审计

@timestamp

事件时间戳。

日期

cloud.image.id

云实例的镜像 ID。

关键字

data_stream.dataset

数据流数据集。

常量_关键字

data_stream.namespace

数据流命名空间。

常量_关键字

data_stream.type

数据流类型。

常量_关键字

event.dataset

事件数据集

常量_关键字

event.module

事件模块

常量_关键字

gcp.audit.authentication_info.authority_selector

请求者指定的授权选择器（如果有）。不能保证主体被允许使用此授权。

关键字

gcp.audit.authentication_info.principal_email

发出请求的已验证用户的电子邮件地址。

关键字

gcp.audit.authentication_info.principal_subject

请求方的身份的字符串表示形式。为第一方和第三方身份填充。仅对于支持第三方身份的 API 存在。

关键字

gcp.audit.authentication_info.service_account_delegation_info

发出请求的已验证服务帐户的身份委派历史记录。它包含有关尝试通过委派服务帐户来访问 GCP 资源的真实授权的信息。当存在多个授权时，保证它们会根据身份委派事件的原始顺序进行排序。

扁平化

gcp.audit.authentication_info.service_account_key_name

用于请求 OAuth 2.0 访问令牌的服务帐户密钥。此字段通过其完整的资源名称来标识服务帐户密钥。

关键字

gcp.audit.authentication_info.third_party_principal

发出请求的已验证用户的第三方标识（如果有）。当此处表示的 JSON 对象具有 proto 等效项时，proto 名称将以 @type 属性指示。

扁平化

gcp.audit.authorization_info

操作的授权信息。

嵌套

gcp.audit.authorization_info.granted

是否授予资源和权限的授权。

布尔值

gcp.audit.authorization_info.permission

所需的 IAM 权限。

关键字

gcp.audit.authorization_info.resource

要访问的资源，作为 REST 样式字符串。

关键字

gcp.audit.authorization_info.resource_attributes.name

资源的名称。

关键字

gcp.audit.authorization_info.resource_attributes.service

服务的名称。

关键字

gcp.audit.authorization_info.resource_attributes.type

资源的类型。

关键字

gcp.audit.flattened

包含 GCP 发送的完整审核文档。

扁平化

gcp.audit.labels

一个键值对映射，提供有关日志条目的附加信息。标签可以是用户定义的，也可以是系统定义的。

扁平化

gcp.audit.logentry_operation.first

可选。如果这是操作中的第一个日志条目，请将其设置为 True。

布尔值

gcp.audit.logentry_operation.id

可选。任意操作标识符。假定具有相同标识符的日志条目是同一操作的一部分。

关键字

gcp.audit.logentry_operation.last

可选。如果这是操作中的最后一个日志条目，请将其设置为 True。

布尔值

gcp.audit.logentry_operation.producer

可选。任意生产者标识符。id 和 producer 的组合必须是全局唯一的。

关键字

gcp.audit.metadata

有关请求、响应以及与当前审计事件关联的其他信息的特定于服务的数据。

扁平化

gcp.audit.method_name

服务方法或操作的名称。对于 API 调用，这应该是 API 方法的名称。例如，google.datastore.v1.Datastore.RunQuery。

关键字

gcp.audit.num_response_items

如果适用，从 List 或 Query API 方法返回的项目数。

长整型

gcp.audit.policy_violation_info.payload

当前在范围内并受组织策略条件约束的资源有效负载。

扁平化

gcp.audit.policy_violation_info.resource_tags

评估时在资源上引用的标签。

扁平化

gcp.audit.policy_violation_info.resource_type

针对其检查组织策略的资源类型。

关键字

gcp.audit.policy_violation_info.violations.checkedValue

正在检查策略的值。

关键字

gcp.audit.policy_violation_info.violations.constraint

约束名称。

关键字

