处理来自 Google Cloud 的日志的模块。
来自 Google Cloud 日志的字段。
如果连接的目标是位于同一 VPC 上的虚拟机,则此字段将填充虚拟机实例详细信息。在共享 VPC 配置中,project_id 对应于拥有该实例的项目,通常是服务项目。
-
gcp.destination.instance.project_id -
包含虚拟机的项目的 ID。
type: keyword
-
gcp.destination.instance.region -
虚拟机的区域。
type: keyword
-
gcp.destination.instance.zone -
虚拟机的区域。
type: keyword
如果连接的目标是位于同一 VPC 上的虚拟机,则此字段将填充 VPC 网络详细信息。在共享 VPC 配置中,project_id 对应于主机项目的 project_id。
-
gcp.destination.vpc.project_id -
包含虚拟机的项目的 ID。
type: keyword
-
gcp.destination.vpc.vpc_name -
虚拟机在其上运行的 VPC。
type: keyword
-
gcp.destination.vpc.subnetwork_name -
虚拟机在其上运行的子网。
type: keyword
如果连接的源是位于同一 VPC 上的虚拟机,则此字段将填充虚拟机实例详细信息。在共享 VPC 配置中,project_id 对应于拥有该实例的项目,通常是服务项目。
-
gcp.source.instance.project_id -
包含虚拟机的项目的 ID。
type: keyword
-
gcp.source.instance.region -
虚拟机的区域。
type: keyword
-
gcp.source.instance.zone -
虚拟机的区域。
type: keyword
如果连接的源是位于同一 VPC 上的虚拟机,则此字段将填充 VPC 网络详细信息。在共享 VPC 配置中,project_id 对应于主机项目的 project_id。
-
gcp.source.vpc.project_id -
包含虚拟机的项目的 ID。
type: keyword
-
gcp.source.vpc.vpc_name -
虚拟机在其上运行的 VPC。
type: keyword
-
gcp.source.vpc.subnetwork_name -
虚拟机在其上运行的子网。
type: keyword
Google Cloud 审核日志的字段。
-
gcp.audit.type -
类型属性。
type: keyword
身份验证信息。
-
gcp.audit.authentication_info.principal_email -
进行请求的已认证用户的电子邮件地址。
type: keyword
-
gcp.audit.authentication_info.authority_selector -
请求者指定的权限选择器(如果有)。不能保证主体被允许使用此权限。
type: keyword
-
gcp.audit.authorization_info -
操作的授权信息。
type: array
-
gcp.audit.method_name -
服务方法或操作的名称。对于 API 调用,这应该是 API 方法的名称。例如,google.datastore.v1.Datastore.RunQuery。
type: keyword
-
gcp.audit.num_response_items -
如果适用,则从 List 或 Query API 方法返回的项目数。
type: long
操作请求。
-
gcp.audit.request.proto_name -
请求的类型属性。
type: keyword
-
gcp.audit.request.filter -
请求的过滤器。
type: keyword
-
gcp.audit.request.name -
请求的名称。
type: keyword
-
gcp.audit.request.resource_name -
请求资源的名称。
type: keyword
有关请求的元数据。
-
gcp.audit.request_metadata.caller_ip -
调用者的 IP 地址。
type: ip
-
gcp.audit.request_metadata.caller_supplied_user_agent -
调用者的用户代理。此信息未经身份验证,应相应地处理。
type: keyword
操作响应。
-
gcp.audit.response.proto_name -
响应的类型属性。
type: keyword
响应的详细信息。
-
gcp.audit.response.details.group -
组的名称。
type: keyword
-
gcp.audit.response.details.kind -
响应详细信息的种类。
type: keyword
-
gcp.audit.response.details.name -
响应详细信息的名称。
type: keyword
-
gcp.audit.response.details.uid -
响应详细信息的 uid。
type: keyword
-
gcp.audit.response.status -
响应的状态。
type: keyword
-
gcp.audit.resource_name -
操作的目标资源或集合。名称是无方案 URI,不包括 API 服务名称。例如,shelves/SHELF_ID/books。
type: keyword
资源的位置。
-
gcp.audit.resource_location.current_locations -
资源的当前位置。
type: keyword
-
gcp.audit.service_name -
执行操作的 API 服务的名称。例如,datastore.googleapis.com。
type: keyword
整个操作的状态。
-
gcp.audit.status.code -
状态代码,应为 google.rpc.Code 的枚举值。
type: integer
-
gcp.audit.status.message -
面向开发人员的错误消息,应为英文。任何面向用户的错误消息都应本地化并发送到 google.rpc.Status.details 字段中,或由客户端本地化。
type: keyword
Google Cloud 防火墙日志的字段。
与该连接匹配的防火墙规则的描述。
-
gcp.firewall.rule_details.priority -
防火墙规则的优先级。
type: long
-
gcp.firewall.rule_details.action -
规则在匹配时执行的操作。
type: keyword
-
gcp.firewall.rule_details.direction -
与该规则匹配的流量方向。
type: keyword
-
gcp.firewall.rule_details.reference -
对防火墙规则的引用。
type: keyword
-
gcp.firewall.rule_details.source_range -
防火墙规则应用到的源范围列表。
type: keyword
-
gcp.firewall.rule_details.destination_range -
防火墙应用到的目标范围列表。
type: keyword
-
gcp.firewall.rule_details.source_tag -
防火墙规则应用到的所有源标签的列表。
type: keyword
-
gcp.firewall.rule_details.target_tag -
防火墙规则应用到的所有目标标签的列表。
type: keyword
-
gcp.firewall.rule_details.ip_port_info -
规则的 IP 协议和适用的端口范围列表。
type: array
-
gcp.firewall.rule_details.source_service_account -
防火墙规则应用到的所有源服务帐户的列表。
type: keyword
-
gcp.firewall.rule_details.target_service_account -
防火墙规则应用到的所有目标服务帐户的列表。
type: keyword
Google Cloud VPC 流日志的字段。
-
gcp.vpcflow.reporter -
报告流的一方。可以是 SRC 或 DEST。
type: keyword
-
gcp.vpcflow.rtt.ms -
在时间间隔内测量的延迟(仅限 TCP 流)。这是发送 SEQ 到接收相应 ACK 之间经过的时间,它包含网络 RTT 以及应用程序相关的延迟。
type: long