Google Workspace 集成
编辑Google Workspace 集成
编辑Google Workspace 集成收集并解析来自不同 Google Workspace 审计报告 API 的数据。
我们安全实验室的这些博客将帮助您更多地了解 Google Workspace 以及如何进行设置
- 要了解 Google Workspace 是什么,请参阅第一部分 - 勘察地形
- 要在 第二部分 - 使用 Elastic 设置威胁检测中逐步设置它
兼容性
编辑它与 Google Reports API v1 下的应用程序子集兼容。截至今天,它支持
| Google Workspace 服务 | 描述 |
|---|---|
查看用户成功和失败的 SAML 应用程序登录。 |
|
审核用户在其自己的帐户上执行的操作,包括密码更改、帐户恢复详细信息和两步验证注册。 |
|
跟踪用户对您域的登录活动。 |
|
查看记录操作,以审查用户尝试共享敏感数据的行为。 |
|
查看在 Google 管理控制台中执行的管理员活动。 |
|
记录 Google 云端硬盘中的用户活动,包括在 Google 文档等中创建的内容,以及用户上传到云端硬盘的在其他地方创建的内容,例如 PDF 和 Microsoft Word 文件。 |
|
跟踪对群组、群组成员身份和群组消息的更改。 |
|
企业群组活动报告返回有关各种类型的企业群组审计活动事件的信息。 |
|
移动设备活动报告返回有关各种类型的设备审计活动事件的信息。 |
|
令牌活动报告返回有关各种类型的 OAuth 令牌审计活动事件的信息。 |
|
访问透明度活动报告返回有关各种类型的访问透明度活动事件的信息。 |
|
情境感知访问活动报告返回有关各种类型的情境感知访问审计活动事件的信息。 |
|
GCP 活动报告返回有关各种类型的 Google Cloud Platform 活动事件的信息。 |
要求
编辑为了从 Google Reports API 摄取数据,您必须
- 拥有一个管理员帐户。
- 使用管理员帐户设置一个 ServiceAccount。
- 为 ServiceAccount 设置对 Admin SDK API 的访问权限。
- 为您的 ServiceAccount 启用域范围的委派。
此集成将使用以下 oauth2 范围
-
https://www.googleapis.com/auth/admin.reports.audit.readonly
将服务帐户凭据下载为 JSON 文件后,即可设置集成。
单击 Google Workspace 审计报告的“高级”选项。“API 主机”的默认值为 https://www.googleapis.com。API 主机将用于收集 access_transparency、admin、device、context_aware_access、drive、gcp、groups、group_enterprise、login、rules、saml、token 和 用户帐户日志。
配置中的 委派帐户值应为管理员帐户的电子邮件,而不是 ServiceAccount 的电子邮件。
Google Workspace 警报
编辑Google Workspace 集成收集并解析从 Google Workspace 警报中心 API 使用 HTTP JSON 输入接收的数据。
兼容性
编辑- 已针对
Google Workspace 警报中心 API (v1)测试了警报数据流。 -
当前集成版本中支持以下警报类型
- 已启动客户外泄
- 恶意软件重新分类
- 配置错误的白名单
- 网络钓鱼重新分类
- 已报告可疑邮件
- 用户报告的网络钓鱼
- 用户报告的垃圾邮件激增
- 泄露的密码
- 可疑登录
- 可疑登录(安全性较低的应用)
- 可疑的程序化登录
- 用户已暂停
- 用户已暂停(垃圾邮件)
- 用户已暂停(通过中继发送的垃圾邮件)
- 用户已暂停(可疑活动)
- Google 操作
- 配置问题
- 政府攻击警告
- 设备遭入侵
- 可疑活动
- AppMaker 默认 Cloud SQL 设置
- 活动规则
- 数据丢失防护
- 应用中断
- 已更改主管理员
- 已添加 SSO 配置文件
- 已更新 SSO 配置文件
- 已删除 SSO 配置文件
- 超级管理员密码重置
- 帐户暂停警告
- 日历设置已更改
- Chrome 设备自动更新过期警告
- 已启动客户外泄
- 云端硬盘设置已更改
- 电子邮件设置已更改
- Gmail 潜在的员工欺骗
- 移动设备设置已更改
- 已添加新用户
- 报告规则
- 已激活暂停的用户
- 已删除用户
- 已授予用户管理员权限
- 用户已暂停(垃圾邮件)
- 已撤销用户的管理员权限
- 已更改用户密码
- 检测到 Google Voice 配置问题
要求
编辑为了从 Google 警报中心 API 摄取数据,您必须
- 拥有一个管理员帐户。
- 使用管理员帐户设置一个 ServiceAccount。
- 为 ServiceAccount 设置对 Admin SDK API 的访问权限。
- 为 ServiceAccount 启用域范围的委派。
此集成将使用以下 oauth2 范围
-
https://www.googleapis.com/auth/apps.alerts
将服务帐户凭据下载为 JSON 文件后,即可设置集成以收集数据。
配置中的 委派帐户值应为管理员帐户的电子邮件,而不是 ServiceAccount 的电子邮件。
“页面大小”的默认值设置为 1000。此选项在“警报”高级选项下可用。根据需要设置参数“页面大小”。对于警报数据流,“警报中心 API 主机”的默认值为 https://alertcenter.googleapis.com。警报中心 API 主机将仅用于收集警报日志。
日志
编辑Google Workspace 报告 ECS 字段
编辑这是映射到 ECS 的 Google Workspace 报告字段的列表,这些字段对所有数据集通用。
| Google Workspace 报告 | ECS 字段 |
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
SAML
编辑这是 saml 数据集。
示例
saml 的示例事件如下
{
"@timestamp": "2021-10-02T15:00:00.000Z",
"agent": {
"ephemeral_id": "21bc9c22-c07c-4d9e-be7d-d847757ace52",
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "google_workspace.saml",
"namespace": "42924",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "login_failure",
"agent_id_status": "verified",
"category": [
"authentication",
"session"
],
"created": "2024-08-01T22:01:50.429Z",
"dataset": "google_workspace.saml",
"id": "1",
"ingested": "2024-08-01T22:02:02Z",
"kind": "event",
"original": "{\"actor\":{\"callerType\":\"USER\",\"email\":\"[email protected]\",\"profileId\":1},\"events\":{\"name\":\"login_failure\",\"parameters\":[{\"name\":\"application_name\",\"value\":\"app\"},{\"name\":\"failure_type\",\"value\":\"failure_app_not_configured_for_user\"},{\"name\":\"initiated_by\",\"value\":\"idp\"},{\"name\":\"orgunit_path\",\"value\":\"ounit\"},{\"name\":\"saml_second_level_status_code\",\"value\":\"SUCCESS_URI\"},{\"name\":\"saml_status_code\",\"value\":\"SUCCESS_URI\"}],\"type\":\"login\"},\"id\":{\"applicationName\":\"saml\",\"customerId\":\"1\",\"time\":\"2021-10-02T15:00:00Z\",\"uniqueQualifier\":1},\"ipAddress\":\"98.235.162.24\",\"kind\":\"admin#reports#activity\",\"ownerDomain\":\"elastic.com\"}",
"outcome": "failure",
"provider": "saml",
"type": [
"start"
]
},
"google_workspace": {
"actor": {
"type": "USER"
},
"event": {
"type": "login"
},
"kind": "admin#reports#activity",
"organization": {
"domain": "elastic.com"
},
"saml": {
"application_name": "app",
"failure_type": "failure_app_not_configured_for_user",
"initiated_by": "idp",
"orgunit_path": "ounit",
"second_level_status_code": "SUCCESS_URI",
"status_code": "SUCCESS_URI"
}
},
"input": {
"type": "httpjson"
},
"organization": {
"id": "1"
},
"related": {
"ip": [
"98.235.162.24"
],
"user": [
"foo"
]
},
"source": {
"as": {
"number": 7922,
"organization": {
"name": "Comcast Cable Communications, Inc."
}
},
"ip": "98.235.162.24",
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo"
}
},
"tags": [
"preserve_original_event",
"forwarded",
"google_workspace-saml"
],
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
google_workspace.actor.key |
仅当 |
keyword |
google_workspace.actor.type |
参与者的类型。值可以是:USER:同一域中的另一个用户。EXTERNAL_USER:域外的用户。KEY:非人类参与者。 |
keyword |
google_workspace.event.type |
Google Workspace 事件的类型,映射自原始负载中的 |
keyword |
google_workspace.kind |
API 资源的类型,映射自原始负载中的 |
keyword |
google_workspace.organization.domain |
受报告事件影响的域名。 |
keyword |
google_workspace.saml.application_name |
Saml SP 应用程序名称。 |
keyword |
google_workspace.saml.failure_type |
登录失败类型。有关可能值的列表,请参阅 https://developers.google.com/admin-sdk/reports/v1/appendix/activity/saml。 |
keyword |
google_workspace.saml.initiated_by |
SAML 身份验证的请求者。 |
keyword |
google_workspace.saml.orgunit_path |
用户组织部门。 |
keyword |
google_workspace.saml.second_level_status_code |
SAML 二级状态代码。 |
keyword |
google_workspace.saml.status_code |
SAML 状态代码。 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
用户帐户
编辑这是 user_accounts 数据集。
示例
user_accounts 的一个示例事件如下所示
{
"@timestamp": "2020-10-02T15:00:00.000Z",
"agent": {
"ephemeral_id": "65179230-7468-4b71-9b2b-a2cd4f778866",
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "google_workspace.user_accounts",
"namespace": "10103",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "2sv_disable",
"agent_id_status": "verified",
"category": [
"iam"
],
"created": "2024-08-01T22:03:58.977Z",
"dataset": "google_workspace.user_accounts",
"id": "1",
"ingested": "2024-08-01T22:04:10Z",
"kind": "event",
"original": "{\"actor\":{\"callerType\":\"USER\",\"email\":\"[email protected]\",\"profileId\":1},\"events\":{\"name\":\"2sv_disable\",\"type\":\"2sv_change\"},\"id\":{\"applicationName\":\"user_accounts\",\"customerId\":\"1\",\"time\":\"2020-10-02T15:00:00Z\",\"uniqueQualifier\":1},\"ipAddress\":\"98.235.162.24\",\"kind\":\"admin#reports#activity\",\"ownerDomain\":\"elastic.com\"}",
"provider": "user_accounts",
"type": [
"change",
"user"
]
},
"google_workspace": {
"actor": {
"type": "USER"
},
"event": {
"type": "2sv_change"
},
"kind": "admin#reports#activity",
"organization": {
"domain": "elastic.com"
}
},
"input": {
"type": "httpjson"
},
"organization": {
"id": "1"
},
"related": {
"ip": [
"98.235.162.24"
],
"user": [
"foo"
]
},
"source": {
"as": {
"number": 7922,
"organization": {
"name": "Comcast Cable Communications, Inc."
}
},
"ip": "98.235.162.24",
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo"
}
},
"tags": [
"preserve_original_event",
"forwarded",
"google_workspace-user_accounts"
],
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
google_workspace.actor.key |
仅当 |
keyword |
google_workspace.actor.type |
参与者的类型。值可以是:USER:同一域中的另一个用户。EXTERNAL_USER:域外的用户。KEY:非人类参与者。 |
keyword |
google_workspace.event.type |
Google Workspace 事件的类型,映射自原始负载中的 |
keyword |
google_workspace.kind |
API 资源的类型,映射自原始负载中的 |
keyword |
google_workspace.organization.domain |
受报告事件影响的域名。 |
keyword |
google_workspace.user_accounts.email_forwarding_destination_address |
执行者转发到的域外电子邮件地址。 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
登录帐户
编辑这是 login 数据集。
示例
login 的一个示例事件如下所示
{
"@timestamp": "2022-05-04T15:04:05.000Z",
"agent": {
"ephemeral_id": "8d5b6a07-b1e1-4397-982f-9223504ae534",
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "google_workspace.login",
"namespace": "61171",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "account_disabled_password_leak",
"agent_id_status": "verified",
"category": [
"iam"
],
"created": "2024-08-01T21:59:36.067Z",
"dataset": "google_workspace.login",
"id": "1",
"ingested": "2024-08-01T21:59:48Z",
"kind": "event",
"original": "{\"actor\":{\"callerType\":\"USER\",\"email\":\"[email protected]\",\"profileId\":1},\"events\":{\"name\":\"account_disabled_password_leak\",\"parameters\":[{\"name\":\"affected_email_address\",\"value\":\"[email protected]\"}],\"type\":\"account_warning\"},\"id\":{\"applicationName\":\"login\",\"customerId\":\"1\",\"time\":\"2022-05-04T15:04:05Z\",\"uniqueQualifier\":1},\"ipAddress\":\"98.235.162.24\",\"kind\":\"admin#reports#activity\",\"ownerDomain\":\"elastic.com\"}",
"provider": "login",
"type": [
"user",
"info"
]
},
"google_workspace": {
"actor": {
"type": "USER"
},
"event": {
"type": "account_warning"
},
"kind": "admin#reports#activity",
"login": {
"affected_email_address": "[email protected]"
},
"organization": {
"domain": "elastic.com"
}
},
"input": {
"type": "httpjson"
},
"organization": {
"id": "1"
},
"related": {
"ip": [
"98.235.162.24"
],
"user": [
"foo",
"foo"
]
},
"source": {
"as": {
"number": 7922,
"organization": {
"name": "Comcast Cable Communications, Inc."
