收集 Microsoft Azure 资源日志
支持的平台:
Google SecOps
SIEM
本文档介绍了如何使用 Microsoft Azure Blob Storage V2 设置 Google Security Operations Feed 来收集 Microsoft Azure 资源日志。
Azure 资源日志可提供对 Azure 资源中执行的操作的深入了解。这些日志会捕获有关资源操作、状态和效果指标的详细信息。内容因资源类型而异,包括身份验证事件、配置更改、访问尝试和运营指标等数据。
准备工作
确保您满足以下前提条件:
- Google SecOps 实例
对 Microsoft Azure 门户拥有特权访问权限,并具有以下权限:
- 创建存储账号
- 为 Azure 资源配置诊断设置
- 管理访问密钥
配置 Azure 存储账号
创建存储账号
- 在 Azure 门户中,搜索存储账号。
- 点击 + 创建。
提供以下配置详细信息:
设置 值 订阅 选择您的 Azure 订阅 资源组 选择现有内容或创建新内容 存储账号名称 输入唯一名称(例如 azureresourcelogs)区域 选择区域(例如 East US)性能 标准(推荐) 冗余 GRS(地理位置冗余存储)或 LRS(本地冗余存储) 点击 Review + create(检查 + 创建)。
查看账号概览,然后点击创建。
等待部署完成。
获取存储账号凭据
- 前往您刚刚创建的存储账号。
- 在左侧导航栏中,选择安全性 + 网络下的访问密钥。
- 点击显示键。
复制并保存以下内容以供日后使用:
- 存储账号名称:
azureresourcelogs - 密钥 1 或密钥 2:共享访问密钥(采用 base-64 编码的 512 位随机字符串)
- 存储账号名称:
获取 Blob 服务端点
- 在同一存储账号中,从左侧导航栏中选择端点。
复制并保存 Blob 服务端点网址。
- 示例:
https://azureresourcelogs.blob.core.windows.net/
- 示例:
配置 Azure 资源诊断设置
默认情况下,系统不会收集 Azure 资源日志。您必须为每个 Azure 资源创建诊断设置,以便将日志路由到存储账号。
- 在 Azure 门户中,导航到要监控的 Azure 资源。
- 在左侧导航栏中,选择监控下的诊断设置。
- 点击 + 添加诊断设置。
提供以下配置详细信息:
- 诊断设置名称:输入一个描述性名称(例如
export-to-secops)。 在日志部分,选择要收集的日志类别。可用类别因资源类型而异。
常见类别包括:
- 管理(适用于活动日志)
- 安全性(针对活动日志)
- AuditEvent(适用于 Key Vault)
- ApplicationGatewayAccessLog(适用于 Application Gateway)
- ApplicationGatewayFirewallLog(适用于 Application Gateway)
- NetworkSecurityGroupEvent(适用于网络安全组)
在指标部分(可选)中,选择 AllMetrics 以将平台指标发送到存储账号。
在目标详细信息部分中,选中归档到存储账号复选框。
订阅:选择包含您的存储账号的订阅。
存储账号:选择您之前创建的存储账号(例如
azureresourcelogs)。
- 诊断设置名称:输入一个描述性名称(例如
点击保存。
配置完成后,日志会自动导出到存储账号中的容器。Azure 会使用
insights-logs-<log-category-name>的命名模式创建容器。例如:- Key Vault 审核日志:
insights-logs-auditevent - Application Gateway 访问日志:
insights-logs-applicationgatewayaccesslog - Application Gateway 防火墙日志:
insights-logs-applicationgatewayfirewalllog - 网络安全组事件:
insights-logs-networksecuritygroupevent
- Key Vault 审核日志:
在 Google SecOps 中配置 Feed 以提取 Azure 资源日志
- 依次前往 SIEM 设置 > Feed。
- 点击添加新 Feed。
- 在下一页上,点击配置单个 Feed。
- 在Feed 名称字段中,输入 Feed 的名称(例如
Azure Resource Logs)。 - 选择 Microsoft Azure Blob Storage V2 作为来源类型。
- 选择 Microsoft Azure 资源作为日志类型。
- 点击下一步。
为以下输入参数指定值:
Azure URI:输入包含容器路径的 Blob 服务端点网址:
https://azureresourcelogs.blob.core.windows.net/insights-logs-<category-name>/替换以下内容:
azureresourcelogs:您的 Azure 存储账号名称。<category-name>:日志类别名称(例如,Key Vault 为auditevent,应用网关为applicationgatewayaccesslog)。
来源删除选项:根据您的偏好选择删除选项:
- 永不:永不删除转移后的任何文件。
- 删除已转移的文件:在成功转移后删除文件。
- 删除已转移的文件和空目录:在成功转移后删除文件和空目录。
文件存在时间上限:包含在过去指定天数内修改的文件。默认值为 180 天。
共享密钥:输入您在第 3 步中从存储账号捕获的共享密钥值(访问密钥)。
资产命名空间:资产命名空间。
注入标签:要应用于此 Feed 中事件的标签。
点击下一步。
在最终确定界面中查看新的 Feed 配置,然后点击提交。
配置 Azure 存储防火墙(如果已启用)