gcp.audit.policy_violation_info.violations.errorMessage

策略指示的错误消息。

关键字

gcp.audit.policy_violation_info.violations.policyType

指示策略的类型。

关键字

gcp.audit.request

扁平化

gcp.audit.request_metadata.caller_ip

调用者的 IP 地址。

ip

gcp.audit.request_metadata.caller_supplied_user_agent

调用者的用户代理。此信息未经身份验证，应相应地对待。

关键字

gcp.audit.request_metadata.raw.caller_ip

调用者的原始 IP 地址。

关键字

gcp.audit.resource_location.current_locations

资源的当前位置。

关键字

gcp.audit.resource_name

作为操作目标的资源或集合。该名称是不带方案的 URI，不包括 API 服务名称。例如，shelves/SHELF_ID/books。

关键字

gcp.audit.response

扁平化

gcp.audit.service_name

执行操作的 API 服务的名称。例如，datastore.googleapis.com。

关键字

gcp.audit.status.code

状态代码，应该是 google.rpc.Code 的枚举值。

整数

gcp.audit.status.details

携带错误详细信息的消息列表。

扁平化

gcp.audit.status.message

面向开发人员的错误消息，应该是英文的。任何面向用户的错误消息都应进行本地化，并在 google.rpc.Status.details 字段中发送，或由客户端进行本地化。

关键字

gcp.audit.type

类型属性。

关键字

gcp.destination.instance.project_id

包含虚拟机的项目的 ID。

关键字

gcp.destination.instance.region

虚拟机的区域。

关键字

gcp.destination.instance.zone

虚拟机的可用区。

关键字

gcp.destination.vpc.project_id

包含虚拟机的项目的 ID。

关键字

gcp.destination.vpc.subnetwork_name

虚拟机在其上运行的子网。

关键字

gcp.destination.vpc.vpc_name

虚拟机在其上运行的 VPC。

关键字

gcp.source.instance.project_id

包含虚拟机的项目的 ID。

关键字

gcp.source.instance.region

虚拟机的区域。

关键字

gcp.source.instance.zone

虚拟机的可用区。

关键字

gcp.source.vpc.project_id

包含虚拟机的项目的 ID。

关键字

gcp.source.vpc.subnetwork_name

虚拟机在其上运行的子网。

关键字

gcp.source.vpc.vpc_name

虚拟机在其上运行的 VPC。

关键字

host.containerized

如果主机是容器。

布尔值

host.os.build

操作系统构建信息。

关键字

host.os.codename

操作系统代号（如果有）。

关键字

input.type

输入类型

关键字

log.offset

日志偏移

长整型

related.entity

与文档关联的所有实体标识符的集合。如果文档包含多个实体，则将包括每个实体的标识符。示例标识符包括（但不限于）云资源 ID、电子邮件地址和主机名。

关键字

2.39.0

增强 (查看拉取请求)
向审计日志添加 related.entity 字段。

8.13.0 或更高版本

2.38.0

增强 (查看拉取请求)
向审计日志添加 policy_violation_info、metadata 和 related 字段。

错误修复 (查看拉取请求)
更新 GCP 审计日志仪表板以使用正确的 email 字段。

8.13.0 或更高版本

2.37.2

错误修复 (查看拉取请求)
修复嵌套对象的子字段的定义

8.13.0 或更高版本

2.37.1

增强 (查看拉取请求)
改进 GCP 账单文档。

8.13.0 或更高版本

2.37.0

增强 (查看拉取请求)
保留 authenticationInfo.serviceAccountKeyName 数据。

8.13.0 或更高版本

2.36.0

增强 (查看拉取请求)
为仪表板添加全局数据集过滤器，以提高性能。

8.13.0 或更高版本

2.35.0

增强 (查看拉取请求)
ECS 版本更新至 8.11.0。将 kibana 约束更新至 ^8.13.0。修改字段定义以删除 ecs@mappings 组件模板中多余的 ECS 字段。

8.13.0 或更高版本

2.34.1

错误修复 (查看拉取请求)
修复 *persistence.rdb.bgsave_in_progress* 的 Redis 指标类型。指标类型应为布尔值而不是长整型。