}
},
"ip": "98.235.162.24",
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo"
}
},
"tags": [
"preserve_original_event",
"forwarded",
"google_workspace-login"
],
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo",
"target": {
"domain": "elastic.co",
"name": "foo"
}
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
google_workspace.actor.key |
仅当 |
keyword |
google_workspace.actor.type |
参与者的类型。值可以是:USER:同一域中的另一个用户。EXTERNAL_USER:域外的用户。KEY:非人类参与者。 |
keyword |
google_workspace.event.type |
Google Workspace 事件的类型,映射自原始负载中的 |
keyword |
google_workspace.kind |
API 资源的类型,映射自原始负载中的 |
keyword |
google_workspace.login.affected_email_address |
keyword |
|
google_workspace.login.challenge_method |
登录验证方法。有关可能值的列表,请参阅 https://developers.google.com/admin-sdk/reports/v1/appendix/activity/login。 |
keyword |
google_workspace.login.challenge_status |
登录验证状态。有关可能值的列表,请参阅 https://developers.google.com/admin-sdk/reports/v1/appendix/activity/login。 |
keyword |
google_workspace.login.failure_type |
登录失败类型。有关可能值的列表,请参阅 https://developers.google.com/admin-sdk/reports/v1/appendix/activity/login。 |
keyword |
google_workspace.login.is_second_factor |
布尔值 |
|
google_workspace.login.is_suspicious |
布尔值 |
|
google_workspace.login.timestamp |
登录的 UNIX 时间戳,单位为微秒。有关可能值的列表,请参阅 https://developers.google.com/admin-sdk/reports/v1/appendix/activity/login。 |
long |
google_workspace.login.type |
登录凭据类型。有关可能值的列表,请参阅 https://developers.google.com/admin-sdk/reports/v1/appendix/activity/login。 |
keyword |
google_workspace.organization.domain |
受报告事件影响的域名。 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
规则
编辑这是 rules 数据集。
示例
rules 的一个示例事件如下所示
{
"@timestamp": "2020-10-02T15:00:00.000Z",
"agent": {
"ephemeral_id": "5c6a871e-fa71-4f56-b30d-46922ca4e836",
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "google_workspace.rules",
"namespace": "88921",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "rule_match",
"agent_id_status": "verified",
"created": "2024-08-01T22:00:43.194Z",
"dataset": "google_workspace.rules",
"id": "1",
"ingested": "2024-08-01T22:00:55Z",
"kind": "event",
"original": "{\"actor\":{\"callerType\":\"USER\",\"email\":\"[email protected]\",\"profileId\":1},\"events\":{\"name\":\"rule_match\",\"parameters\":[{\"boolValue\":\"true\",\"name\":\"has_alert\"},{\"name\":\"actor_ip_address\",\"value\":\"127.0.0.0\"},{\"intValue\":\"1234\",\"name\":\"resource_recipients_omitted_count\"},{\"multiValue\":[\"managers\"],\"name\":\"rule_name\"},{\"multiIntValue\":[\"12\"],\"name\":\"rule_id\"}],\"type\":\"rule_match_type\"},\"id\":{\"applicationName\":\"rules\",\"customerId\":\"1\",\"time\":\"2020-10-02T15:00:00Z\",\"uniqueQualifier\":1},\"ipAddress\":\"67.43.156.13\",\"kind\":\"admin#reports#activity\",\"ownerDomain\":\"elastic.com\"}",
"provider": "rules"
},
"google_workspace": {
"actor": {
"email": "[email protected]",
"profile": {
"id": "1"
},
"type": "USER"
},
"event": {
"name": "rule_match",
"type": "rule_match_type"
},
"id": {
"application_name": "rules",
"customer": {
"id": "1"
},
"time": "2020-10-02T15:00:00.000Z",
"unique_qualifier": "1"
},
"ip_address": "67.43.156.13",
"kind": "admin#reports#activity",
"organization": {
"domain": "elastic.com"
},
"rules": {
"actor_ip_address": "127.0.0.0",
"has_alert": true,
"id": [
"12"
],
"name": [
"managers"
],
"resource": {
"recipients_omitted_count": 1234
}
}
},
"input": {
"type": "httpjson"
},
"organization": {
"id": "1"
},
"related": {
"hosts": [
"bar.com",
"elastic.com"
],
"ip": [
"67.43.156.13",
"127.0.0.0"
],
"user": [
"foo"
]
},
"rule": {
"id": [
"12"
],
"name": [
"managers"
]
},
"source": {
"as": {
"number": 35908
},
"geo": {
"continent_name": "Asia",
"country_iso_code": "BT",
"country_name": "Bhutan",
"location": {
"lat": 27.5,
"lon": 90.5
}
},
"ip": "67.43.156.13",
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo"
}
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"google_workspace-rules"
],
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
google_workspace.actor.email |
执行者的主要电子邮件地址。如果执行者没有关联的电子邮件地址,则可能不存在。 |
keyword |
google_workspace.actor.key |
仅当 |
keyword |
google_workspace.actor.profile.id |
执行者的唯一 Google Workspace 个人资料 ID。如果执行者不是 Google Workspace 用户,此值可能不存在,或者可能是用作占位符 ID 的数字 105250506097979753968。 |
keyword |
google_workspace.actor.type |
参与者的类型。值可以是:USER:同一域中的另一个用户。EXTERNAL_USER:域外的用户。KEY:非人类参与者。 |
keyword |
google_workspace.etag |
条目的 ETag。 |
keyword |
google_workspace.event.name |
事件的名称。这是 API 报告的活动的具体名称。每个 eventName 都与 API 组织成事件类型的特定 Google Workspace 服务或功能相关。关于 eventName 请求参数的通常信息:如果未给出 eventName,则报告会返回 eventName 的所有可能实例。当您请求 eventName 时,API 的响应会返回包含该 eventName 的所有活动。返回的活动除了请求的 eventName 之外,还可能具有其他 eventName 属性。有关 eventName 属性的更多信息,请参阅上面应用程序名称中各种应用程序的事件名称列表。 |
keyword |
google_workspace.event.type |
Google Workspace 事件的类型,映射自原始负载中的 |
keyword |
google_workspace.id.application_name |
事件所属的应用程序名称。有关可能的值,请参阅上面应用程序名称中的应用程序列表。 |
keyword |
google_workspace.id.customer.id |
Google Workspace 帐户的唯一标识符。 |
keyword |
google_workspace.id.time |
活动发生的时间。这是 UNIX 时间戳,单位为秒。 |
日期 |
google_workspace.id.unique_qualifier |
如果多个事件具有相同的时间,则为唯一限定符。 |
keyword |
google_workspace.ip_address |
执行操作的用户的 IP 地址。这是用户登录 Google Workspace 时的 Internet 协议 (IP) 地址,可能反映也可能不反映用户的实际位置。例如,IP 地址可以是用户的代理服务器地址或虚拟专用网络 (VPN) 地址。该 API 支持 IPv4 和 IPv6。 |
ip |
google_workspace.kind |
API 资源的类型,映射自原始负载中的 |
keyword |
google_workspace.organization.domain |
受报告事件影响的域名。 |
keyword |
google_workspace.rules.actions |
已采取的操作列表。有关可能值的列表,请参阅事件详细信息表中的 |
keyword |
google_workspace.rules.actor_ip_address |
负责触发该规则的原始事件的实体的 IP 地址。 |
ip |
google_workspace.rules.application |
标记项所属的应用程序的名称。有关可能值的列表,请参阅事件详细信息表中的 |
keyword |
google_workspace.rules.conference_id |
Google Meet 会议的唯一标识符。 |
keyword |
google_workspace.rules.data_source |
数据来源。有关可能值的列表,请参阅事件详细信息表中的 |
keyword |
google_workspace.rules.device.id |
触发操作的设备的 ID。 |
keyword |
google_workspace.rules.device.type |
设备 ID 所指的设备类型。有关可能值的列表,请参阅事件详细信息表中的 |
keyword |
google_workspace.rules.drive_shared_drive_id |
共享云端硬盘 ID(如果适用),该云端硬盘项所属。 |
keyword |
google_workspace.rules.evaluation_context |
评估元数据,例如规则评估中使用的上下文消息。 |
flattened |
google_workspace.rules.has_alert |
是否已启用触发规则的警报。 |
布尔值 |
google_workspace.rules.has_content_match |
资源是否具有与规则中的条件匹配的内容。有关可能值的列表,请参阅事件详细信息表中的 |
布尔值 |
google_workspace.rules.id |
规则的唯一标识符。规则由 Google Workspace 中的管理员创建。 |
keyword |
google_workspace.rules.matched.detectors |
与资源匹配的检测器列表。 |
flattened |
google_workspace.rules.matched.templates |
匹配的内容检测器模板列表。 |
keyword |
google_workspace.rules.matched.threshold |
在规则中匹配的阈值。 |
keyword |
google_workspace.rules.matched.trigger |
规则评估的触发器:发送或接收的电子邮件、共享的文档。有关可能值的列表,请参阅事件详细信息表中的 |
keyword |
google_workspace.rules.mobile_device_type |
应用规则的设备类型。 |
keyword |
google_workspace.rules.mobile_ios_vendor_id |
应用规则的设备的 iOS 供应商 ID(如果适用)。 |
keyword |
google_workspace.rules.name |
规则的名称。 |
keyword |
google_workspace.rules.resource.id |
与规则匹配的资源的标识符。 |
keyword |
google_workspace.rules.resource.name |
唯一标识规则的资源名称。 |
keyword |
google_workspace.rules.resource.owner_email |
资源所有者的电子邮件地址。 |
keyword |
google_workspace.rules.resource.recipients |
触发规则时共享云端硬盘文档或电子邮件的用户列表。 |
keyword |
google_workspace.rules.resource.recipients_omitted_count |
由于超出大小限制而省略的资源收件人数量。 |
long |
google_workspace.rules.resource.title |
与规则匹配的资源的标题:电子邮件主题或文档标题。 |
keyword |
google_workspace.rules.resource.type |
规则的类型。有关可能值的列表,请参阅事件详细信息表中的 |
keyword |
google_workspace.rules.resource_name |
与规则匹配的资源的名称。 |
keyword |
google_workspace.rules.scan_type |
规则评估的扫描模式。有关可能值的列表,请参阅事件详细信息表中的 |
keyword |
google_workspace.rules.severity |
违反规则的严重程度。有关可能值的列表,请参阅事件详细信息表中的 |
keyword |
google_workspace.rules.space.id |
触发规则的空间的 ID。 |
keyword |
google_workspace.rules.space.type |
空间 ID 所指的空间类型。有关可能值的列表,请参阅事件详细信息表中的 |
keyword |
google_workspace.rules.suppressed_actions |
由于优先级较高的其他操作而未采取的操作列表。 |
flattened |
google_workspace.rules.triggered_actions |
由于触发规则而采取的操作列表。 |
flattened |
google_workspace.rules.type |
规则的类型。有关可能值的列表,请参阅事件详细信息表中的 |
keyword |
google_workspace.rules.update_time_usec |
更新时间(自 Unix 纪元以来的微秒数),表示使用的规则版本。 |
日期 |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
管理员
编辑这是 admin 数据集。
示例
admin 的示例如下所示
{
"@timestamp": "2022-04-04T15:04:05.000Z",
"agent": {
"ephemeral_id": "e64e710c-e02b-4997-bb7e-83b936dd6aa5",
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "google_workspace.admin",
"namespace": "62273",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "CHANGE_APPLICATION_SETTING",
"agent_id_status": "verified",
"category": [
"iam",
"configuration"
],
"created": "2024-08-01T21:51:15.529Z",
"dataset": "google_workspace.admin",
"id": "1",
"ingested": "2024-08-01T21:51:27Z",
"kind": "event",
"original": "{\"actor\":{\"callerType\":\"USER\",\"email\":\"[email protected]\",\"profileId\":1},\"events\":{\"name\":\"CHANGE_APPLICATION_SETTING\",\"parameters\":[{\"name\":\"APPLICATION_EDITION\",\"value\":\"basic\"},{\"name\":\"APPLICATION_NAME\",\"value\":\"drive\"},{\"name\":\"GROUP_EMAIL\",\"value\":\"[email protected]\"},{\"name\":\"NEW_VALUE\",\"value\":\"new\"},{\"name\":\"OLD_VALUE\",\"value\":\"old\"},{\"name\":\"ORG_UNIT_NAME\",\"value\":\"org\"},{\"name\":\"SETTING_NAME\",\"value\":\"setting\"}],\"type\":\"APPLICATION_SETTINGS\"},\"id\":{\"applicationName\":\"admin\",\"customerId\":\"1\",\"time\":\"2022-04-04T15:04:05Z\",\"uniqueQualifier\":1},\"ipAddress\":\"98.235.162.24\",\"kind\":\"admin#reports#activity\",\"ownerDomain\":\"elastic.com\"}",
"provider": "admin",
"type": [
"change"
]
},
"google_workspace": {
"actor": {
"type": "USER"
},
"admin": {
"application": {
"edition": "basic",
"name": "drive"
},
"group": {
"email": "[email protected]"
},
"new_value": "new",
"old_value": "old",
"org_unit": {
"name": "org"
},
"setting": {
"name": "setting"
}
},
"event": {
"type": "APPLICATION_SETTINGS"
},
"kind": "admin#reports#activity",
"organization": {
"domain": "elastic.com"
}
},
"group": {
"domain": "example.com",
"name": "group"
},
"input": {
"type": "httpjson"
},
"organization": {
"id": "1"
},
"related": {
"ip": [
"98.235.162.24"
],
"user": [
"foo"
]
},
"source": {
"as": {
"number": 7922,
"organization": {
"name": "Comcast Cable Communications, Inc."
