
RequestResource 字符串 所请求的资源。
请求角色描述 字符串 所需角色说明
角色请求ID 字符串 角色的唯一标识符。
请求角色包含的权限 字符串 请求中角色所包含的权限。
请求角色标题 字符串 所请求的角色的标题。
请求服务账号描述 字符串 正在请求的服务帐户的说明。
请求服务帐户显示名称 字符串 正在请求的服务帐户的显示名称。
请求显示已删除内容 布尔 指示是否应在响应中包含已删除项的布尔值。
请求跳过可见性检查 布尔 指示是否应跳过请求的可见性检查的布尔值。
请求主体令牌类型 字符串 请求中使用的主题令牌的类型。
请求类型 字符串 正在发出的请求的类型。
请求更新掩码路径 字符串 请求中要更新的路径。
RequestView 字符串 请求的视图或透视。
资源标签邮箱ID 字符串 与资源关联的电子邮件标识符。
资源标签位置 字符串 资源的地理位置或逻辑位置。
ResourceLabelsMethod 字符串 与资源关联的方法,通常用于筛选或分类。
ResourceLabelsProjectId 字符串 要访问或记录的资源的项目 ID。
资源标签角色名称 字符串 与资源关联的角色的名称。
ResourceLabelsService 字符串 资源所属的服务。
资源标签主题ID 字符串 与资源关联的主题 ID。
ResourceLabelsUniqueId 字符串 资源的唯一标识符。
资源标签版本 字符串 正在记录的资源的版本。
ResponseAuditConfigs 字符串 响应中的审核配置。
响应绑定 字符串 响应中使用的绑定。
响应描述 字符串 响应的说明。
响应显示名称 字符串 与响应相关联的显示名称。
回复邮件 字符串 与响应关联的电子邮件。
ResponseEtag 字符串 响应的 ETag 值。
响应组名称 字符串 响应的组名称。
响应组标题 字符串 响应中组的标题。
响应包含的权限 字符串 响应中包含的权限。
响应密钥算法 字符串 响应中使用的密钥算法。
响应密钥来源 字符串 响应中密钥的源。
响应键类型 字符串 响应中使用的密钥类型。
响应名称 字符串 与响应关联的名称。
ResponseOauth2ClientId 字符串 与响应关联的 OAuth2 客户端 ID。
响应私钥类型 字符串 响应中使用的私钥的类型。
响应项目ID 字符串 与响应关联的项目 ID。
响应标题 字符串 与响应相关联的标题。
响应类型 字符串 正在返回的响应的类型。
ResponseUniqueId(响应唯一标识符) 字符串 响应的唯一标识符。
响应有效时间秒数 字符串 响应生效的时间(以秒为单位)。
响应有效期秒数 字符串 响应生效前的时间(以秒为单位)。
服务数据权限变更添加的权限 字符串 在服务数据策略中添加的权限。
服务数据权限变动删除的权限 字符串 在服务数据策略中删除的权限。
ServiceDataPolicyDeltaBindingDeltas 字符串 响应中策略绑定的更改。
服务数据类型 字符串 要记录的服务数据类型。
服务名称 字符串 生成日志条目的服务的名称。
严重程度 字符串 日志条目或请求的严重性级别。
SourceSystem 字符串 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure
状态码 字符串 响应的 HTTP 或操作状态代码。
状态消息 字符串 与状态代码相关联的消息。
租户ID 字符串 Log Analytics 工作区 ID
TimeGenerated 日期时间 表示生成日志条目的时间的时间戳。
时间戳 日期时间 日志条目或事件发生时的时间戳。
类型 字符串 表的名称