8.12.0 或更高版本

2.34.0

增强 (查看拉取请求)
向 GCP Compute、Firestore、PostgreSQL 添加标签和处理器。

8.12.0 或更高版本

2.33.2

增强 (查看拉取请求)
向 GCP Storage 添加标签和处理器

8.12.0 或更高版本

2.33.1

增强 (查看拉取请求)
将旧版指标可视化更新为 GCP 账单概览仪表板中的新指标。

8.12.0 或更高版本

2.33.0

增强 (查看拉取请求)
为指标数据流启用时间序列数据。这大大减少了指标的存储，预计会逐步提高查询[性能](https://elastic.ac.cn/blog/70-percent-storage-savings-for-metrics-with-elastic-observability)。有关更多详细信息，请参阅 https://elastic.ac.cn/guide/en/elasticsearch/reference/current/tsds.html。

8.12.0 或更高版本

2.32.1

增强 (查看拉取请求)
在所有指标数据流中添加维度映射和 metrics_fingerprint 字段。

8.12.0 或更高版本

2.32.0

增强 (查看拉取请求)
添加新的账单数据流字段。

8.12.0 或更高版本

2.31.2

错误修复 (查看拉取请求)
修复使用空的 rdata 字段解析 DNS 日志的管道错误。

8.7.1 或更高版本

2.31.1

增强 (查看拉取请求)
添加 Cloud Run 文档并修复策略模板名称，以允许将 Cloud Run 日志添加到策略。

8.7.1 或更高版本

2.31.0

增强 (查看拉取请求)
允许用户保留其他丢弃的字段。

8.7.1 或更高版本

2.30.1

缺陷修复 (查看拉取请求)
修复组字段的映射

8.7.1 或更高版本

2.30.0

增强 (查看拉取请求)
添加 tags.yml 文件，以便将集成的仪表板和已保存的搜索标记为“安全解决方案”，并在安全解决方案 UI 中显示。

增强 (查看拉取请求)
将软件包规范升级到 3.0.0。

缺陷修复 (查看拉取请求)
修复孤立的仪表板引用。

缺陷修复 (查看拉取请求)
添加缺失的仪表板过滤器。

8.7.1 或更高版本

2.29.1

缺陷修复 (查看拉取请求)
向重命名处理器添加 null 检查和 ignore_missing 检查

8.7.1 或更高版本

2.29.0

缺陷修复 (查看拉取请求)
删除 GCP CloudSQL 已弃用、alpha 或 beta 指标并修复字段类型。

8.7.1 或更高版本

2.28.5

增强 (查看拉取请求)
为 GKE、负载均衡、PubSub、Redis 和存储数据流设置指标类型。

8.7.1 或更高版本

2.28.4

增强 (查看拉取请求)
将 GCP 负载均衡 HTTPS 概览仪表板迁移到 Lens。

8.7.1 或更高版本

2.28.3

增强 (查看拉取请求)
为 Cloud Run、Compute、Dataproc 和 Firestore 数据流设置指标类型。

8.7.1 或更高版本

2.28.2

增强 (查看拉取请求)
将 GCP 负载均衡 TCP SSL 代理概览仪表板迁移到 Lens。

8.7.1 或更高版本

2.28.1

增强 (查看拉取请求)
为 CloudSQL 数据流设置指标类型。

8.7.1 或更高版本

2.28.0

增强 (查看拉取请求)
将 GCP 负载均衡 L3 概览仪表板迁移到 Lens。

8.7.1 或更高版本

2.27.0

增强 (查看拉取请求)
添加 GCP CloudSQL MySQL、SQL Server 和 PostgreSQL 仪表板。

8.7.1 或更高版本

2.26.0

缺陷修复 (查看拉取请求)
修复 GCP loadbalancing_metrics 字段前缀。

8.7.1 或更高版本

2.25.1

缺陷修复 (查看拉取请求)
修复对 gcp.audit.authorization_info[].granted 的检查。

8.7.1 或更高版本

2.25.0

增强 (查看拉取请求)
将 GCP 账单输入控件迁移到新的控制面板。

8.7.1 或更高版本

2.24.0

增强 (查看拉取请求)
添加 GCP CloudSQL MySQL、Postgres、SQLServer 数据流

8.7.1 或更高版本

2.23.0

增强 (查看拉取请求)
将安全仪表板转换为 Lens。

8.7.1 或更高版本

2.22.1

增强 (查看拉取请求)
更改清单中的所有权。

8.6.0 或更高版本

2.22.0

增强 (查看拉取请求)
确保为管道错误正确设置 event.kind。

8.6.0 或更高版本

2.21.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.8.0。

8.6.0 或更高版本

2.20.1

缺陷修复 (查看拉取请求)
修复 persistence.rdb.bgsave_in_progress 字段的无效 TSDS 指标类型

8.6.0 或更高版本

2.20.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.7.0。

8.6.0 或更高版本

2.19.1

增强 (查看拉取请求)
将计算仪表板迁移到 Lens 并添加数据流过滤器。

8.6.0 或更高版本

2.19.0

增强 (查看拉取请求)
添加 Cloud Run 指标数据流。

8.6.0 或更高版本

2.18.0

增强 (查看拉取请求)
支持 GCP PubSub 输入的 subscription_num_goroutines 和 subscription_max_outstanding_messages

