从 Sentinel 的连接器引入的 Google Cloud Platform IAM 审核日志、与 Google Cloud 中的标识和访问管理 (IAM) 活动相关的 eAudit 日志。
特征 |
价值 |
资源类型 |
- |
类别 |
安全 |
解决方案 |
SecurityInsights |
基本日志 |
是的 |
引入时转换 |
否 |
示例查询 |
- |
列 |
类型 |
DESCRIPTION |
认证信息主体身份 |
字符串 |
与请求中经过身份验证的主体相关联的使用者。 |
认证信息主体邮箱 |
字符串 |
与执行作的主体(例如用户、服务帐户)关联的电子邮件地址。 |
授权信息主体 |
字符串 |
与执行操作的主体相关联的使用者或标识符。 |
授权信息服务账号委托信息 |
字符串 |
服务帐户的委派信息。 |
授权信息 |
字符串 |
与请求授权相关的信息。 |
_BilledSize(账单大小) |
真实 |
记录大小(字节) |
GCP资源名称 |
字符串 |
请求或记录的事件中涉及的资源的名称。 |
GCP资源类型 (GCPResourceType) |
字符串 |
请求中涉及的资源类型。 |
InsertId |
字符串 |
日志条目的唯一标识符,通常用于重复数据删除。 |
_是否计费 |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
日志名称 |
字符串 |
条目所在的日志的名称。 |
元数据身份委派链 |
字符串 |
请求的委派标识链。 |
MetadataMappedPrincipal |
字符串 |
元数据中的映射主体。 |
元数据类型 |
字符串 |
要提供的元数据的类型。 |
方法名称 |
字符串 |
要调用的方法的名称。 |
响应项数量 |
字符串 |
响应中返回的项数。 |
OperationFirst |
布尔 |
布尔值,指示这是否是序列中的第一个操作。 |
OperationId |
字符串 |
操作的唯一标识符。 |
OperationLast |
布尔 |
布尔值指示这是序列中的最后一个操作。 |
OperationProducer |
字符串 |
启动操作的创建器(系统或服务)。 |
载荷类型 |
字符串 |
正在处理或传输的有效负载的类型。 |
接收时间戳 |
日期时间 |
时间戳,表示系统接收日志条目的时间。 |
请求账号ID |
字符串 |
与请求关联的帐户 ID。 |
请求完整资源名称 |
字符串 |
请求的资源的完整名称。 |
请求授权类型 |
字符串 |
与请求关联的授予类型。 |
请求包含不活动的API角色 |
布尔 |
指示是否应在请求中包含非活动 API 角色的布尔值。 |
请求密钥类型 |
字符串 |
请求中涉及的密钥类型。 |
请求元数据调用者IP地址 |
字符串 |
请求源自的 IP 地址。 |
请求元数据调用方提供的用户代理 |
字符串 |
请求期间调用方提供的用户代理字符串。 |
请求元数据请求属性时间 |
字符串 |
请求元数据的时间相关属性。 |
请求名称 |
字符串 |
请求的名称。 |
请求选项请求的策略版本 |
字符串 |
请求的策略版本。 |
请求页面大小 |
字符串 |
分页请求中请求的页面的大小。 |
RequestPageToken |
字符串 |
请求中的分页令牌。 |
RequestParent |
字符串 |
请求的父资源。 |
请求政策审计配置 |
字符串 |
用于在请求策略中进行审核的配置。 |
请求策略绑定 |
字符串 |
与请求策略相关联的绑定配置。 |
RequestPolicyEtag |
字符串 |
请求策略的 ETag 值。 |
请求私钥类型 |
字符串 |
请求中使用的私钥的类型。 |
请求移除已删除的服务帐户 |
布尔 |
指示是否应删除已删除的服务帐户的布尔值。 |
请求的请求令牌类型 |
字符串 |
请求的令牌类型。 |
RequestResource |
字符串 |
所请求的资源。 |
请求角色描述 |
字符串 |
所需角色说明 |
角色请求ID |
字符串 |
角色的唯一标识符。 |
请求角色包含的权限 |
字符串 |
请求中角色所包含的权限。 |
请求角色标题 |
字符串 |
所请求的角色的标题。 |
