從 Sentinel 連接器擷取的 Google Cloud Platform IAM 稽核記錄,與 Google Cloud 中的身分識別和存取管理 (IAM) 活動相關的 eAudit 記錄。
數據表屬性
| 屬性 |
價值觀 |
|
資源類型 |
- |
|
類別 |
安全性 |
|
解決方案 |
SecurityInsights |
|
基本記錄 |
是的 |
|
資料引入時進行的轉換 |
是的 |
|
範例查詢 |
- |
欄位
| 資料行 |
類型 |
說明 |
| 認證資訊主要主體 |
字串 |
與要求中已驗證主體相關聯的主題。 |
| 認證資訊主要電子郵件 |
字串 |
進行動作的主體(例如使用者、服務帳戶)所相關聯的電子郵件地址。 |
| 認證資訊主要主體 |
字串 |
與執行動作之主體相關聯的主體或標識符。 |
| AuthInfo服務帳戶授權資訊 |
字串 |
服務帳戶的委派資訊。 |
| 授權資訊 |
字串 |
與要求授權相關的資訊。 |
| _BilledSize (帳單大小) |
真實 |
以位元組為單位的記錄大小 |
| GCP資源名稱 (GCPResourceName) |
字串 |
要求或記錄事件所涉及的資源名稱。 |
| GCP資源類型 |
字串 |
要求所涉及的資源類型。 |
| InsertId |
字串 |
日誌條目的唯一識別碼,通常用於去重處理。 |
| _IsBillable // 是否可計費 |
字串 |
指定輸入數據是否會產生費用。 當 _IsBillable 為 false 時,此操作不會向您的 Azure 帳戶收費 |
| 日誌名稱 |
字串 |
條目所在的日誌名稱。 |
| Metadata 身份委派鏈 |
字串 |
要求的委派身分識別鏈結。 |
| MetadataMappedPrincipal |
字串 |
元數據中的對應主體。 |
| 中繼資料類型 |
字串 |
所提供元數據的類型。 |
| 方法名稱 |
字串 |
要叫用之方法的名稱。 |
| NumResponseItems (回應項目數量) |
字串 |
回應中傳回的項目數。 |
| OperationFirst |
布爾 (bool) |
布爾值,指出這是否為序列中的第一個作業。 |
| OperationId |
字串 |
作業的唯一標識碼。 |
| OperationLast |
布爾 (bool) |
布爾值,指出這是否為序列中的最後一個作業。 |
| OperationProducer |
字串 |
起始作業的產生者(系統或服務)。 |
| 載荷類型 |
字串 |
正在處理或傳輸的承載類型。 |
| 接收時間戳 |
日期時間 |
時間戳,表示系統收到記錄項目的時間。 |
| 帳戶請求ID |
字串 |
與要求相關聯的帳戶標識碼。 |
| 請求完整資源名稱 |
字串 |
要求之資源的完整名稱。 |
| 請求授權類型 |
字串 |
與要求相關聯的授與類型。 |
| 要求包含非活躍的API角色 |
布爾 (bool) |
布爾值,指出要求中是否應包含非作用中的 API 角色。 |
| 請求金鑰類型 |
字串 |
要求所涉及的金鑰類型。 |
| RequestMetadataCallerIp |
字串 |
要求的來源IP位址。 |
| 請求元數據調用者提供的用戶代理 |
字串 |
呼叫者在請求期間提供的使用者代理字串。 |
| RequestMetadataRequestAttributesTime |
字串 |
請求元數據的時間相關屬性。 |
| 請求名稱 |
字串 |
要求的名稱。 |
| 請求選項要求的政策版本 |
字串 |
所要求的原則版本。 |
| 請求頁面大小 |
字串 |
分頁要求中要求的頁面大小。 |
| RequestPageToken |
字串 |
分頁請求中的令牌。 |
| RequestParent |
字串 |
要求的父資源。 |
| 請求政策稽核配置 |
字串 |
請求策略中的稽核設定。 |
| 請求政策綁定 |
字串 |
與要求原則相關聯的系結組態。 |
| RequestPolicyEtag |
字串 |
請求策略的 ETag 值。 |
| 請求私鑰類型 |
字串 |
要求中使用的私鑰類型。 |
| 要求移除已刪除的服務帳戶 |
布爾 (bool) |
布爾值,指出是否應該移除已刪除的服務帳戶。 |
| 請求請求的令牌類型 (RequestRequestedTokenType) |
字串 |
要求的令牌類型。 |
| RequestResource |
字串 |
所要求的資源。 |
| 請求角色描述 |
字串 |
所要求角色的描述。 |
| RequestRoleId |
字串 |
角色的唯一標識碼。 |
| 請求角色包含的權限 |