8.6.0 或更高版本

2.17.2

缺陷修复 (查看拉取请求)
修复审计摄取管道中的 IP 转换处理器。

8.6.0 或更高版本

2.17.1

增强 (查看拉取请求)
添加了类别和/或子类别。

8.6.0 或更高版本

2.17.0

增强 (查看拉取请求)
添加审计日志概览仪表板

增强 (查看拉取请求)
添加 GKE 概览仪表板

增强 (查看拉取请求)
添加 PubSub 概览仪表板

增强 (查看拉取请求)
添加存储概览仪表板

8.6.0 或更高版本

2.16.2

缺陷修复 (查看拉取请求)
添加逻辑以处理审计中请求策略的标量值

8.5.0 或更高版本

2.16.1

缺陷修复 (查看拉取请求)
使用新样式的控件替换缺失的输入控制面板。

8.5.0 或更高版本

2.16.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.6.0。

8.5.0 或更高版本

2.15.2

增强 (查看拉取请求)
更新文档。

8.5.0 或更高版本

2.15.1

增强 (查看拉取请求)
添加 GCP Compute 管道测试。

8.5.0 或更高版本

2.15.0

增强 (查看拉取请求)
删除对 Kibana 7.17.x 的支持

增强 (查看拉取请求)
支持指标数据流的多个区域

8.5.0 或更高版本

2.14.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.5.0。

8.3.0 或更高版本

2.13.0

增强 (查看拉取请求)
按值迁移仪表板

8.3.0 或更高版本

2.12.1

缺陷修复 (查看拉取请求)
删除重复字段。

7.17.6 或更高版本
8.3.0 或更高版本

2.12.0

增强 (查看拉取请求)
添加 GCP Redis

7.17.6 或更高版本
8.3.0 或更高版本

2.11.12

缺陷修复 (查看拉取请求)
添加 GKE 摄取管道。

7.17.6 或更高版本
8.3.0 或更高版本

2.11.11

缺陷修复 (查看拉取请求)
修复 dns.answers.ttl 的类型。

7.17.6 或更高版本
8.3.0 或更高版本

2.11.10

增强 (查看拉取请求)
为 dataproc 添加摄取管道。

增强 (查看拉取请求)
添加 GCP 负载均衡摄取管道

增强 (查看拉取请求)
添加 GCP PubSub 摄取管道

增强 (查看拉取请求)
添加 GCP 存储摄取管道

增强 (查看拉取请求)
添加 GCP Firestore 摄取管道

增强 (查看拉取请求)
添加 GCP 计算摄取管道

7.17.6 或更高版本
8.3.0 或更高版本

2.11.10-beta.6

增强 (查看拉取请求)
为 dataproc 添加摄取管道。

—

2.11.10-beta.5

增强 (查看拉取请求)
添加 GCP 负载均衡摄取管道

—

2.11.10-beta.4

增强 (查看拉取请求)
添加 GCP PubSub 摄取管道

—

2.11.10-beta.3

增强 (查看拉取请求)
添加 GCP 存储摄取管道

—

2.11.10-beta.2

增强 (查看拉取请求)
添加 GCP Firestore 摄取管道

—

2.11.10-beta.1

增强 (查看拉取请求)
添加 GCP 计算摄取管道

—

2.11.9

缺陷修复 (查看拉取请求)
修复 GKE kubernetes.io 缩进。

7.17.6 或更高版本
8.3.0 或更高版本

2.11.8

增强 (查看拉取请求)
删除重复字段。

7.17.6 或更高版本
8.3.0 或更高版本

2.11.7

增强 (查看拉取请求)
