你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Google Workspace Activities 数据连接器提供将活动事件从 Google Workspace API 引入 Microsoft Sentinel 的功能。
数据表属性
| 特征 | 价值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 是的 |
| 引入时转换 | 是的 |
| 示例查询 | - |
列
| 列 | 类型 | DESCRIPTION |
|---|---|---|
| AccountState | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 用于指示设备上的帐户状态的参数。 |
| ActorApplicationInfoApplicationName | 字符串 | 用于执行作的应用程序的名称。 |
| ActorApplicationInfoImpersonation | 布尔 | 应用程序是否正在模拟用户。 |
| ActorApplicationInfoOauthClientId | 字符串 | 用于执行作的第三方应用程序的 OAuth 客户端 ID。 |
| ActorCallerType | 字符串 | 执行组件的类型。 |
| ActorEmail | 字符串 | 执行组件的主要电子邮件地址。 如果没有与执行组件关联的电子邮件地址,则可能不存在。 |
| ActorIsCollaboratorAccount | 布尔 | 已弃用。 请改用 EventParameters 列查找此列的值。 指示执行者是否为协作者帐户。 |
| ActorKey | 字符串 | 仅当调用方类型为 KEY 时才存在。 可以是 OAuth 2LO API 请求的请求者consumer_key,也可以是机器人帐户的标识符。 |
| ActorProfileId | 字符串 | 执行组件的唯一 Google Workspace 配置文件 ID。 如果执行组件不是 Google Workspace 用户,则此值可能不存在,也可能是充当占位符 ID 的105250506097979753968数字。 |
| ApiKind | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 发出的 API 请求的类型。 |
| ApplicationEdition | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 Google Workspace 版本。 |
| 应用程序名称 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| 应用名称 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| 可计费 | 布尔 | 已弃用。 请改用 EventParameters 列查找此列的值。 此活动是否计费。 |
| _BilledSize(账单大小) | 真实 | 记录大小(字节) |
| BrowserVersion | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| CalendarId | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 在此操作的上下文中相关日历的日历 ID(例如,事件所在的日历,或要订阅的日历)。 通常采用用户的电子邮件地址形式。 |
| ChromeOrgUnitId | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| ClientId | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 已向其授予/撤销访问权限的客户端 ID。 |
| 客户类型 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| 内容哈希 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| ContentName | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| ContentRiskLevel | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| ContentSize | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| ContentTransferMethod | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| 内容类型 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| DestinationFolderId | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 目标文件夹的唯一标识符。 |
| 目标文件夹标题 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 目标文件夹的标题。 |
| DestUserUpn | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| DeviceId | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| 设备名称 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| DevicePlatform | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| 设备类型 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| DeviceUser | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| DocId | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 文档的唯一标识符。 |
| DocTitle | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 文档的标题。 |
| DocType | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 文档的类型。 |
| DstUserUpn | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| DvcGuid | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 所用设备的唯一标识符。 |
| DvcInterfaceGuid | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 设备接口的唯一标识符。 |
| DvcModelName | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 所使用的设备的模型名称。 |
| DvcModelNumber | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 所用设备的型号。 |
| DvcType | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 所使用的设备的类型。 |
| ETag | 字符串 | 条目的 ETag。 |
| 事件结束时间 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 事件的结束时间。 |
| 活动嘉宾 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 事件来宾的电子邮件地址。 |
| EventId | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 事件的唯一标识符。 |
| EventMessage | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 事件名称。 |
| 事件名称 | 字符串 | 事件的名称。 |
| EventOriginalMessage | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 一个表示事件链的数组,其中每个元素都是子事件。 |
| EventParameters | dynamic | 与事件关联的所有参数的 JSON。 |
| EventProduct | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 与事件关联的产品。 |
| EventResourceId | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| EventResourceName | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| 事件响应状态 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。事件的响应状态。 |
| EventResult | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| 事件开始时间 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 活动的开始时间。 |
| 活动标题 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 事件的标题。 |
| 事件类型 | 字符串 | 事件类型。 |
| EventUid | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 事件的唯一标识符。 |
| EventVendor | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 活动供应商。 |
| GroupDomain | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 组织单位 (OU) 名称(路径)。 |
| GroupEmail | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| IdApplicationName | 字符串 | 事件所属的应用程序名称。 |
| IdCustomerId | 字符串 | Google Workspace 帐户的唯一标识符。 |