请求服务账号描述 |
字符串 |
正在请求的服务帐户的说明。 |
请求服务帐户显示名称 |
字符串 |
正在请求的服务帐户的显示名称。 |
请求显示已删除内容 |
布尔 |
指示是否应在响应中包含已删除项的布尔值。 |
请求跳过可见性检查 |
布尔 |
指示是否应跳过请求的可见性检查的布尔值。 |
请求主体令牌类型 |
字符串 |
请求中使用的主题令牌的类型。 |
请求类型 |
字符串 |
正在发出的请求的类型。 |
请求更新掩码路径 |
字符串 |
请求中要更新的路径。 |
RequestView |
字符串 |
请求的视图或透视。 |
资源标签邮箱ID |
字符串 |
与资源关联的电子邮件标识符。 |
资源标签位置 |
字符串 |
资源的地理位置或逻辑位置。 |
ResourceLabelsMethod |
字符串 |
与资源关联的方法,通常用于筛选或分类。 |
ResourceLabelsProjectId |
字符串 |
要访问或记录的资源的项目 ID。 |
资源标签角色名称 |
字符串 |
与资源关联的角色的名称。 |
ResourceLabelsService |
字符串 |
资源所属的服务。 |
资源标签主题ID |
字符串 |
与资源关联的主题 ID。 |
ResourceLabelsUniqueId |
字符串 |
资源的唯一标识符。 |
资源标签版本 |
字符串 |
正在记录的资源的版本。 |
ResponseAuditConfigs |
字符串 |
响应中的审核配置。 |
响应绑定 |
字符串 |
响应中使用的绑定。 |
响应描述 |
字符串 |
响应的说明。 |
响应显示名称 |
字符串 |
与响应相关联的显示名称。 |
回复邮件 |
字符串 |
与响应关联的电子邮件。 |
ResponseEtag |
字符串 |
响应的 ETag 值。 |
响应组名称 |
字符串 |
响应的组名称。 |
响应组标题 |
字符串 |
响应中组的标题。 |
响应包含的权限 |
字符串 |
响应中包含的权限。 |
响应密钥算法 |
字符串 |
响应中使用的密钥算法。 |
响应密钥来源 |
字符串 |
响应中密钥的源。 |
响应键类型 |
字符串 |
响应中使用的密钥类型。 |
响应名称 |
字符串 |
与响应关联的名称。 |
ResponseOauth2ClientId |
字符串 |
与响应关联的 OAuth2 客户端 ID。 |
响应私钥类型 |
字符串 |
响应中使用的私钥的类型。 |
响应项目ID |
字符串 |
与响应关联的项目 ID。 |
响应标题 |
字符串 |
与响应相关联的标题。 |
响应类型 |
字符串 |
正在返回的响应的类型。 |
ResponseUniqueId(响应唯一标识符) |
字符串 |
响应的唯一标识符。 |
响应有效时间秒数 |
字符串 |
响应生效的时间(以秒为单位)。 |
响应有效期秒数 |
字符串 |
响应生效前的时间(以秒为单位)。 |
服务数据权限变更添加的权限 |
字符串 |
在服务数据策略中添加的权限。 |
服务数据权限变动删除的权限 |
字符串 |
在服务数据策略中删除的权限。 |
ServiceDataPolicyDeltaBindingDeltas |
字符串 |
响应中策略绑定的更改。 |
服务数据类型 |
字符串 |
要记录的服务数据类型。 |
服务名称 |
字符串 |
生成日志条目的服务的名称。 |
严重程度 |
字符串 |
日志条目或请求的严重性级别。 |
SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager (可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux ,或适用于 Azure Diagnostics 的 Azure 。 |
状态码 |
字符串 |
响应的 HTTP 或操作状态代码。 |
状态消息 |
字符串 |
与状态代码相关联的消息。 |
租户ID |
字符串 |
Log Analytics 工作区 ID |
TimeGenerated |
日期时间 |
表示生成日志条目的时间的时间戳。 |
时间戳 |
日期时间 |
日志条目或事件发生时的时间戳。 |
类型 |
字符串 |
表的名称 |