}
},
"ip": "98.235.162.24",
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo"
}
},
"tags": [
"preserve_original_event",
"forwarded",
"google_workspace-admin"
],
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo",
"target": {
"group": {
"domain": "example.com",
"name": "group"
}
}
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
google_workspace.actor.key |
仅当 |
keyword |
google_workspace.actor.type |
参与者的类型。值可以是:USER:同一域中的另一个用户。EXTERNAL_USER:域外的用户。KEY:非人类参与者。 |
keyword |
google_workspace.admin.alert.name |
提醒名称。 |
keyword |
google_workspace.admin.api.client.name |
API 客户端名称。 |
keyword |
google_workspace.admin.api.scopes |
API 范围。 |
keyword |
google_workspace.admin.application.asp_id |
应用程序特定密码 ID。 |
keyword |
google_workspace.admin.application.edition |
Google Workspace 版本。 |
keyword |
google_workspace.admin.application.enabled |
已启用的应用程序。 |
keyword |
google_workspace.admin.application.id |
应用程序 ID。 |
keyword |
google_workspace.admin.application.licences_order_number |
用于兑换许可证的订单号。 |
keyword |
google_workspace.admin.application.licences_purchased |
购买的许可证数量。 |
long |
google_workspace.admin.application.name |
应用程序的名称。 |
keyword |
google_workspace.admin.application.package_id |
移动应用程序包 ID。 |
keyword |
google_workspace.admin.bulk_upload.failed |
批量上传操作中失败的记录数。 |
long |
google_workspace.admin.bulk_upload.total |
批量上传操作中的总记录数。 |
long |
google_workspace.admin.chrome_licenses.allowed |
已启用的许可证。有关可能值的列表,请参阅https://developers.google.com/admin-sdk/reports/v1/appendix/activity/admin-org-settings |
keyword |
google_workspace.admin.chrome_licenses.enabled |
已启用的许可证。有关可能值的列表,请参阅https://developers.google.com/admin-sdk/reports/v1/appendix/activity/admin-org-settings |
keyword |
google_workspace.admin.chrome_os.session_type |
Chrome OS 会话类型。 |
keyword |
google_workspace.admin.device.command_details |
命令详细信息。 |
keyword |
google_workspace.admin.device.id |
keyword |
|
google_workspace.admin.device.serial_number |
设备序列号。 |
keyword |
google_workspace.admin.device.type |
设备类型。 |
keyword |
google_workspace.admin.distribution.entity.name |
分发实体值,可以是群组名称或组织部门名称。有关可能值的列表,请参阅https://developers.google.com/admin-sdk/reports/v1/appendix/activity/admin-mobile-settings |
keyword |
google_workspace.admin.distribution.entity.type |
分发实体类型,可以是群组或组织部门。有关可能值的列表,请参阅https://developers.google.com/admin-sdk/reports/v1/appendix/activity/admin-mobile-settings |
keyword |
google_workspace.admin.domain.alias |
域名别名。 |
keyword |
google_workspace.admin.domain.name |
主域名。 |
keyword |
google_workspace.admin.domain.secondary_name |
辅助域名。 |
keyword |
google_workspace.admin.email.log_search_filter.end_date |
日志搜索过滤器的结束日期。 |
日期 |
google_workspace.admin.email.log_search_filter.message_id |
日志搜索过滤器的电子邮件消息 ID。 |
keyword |
google_workspace.admin.email.log_search_filter.recipient.ip |
日志搜索过滤器的电子邮件收件人的 IP 地址。 |
ip |
google_workspace.admin.email.log_search_filter.recipient.value |
日志搜索过滤器的电子邮件收件人。 |
keyword |
google_workspace.admin.email.log_search_filter.sender.ip |
日志搜索过滤器的电子邮件发件人的 IP 地址。 |
ip |
google_workspace.admin.email.log_search_filter.sender.value |
日志搜索过滤器的电子邮件发件人。 |
keyword |
google_workspace.admin.email.log_search_filter.start_date |
日志搜索过滤器的开始日期。 |
日期 |
google_workspace.admin.email.quarantine_name |
隔离区的名称。 |
keyword |
google_workspace.admin.email_dump.include_deleted |
指示导出的电子邮件是否包含已删除的电子邮件。 |
布尔值 |
google_workspace.admin.email_dump.package_content |
邮箱包的内容。 |
keyword |
google_workspace.admin.email_dump.query |
用于转储的搜索查询。 |
keyword |
google_workspace.admin.email_monitor.dest_email |
电子邮件监控的目标地址。 |
keyword |
google_workspace.admin.email_monitor.level.chat |
聊天电子邮件监控级别。 |
keyword |
google_workspace.admin.email_monitor.level.draft |
草稿电子邮件监控级别。 |
keyword |
google_workspace.admin.email_monitor.level.incoming |
传入电子邮件监控级别。 |
keyword |
google_workspace.admin.email_monitor.level.outgoing |
传出电子邮件监控级别。 |
keyword |
google_workspace.admin.field |
字段的名称。 |
keyword |
google_workspace.admin.gateway.name |
网关名称。在某些聊天设置中存在。 |
keyword |
google_workspace.admin.group.allowed_list |
允许列表中的群组名称。 |
keyword |
google_workspace.admin.group.email |
群组的主电子邮件地址。 |
keyword |
google_workspace.admin.group.priorities |
群组优先级。 |
keyword |
google_workspace.admin.info_type |
这将用于说明更改的信息类型。有关可能值的列表,请参阅https://developers.google.com/admin-sdk/reports/v1/appendix/activity/admin-domain-settings |
keyword |
google_workspace.admin.managed_configuration |
托管配置的名称。 |
keyword |
google_workspace.admin.mdm.token |
MDM 供应商注册令牌。 |
keyword |
google_workspace.admin.mdm.vendor |
MDM 供应商的名称。 |
keyword |
google_workspace.admin.mobile.action.id |
移动设备操作的 ID。 |
keyword |
google_workspace.admin.mobile.action.type |
移动设备操作的类型。有关可能值的列表,请参阅https://developers.google.com/admin-sdk/reports/v1/appendix/activity/admin-mobile-settings |
keyword |
google_workspace.admin.mobile.certificate.name |
移动证书的通用名称。 |
keyword |
google_workspace.admin.mobile.company_owned_devices |
公司拥有的设备数量。 |
long |
google_workspace.admin.new_value |
设置的新值。 |
keyword |
google_workspace.admin.non_featured_services_selection |
非精选服务选择。有关可能值的列表,请参阅https://developers.google.com/admin-sdk/reports/v1/appendix/activity/admin-application-settings#FLASHLIGHT_EDU_NON_FEATURED_SERVICES_SELECTED |
keyword |
google_workspace.admin.oauth2.application.id |
OAuth2 应用程序 ID。 |
keyword |
google_workspace.admin.oauth2.application.name |
OAuth2 应用程序名称。 |
keyword |
google_workspace.admin.oauth2.application.type |
OAuth2 应用程序类型。有关可能值的列表,请参阅https://developers.google.com/admin-sdk/reports/v1/appendix/activity/admin-security-settings |
keyword |
google_workspace.admin.oauth2.service.name |
OAuth2 服务名称。有关可能值的列表,请参阅https://developers.google.com/admin-sdk/reports/v1/appendix/activity/admin-security-settings |
keyword |
google_workspace.admin.old_value |
设置的旧值。 |
keyword |
google_workspace.admin.org_unit.full |
包含根组织部门名称的完整组织部门路径。 |
keyword |
google_workspace.admin.org_unit.name |
组织部门名称。 |
keyword |
google_workspace.admin.print_server.name |
打印服务器的名称。 |
keyword |
google_workspace.admin.printer.name |
打印机的名称。 |
keyword |
google_workspace.admin.privilege.name |
权限名称。 |
keyword |
google_workspace.admin.product.name |
产品名称。 |
keyword |
google_workspace.admin.product.sku |
产品 SKU。 |
keyword |
google_workspace.admin.request.id |
请求 ID。 |
keyword |
google_workspace.admin.resource.id |
资源标识符的名称。 |
keyword |
google_workspace.admin.role.id |
此角色权限的唯一标识符。 |
keyword |
google_workspace.admin.role.name |
角色名称。有关可能值的列表,请参阅https://developers.google.com/admin-sdk/reports/v1/appendix/activity/admin-delegated-admin-settings |
keyword |
google_workspace.admin.rule.name |
规则名称。 |
keyword |
google_workspace.admin.service.name |
服务名称。 |
keyword |
google_workspace.admin.setting.description |
设置名称。 |
keyword |
google_workspace.admin.setting.name |
设置名称。 |
keyword |
google_workspace.admin.url.name |
网站名称。 |
keyword |
google_workspace.admin.user.birthdate |
用户的出生日期。 |
日期 |
google_workspace.admin.user.email |
用户的主电子邮件地址。 |
keyword |
google_workspace.admin.user.nickname |
用户的昵称。 |
keyword |
google_workspace.admin.user_defined_setting.name |
用户自定义设置的名称。 |
keyword |
google_workspace.admin.verification_method |
相关验证方法。有关可能值的列表,请参阅https://developers.google.com/admin-sdk/reports/v1/appendix/activity/admin-security-settings 和 https://developers.google.com/admin-sdk/reports/v1/appendix/activity/admin-domain-settings |
keyword |
google_workspace.event.type |
Google Workspace 事件的类型,映射自原始负载中的 |
keyword |
google_workspace.kind |
API 资源的类型,映射自原始负载中的 |
keyword |
google_workspace.organization.domain |
受报告事件影响的域名。 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
云端硬盘
编辑这是 drive 数据集。
示例
drive 的示例如下所示
{
"@timestamp": "2022-05-04T15:04:05.000Z",
"agent": {
"ephemeral_id": "afd0c297-d853-427a-96bc-20af38e5b145",
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "google_workspace.drive",
"namespace": "99832",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "add_to_folder",
"agent_id_status": "verified",
"category": [
"file"
],
"created": "2024-08-01T21:55:29.295Z",
"dataset": "google_workspace.drive",
"id": "1",
"ingested": "2024-08-01T21:55:41Z",
"kind": "event",
"original": "{\"actor\":{\"callerType\":\"USER\",\"email\":\"[email protected]\",\"profileId\":1},\"events\":{\"name\":\"add_to_folder\",\"parameters\":[{\"boolValue\":false,\"name\":\"billable\"},{\"name\":\"destination_folder_id\",\"value\":\"1234\"},{\"name\":\"destination_folder_title\",\"value\":\"folder title\"},{\"name\":\"doc_id\",\"value\":\"1234\"},{\"name\":\"doc_title\",\"value\":\"document title\"},{\"name\":\"doc_type\",\"value\":\"document\"},{\"name\":\"originating_app_id\",\"value\":\"1234\"},{\"name\":\"owner\",\"value\":\"[email protected]\"},{\"boolValue\":false,\"name\":\"owner_is_shared_drive\"},{\"boolValue\":true,\"name\":\"primary_event\"},{\"name\":\"visibility\",\"value\":\"people_with_link\"}],\"type\":\"access\"},\"id\":{\"applicationName\":\"drive\",\"customerId\":\"1\",\"time\":\"2022-05-04T15:04:05Z\",\"uniqueQualifier\":1},\"ipAddress\":\"98.235.162.24\",\"kind\":\"admin#reports#activity\",\"ownerDomain\":\"elastic.com\"}",
"provider": "drive",
"type": [
"change"
]
},
"file": {
"name": "document title",
"owner": "owner",
"type": "file"
},
"google_workspace": {
"actor": {
"type": "USER"
},
"drive": {
"billable": false,
"destination_folder_id": "1234",
"destination_folder_title": "folder title",
"file": {
"id": "1234",
"owner": {
"email": "[email protected]",
"is_shared_drive": false
},
"type": "document"
},
"originating_app_id": "1234",
"primary_event": true,
"visibility": "people_with_link"
},
"event": {
"type": "access"
},
"kind": "admin#reports#activity",
"organization": {
"domain": "elastic.com"
}
},
"input": {
"type": "httpjson"
},
"organization": {
"id": "1"
},
"related": {
"ip": [
"98.235.162.24"
],
"user": [
"owner",
"foo"
]
},
"source": {
"as": {
"number": 7922,
"organization": {
"name": "Comcast Cable Communications, Inc."
}
},
"ip": "98.235.162.24",
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo"
}
},
"tags": [
"preserve_original_event",
"forwarded",
"google_workspace-drive"
],
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
google_workspace.actor.key |
仅当 |
keyword |
google_workspace.actor.type |
参与者的类型。值可以是:USER:同一域中的另一个用户。EXTERNAL_USER:域外的用户。KEY:非人类参与者。 |
keyword |
google_workspace.drive.actor_is_collaborator_account |
参与者是否为协作者帐户。 |
布尔值 |
google_workspace.drive.added_role |
用户/群组在团队云端硬盘中添加的成员角色。有关可能值的列表,请参阅https://developers.google.com/admin-sdk/reports/v1/appendix/activity/drive |
keyword |
google_workspace.drive.billable |
此活动是否可计费。 |
布尔值 |
google_workspace.drive.destination_folder_id |
keyword |
|
google_workspace.drive.destination_folder_title |
keyword |
|
google_workspace.drive.file.id |
keyword |
|
google_workspace.drive.file.owner.email |
keyword |
|
google_workspace.drive.file.owner.is_shared_drive |
表示所有者是否为共享云端硬盘的布尔标志。 |
布尔值 |
google_workspace.drive.file.type |
文档云端硬盘类型。有关可能值的列表,请参阅https://developers.google.com/admin-sdk/reports/v1/appendix/activity/drive |
keyword |
google_workspace.drive.is_encrypted |
文件是否在客户端加密。 |
布尔值 |
google_workspace.drive.membership_change_type |
用户/群组在团队云端硬盘成员资格中发生的更改类型。有关可能值的列表,请参阅https://developers.google.com/admin-sdk/reports/v1/appendix/activity/drive |
keyword |
google_workspace.drive.new_value |
当文件的设置或属性发生更改时,新值将显示在此处。 |
keyword |
google_workspace.drive.old_value |
当文件的设置或属性发生更改时,旧值将显示在此处。 |
keyword |
google_workspace.drive.old_visibility |
当可见性发生更改时,此值将保留旧值。 |
keyword |
google_workspace.drive.originating_app_id |
执行操作的应用程序的 Google Cloud 项目 ID。 |
keyword |
google_workspace.drive.owner_is_team_drive |
所有者是否为团队云端硬盘。 |
布尔值 |
google_workspace.drive.primary_event |
这是否是主要事件。云端硬盘中的单个用户操作可能会生成多个事件。 |
布尔值 |
google_workspace.drive.removed_role |
用户/群组在团队云端硬盘中删除的成员角色。有关可能值的列表,请参阅https://developers.google.com/admin-sdk/reports/v1/appendix/activity/drive |
keyword |
google_workspace.drive.shared_drive_id |
团队云端硬盘的唯一标识符。仅为与团队云端硬盘或包含在团队云端硬盘内的项目相关的事件填充。 |
keyword |
google_workspace.drive.shared_drive_settings_change_type |
团队云端硬盘设置中发生的更改类型。有关可能值的列表,请参阅https://developers.google.com/admin-sdk/reports/v1/appendix/activity/drive |
keyword |
google_workspace.drive.sheets_import_range_recipient_doc |
表格导入范围的接收者文档 ID。 |
keyword |
google_workspace.drive.source_folder_id |
keyword |
|
google_workspace.drive.source_folder_title |
keyword |
|
google_workspace.drive.target |
目标用户或群组。 |
keyword |
google_workspace.drive.target_domain |
更改访问范围的域名。这也可以是别名“all”,表示已更改对该文档具有可见性的所有域的访问范围。 |
keyword |
google_workspace.drive.target_user |
更改访问权限的用户或群组的电子邮件地址,或更改访问权限的域名。 |
keyword |
google_workspace.drive.visibility |
目标文件的可见性。有关可能值的列表,请参阅 https://developers.google.com/admin-sdk/reports/v1/appendix/activity/drive |
keyword |
google_workspace.drive.visibility_change |
当可见性发生更改时,此项保存文件的新总体可见性。 |
keyword |
google_workspace.event.type |
Google Workspace 事件的类型,映射自原始负载中的 |
keyword |
google_workspace.kind |
API 资源的类型,映射自原始负载中的 |
keyword |
google_workspace.organization.domain |
受报告事件影响的域名。 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
群组
编辑这是 groups 数据集。
示例
groups 的示例事件如下所示
{
"@timestamp": "2022-05-04T15:04:05.000Z",
"agent": {
"ephemeral_id": "786aaf54-461f-4190-adaf-05ab3174ad01",
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "google_workspace.groups",
"namespace": "35359",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "change_acl_permission",
"agent_id_status": "verified",
"category": [
"iam"
],
"created": "2024-08-01T21:58:26.973Z",
"dataset": "google_workspace.groups",
"id": "1",
"ingested": "2024-08-01T21:58:38Z",
"kind": "event",
"original": "{\"actor\":{\"callerType\":\"USER\",\"email\":\"[email protected]\",\"profileId\":1},\"events\":{\"name\":\"change_acl_permission\",\"parameters\":[{\"name\":\"acl_permission\",\"value\":\"can_add_members\"},{\"name\":\"group_email\",\"value\":\"[email protected]\"},{\"multiValue\":[\"managers\",\"members\"],\"name\":\"new_value_repeated\"},{\"multiValue\":[\"managers\"],\"name\":\"old_value_repeated\"}],\"type\":\"acl_change\"},\"id\":{\"applicationName\":\"groups\",\"customerId\":\"1\",\"time\":\"2022-05-04T15:04:05Z\",\"uniqueQualifier\":1},\"ipAddress\":\"98.235.162.24\",\"kind\":\"admin#reports#activity\",\"ownerDomain\":\"elastic.com\"}",
"provider": "groups",
"type": [
"group",
"change"
]
},
"google_workspace": {
"actor": {
"type": "USER"
},
"event": {
"type": "acl_change"
},
"groups": {
"acl_permission": "can_add_members",
"email": "[email protected]",
"new_value": [
"managers",
"members"
],
"old_value": [
"managers"
]
},
"kind": "admin#reports#activity",
"organization": {
"domain": "elastic.com"
}
},
"group": {
"domain": "example.com",
"name": "group"
},
"input": {
"type": "httpjson"
},
"organization": {
"id": "1"
},
"related": {
"ip": [
"98.235.162.24"
],
"user": [
"foo"
]
},
"source": {
"as": {
"number": 7922,
"organization": {
"name": "Comcast Cable Communications, Inc."