| IdTime | 字符串 | 活动的出现时间。 这是在 UNIX 时期的时间(以秒为单位)。 |
| IdUniqueQualifier | 字符串 | 如果多个事件具有相同的时间,则唯一限定符。 |
| IosVendorId | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 iOS 设备的供应商 ID。 |
| IosVendorUID | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 iOS 设备的供应商 UID。 |
| _IsBillable | 字符串 | 指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| IsSecondFactor | 布尔 | 已弃用。 请改用 EventParameters 列查找此列的值。 指示事件是否涉及第二重身份验证尝试。 |
| IsSuspicious | 布尔 | 已弃用。 请改用 EventParameters 列查找此列的值。 指示事件是否被视为可疑事件。 |
| 种类 | 字符串 | API 资源的类型。 对于活动报告,值为 audit#activity。 |
| LastSyncAuditDate | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 上次同步审核的日期。 |
| LoginChallengeMethod | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 用于登录质询的方法。 |
| 登录挑战状态 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 登录质询的状态。 |
| LoginType | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 用于尝试登录的凭据类型。 |
| ModuleName | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 此产品名称的新许可证。 |
| NetworkInfoRegionCode | 字符串 | 执行作的用户的 ISO 3166-1 alpha-2 区域代码。 |
| NetworkInfoSubdivisionCode | 字符串 | 用户执行该作的国家/地区的 ISO 3166-2 区域代码(州和省)。 |
| NetworkIpAsn | dynamic | 执行作的用户的 IP 地址。 |
| NewValue | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| 通知消息ID | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 通知消息 ID。 |
| 通知方法 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 用于通知的方法。 |
| 通知类型 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 通知的类型。 |
| OldEventTitle | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 如果日历事件的标题已更改,则这是该事件的上一个标题。 |
| OldValue | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| OldVisibility | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 目标文件的先前可见性。 |
| 组织者日历ID | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 此事件的组织者的日历 ID。 |
| OrgUnitName | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| 来源应用程序ID | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 执行操作的应用程序的 Google Cloud Project ID。 |
| OsProperty | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 操作系统属性。 |
| 所有者 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 事件中涉及的资源的所有者。 |
| 所有者域 | 字符串 | 这是受报表事件影响的域。 例如管理控制台或驱动器应用程序的文档所有者的域。 |
| OwnerEmail | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| OwnerIsSharedDrive | 布尔 | 已弃用。 请改用 EventParameters 列查找此列的值。 指示所有者是否为共享驱动器。 |
| OwnerIsTeamDrive | 布尔 | 已弃用。 请改用 EventParameters 列查找此列的值。 指示所有者是否为团队驱动器。 |
| 主要事件 | 布尔 | 已弃用。 请改用 EventParameters 列查找此列的值。 指示事件是否为事件链中的主事件。 |
| ProcessName | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 已更改的设置的唯一名称 (ID)。 |
| ProfileUserName | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| RegisterPrivelege | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 设备策略应用对用户设备的权限。 |
| Resource_Id | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 设备的唯一资源 ID。 |
| 资源详情 | dynamic | 执行作的资源的详细信息。 |
| 角色名称 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 分配给用户的角色的唯一名称(ID)。 |
| 规则名称 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| ScanId | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| Scope | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 访问请求的范围。 |
| 范围数据 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 与范围相关的其他数据。 |
| 序列号 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 设备的序列号。 |
| SharedDriveId | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| 源文件夹ID (SourceFolderId) | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 如果文档位于共享驱动器中,则表示其所在源文件夹的 ID。 |
| 源文件夹标题 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 如果文档位于共享驱动器中,则表示其所在源文件夹的标题。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| SrcIpAddr | 字符串 | 执行作的用户的 IP 地址。 |
| TargetCalendarId | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 事件对应的日历的 ID。 |
| TargetDomain | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| TargetUserDomain | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 事件所针对的域。 |
| 目标用户名 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 事件面向的用户。 |
| TeamDriveId | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | 日期/时间 | 生成日志的时间。 |
| 时间戳 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| TriggerDestination | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| TriggerSource | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| TriggerType | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| 类型 | 字符串 | 表的名称 |
| 网址 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| UserAadid | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 此 ID 有助于将事件和活动与正确的 Google Workspace 租户相关联。 |
| 用户代理 (UserAgent) | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| UserAgentOriginal | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 触发此动作的请求中包含的用户代理。 |
| 用户邮箱 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| 价值 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| VirtualDeviceId | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| 能见度 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |
| 可见性变化 | 字符串 | 已弃用。 请改用 EventParameters 列查找此列的值。 |