将 Dataproc 轻量级模块配置移至集成中

7.17.6 或更高版本
8.3.0 或更高版本

2.11.6

增强 (查看拉取请求)
将负载均衡轻量级模块配置移至集成

7.17.6 或更高版本
8.3.0 或更高版本

2.11.5

增强功能 (查看拉取请求)
将存储轻量级模块配置移至集成

7.17.6 或更高版本
8.3.0 或更高版本

2.11.4

增强功能 (查看拉取请求)
将 PubSub 轻量级模块配置移至集成

7.17.6 或更高版本
8.3.0 或更高版本

2.11.3

增强功能 (查看拉取请求)
将 GKE 轻量级模块配置移至集成

7.17.6 或更高版本
8.3.0 或更高版本

2.11.2

增强功能 (查看拉取请求)
将 Firestore 轻量级模块配置移至集成

7.17.6 或更高版本
8.3.0 或更高版本

2.11.1

增强功能 (查看拉取请求)
使用 ECS geo.location 定义。

7.17.6 或更高版本
8.3.0 或更高版本

2.11.0

增强功能 (查看拉取请求)
将计算轻量级模块配置移至集成

7.17.6 或更高版本
8.3.0 或更高版本

2.10.0

增强功能 (查看拉取请求)
添加 GCP PubSub 数据流

7.17.6 或更高版本
8.3.0 或更高版本

2.9.0

增强功能 (查看拉取请求)
添加 GCP Dataproc 数据流

7.17.6 或更高版本
8.3.0 或更高版本

2.8.0

增强功能 (查看拉取请求)
添加 GCP GKE 数据流

7.17.6 或更高版本
8.3.0 或更高版本

2.7.0

增强功能 (查看拉取请求)
添加 GCP 存储数据流

7.17.6 或更高版本
8.3.0 或更高版本

2.6.0

增强功能 (查看拉取请求)
添加负载均衡日志数据流

7.17.6 或更高版本
8.3.0 或更高版本

2.5.0

增强功能 (查看拉取请求)
添加 GCP 负载均衡指标集

错误修复 (查看拉取请求)
修复 loadbalancing_metrics 中的 credentials_json 转义问题

错误修复 (查看拉取请求)
更新 loadbalancing_metrics 默认周期为 60 秒

错误修复 (查看拉取请求)
修复 loadbalancing_metrics 的 event.dataset

增强功能 (查看拉取请求)
添加 loadbalancing_metrics 分布字段

7.17.6 或更高版本
8.3.0 或更高版本

2.4.0

增强功能 (查看拉取请求)
将软件包更新至 ECS 8.4.0

7.17.6 或更高版本
8.3.0 或更高版本

2.3.0

增强功能 (查看拉取请求)
为 DNS 公共区域查询日志添加额外解析

7.17.6 或更高版本
8.3.0 或更高版本

2.2.1

增强功能 (查看拉取请求)
修复 gcp.compute 的计费策略模板标题和默认周期

7.17.6 或更高版本
8.3.0 或更高版本

2.2.0

增强功能 (查看拉取请求)
删除 ECS 字段中重复的字段

7.17.6 或更高版本
8.3.0 或更高版本

2.1.0

增强功能 (foobar[查看拉取请求])
恢复与 7.17 版本跟踪的兼容性

7.17.6 或更高版本
8.3.0 或更高版本

2.0.0

重大更改 (查看拉取请求)
移动配置以支持指标。此更改是重大更改，因为它将一些配置从顶级变量移动到数据流变量。

此更改涉及 project_id、credentials_file 和 credentials_json 变量，这些变量从输入级别配置移动到软件包级别配置（因为这些变量在所有输入/数据流中重复使用）。