}
},
"ip": "98.235.162.24",
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo"
}
},
"tags": [
"preserve_original_event",
"forwarded",
"google_workspace-groups"
],
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo",
"target": {
"group": {
"domain": "example.com",
"name": "group"
}
}
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
google_workspace.actor.key |
仅当 |
keyword |
google_workspace.actor.type |
参与者的类型。值可以是:USER:同一域中的另一个用户。EXTERNAL_USER:域外的用户。KEY:非人类参与者。 |
keyword |
google_workspace.event.type |
Google Workspace 事件的类型,映射自原始负载中的 |
keyword |
google_workspace.groups.acl_permission |
群组权限设置已更新。有关可能值的列表,请参阅 https://developers.google.com/admin-sdk/reports/v1/appendix/activity/groups |
keyword |
google_workspace.groups.email |
群组电子邮件。 |
keyword |
google_workspace.groups.member.email |
成员电子邮件。 |
keyword |
google_workspace.groups.member.role |
成员角色。有关可能值的列表,请参阅 https://developers.google.com/admin-sdk/reports/v1/appendix/activity/groups |
keyword |
google_workspace.groups.message.id |
电子邮件的 SMTP 消息 ID。存在于审核事件中。 |
keyword |
google_workspace.groups.message.moderation_action |
消息审核操作。可能的值为 |
keyword |
google_workspace.groups.new_value |
群组设置的新值。有关可能值的列表,请参阅 https://developers.google.com/admin-sdk/reports/v1/appendix/activity/groups |
keyword |
google_workspace.groups.old_value |
群组设置的旧值。有关可能值的列表,请参阅 https://developers.google.com/admin-sdk/reports/v1/appendix/activity/groups |
keyword |
google_workspace.groups.setting |
群组设置已更新。有关可能值的列表,请参阅 https://developers.google.com/admin-sdk/reports/v1/appendix/activity/groups |
keyword |
google_workspace.groups.status |
描述操作输出的状态。可能的值为 |
keyword |
google_workspace.groups.value |
群组设置的值。有关可能值的列表,请参阅 https://developers.google.com/admin-sdk/reports/v1/appendix/activity/groups |
keyword |
google_workspace.kind |
API 资源的类型,映射自原始负载中的 |
keyword |
google_workspace.organization.domain |
受报告事件影响的域名。 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
提醒
编辑这是 alert 数据集。
示例
alert 的示例事件如下所示
{
"@timestamp": "2022-07-01T10:49:29.436Z",
"agent": {
"ephemeral_id": "245194a8-7787-44f7-ac57-201f8c49a9a0",
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "google_workspace.alert",
"namespace": "62301",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"snapshot": false,
"version": "8.13.0"
},
"email": {
"attachments": {
"file": {
"hash": {
"sha256": [
"50d858e0985ecc7f60418aaf0cc5ab587f42c2570a884095a9e8ccacd0f6545c",
"228b48a56dbc2ecf10393227ac9c9dc943881fd7a55452e12a09107476bef2b2",
"5fb1679e08674059b72e271d8902c11a127bb5301b055dc77fa03932ada56a56"
]
}
}
},
"delivery_timestamp": [
"2022-07-01T10:38:13.194Z"
],
"message_id": [
"[email protected]",
"[email protected]"
],
"subject": [
"Sales",
"RE: Example salesorderspca JSON request"
],
"to": {
"address": [
"[email protected]"
]
}
},
"event": {
"action": "Gmail phishing",
"agent_id_status": "verified",
"category": [
"email",
"threat",
"malware"
],
"created": "2024-08-01T21:52:26.588Z",
"dataset": "google_workspace.alert",
"end": "2022-07-01T10:47:04.530Z",
"id": "91840a82-3af0-46d7-95ec-625c1cf0c3f7",
"ingested": "2024-08-01T21:52:38Z",
"kind": "alert",
"original": "{\"alertId\":\"91840a82-3af0-46d7-95ec-625c1cf0c3f7\",\"createTime\":\"2022-07-01T10:49:29.436394Z\",\"customerId\":\"02umwv6u\",\"data\":{\"@type\":\"type.googleapis.com/google.apps.alertcenter.type.MailPhishing\",\"domainId\":{\"customerPrimaryDomain\":\"example.com\"},\"isInternal\":true,\"maliciousEntity\":{\"displayName\":\"string\",\"entity\":{\"displayName\":\"example\",\"emailAddress\":\"[email protected]\"},\"fromHeader\":\"[email protected]\"},\"messages\":[{\"attachmentsSha256Hash\":[\"50d858e0985ecc7f60418aaf0cc5ab587f42c2570a884095a9e8ccacd0f6545c\",\"228b48a56dbc2ecf10393227ac9c9dc943881fd7a55452e12a09107476bef2b2\"],\"date\":\"2022-07-01T10:38:13.194711Z\",\"md5HashMessageBody\":\"d29343907090dff4cec4a9a0efb80d20\",\"md5HashSubject\":\"a3708f8228384d932237f85980ff8283\",\"messageBodySnippet\":\" hi greetings from sales \",\"messageId\":\"[email protected]\",\"recipient\":\"[email protected]\",\"subjectText\":\"Sales\"},{\"attachmentsSha256Hash\":[\"5fb1679e08674059b72e271d8902c11a127bb5301b055dc77fa03932ada56a56\"],\"md5HashMessageBody\":\"d29343907090dff4cec4a9a0efb80d20\",\"md5HashSubject\":\"a3708f8228384d932237f85980ff8283\",\"messageBodySnippet\":\" hi greetings \",\"messageId\":\"[email protected]\",\"recipient\":\"[email protected]\",\"subjectText\":\"RE: Example salesorderspca JSON request\"}],\"systemActionType\":\"NO_OPERATION\"},\"deleted\":false,\"endTime\":\"2022-07-01T10:47:04.530834Z\",\"etag\":\"wF2Ix2DWDv8=\",\"metadata\":{\"alertId\":\"91840a82-3af0-46d7-95ec-625c1cf0c3f7\",\"assignee\":\"[email protected]\",\"customerId\":\"02umwv6u\",\"etag\":\"wF2Ix2DWDv8=\",\"severity\":\"HIGH\",\"status\":\"NOT_STARTED\",\"updateTime\":\"2022-07-01T10:49:29.436394Z\"},\"securityInvestigationToolLink\":\"string\",\"source\":\"Gmail phishing\",\"startTime\":\"2022-07-01T10:38:13.194711Z\",\"type\":\"User reported phishing\",\"updateTime\":\"2022-07-01T10:49:29.436394Z\"}",
"start": "2022-07-01T10:38:13.194Z",
"type": [
"info"
]
},
"google_workspace": {
"alert": {
"create_time": "2022-07-01T10:49:29.436Z",
"customer": {
"id": "02umwv6u"
},
"data": {
"domain_id": {
"customer_primary_domain": "example.com"
},
"is_internal": true,
"malicious_entity": {
"display_name": "string",
"entity": {
"display_name": "example",
"email_address": "[email protected]"
},
"from_header": "[email protected]"
},
"messages": [
{
"attachments_sha256_hash": [
"50d858e0985ecc7f60418aaf0cc5ab587f42c2570a884095a9e8ccacd0f6545c",
"228b48a56dbc2ecf10393227ac9c9dc943881fd7a55452e12a09107476bef2b2"
],
"date": "2022-07-01T10:38:13.194Z",
"id": "[email protected]",
"md5": {
"hash": {
"message_body": "d29343907090dff4cec4a9a0efb80d20",
"subject": "a3708f8228384d932237f85980ff8283"
}
},
"message_body_snippet": " hi greetings from sales ",
"recipient_email": "[email protected]",
"subject_text": "Sales"
},
{
"attachments_sha256_hash": [
"5fb1679e08674059b72e271d8902c11a127bb5301b055dc77fa03932ada56a56"
],
"id": "[email protected]",
"md5": {
"hash": {
"message_body": "d29343907090dff4cec4a9a0efb80d20",
"subject": "a3708f8228384d932237f85980ff8283"
}
},
"message_body_snippet": " hi greetings ",
"recipient_email": "[email protected]",
"subject_text": "RE: Example salesorderspca JSON request"
}
],
"system_action_type": "NO_OPERATION",
"type": "type.googleapis.com/google.apps.alertcenter.type.MailPhishing"
},
"deleted": false,
"end_time": "2022-07-01T10:47:04.530Z",
"etag": "wF2Ix2DWDv8=",
"id": "91840a82-3af0-46d7-95ec-625c1cf0c3f7",
"metadata": {
"alert": {
"id": "91840a82-3af0-46d7-95ec-625c1cf0c3f7"
},
"assignee": "[email protected]",
"customer": {
"id": "02umwv6u"
},
"etag": "wF2Ix2DWDv8=",
"severity": "HIGH",
"status": "NOT_STARTED",
"update_time": "2022-07-01T10:49:29.436Z"
},
"security_investigation_tool_link": "string",
"source": "Gmail phishing",
"start_time": "2022-07-01T10:38:13.194Z",
"type": "User reported phishing",
"update_time": "2022-07-01T10:49:29.436Z"
}
},
"input": {
"type": "httpjson"
},
"organization": {
"id": "02umwv6u"
},
"related": {
"hash": [
"a3708f8228384d932237f85980ff8283",
"50d858e0985ecc7f60418aaf0cc5ab587f42c2570a884095a9e8ccacd0f6545c",
"228b48a56dbc2ecf10393227ac9c9dc943881fd7a55452e12a09107476bef2b2",
"5fb1679e08674059b72e271d8902c11a127bb5301b055dc77fa03932ada56a56"
],
"user": [
"example"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"google_workspace-alert"
],
"user": {
"domain": "example.com",
"email": [
"[email protected]"
],
"name": "example"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
google_workspace.alert.create_time |
创建此提醒的时间。 |
日期 |
google_workspace.alert.customer.id |
客户 Google 帐户的唯一标识符。 |
keyword |
google_workspace.alert.data.action.name |
与规则阈值关联的操作名称列表。 |
keyword |
google_workspace.alert.data.actor.email |
执行操作的人员的电子邮件。 |
keyword |
google_workspace.alert.data.affected.user_emails |
与直接受事件影响的用户对应的电子邮件列表。 |
keyword |
google_workspace.alert.data.alert_details |
Google Workspace 提醒的提醒详细信息。 |
keyword |
google_workspace.alert.data.appeal_window |
提醒的上诉窗口。 |
keyword |
google_workspace.alert.data.attachment.data.csv.data_rows.entries |
CSV 文件行中的数据条目,以字符串数组的形式而不是单个逗号分隔的字符串。 |
keyword |
google_workspace.alert.data.attachment.data.csv.headers |
CSV 文件中数据列的标题列表。 |
keyword |
google_workspace.alert.data.create_time |
规则创建时间戳。 |
日期 |
google_workspace.alert.data.dashboard.uri |
指向 Google Workspace 状态仪表板中中断事件的链接。 |
keyword |
google_workspace.alert.data.description |
详细的自由格式事件描述。 |
文本 |
google_workspace.alert.data.display.name |
提醒显示名称。 |
keyword |
google_workspace.alert.data.domain |
用于电子邮件模板个性化的客户域名。 |
keyword |
google_workspace.alert.data.domain_id.customer_primary_domain |
客户的主要域名。 |
keyword |
google_workspace.alert.data.email |
此事件所属的用户的电子邮件。 |
keyword |
google_workspace.alert.data.event_time |
事件发生的时间。 |
日期 |
google_workspace.alert.data.events.device.id |
设备 ID。 |
keyword |
google_workspace.alert.data.events.device.model |
设备的型号。 |
keyword |
google_workspace.alert.data.events.device.property |
已更改的设备属性。 |
keyword |
google_workspace.alert.data.events.device.type |
设备的类型。 |
keyword |
google_workspace.alert.data.events.device_compromised_state |
设备是否处于泄露状态。可能的值为“Compromised”或“Not Compromised”。 |
keyword |
google_workspace.alert.data.events.ios_vendor.id |
iOS 必需,其他为空。 |
keyword |
google_workspace.alert.data.events.new_value |
更改后设备属性的新值。 |
keyword |
google_workspace.alert.data.events.old_value |
更改前设备属性的旧值。 |
keyword |
google_workspace.alert.data.events.resource.id |
设备资源 ID。 |
keyword |
google_workspace.alert.data.events.serial.number |
设备的序列号。 |
keyword |
google_workspace.alert.data.header |
显示在事件消息上方的标题。通常用于在时间轴上附加本地化通知,以便进行后续通信翻译。 |
keyword |
google_workspace.alert.data.incident_tracking.id |
事件跟踪 ID。 |
keyword |
google_workspace.alert.data.is_internal |
如果为 true,则表示该电子邮件源自组织内部。 |
布尔值 |
google_workspace.alert.data.login_details.ip_address |
与警告事件关联的人类可读 IP 地址。 |
ip |
google_workspace.alert.data.login_details.login_time |
与警告事件关联的成功登录时间。对于被阻止的登录尝试,此项不存在。 |
日期 |
google_workspace.alert.data.malicious_entity.display_name |
显示名称的标头。 |
keyword |
google_workspace.alert.data.malicious_entity.entity.display_name |
用户的显示名称。 |
keyword |
google_workspace.alert.data.malicious_entity.entity.email_address |
用户的电子邮件地址。 |
keyword |
google_workspace.alert.data.malicious_entity.from_header |
发件人的电子邮件地址。 |
keyword |
google_workspace.alert.data.merge_info.new_alert.id |
新的提醒 ID。使用此 ID 引用 |
keyword |
google_workspace.alert.data.merge_info.new_incident_tracking.id |
父事件中的新跟踪 ID。 |
keyword |
google_workspace.alert.data.messages.attachments_sha256_hash |
电子邮件附件和所有 MIME 部分的 SHA256 哈希值。 |
keyword |
google_workspace.alert.data.messages.date |
与此电子邮件相关的事件的日期。 |
日期 |
google_workspace.alert.data.messages.id |
消息 ID。 |
keyword |
google_workspace.alert.data.messages.md5.hash.message_body |
消息正文文本的哈希值。 |
keyword |
google_workspace.alert.data.messages.md5.hash.subject |
电子邮件主题的 MD5 哈希值(仅适用于报告的电子邮件)。 |
keyword |
google_workspace.alert.data.messages.message_body_snippet |
消息正文文本的片段(仅适用于报告的电子邮件)。 |
keyword |
google_workspace.alert.data.messages.recipient |
此电子邮件的收件人。 |
keyword |
google_workspace.alert.data.messages.recipient_email |
keyword |
|
google_workspace.alert.data.messages.subject_text |
电子邮件主题文本(仅适用于报告的电子邮件)。 |
keyword |
google_workspace.alert.data.name |
规则名称。 |
keyword |
google_workspace.alert.data.next_update_time |
预计下一次更新到达的时间戳。 |