字串 |
要求中角色中包含的許可權。 |
| 請求角色標題 |
字串 |
所要求角色的標題。 |
| 請求服務帳戶描述 |
字串 |
要求之服務帳戶的描述。 |
| 要求服務帳戶顯示名稱 |
字串 |
要求之服務帳戶的顯示名稱。 |
| 請求顯示已刪除內容 |
布爾 (bool) |
布爾值,指出回應中是否應該包含已刪除的專案。 |
| RequestSkipVisibilityCheck |
布爾 (bool) |
布爾值,指出是否應該略過要求的可見性檢查。 |
| 請求主體令牌類型 |
字串 |
要求中使用的主體令牌類型。 |
| 請求類型 |
字串 |
正在提出的要求類型。 |
| RequestUpdateMaskPaths |
字串 |
要求中要更新的路徑。 |
| RequestView |
字串 |
要求的觀點或視角。 |
| 資源標籤電子郵件ID |
字串 |
與資源相關聯的電子郵件標識碼。 |
| 資源標籤位置 |
字串 |
資源的地理或邏輯位置。 |
| ResourceLabelsMethod |
字串 |
與資源相關聯的方法,通常用於篩選或分類。 |
| ResourceLabelsProjectId |
字串 |
要存取或記錄之資源的項目標識碼。 |
| 資源標籤角色名稱 |
字串 |
與資源相關聯的角色名稱。 |
| ResourceLabelsService |
字串 |
資源所屬的服務。 |
| ResourceLabelsTopicId |
字串 |
與資源相關聯的主題標識碼。 |
| ResourceLabelsUniqueId |
字串 |
資源的唯一標識碼。 |
| 資源標籤版本 |
字串 |
要記錄的資源版本。 |
| ResponseAuditConfigs |
字串 |
稽核回應中的組態。 |
| 回應綁定 |
字串 |
回應中使用的系結。 |
| 回應描述 |
字串 |
回應的描述。 |
| 回應顯示名稱 |
字串 |
與回應相關聯的顯示名稱。 |
| 回覆電子郵件 |
字串 |
與回應相關聯的電子郵件。 |
| ResponseEtag |
字串 |
回應的 ETag 值。 |
| 回應群組名稱 |
字串 |
回應的組名。 |
| 回應群組標題 |
字串 |
回應中群組的標題。 |
| 包含回應權限 |
字串 |
回應中包含的許可權。 |
| 響應密鑰算法 |
字串 |
回應中使用的關鍵演算法。 |
| 回應鍵來源 |
字串 |
回應中密鑰的來源。 |
| 響應鍵類型 |
字串 |
回應中使用的密鑰類型。 |
| 回應名稱 |
字串 |
與回應相關聯的名稱。 |
| ResponseOauth2ClientId |
字串 |
與回應相關聯的 OAuth2 用戶端標識碼。 |
| ResponsePrivateKeyType |
字串 |
回應中使用的私鑰類型。 |
| 回應專案ID |
字串 |
與回應相關聯的專案標識碼。 |
| 回應標題 |
字串 |
與回應相關聯的標題。 |
| 回應類型 |
字串 |
要傳回的回應類型。 |
| 回應唯一識別碼 (ResponseUniqueId) |
字串 |
回應的唯一標識碼。 |
| 回應在若干秒後有效 |
字串 |
回應生效的秒數。 |
| 回應有效時間秒數 |
字串 |
回應生效前以秒為單位的時間。 |
| 服務資料許可權變更新增許可權 |
字串 |
在服務數據政策中新增的權限。 |
| 服務數據權限變更已移除權限 |
字串 |
已在服務資料政策中移除的權限。 |
| ServiceDataPolicyDeltaBindingDeltas |
字串 |
回應中政策綁定的變更。 |
| 服務資料類型 |
字串 |
正在記錄的服務數據類型。 |
| 服務名稱 |
字串 |
產生日誌條目的服務名稱。 |
| 嚴重程度 |
字串 |
記錄條目或請求的嚴重性層級。 |
| SourceSystem |
字串 |
事件被收集時所使用的代理程式類型。 例如,OpsManager 適用於 Windows 代理程式,可以直接連線或使用 Operations Manager;Linux 適用於所有 Linux 代理程式;Azure 則適用於 Azure 診斷。 |
| StatusCode(狀態碼) |
字串 |
回應的 HTTP 或作業狀態代碼。 |
| 狀態訊息 |
字串 |
與狀態代碼相關聯的訊息。 |
| 租戶識別碼 (TenantId) |
字串 |
Log Analytics 工作區識別碼 |
| TimeGenerated |
日期時間 |
時間戳,表示產生記錄項目的時間。 |
| 時間戳 |
日期時間 |
記錄條目或事件發生時的時間戳記。 |
| 類型 |
字串 |
資料表的名稱 |