启用 GCP 集成的用户在将策略升级到此版本时需要再次输入这些变量的值。

增强功能 (查看拉取请求)
添加 GCP 计费数据流

增强功能 (查看拉取请求)
添加 GCP 计算数据流

增强功能 (查看拉取请求)
添加 GCP Firestore 数据流

8.3.0 或更高版本

1.10.0

增强功能 (查看拉取请求)
将软件包更新至 ECS 8.3.0。

7.17.0 或更高版本
8.0.0 或更高版本

1.9.2

错误修复 (查看拉取请求)
修复响应状态的 GCP 审计日志解析问题

7.17.0 或更高版本
8.0.0 或更高版本

1.9.1

增强功能 (查看拉取请求)
更新自述文件

7.17.0 或更高版本
8.0.0 或更高版本

1.9.0

增强功能 (查看拉取请求)
在扁平化字段中保留请求和响应。

7.17.0 或更高版本
8.0.0 或更高版本

1.8.0

增强功能 (查看拉取请求)
添加缺失的 cloud.provider 字段。

7.17.0 或更高版本
8.0.0 或更高版本

1.7.0

增强功能 (查看拉取请求)
为防火墙和 vpc 流日志添加仪表板。

错误修复 (查看拉取请求)
为几个 event.* 字段添加缺失的映射。

—

1.6.1

增强功能 (查看拉取请求)
阐明 Pub/Sub 输入所需的 GCP 权限。

7.16.3 或更高版本
8.0.0 或更高版本

1.6.0

增强功能 (查看拉取请求)
更新至 ECS 8.2

—

1.5.1

增强功能 (查看拉取请求)
添加多字段的文档

7.16.3 或更高版本
8.0.0 或更高版本

1.5.0

增强功能 (查看拉取请求)
改进 Google Cloud Platform 文档。

7.16.3 或更高版本
8.0.0 或更高版本

1.4.2

错误修复 (查看拉取请求)
删除空值、仅包含点的名称和无效的客户端 IP。

7.16.3 或更高版本
8.0.0 或更高版本

1.4.1

错误修复 (查看拉取请求)
修复策略模板中 credentials_json 值的引号问题。

7.16.3 或更高版本
8.0.0 或更高版本

1.4.0

增强功能 (查看拉取请求)
添加 gcp.dns 集成

—

1.3.1

错误修复 (查看拉取请求)
添加 Ingest Pipeline 脚本以映射 IANA 协议号

7.15.0 或更高版本
8.0.0 或更高版本

1.3.0

增强功能 (查看拉取请求)
更新至 ECS 8.0

7.15.0 或更高版本
8.0.0 或更高版本

1.2.2

错误修复 (查看拉取请求)
使用新的 GeoIP 数据库重新生成测试文件

7.15.0 或更高版本
8.0.0 或更高版本

1.2.1

错误修复 (查看拉取请求)
将测试公共 IP 更改为受支持的子集

—

1.2.0

增强功能 (查看拉取请求)
添加 8.0.0 版本约束

7.15.0 或更高版本
8.0.0 或更高版本

1.1.2

增强功能 (查看拉取请求)
更新标题和描述。

7.15.0 或更高版本

1.1.1

错误修复 (查看拉取请求)
修复检查转发标记的逻辑

—

1.1.0

增强功能 (查看拉取请求)
更新至 ECS 1.12.0

7.15.0 或更高版本

1.0.0

增强功能 (查看拉取请求)
从实验性版本移至正式发布版本

增强功能 (查看拉取请求)
从 data_sets 中删除实验性标签

—

0.3.3

增强功能 (查看拉取请求)
转换为生成的 ECS 字段

—

0.3.2

增强功能 (查看拉取请求)
更新至 ECS 1.11.0

—

0.3.1

增强功能 (查看拉取请求)
转义文档中的特殊字符

—

0.3.0

增强功能 (查看拉取请求)
更新集成描述

—

0.2.0

增强功能 (查看拉取请求)
设置 "event.module" 和 "event.dataset"

—

0.1.0

增强功能 (查看拉取请求)
更新至 ECS 1.10.0 并添加 event.original 选项

—

0.0.2

增强功能 (查看拉取请求)
更新至 ECS 1.9.0

—

0.0.1

增强功能 (查看拉取请求)
初始版本

—