日期 |
google_workspace.alert.data.primary.admin.changed_event.domain |
发生操作的域名。 |
keyword |
google_workspace.alert.data.primary.admin.changed_event.previous_admin_email |
在操作之前担任主要管理员的人员的电子邮件。 |
keyword |
google_workspace.alert.data.primary.admin.changed_event.updated_admin_email |
在操作之后担任主要管理员的人员的电子邮件。 |
keyword |
google_workspace.alert.data.products |
受中断影响的产品列表。 |
keyword |
google_workspace.alert.data.query |
用于从关联源获取数据的查询。 |
keyword |
google_workspace.alert.data.request.info.app.developer_email |
为上述应用程序触发通知的应用程序开发人员列表。 |
keyword |
google_workspace.alert.data.request.info.app.key |
需要 SQL 设置的应用程序。 |
keyword |
google_workspace.alert.data.request.info.number_of_requests |
为设置默认 SQL 实例而为此应用程序发送的请求数。 |
keyword |
google_workspace.alert.data.resolution_time |
预计中断得到解决或已确认得到解决的时间戳。仅在已知时提供。 |
日期 |
google_workspace.alert.data.rule.violation_info.data.source |
数据的来源。 |
keyword |
google_workspace.alert.data.rule.violation_info.match_info.predefined_detector.name |
唯一标识检测器的名称。 |
keyword |
google_workspace.alert.data.rule.violation_info.match_info.user_defined_detector.display.name |
检测器的显示名称。 |
keyword |
google_workspace.alert.data.rule.violation_info.match_info.user_defined_detector.resource.name |
唯一标识检测器的资源名称。 |
keyword |
google_workspace.alert.data.rule.violation_info.recipients |
对于云端硬盘,它们是规则触发时共享云端硬盘文件的被授权者。有效值包括用户电子邮件、群组电子邮件、域,如果该文件可公开访问,则为 *任何人*。如果文件是私有的,则收件人列表将为空。对于 Gmail,它们是 Gmail 邮件发送到的用户或群组的电子邮件。 |
keyword |
google_workspace.alert.data.rule.violation_info.resource_info.document.id |
云端硬盘文件 ID。 |
keyword |
google_workspace.alert.data.rule.violation_info.resource_info.resource.title |
资源的标题,例如电子邮件主题或文档标题。 |
keyword |
google_workspace.alert.data.rule.violation_info.rule_info.display.name |
用户提供的规则名称。 |
keyword |
google_workspace.alert.data.rule.violation_info.rule_info.resource.name |
唯一标识规则的资源名称。 |
keyword |
google_workspace.alert.data.rule.violation_info.suppressed.action.types |
因优先级较高的其他操作而禁止的操作。 |
keyword |
google_workspace.alert.data.rule.violation_info.trigger.user.email |
导致违规的用户电子邮件。如果用户不适用,则值可能为空,例如,由云端硬盘连续扫描发现的违规。 |
keyword |
google_workspace.alert.data.rule.violation_info.trigger.value |
规则的触发器。 |
keyword |
google_workspace.alert.data.rule.violation_info.triggered.action.info |
与触发的操作相关的元数据。 |
嵌套 |
google_workspace.alert.data.rule.violation_info.triggered.action.info.object |
keyword |
|
google_workspace.alert.data.rule.violation_info.triggered.action.types |
作为规则触发的结果而应用的操作。 |
keyword |
google_workspace.alert.data.rule_description |
规则的描述。 |
文本 |
google_workspace.alert.data.source.ip |
恶意电子邮件的来源 IP 地址。 |
ip |
google_workspace.alert.data.sso_profile.created_event.inbound_sso.profile_name |
已创建的 SSO 配置文件名称。 |
keyword |
google_workspace.alert.data.sso_profile.deleted_event.inbound_sso.profile_name |
已删除的 SSO 配置文件名称。 |
keyword |
google_workspace.alert.data.sso_profile.updated_event.inbound_sso.profile_changes |
对 SSO 配置文件所做的更改。 |
keyword |
google_workspace.alert.data.sso_profile.updated_event.inbound_sso.profile_name |
已更新的 SSO 配置文件名称。 |
keyword |
google_workspace.alert.data.state |
提醒的状态。 |
keyword |
google_workspace.alert.data.status |
当前中断状态。 |
keyword |
google_workspace.alert.data.super_admin_password_reset_event.user.email |
密码被重置的人的电子邮件地址。 |
keyword |
google_workspace.alert.data.superseded_alerts |
此提醒取代的提醒 ID 列表。它用于指示此提醒本质上是已被取代的提醒的扩展,并且我们在创建这些提醒后发现了这种关系。 |
keyword |
google_workspace.alert.data.superseding_alert |
取代此提醒的提醒 ID。它用于指示取代提醒本质上是此提醒的扩展,并且我们在创建两个提醒后发现了这种关系。 |
keyword |
google_workspace.alert.data.suspension_details.abuse_reason |
暂停详情的滥用原因。 |
keyword |
google_workspace.alert.data.suspension_details.product_name |
暂停详情的产品名称。 |
keyword |
google_workspace.alert.data.system_action_type |
对消息的系统操作。 |
keyword |
google_workspace.alert.data.takeout.request.id |
外卖请求 ID。 |
keyword |
google_workspace.alert.data.threshold |
提醒阈值,例如“COUNT > 5”。 |
keyword |
google_workspace.alert.data.title |
单行事件描述。 |
keyword |
google_workspace.alert.data.trigger.source |
此规则的触发源。 |
keyword |
google_workspace.alert.data.type |
带有提醒数据的提醒类型。 |
keyword |
google_workspace.alert.data.update_time |
规则上次更新的时间戳。 |
日期 |
google_workspace.alert.data.window_size |
规则窗口大小。可能的值为 1 小时或 24 小时。 |
keyword |
google_workspace.alert.deleted |
如果此提醒标记为删除,则为 True。 |
布尔值 |
google_workspace.alert.end_time |
导致此提醒的事件停止活动的时间。如果提供,结束时间不得早于开始时间。如果未提供,则表示提醒正在进行中。 |
日期 |
google_workspace.alert.etag |
etag 用于乐观并发控制,以帮助防止同时更新提醒而相互覆盖。 |
keyword |
google_workspace.alert.id |
提醒的唯一标识符。 |
keyword |
google_workspace.alert.metadata.alert.id |
提醒标识符。 |
keyword |
google_workspace.alert.metadata.assignee |
分配给提醒的用户的电子邮件地址。 |
keyword |
google_workspace.alert.metadata.customer.id |
客户 Google 帐户的唯一标识符。 |
keyword |
google_workspace.alert.metadata.etag |
etag 用于乐观并发控制,以帮助防止同时更新提醒元数据而相互覆盖。 |
keyword |
google_workspace.alert.metadata.severity |
提醒的严重性值。Alert Center 将在创建提醒时设置此字段,如果无法确定,则默认为空字符串。 |
keyword |
google_workspace.alert.metadata.status |
提醒的当前状态。 |
keyword |
google_workspace.alert.metadata.update_time |
上次更新此元数据的时间。 |
日期 |
google_workspace.alert.security_investigation_tool_link |
此提醒的可选安全调查工具查询。 |
keyword |
google_workspace.alert.source |
报告提醒的系统的唯一标识符。仅在创建提醒后才输出此信息。 |
keyword |
google_workspace.alert.start_time |
导致此提醒的事件开始或检测到的时间。 |
日期 |
google_workspace.alert.type |
提醒的类型。仅在创建提醒后才输出此信息。 |
keyword |
google_workspace.alert.update_time |
上次更新此提醒的时间。 |
日期 |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
log.source.address |
从中读取/发送日志事件的源地址。 |
keyword |
设备
编辑这是 device 数据集。
示例
device 的示例事件如下所示
{
"@timestamp": "2020-10-02T15:00:00.000Z",
"agent": {
"ephemeral_id": "9875ab07-088d-4ff3-8cfe-daa3a497cf78",
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "google_workspace.device",
"namespace": "89096",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "APPLICATION_EVENT",
"agent_id_status": "verified",
"created": "2024-08-01T21:54:32.984Z",
"dataset": "google_workspace.device",
"id": "1",
"ingested": "2024-08-01T21:54:44Z",
"kind": [
"event"
],
"original": "{\"actor\":{\"callerType\":\"USER\",\"email\":\"[email protected]\",\"profileId\":1},\"events\":{\"name\":\"APPLICATION_EVENT\",\"parameters\":[{\"name\":\"ACCOUNT_STATE\",\"value\":\"REGISTERED\"},{\"name\":\"ACTION_EXECUTION_STATUS\",\"value\":\"ACTION_REJECTED_BY_USER\"},{\"name\":\"ACTION_ID\",\"value\":\"asd1234\"},{\"name\":\"ACTION_TYPE\",\"value\":\"ACCOUNT_WIPE\"},{\"name\":\"APK_SHA256_HASH\",\"value\":\"af2bdbe1aa9b6ec1e2ade1d694f41fc71a831d0268e9891562113d8a62add1bf\"},{\"name\":\"APPLICATION_ID\",\"value\":\"af2bdbe1aa9f\"},{\"name\":\"APPLICATION_MESSAGE\",\"value\":\"message\"},{\"name\":\"APPLICATION_REPORT_KEY\",\"value\":\"sda21\"},{\"name\":\"APPLICATION_REPORT_SEVERITY\",\"value\":\"ERROR\"},{\"name\":\"APPLICATION_REPORT_TIMESTAMP\",\"value\":\"2020-10-03T15:00:00Z\"},{\"name\":\"APPLICATION_STATE\",\"value\":\"INSTALLED\"},{\"name\":\"BASIC_INTEGRITY\",\"value\":\"integrity\"},{\"name\":\"CTS_PROFILE_MATCH\",\"value\":\"profile\"},{\"name\":\"DEVICE_COMPLIANCE\",\"value\":\"COMPLIANT\"},{\"name\":\"DEVICE_COMPROMISED_STATE\",\"value\":\"COMPROMISED\"},{\"name\":\"DEVICE_DEACTIVATION_REASON\",\"value\":\"CAMERA_NOT_DISABLED\"},{\"name\":\"DEVICE_ID\",\"value\":\"asdqwe12e\"},{\"name\":\"DEVICE_MODEL\",\"value\":\"model\"},{\"name\":\"DEVICE_OWNERSHIP\",\"value\":\"COMPANY_OWNED\"},{\"name\":\"DEVICE_PROPERTY\",\"value\":\"BASIC_INTEGRITY\"},{\"name\":\"DEVICE_SETTING\",\"value\":\"DEVELOPER_OPTIONS\"},{\"name\":\"DEVICE_STATUS_ON_APPLE_PORTAL\",\"value\":\"ADDED\"},{\"name\":\"DEVICE_TYPE\",\"value\":\"ANDROID\"},{\"name\":\"FAILED_PASSWD_ATTEMPTS\",\"value\":20},{\"name\":\"IOS_VENDOR_ID\",\"value\":\"asfdwer23\"},{\"name\":\"NEW_DEVICE_ID\",\"value\":\"asfwr5tg\"},{\"name\":\"NEW_VALUE\",\"value\":\"DEVICE_ADMINISTRATOR\"},{\"name\":\"OLD_VALUE\",\"value\":\"DEVICE_OWNER\"},{\"name\":\"OS_EDITION\",\"value\":\"edition\"},{\"name\":\"OS_PROPERTY\",\"value\":\"property\"},{\"name\":\"OS_VERSION\",\"value\":\"os11\"},{\"name\":\"PHA_CATEGORY\",\"value\":\"BACKDOOR\"},{\"name\":\"POLICY_NAME\",\"value\":\"policy name\"},{\"name\":\"POLICY_SYNC_RESULT\",\"value\":\"POLICY_SYNC_ABORTED\"},{\"name\":\"POLICY_SYNC_TYPE\",\"value\":\"POLICY_APPLIED_TYPE\"},{\"name\":\"REGISTER_PRIVILEGE\",\"value\":\"DEVICE_OWNER\"},{\"name\":\"RESOURCE_ID\",\"value\":\"sads324\"},{\"name\":\"RISK_SIGNAL\",\"value\":\"BASIC_INTEGRITY\"},{\"name\":\"SECURITY_EVENT_ID\",\"value\":2323523},{\"name\":\"SECURITY_PATCH_LEVEL\",\"value\":\"patch level\"},{\"name\":\"SERIAL_NUMBER\",\"value\":\"asdsad1234\"},{\"name\":\"USER_EMAIL\",\"value\":\"[email protected]\"},{\"name\":\"VALUE\",\"value\":\"value\"},{\"name\":\"WINDOWS_SYNCML_POLICY_STATUS_CODE\",\"value\":\"200\"}],\"type\":\"device_applications\"},\"id\":{\"applicationName\":\"device\",\"customerId\":\"1\",\"time\":\"2020-10-02T15:00:00Z\",\"uniqueQualifier\":1},\"ipAddress\":\"67.43.156.13\",\"kind\":\"admin#reports#activity\",\"ownerDomain\":\"example.com\"}",
"provider": "device"
},
"google_workspace": {
"actor": {
"email": "[email protected]",
"profile": {
"id": "1"
},
"type": "USER"
},
"device": {
"account_state": "REGISTERED",
"action": {
"execution_status": "ACTION_REJECTED_BY_USER",
"id": "asd1234",
"type": "ACCOUNT_WIPE"
},
"apk_sha256_hash": "af2bdbe1aa9b6ec1e2ade1d694f41fc71a831d0268e9891562113d8a62add1bf",
"application": {
"id": "af2bdbe1aa9f",
"message": "message",
"report": {
"key": "sda21",
"severity": "ERROR",
"timestamp": "2020-10-03T15:00:00.000Z"
},
"state": "INSTALLED"
},
"basic_integrity": "integrity",
"compliance": "COMPLIANT",
"compromised_state": "COMPROMISED",
"cts_profile_match": "profile",
"deactivation_reason": "CAMERA_NOT_DISABLED",
"failed_passwd_attempts": 20,
"id": "asdqwe12e",
"ios_vendor_id": "asfdwer23",
"model": "model",
"new_device_id": "asfwr5tg",
"new_value": "DEVICE_ADMINISTRATOR",
"old_value": "DEVICE_OWNER",
"os": {
"edition": "edition",
"property": "property",
"version": "os11"
},
"ownership": "COMPANY_OWNED",
"pha_category": "BACKDOOR",
"policy": {
"name": "policy name",
"sync": {
"result": "POLICY_SYNC_ABORTED",
"type": "POLICY_APPLIED_TYPE"
}
},
"property": "BASIC_INTEGRITY",
"register_privilege": "DEVICE_OWNER",
"resource": {
"id": "sads324"
},
"risk_signal": "BASIC_INTEGRITY",
"security": {
"event_id": 2323523,
"patch_level": "patch level"
},
"serial_number": "asdsad1234",
"setting": "DEVELOPER_OPTIONS",
"status_on_apple_portal": "ADDED",
"type": "ANDROID",
"user_email": "[email protected]",
"value": "value",
"windows_syncml_policy_status_code": "200"
},
"event": {
"name": "APPLICATION_EVENT",
"type": "device_applications"
},
"id": {
"application_name": "device",
"customer": {
"id": "1"
},
"time": "2020-10-02T15:00:00.000Z",
"unique_qualifier": "1"
},
"ip_address": "67.43.156.13",
"kind": "admin#reports#activity",
"organization": {
"domain": "example.com"
}
},
"host": {
"os": {
"version": "os11"
}
},
"input": {
"type": "httpjson"
},
"organization": {
"id": "1"
},
"related": {
"hash": [
"af2bdbe1aa9b6ec1e2ade1d694f41fc71a831d0268e9891562113d8a62add1bf"
],
"hosts": [
"bar.com",
"example.com"
],
"ip": [
"67.43.156.13"
],
"user": [
"1",
"foo",
"[email protected]",
"[email protected]"
]
},
"source": {
"as": {
"number": 35908
},
"geo": {
"continent_name": "Asia",
"country_iso_code": "BT",
"country_name": "Bhutan",
"location": {
"lat": 27.5,
"lon": 90.5
}
},
"ip": "67.43.156.13",
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo"
}
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"google_workspace-device"
],
"user": {
"domain": "bar.com",
"email": [
"[email protected]",
"[email protected]"
],
"id": "1",
"name": "foo"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
google_workspace.actor.email |
执行者的主要电子邮件地址。如果执行者没有关联的电子邮件地址,则可能不存在。 |
keyword |
google_workspace.actor.key |
仅当 |
keyword |
google_workspace.actor.profile.id |
执行者的唯一 Google Workspace 个人资料 ID。如果执行者不是 Google Workspace 用户,此值可能不存在,或者可能是用作占位符 ID 的数字 105250506097979753968。 |
keyword |
google_workspace.actor.type |
参与者的类型。值可以是:USER:同一域中的另一个用户。EXTERNAL_USER:域外的用户。KEY:非人类参与者。 |
keyword |
google_workspace.device.account_state |
指示设备上的帐户状态的参数。 |
keyword |
google_workspace.device.action.execution_status |
操作的执行状态。 |
keyword |
google_workspace.device.action.id |
操作的唯一标识符。 |
keyword |
google_workspace.device.action.type |
操作的类型。 |
keyword |
google_workspace.device.apk_sha256_hash |
指示应用程序 SHA-256 哈希值的参数。 |
keyword |
google_workspace.device.application.id |
指示应用程序 ID 的参数。 |
keyword |
google_workspace.device.application.message |
指示应用程序报告发送的消息的参数。 |
keyword |
google_workspace.device.application.report.key |
指示应用程序消息键的参数。 |
keyword |
google_workspace.device.application.report.severity |
指示报告严重性的参数。 |
keyword |
google_workspace.device.application.report.timestamp |
指示报告时间戳的参数。 |
日期 |
google_workspace.device.application.state |
指示在设备上完成的应用程序安装/卸载/更新的参数。 |
keyword |
google_workspace.device.basic_integrity |
指示设备是否通过基本完整性检查的参数。 |
keyword |
google_workspace.device.compliance |
指示设备是否符合设置策略的参数。 |
keyword |
google_workspace.device.compromised_state |
指示设备的受损状态的参数。 |
keyword |
google_workspace.device.cts_profile_match |
指示设备是否通过 CTS 配置文件匹配的参数。 |
keyword |
google_workspace.device.deactivation_reason |
指示移动设备停用原因的参数 |
keyword |
google_workspace.device.failed_passwd_attempts |
指示屏幕解锁尝试失败次数的参数。 |
long |
google_workspace.device.id |
指示设备 ID 的参数。 |
keyword |
google_workspace.device.ios_vendor_id |
指示 iOS 供应商 ID 的参数。 |
keyword |
google_workspace.device.model |
指示设备型号的参数。 |
keyword |
google_workspace.device.new_device_id |
指示新设备 ID 的参数。 |
keyword |
google_workspace.device.new_value |
指示新值的参数。 |
keyword |
google_workspace.device.old_value |
指示旧值的参数。 |
keyword |
google_workspace.device.os.edition |
指示 Windows 操作系统版本的参数。 |
keyword |
google_workspace.device.os.property |
指示操作系统属性的参数。 |
keyword |
google_workspace.device.os.version |
指示操作系统版本的参数。 |
keyword |
google_workspace.device.ownership |
指示移动设备所有权的参数。 |
keyword |
google_workspace.device.pha_category |
SafetyNet 报告的潜在有害应用程序类别。 |
keyword |
google_workspace.device.policy.name |
指示策略名称的参数。 |
keyword |
google_workspace.device.policy.sync.result |
指示策略状态的参数。 |
keyword |
google_workspace.device.policy.sync.type |
指示策略同步类型的参数。 |
keyword |
google_workspace.device.property |
指示更改的设备属性的参数。 |
keyword |
google_workspace.device.register_privilege |
指示设备策略应用程序在用户设备上的特权的参数。 |
keyword |
google_workspace.device.resource.id |
指示设备唯一资源 ID 的参数。 |
keyword |
google_workspace.device.risk_signal |
指示风险信号的参数,例如 CTS 配置文件匹配。 |
keyword |
google_workspace.device.security.event_id |
安全事件 ID。 |
long |
google_workspace.device.security.patch_level |
指示安全补丁级别的参数。 |
keyword |
google_workspace.device.serial_number |
指示序列号的参数。 |
keyword |
google_workspace.device.setting |
指示设备设置的参数。 |
keyword |
google_workspace.device.status_on_apple_portal |
指示设备在 Apple 门户上的状态的参数。 |
keyword |
google_workspace.device.type |
指示设备类型的参数。 |
keyword |
google_workspace.device.user_email |
指示用户电子邮件地址的参数。 |
keyword |
google_workspace.device.value |
指示字段值的参数。 |
keyword |
google_workspace.device.windows_syncml_policy_status_code |
指示策略状态代码的参数。 |
keyword |
google_workspace.etag |
条目的 ETag。 |
keyword |
google_workspace.event.name |
事件的名称。这是 API 报告的活动的具体名称。每个 eventName 都与 API 组织成事件类型的特定 Google Workspace 服务或功能相关。关于 eventName 请求参数的通常信息:如果未给出 eventName,则报告会返回 eventName 的所有可能实例。当您请求 eventName 时,API 的响应会返回包含该 eventName 的所有活动。返回的活动除了请求的 eventName 之外,还可能具有其他 eventName 属性。有关 eventName 属性的更多信息,请参阅上面应用程序名称中各种应用程序的事件名称列表。 |
keyword |
google_workspace.event.type |
Google Workspace 事件的类型,映射自原始负载中的 |
keyword |
google_workspace.id.application_name |
事件所属的应用程序名称。有关可能的值,请参阅上面应用程序名称中的应用程序列表。 |
keyword |
google_workspace.id.customer.id |
Google Workspace 帐户的唯一标识符。 |
keyword |
google_workspace.id.time |
活动发生的时间。这是 UNIX 时间戳,单位为秒。 |
日期 |
google_workspace.id.unique_qualifier |
如果多个事件具有相同的时间,则为唯一限定符。 |
keyword |
google_workspace.ip_address |
执行操作的用户的 IP 地址。这是用户登录 Google Workspace 时的 Internet 协议 (IP) 地址,可能反映也可能不反映用户的实际位置。例如,IP 地址可以是用户的代理服务器地址或虚拟专用网络 (VPN) 地址。该 API 支持 IPv4 和 IPv6。 |
ip |
google_workspace.kind |
API 资源的类型,映射自原始负载中的 |
keyword |
google_workspace.organization.domain |
受报告事件影响的域名。 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
群组企业
编辑这是 group_enterprise 数据集。
示例
group_enterprise 的示例事件如下所示
{
"@timestamp": "2020-10-02T15:00:00.000Z",
"agent": {
"ephemeral_id": "9405bd92-9ad6-4271-9f8f-10d1dc3bae86",
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "google_workspace.group_enterprise",
"namespace": "26916",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "add_info_setting",
"agent_id_status": "verified",
"created": "2024-08-01T21:57:32.529Z",
"dataset": "google_workspace.group_enterprise",
"id": "1",
"ingested": "2024-08-01T21:57:44Z",
"kind": [
"event"
],
"original": "{\"actor\":{\"callerType\":\"USER\",\"email\":\"[email protected]\",\"profileId\":1},\"events\":{\"name\":\"add_info_setting\",\"parameters\":[{\"name\":\"dynamic_group_query\",\"value\":\"query\"},{\"name\":\"group_id\",\"value\":\"asd123d\"},{\"name\":\"info_setting\",\"value\":\"setting\"},{\"name\":\"member_id\",\"value\":\"mem12w3\"},{\"name\":\"member_role\",\"value\":\"owner\"},{\"name\":\"member_type\",\"value\":\"user\"},{\"name\":\"membership_expiry\",\"value\":\"2020-10-02T15:00:00Z\"},{\"name\":\"namespace\",\"value\":\"namespace\"},{\"name\":\"new_value\",\"value\":\"new\"},{\"name\":\"old_value\",\"value\":\"old\"},{\"name\":\"security_setting\",\"value\":\"group setting\"},{\"name\":\"security_setting_state\",\"value\":\"group setting state\"},{\"name\":\"value\",\"value\":\"group setting value\"}],\"type\":\"moderator_action\"},\"id\":{\"applicationName\":\"group_enterprise\",\"customerId\":\"1\",\"time\":\"2020-10-02T15:00:00Z\",\"uniqueQualifier\":1},\"ipAddress\":\"67.43.156.13\",\"kind\":\"admin#reports#activity\",\"ownerDomain\":\"example.com\"}",
"provider": "group_enterprise"
},
"google_workspace": {
"actor": {
"email": "[email protected]",
"profile": {
"id": "1"
},
"type": "USER"
},
"event": {
"name": "add_info_setting",
"type": "moderator_action"
},
"group_enterprise": {
"dynamic_group_query": "query",
"group": {
"id": "asd123d"
},
"info_setting": "setting",
"member": {
"id": "mem12w3",
"role": "owner",
"type": "user"
},
"membership_expiry": "2020-10-02T15:00:00.000Z",
"namespace": "namespace",
"new_value": "new",
"old_value": "old",
"security_setting": {
"state": "group setting state",
"value": "group setting"
},
"value": "group setting value"
},
"id": {
"application_name": "group_enterprise",
"customer": {
"id": "1"
},
"time": "2020-10-02T15:00:00.000Z",
"unique_qualifier": "1"
},
"ip_address": "67.43.156.13",
"kind": "admin#reports#activity",
"organization": {
"domain": "example.com"
}
},
"group": {
"id": "asd123d"
},
"input": {
"type": "httpjson"
},
"organization": {
"id": "1"
},
"related": {
"hosts": [
"bar.com",
"example.com"
],
"ip": [
"67.43.156.13"
],
"user": [
"1",
"foo",
"[email protected]"
]
},
"source": {
"as": {
"number": 35908
},
"geo": {
"continent_name": "Asia",
"country_iso_code": "BT",
"country_name": "Bhutan",
"location": {
"lat": 27.5,
"lon": 90.5
}
},
"ip": "67.43.156.13",
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo"
}
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"google_workspace-group_enterprise"
],
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
google_workspace.actor.email |
执行者的主要电子邮件地址。如果执行者没有关联的电子邮件地址,则可能不存在。 |
keyword |
google_workspace.actor.key |
仅当 |
keyword |
google_workspace.actor.profile.id |
执行者的唯一 Google Workspace 个人资料 ID。如果执行者不是 Google Workspace 用户,此值可能不存在,或者可能是用作占位符 ID 的数字 105250506097979753968。 |
keyword |
google_workspace.actor.type |
参与者的类型。值可以是:USER:同一域中的另一个用户。EXTERNAL_USER:域外的用户。KEY:非人类参与者。 |
keyword |
google_workspace.etag |
条目的 ETag。 |
keyword |
google_workspace.event.name |
事件的名称。这是 API 报告的活动的具体名称。每个 eventName 都与 API 组织成事件类型的特定 Google Workspace 服务或功能相关。关于 eventName 请求参数的通常信息:如果未给出 eventName,则报告会返回 eventName 的所有可能实例。当您请求 eventName 时,API 的响应会返回包含该 eventName 的所有活动。返回的活动除了请求的 eventName 之外,还可能具有其他 eventName 属性。有关 eventName 属性的更多信息,请参阅上面应用程序名称中各种应用程序的事件名称列表。 |
keyword |
google_workspace.event.type |
Google Workspace 事件的类型,映射自原始负载中的 |
keyword |
google_workspace.group_enterprise.dynamic_group_query |
动态群组查询。 |
keyword |
google_workspace.group_enterprise.group.id |
目标群组的标识符。 |
keyword |
google_workspace.group_enterprise.info_setting |
群组信息设置。 |
keyword |
google_workspace.group_enterprise.member.id |
成员的标识符。 |
keyword |
google_workspace.group_enterprise.member.role |
在群组上下文中分配给成员的角色,例如所有者、经理或成员。 |
keyword |
google_workspace.group_enterprise.member.type |
成员的类型,例如用户、群组或服务帐号。在极少数情况下,当成员类型未知时,会出现“其他”值。 |
keyword |
google_workspace.group_enterprise.membership_expiry |
成员资格过期时间。 |
日期 |
google_workspace.group_enterprise.namespace |
目标群组的命名空间。 |
keyword |
google_workspace.group_enterprise.new_value |
群组设置的新值。 |
keyword |
google_workspace.group_enterprise.old_value |
群组设置的旧值。 |
keyword |
google_workspace.group_enterprise.security_setting.state |
群组安全设置。 |
keyword |
google_workspace.group_enterprise.security_setting.value |
群组安全设置状态。 |
keyword |
google_workspace.group_enterprise.value |
群组设置的值。 |
keyword |
google_workspace.id.application_name |
事件所属的应用程序名称。有关可能的值,请参阅上面应用程序名称中的应用程序列表。 |
keyword |
google_workspace.id.customer.id |
Google Workspace 帐户的唯一标识符。 |
keyword |
google_workspace.id.time |
活动发生的时间。这是 UNIX 时间戳,单位为秒。 |
日期 |
google_workspace.id.unique_qualifier |
如果多个事件具有相同的时间,则为唯一限定符。 |
keyword |
google_workspace.ip_address |
执行操作的用户的 IP 地址。这是用户登录 Google Workspace 时的 Internet 协议 (IP) 地址,可能反映也可能不反映用户的实际位置。例如,IP 地址可以是用户的代理服务器地址或虚拟专用网络 (VPN) 地址。该 API 支持 IPv4 和 IPv6。 |
ip |
google_workspace.kind |
API 资源的类型,映射自原始负载中的 |
keyword |
google_workspace.organization.domain |
受报告事件影响的域名。 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
令牌
编辑这是 token 数据集。
示例
token 的示例事件如下所示
{
"@timestamp": "2020-10-02T15:00:00.000Z",
"agent": {
"ephemeral_id": "22e6154c-9c10-4cb9-b17b-41f429c22724",
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "google_workspace.token",
"namespace": "16418",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "authorize",
"agent_id_status": "verified",
"category": [
"iam"
],
"created": "2024-08-01T22:03:00.693Z",
"dataset": "google_workspace.token",
"id": "1",
"ingested": "2024-08-01T22:03:12Z",
"kind": [
"event"
],
"original": "{\"actor\":{\"callerType\":\"USER\",\"email\":\"[email protected]\",\"profileId\":1},\"events\":{\"name\":\"authorize\",\"parameters\":[{\"name\":\"client_id\",\"value\":\"923474483785-sqf6uk8vq1rqe853il0g2h4m98ji2fq6.apps.googleusercontent.com\"},{\"name\":\"app_name\",\"value\":\"Gmail Add-on\"},{\"name\":\"api_name\",\"value\":\"token\"},{\"name\":\"method_name\",\"value\":\"oauth\"},{\"name\":\"num_response_bytes\",\"value\":1223},{\"name\":\"client_type\",\"value\":\"WEB\"},{\"multiMessageValue\":[{\"parameter\":[{\"name\":\"scope_name\",\"value\":\"https://www.googleapis.com/auth/gmail.addons.current.message.readonly\"},{\"multiValue\":[\"GMAIL\"],\"name\":\"product_bucket\"}]},{\"parameter\":[{\"name\":\"scope_name\",\"value\":\"https://www.googleapis.com/auth/gmail.addons.execute\"},{\"multiValue\":[\"GMAIL\"],\"name\":\"product_bucket\"}]},{\"parameter\":[{\"name\":\"scope_name\",\"value\":\"https://www.googleapis.com/auth/script.external_request\"},{\"multiValue\":[\"APPS_SCRIPT_RUNTIME\"],\"name\":\"product_bucket\"}]},{\"parameter\":[{\"name\":\"scope_name\",\"value\":\"https://www.googleapis.com/auth/script.storage\"},{\"multiValue\":[\"APPS_SCRIPT_RUNTIME\"],\"name\":\"product_bucket\"}]},{\"parameter\":[{\"name\":\"scope_name\",\"value\":\"https://www.googleapis.com/auth/userinfo.email\"},{\"multiValue\":[\"IDENTITY\",\"OTHER\"],\"name\":\"product_bucket\"}]}],\"name\":\"scope_data\"},{\"multiValue\":[\"https://www.googleapis.com/auth/gmail.addons.current.message.readonly\",\"https://www.googleapis.com/auth/gmail.addons.execute\",\"https://www.googleapis.com/auth/script.external_request\",\"https://www.googleapis.com/auth/script.storage\",\"https://www.googleapis.com/auth/userinfo.email\"],\"name\":\"scope\"}]},\"id\":{\"applicationName\":\"token\",\"customerId\":\"1\",\"time\":\"2020-10-02T15:00:00Z\",\"uniqueQualifier\":1},\"ipAddress\":\"67.43.156.13\",\"kind\":\"admin#reports#activity\",\"ownerDomain\":\"example.com\"}",
"provider": "token",
"type": [
"info",
"user"
]
},
"google_workspace": {
"actor": {
"email": "[email protected]",
"profile": {
"id": "1"
},
"type": "USER"
},
"event": {
"name": "authorize"
},
"id": {
"application_name": "token",
"customer": {
"id": "1"
},
"time": "2020-10-02T15:00:00.000Z",
"unique_qualifier": "1"
},
"ip_address": "67.43.156.13",
"kind": "admin#reports#activity",
"organization": {
"domain": "example.com"
},
"token": {
"api_name": "token",
"app_name": "Gmail Add-on",
"client": {
"id": "923474483785-sqf6uk8vq1rqe853il0g2h4m98ji2fq6.apps.googleusercontent.com",
"type": "WEB"
},
"method_name": "oauth",
"num_response_bytes": 1223,
"scope": {
"data": [
{
"product_bucket": [
"GMAIL"
],
"scope_name": "https://www.googleapis.com/auth/gmail.addons.current.message.readonly"
},
{
"product_bucket": [
"GMAIL"
],
"scope_name": "https://www.googleapis.com/auth/gmail.addons.execute"
},
{
"product_bucket": [
"APPS_SCRIPT_RUNTIME"
],
"scope_name": "https://www.googleapis.com/auth/script.external_request"
},
{
"product_bucket": [
"APPS_SCRIPT_RUNTIME"
],
"scope_name": "https://www.googleapis.com/auth/script.storage"
},
{
"product_bucket": [
"IDENTITY",
"OTHER"
],
"scope_name": "https://www.googleapis.com/auth/userinfo.email"
}
],
"value": [
"https://www.googleapis.com/auth/gmail.addons.current.message.readonly",
"https://www.googleapis.com/auth/gmail.addons.execute",
"https://www.googleapis.com/auth/script.external_request",
"https://www.googleapis.com/auth/script.storage",
"https://www.googleapis.com/auth/userinfo.email"
]
}
}
},
"input": {
"type": "httpjson"
},
"organization": {
"id": "1"
},
"related": {
"hosts": [
"bar.com",
"example.com"
],
"ip": [
"67.43.156.13"
],
"user": [
"1",
"foo",
"[email protected]"
]
},
"source": {
"as": {
"number": 35908
},
"geo": {
"continent_name": "Asia",
"country_iso_code": "BT",
"country_name": "Bhutan",
"location": {
"lat": 27.5,
"lon": 90.5
}
},
"ip": "67.43.156.13",
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo"
}
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"google_workspace-token"
],
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
google_workspace.actor.email |
执行者的主要电子邮件地址。如果执行者没有关联的电子邮件地址,则可能不存在。 |
keyword |
google_workspace.actor.key |
仅当 |
keyword |
google_workspace.actor.profile.id |
执行者的唯一 Google Workspace 个人资料 ID。如果执行者不是 Google Workspace 用户,此值可能不存在,或者可能是用作占位符 ID 的数字 105250506097979753968。 |
keyword |
google_workspace.actor.type |
参与者的类型。值可以是:USER:同一域中的另一个用户。EXTERNAL_USER:域外的用户。KEY:非人类参与者。 |
keyword |
google_workspace.etag |
条目的 ETag。 |
keyword |
google_workspace.event.name |
事件的名称。这是 API 报告的活动的具体名称。每个 eventName 都与 API 组织成事件类型的特定 Google Workspace 服务或功能相关。关于 eventName 请求参数的通常信息:如果未给出 eventName,则报告会返回 eventName 的所有可能实例。当您请求 eventName 时,API 的响应会返回包含该 eventName 的所有活动。返回的活动除了请求的 eventName 之外,还可能具有其他 eventName 属性。有关 eventName 属性的更多信息,请参阅上面应用程序名称中各种应用程序的事件名称列表。 |
keyword |
google_workspace.event.type |
Google Workspace 事件的类型,映射自原始负载中的 |
keyword |
google_workspace.id.application_name |
事件所属的应用程序名称。有关可能的值,请参阅上面应用程序名称中的应用程序列表。 |
keyword |
google_workspace.id.customer.id |
Google Workspace 帐户的唯一标识符。 |
keyword |
google_workspace.id.time |
活动发生的时间。这是 UNIX 时间戳,单位为秒。 |
日期 |
google_workspace.id.unique_qualifier |
如果多个事件具有相同的时间,则为唯一限定符。 |
keyword |
google_workspace.ip_address |
执行操作的用户的 IP 地址。这是用户登录 Google Workspace 时的 Internet 协议 (IP) 地址,可能反映也可能不反映用户的实际位置。例如,IP 地址可以是用户的代理服务器地址或虚拟专用网络 (VPN) 地址。该 API 支持 IPv4 和 IPv6。 |
ip |
google_workspace.kind |
API 资源的类型,映射自原始负载中的 |
keyword |
google_workspace.organization.domain |
受报告事件影响的域名。 |
keyword |
google_workspace.token.api_name |
OAuth 活动中使用的 API 名称。 |
keyword |
google_workspace.token.app_name |
为其授予或撤销访问权限的应用程序。 |
keyword |
google_workspace.token.client.id |
已授予/撤销访问权限的客户端 ID。 |
keyword |
google_workspace.token.client.type |
客户端类型。 |
keyword |
google_workspace.token.method_name |
OAuth 活动中使用的方法名称。 |
keyword |
google_workspace.token.num_response_bytes |
OAuth 活动中的响应字节数。 |
long |
google_workspace.token.scope.data |
作用域数据。 |
flattened |
google_workspace.token.scope.value |
已授予/撤销访问权限的作用域。 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
访问透明度
编辑这是 access_transparency 数据集。
示例
以下是 access_transparency 的一个示例事件:
{
"@timestamp": "2020-10-02T15:00:00.000Z",
"agent": {
"ephemeral_id": "e3f2296a-a4a2-4d03-9105-cee5b37c1408",
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "google_workspace.access_transparency",
"namespace": "83912",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "APPLICATION_EVENT",
"agent_id_status": "verified",
"created": "2024-08-01T21:50:19.274Z",
"dataset": "google_workspace.access_transparency",
"id": "1",
"ingested": "2024-08-01T21:50:31Z",
"kind": [
"event"
],
"original": "{\"actor\":{\"callerType\":\"USER\",\"email\":\"[email protected]\",\"profileId\":1},\"events\":{\"name\":\"APPLICATION_EVENT\",\"parameters\":[{\"name\":\"ACCESS_APPROVAL_ALERT_CENTER_IDS\",\"value\":\"alert123\"},{\"name\":\"ACCESS_APPROVAL_REQUEST_IDS\",\"value\":\"req12341\"},{\"name\":\"ACCESS_MANAGEMENT_POLICY\",\"value\":\"policy\"},{\"name\":\"ACTOR_HOME_OFFICE\",\"value\":\"actoroffice\"},{\"name\":\"GSUITE_PRODUCT_NAME\",\"value\":\"CALENDAR\"},{\"name\":\"JUSTIFICATIONS\",\"value\":\"justfy\"},{\"name\":\"LOG_ID\",\"value\":\"lg651667\"},{\"name\":\"ON_BEHALF_OF\",\"value\":\"[email protected]\"},{\"name\":\"OWNER_EMAIL\",\"value\":\"[email protected]\"},{\"name\":\"RESOURCE_NAME\",\"value\":\"foo\"},{\"name\":\"TICKETS\",\"value\":\"ticket\"}],\"type\":\"device_applications\"},\"id\":{\"applicationName\":\"device\",\"customerId\":\"1\",\"time\":\"2020-10-02T15:00:00Z\",\"uniqueQualifier\":1},\"ipAddress\":\"67.43.156.13\",\"kind\":\"admin#reports#activity\",\"ownerDomain\":\"example.com\"}",
"provider": "device"
},
"google_workspace": {
"access_transparency": {
"access_approval": {
"alert_center_ids": "alert123",
"request_ids": "req12341"
},
"access_management": {
"policy": "policy"
},
"actor_home_office": "actoroffice",
"gsuite_product_name": "CALENDAR",
"justifications": "justfy",
"log_id": "lg651667",
"on_behalf_of": "[email protected]",
"owner_email": "[email protected]",
"resource_name": "foo",
"tickets": "ticket"
},
"actor": {
"email": "[email protected]",
"profile": {
"id": "1"
},
"type": "USER"
},
"event": {
"name": "APPLICATION_EVENT",
"type": "device_applications"
},
"id": {
"application_name": "device",
"customer": {
"id": "1"
},
"time": "2020-10-02T15:00:00.000Z",
"unique_qualifier": "1"
},
"ip_address": "67.43.156.13",
"kind": "admin#reports#activity",
"organization": {
"domain": "example.com"
}
},
"input": {
"type": "httpjson"
},
"organization": {
"id": "1"
},
"related": {
"hosts": [
"bar.com",
"example.com"
],
"ip": [
"67.43.156.13"
],
"user": [
"1",
"foo",
"[email protected]",
"[email protected]"
]
},
"source": {
"as": {
"number": 35908
},
"geo": {
"continent_name": "Asia",
"country_iso_code": "BT",
"country_name": "Bhutan",
"location": {
"lat": 27.5,
"lon": 90.5
}
},
"ip": "67.43.156.13",
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo"
}
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"google_workspace-access_transparency"
],
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
google_workspace.access_transparency.access_approval.alert_center_ids |
访问批准警报中心 ID 的参数。 |
keyword |
google_workspace.access_transparency.access_approval.request_ids |
访问批准工单 ID 的参数。 |
keyword |
google_workspace.access_transparency.access_management.policy |
访问管理策略的参数。 |
keyword |
google_workspace.access_transparency.actor_home_office |
执行数据访问的参与者的总部所在地。 |
keyword |
google_workspace.access_transparency.gsuite_product_name |
Google Workspace 产品名称。 |
keyword |
google_workspace.access_transparency.justifications |
访问理由,例如“客户发起的支持 - 案例编号:12345678”。 |
keyword |
google_workspace.access_transparency.log_id |
唯一日志 ID。 |
keyword |
google_workspace.access_transparency.on_behalf_of |
资源共享者电子邮件的参数。 |
keyword |
google_workspace.access_transparency.owner_email |
拥有该资源的客户的电子邮件 ID 或团队标识符。 |
keyword |
google_workspace.access_transparency.resource_name |
被访问的资源的名称。 |
keyword |
google_workspace.access_transparency.tickets |
工单的参数。 |
keyword |
google_workspace.actor.email |
执行者的主要电子邮件地址。如果执行者没有关联的电子邮件地址,则可能不存在。 |
keyword |
google_workspace.actor.key |
仅当 |
keyword |
google_workspace.actor.profile.id |
执行者的唯一 Google Workspace 个人资料 ID。如果执行者不是 Google Workspace 用户,此值可能不存在,或者可能是用作占位符 ID 的数字 105250506097979753968。 |
keyword |
google_workspace.actor.type |
参与者的类型。值可以是:USER:同一域中的另一个用户。EXTERNAL_USER:域外的用户。KEY:非人类参与者。 |
keyword |
google_workspace.etag |
条目的 ETag。 |
keyword |
google_workspace.event.name |
事件的名称。这是 API 报告的活动的具体名称。每个 eventName 都与 API 组织成事件类型的特定 Google Workspace 服务或功能相关。关于 eventName 请求参数的通常信息:如果未给出 eventName,则报告会返回 eventName 的所有可能实例。当您请求 eventName 时,API 的响应会返回包含该 eventName 的所有活动。返回的活动除了请求的 eventName 之外,还可能具有其他 eventName 属性。有关 eventName 属性的更多信息,请参阅上面应用程序名称中各种应用程序的事件名称列表。 |
keyword |
google_workspace.event.type |
Google Workspace 事件的类型,映射自原始负载中的 |
keyword |
google_workspace.id.application_name |
事件所属的应用程序名称。有关可能的值,请参阅上面应用程序名称中的应用程序列表。 |
keyword |
google_workspace.id.customer.id |
Google Workspace 帐户的唯一标识符。 |
keyword |
google_workspace.id.time |
活动发生的时间。这是 UNIX 时间戳,单位为秒。 |
日期 |
google_workspace.id.unique_qualifier |
如果多个事件具有相同的时间,则为唯一限定符。 |
keyword |
google_workspace.ip_address |
执行操作的用户的 IP 地址。这是用户登录 Google Workspace 时的 Internet 协议 (IP) 地址,可能反映也可能不反映用户的实际位置。例如,IP 地址可以是用户的代理服务器地址或虚拟专用网络 (VPN) 地址。该 API 支持 IPv4 和 IPv6。 |
ip |
google_workspace.kind |
API 资源的类型,映射自原始负载中的 |
keyword |
google_workspace.organization.domain |
受报告事件影响的域名。 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
情境感知访问
编辑这是 context_aware_access 数据集。
示例
以下是 context_aware_access 的一个示例事件:
{
"@timestamp": "2020-10-02T15:00:00.000Z",
"agent": {
"ephemeral_id": "6fde0a21-1448-4531-a5c9-42751772e3a7",
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "google_workspace.context_aware_access",
"namespace": "14973",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "APPLICATION_EVENT",
"agent_id_status": "verified",
"created": "2024-08-01T21:53:36.823Z",
"dataset": "google_workspace.context_aware_access",
"id": "1",
"ingested": "2024-08-01T21:53:48Z",
"kind": [
"event"
],
"original": "{\"actor\":{\"callerType\":\"USER\",\"email\":\"[email protected]\",\"profileId\":1},\"events\":{\"name\":\"APPLICATION_EVENT\",\"parameters\":[{\"name\":\"CAA_ACCESS_LEVEL_APPLIED\",\"value\":\"applied\"},{\"name\":\"CAA_ACCESS_LEVEL_SATISFIED\",\"value\":\"satisfied\"},{\"name\":\"CAA_ACCESS_LEVEL_UNSATISFIED\",\"value\":\"unsatisfied\"},{\"name\":\"CAA_APPLICATION\",\"value\":\"app\"},{\"name\":\"CAA_DEVICE_ID\",\"value\":\"devic423\"},{\"name\":\"CAA_DEVICE_STATE\",\"value\":\"devstate\"}],\"type\":\"device_applications\"},\"id\":{\"applicationName\":\"device\",\"customerId\":\"1\",\"time\":\"2020-10-02T15:00:00Z\",\"uniqueQualifier\":1},\"ipAddress\":\"67.43.156.13\",\"kind\":\"admin#reports#activity\",\"ownerDomain\":\"example.com\"}",
"provider": "device"
},
"google_workspace": {
"actor": {
"email": "[email protected]",
"profile": {
"id": "1"
},
"type": "USER"
},
"context_aware_access": {
"access_level": {
"applied": "applied",
"satisfied": "satisfied",
"unsatisfied": "unsatisfied"
},
"application": "app",
"device": {
"id": "devic423",
"state": "devstate"
}
},
"event": {
"name": "APPLICATION_EVENT",
"type": "device_applications"
},
"id": {
"application_name": "device",
"customer": {
"id": "1"
},
"time": "2020-10-02T15:00:00.000Z",
"unique_qualifier": "1"
},
"ip_address": "67.43.156.13",
"kind": "admin#reports#activity",
"organization": {
"domain": "example.com"
}
},
"input": {
"type": "httpjson"
},
"organization": {
"id": "1"
},
"related": {
"hosts": [
"bar.com",
"example.com"
],
"ip": [
"67.43.156.13"
],
"user": [
"1",
"foo",
"[email protected]"
]
},
"source": {
"as": {
"number": 35908
},
"geo": {
"continent_name": "Asia",
"country_iso_code": "BT",
"country_name": "Bhutan",
"location": {
"lat": 27.5,
"lon": 90.5
}
},
"ip": "67.43.156.13",
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo"
}
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"google_workspace-context_aware_access"
],
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
google_workspace.actor.email |
执行者的主要电子邮件地址。如果执行者没有关联的电子邮件地址,则可能不存在。 |
keyword |
google_workspace.actor.key |
仅当 |
keyword |
google_workspace.actor.profile.id |
执行者的唯一 Google Workspace 个人资料 ID。如果执行者不是 Google Workspace 用户,此值可能不存在,或者可能是用作占位符 ID 的数字 105250506097979753968。 |
keyword |
google_workspace.actor.type |
参与者的类型。值可以是:USER:同一域中的另一个用户。EXTERNAL_USER:域外的用户。KEY:非人类参与者。 |
keyword |
google_workspace.context_aware_access.access_level.applied |
应用的访问级别的显示名称。 |
keyword |
google_workspace.context_aware_access.access_level.satisfied |
满足的访问级别的显示名称。 |
keyword |
google_workspace.context_aware_access.access_level.unsatisfied |
未满足的访问级别的显示名称。 |
keyword |
google_workspace.context_aware_access.application |
应用程序的显示名称。 |
keyword |
google_workspace.context_aware_access.device.id |
设备 ID 的显示名称。 |
keyword |
google_workspace.context_aware_access.device.state |
设备状态的显示名称。 |
keyword |
google_workspace.etag |
条目的 ETag。 |
keyword |
google_workspace.event.name |
事件的名称。这是 API 报告的活动的具体名称。每个 eventName 都与 API 组织成事件类型的特定 Google Workspace 服务或功能相关。关于 eventName 请求参数的通常信息:如果未给出 eventName,则报告会返回 eventName 的所有可能实例。当您请求 eventName 时,API 的响应会返回包含该 eventName 的所有活动。返回的活动除了请求的 eventName 之外,还可能具有其他 eventName 属性。有关 eventName 属性的更多信息,请参阅上面应用程序名称中各种应用程序的事件名称列表。 |
keyword |
google_workspace.event.type |
Google Workspace 事件的类型,映射自原始负载中的 |
keyword |
google_workspace.id.application_name |
事件所属的应用程序名称。有关可能的值,请参阅上面应用程序名称中的应用程序列表。 |
keyword |
google_workspace.id.customer.id |
Google Workspace 帐户的唯一标识符。 |
keyword |
google_workspace.id.time |
活动发生的时间。这是 UNIX 时间戳,单位为秒。 |
日期 |
google_workspace.id.unique_qualifier |
如果多个事件具有相同的时间,则为唯一限定符。 |
keyword |
google_workspace.ip_address |
执行操作的用户的 IP 地址。这是用户登录 Google Workspace 时的 Internet 协议 (IP) 地址,可能反映也可能不反映用户的实际位置。例如,IP 地址可以是用户的代理服务器地址或虚拟专用网络 (VPN) 地址。该 API 支持 IPv4 和 IPv6。 |
ip |
google_workspace.kind |
API 资源的类型,映射自原始负载中的 |
keyword |
google_workspace.organization.domain |
受报告事件影响的域名。 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
GCP
编辑这是 gcp 数据集。
示例
以下是 gcp 的一个示例事件:
{
"@timestamp": "2020-10-02T15:00:00.000Z",
"agent": {
"ephemeral_id": "73bd4e11-03bc-40dc-a0bc-1d9ca1aaa853",
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.0"
},
"data_stream": {
"dataset": "google_workspace.gcp",
"namespace": "65228",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "c43b6bca-79fe-44a7-b837-da9db4bf7be4",
"snapshot": false,
"version": "8.13.0"
},
"event": {
"action": "IMPORT_SSH_PUBLIC_KEY",
"agent_id_status": "verified",
"created": "2024-08-01T21:56:37.313Z",
"dataset": "google_workspace.gcp",
"id": "1",
"ingested": "2024-08-01T21:56:49Z",
"kind": [
"event"
],
"original": "{\"actor\":{\"callerType\":\"USER\",\"email\":\"[email protected]\",\"profileId\":1},\"events\":{\"name\":\"IMPORT_SSH_PUBLIC_KEY\",\"parameters\":[{\"name\":\"USER_EMAIL\",\"value\":\"[email protected]\"}],\"type\":\"CLOUD_OSLOGIN\"},\"id\":{\"applicationName\":\"device\",\"customerId\":\"1\",\"time\":\"2020-10-02T15:00:00Z\",\"uniqueQualifier\":1},\"ipAddress\":\"67.43.156.13\",\"kind\":\"admin#reports#activity\",\"ownerDomain\":\"example.com\"}",
"provider": "device"
},
"google_workspace": {
"actor": {
"email": "[email protected]",
"profile": {
"id": "1"
},
"type": "USER"
},
"event": {
"name": "IMPORT_SSH_PUBLIC_KEY",
"type": "CLOUD_OSLOGIN"
},
"gcp": {
"user_email": "[email protected]"
},
"id": {
"application_name": "device",
"customer": {
"id": "1"
},
"time": "2020-10-02T15:00:00.000Z",
"unique_qualifier": "1"
},
"ip_address": "67.43.156.13",
"kind": "admin#reports#activity",
"organization": {
"domain": "example.com"
}
},
"input": {
"type": "httpjson"
},
"organization": {
"id": "1"
},
"related": {
"hosts": [
"bar.com",
"example.com"
],
"ip": [
"67.43.156.13"
],
"user": [
"1",
"foo",
"[email protected]"
]
},
"source": {
"as": {
"number": 35908
},
"geo": {
"continent_name": "Asia",
"country_iso_code": "BT",
"country_name": "Bhutan",
"location": {
"lat": 27.5,
"lon": 90.5
}
},
"ip": "67.43.156.13",
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo"
}
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"google_workspace-gcp"
],
"user": {
"domain": "bar.com",
"email": "[email protected]",
"id": "1",
"name": "foo"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
google_workspace.actor.email |
执行者的主要电子邮件地址。如果执行者没有关联的电子邮件地址,则可能不存在。 |
keyword |
google_workspace.actor.key |
仅当 |
keyword |
google_workspace.actor.profile.id |
执行者的唯一 Google Workspace 个人资料 ID。如果执行者不是 Google Workspace 用户,此值可能不存在,或者可能是用作占位符 ID 的数字 105250506097979753968。 |
keyword |
google_workspace.actor.type |
参与者的类型。值可以是:USER:同一域中的另一个用户。EXTERNAL_USER:域外的用户。KEY:非人类参与者。 |
keyword |
google_workspace.etag |
条目的 ETag。 |
keyword |
google_workspace.event.name |
事件的名称。这是 API 报告的活动的具体名称。每个 eventName 都与 API 组织成事件类型的特定 Google Workspace 服务或功能相关。关于 eventName 请求参数的通常信息:如果未给出 eventName,则报告会返回 eventName 的所有可能实例。当您请求 eventName 时,API 的响应会返回包含该 eventName 的所有活动。返回的活动除了请求的 eventName 之外,还可能具有其他 eventName 属性。有关 eventName 属性的更多信息,请参阅上面应用程序名称中各种应用程序的事件名称列表。 |
keyword |
google_workspace.event.type |
Google Workspace 事件的类型,映射自原始负载中的 |
keyword |
google_workspace.gcp.user_email |
操作用户的电子邮件地址。 |
keyword |
google_workspace.id.application_name |
事件所属的应用程序名称。有关可能的值,请参阅上面应用程序名称中的应用程序列表。 |
keyword |
google_workspace.id.customer.id |
Google Workspace 帐户的唯一标识符。 |
keyword |
google_workspace.id.time |
活动发生的时间。这是 UNIX 时间戳,单位为秒。 |
日期 |
google_workspace.id.unique_qualifier |
如果多个事件具有相同的时间,则为唯一限定符。 |
keyword |
google_workspace.ip_address |
执行操作的用户的 IP 地址。这是用户登录 Google Workspace 时的 Internet 协议 (IP) 地址,可能反映也可能不反映用户的实际位置。例如,IP 地址可以是用户的代理服务器地址或虚拟专用网络 (VPN) 地址。该 API 支持 IPv4 和 IPv6。 |
ip |
google_workspace.kind |
API 资源的类型,映射自原始负载中的 |
keyword |
google_workspace.organization.domain |
受报告事件影响的域名。 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
2.26.1 |
缺陷修复 (查看拉取请求) 缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.26.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
2.25.5 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.25.4 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.25.3 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.25.2 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.25.1 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.25.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
2.24.0 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.23.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
2.22.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
2.21.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
2.20.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
2.19.2 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.19.1 |
缺陷修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.19.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.18.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.17.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.16.2 |
缺陷修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.16.1 |
缺陷修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.16.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.15.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.14.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.13.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.12.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.11.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.10.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.9.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.8.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.7.0 |
增强功能 (查看拉取请求) |
8.7.1 或更高版本 |
2.6.0 |
增强功能 (查看拉取请求) |
8.4.0 或更高版本 |
2.5.1 |
增强功能 (查看拉取请求) |
8.4.0 或更高版本 |
2.5.0 |
增强功能 (查看拉取请求) |
8.4.0 或更高版本 |
2.4.0 |
增强功能 (查看拉取请求) |
8.4.0 或更高版本 |
2.3.1 |
增强功能 (查看拉取请求) |
8.4.0 或更高版本 |
2.3.0 |
增强功能 (查看拉取请求) |
8.4.0 或更高版本 |
2.2.3 |
缺陷修复 (查看拉取请求) |
8.4.0 或更高版本 |
2.2.2 |
错误修复 (查看拉取请求) |
8.4.0 或更高版本 |
2.2.1 |
错误修复 (查看拉取请求) |
8.4.0 或更高版本 |
2.2.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
2.1.0 |
增强 (查看拉取请求) 增强 (查看拉取请求) 增强 (查看拉取请求) |
8.4.0 或更高版本 |
2.0.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.9.0 |
错误修复 (查看拉取请求) 错误修复 (查看拉取请求) 增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.7.4 |
错误修复 (查看拉取请求) |
8.4.0 或更高版本 |
1.7.3 |
错误修复 (查看拉取请求) |
8.4.0 或更高版本 |
1.7.2 |
错误修复 (查看拉取请求) |
8.4.0 或更高版本 |
1.7.1 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.6.1 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.5.1 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.3.4 |
错误修复 (查看拉取请求) |
— |
1.3.3 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.3.2 |
错误修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.3.1 |
增强 (查看拉取请求) 错误修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.2.3 |
错误修复 (查看拉取请求) |
— |
1.2.2 |
错误修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.2.1 |
错误修复 (查看拉取请求) |
— |
1.2.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.1.3 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.1.2 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.1.1 |
错误修复 (查看拉取请求) |
— |
1.1.0 |
增强 (查看拉取请求) |
— |
1.0.0 |
增强 (查看拉取请求) |
— |
0.7.3 |
增强 (查看拉取请求) |
— |
0.7.2 |
增强 (查看拉取请求) |
— |
0.7.1 |
增强 (查看拉取请求) |
— |
0.7.0 |
增强 (查看拉取请求) |
— |
0.6.0 |
增强 (查看拉取请求) |
— |
0.5.0 |
增强 (查看拉取请求) |
— |
0.4.0 |
增强 (查看拉取请求) |
— |
0.3.1 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.4 |
错误修复 (查看拉取请求) |
— |
0.2.3 |
增强 (查看拉取请求) |
— |
0.2.2 |
错误修复 (查看拉取请求) |
— |
0.2.1 |
错误修复 (查看拉取请求) |
— |
0.0.1 |
增强 (查看拉取请求) |
— |