如果您的 Azure 存储账号使用防火墙,则必须添加 Google SecOps IP 范围。
如需获取当前的 IP 范围,请选择以下选项之一:
- 请参阅 IP 许可名单文档
- 使用 Feed Management API 以编程方式检索这些信息
在 Azure 门户中,前往您的存储账号。
在安全性 + 网络下,选择网络。
在防火墙和虚拟网络下,选择从所选虚拟网络和 IP 地址启用。
在防火墙部分中,点击地址范围下方的 + 添加 IP 范围。
以 CIDR 表示法添加每个 Google SecOps IP 范围。
点击保存。
UDM 映射表
| 日志字段 | UDM 映射 | 逻辑 |
|---|---|---|
| event.idm.read_only_udm.additional.fields | 根据条件,从各种标签字段(例如 hostVersion_field、functionInvocationId_field 等)合并而来。 | |
| event.idm.read_only_udm.extensions.auth.type | 对于 SQLSecurityAuditEvents 类别,设置为“MACHINE”。 | |
| event.idm.read_only_udm.extensions.auth.type | 对于 RiskyServicePrincipals、RiskyUsers、UserRiskEvents、NonInteractiveUserSignInLogs、ServicePrincipalSignInLogs、ProvisioningLogs、ADFSSignInLogs、ServicePrincipalRiskEvents 类别,设置为“AUTHTYPE_UNSPECIFIED”。 | |
| event.idm.read_only_udm.extensions.auth.type | 对于 ["RiskyServicePrincipals","RiskyUsers","UserRiskEvents","NonInteractiveUserSignInLogs","ServicePrincipalSignInLogs","ProvisioningLogs","ADFSSignInLogs","ServicePrincipalRiskEvents"] 中的类别,设置为“SSO”。 | |
| event.idm.read_only_udm.extensions.auth.mechanism | 如果设置为“USERNAME_PASSWORD”,则从 auth_mechanism 合并。 | |
| event.idm.read_only_udm.intermediary | 如果不为空,则从中间结果合并。 | |
| event.idm.read_only_udm.metadata.collected_timestamp | 使用 ISO8601 匹配从 stage_time 转换而来,适用于 kube-audit 类别。 | |
| event.idm.read_only_udm.metadata.collected_timestamp | 使用 ISO8601 匹配项从 originalEventTimestamp 转换而来。 | |
| event.idm.read_only_udm.metadata.collected_timestamp | 使用 ISO8601 或 yyyy-MM-dd HH:mm:ss 匹配项从 risk_time 转换而来。 | |
| event.idm.read_only_udm.metadata.collected_timestamp | 根据 ISO8601 或 yyyy-MM-dd HH:mm:ss.SSSZ 匹配项从 last_update_time 转换而来。 | |
| event.idm.read_only_udm.metadata.collected_timestamp | 使用 ISO8601 (yyyy-MM-ddTHH:mm:ssZ) 或用于日期解析的 grok 模式从时间转换而来。 | |
| event.idm.read_only_udm.metadata.description | 如果 properties.message 不为空,则取自该属性的值。 | |
| event.idm.read_only_udm.metadata.description | 针对 kube-audit 类别的属性.log.stage 中的值。 | |
| event.idm.read_only_udm.metadata.description | 从 properties.activity 中获取的值。 | |
| event.idm.read_only_udm.metadata.event_type | 如果不为空,则取自 event_type;否则设置为“GENERIC_EVENT”。 | |
| event.idm.read_only_udm.metadata.product_deployment_id | 如果 additionaldetails.key == "TenantId",则取自 tenantid_value 的值。 | |
| event.idm.read_only_udm.metadata.product_event_type | 从类别中获取的值。 | |
| event.idm.read_only_udm.metadata.product_log_id | 如果 properties.event_id 不为空,则取自该属性。 | |
| event.idm.read_only_udm.metadata.product_log_id | 从 kube-audit 类别的 properties.log.auditID 中获取的值。 | |
| event.idm.read_only_udm.metadata.product_log_id | 从 properties.id 中获取的值。 | |
| event.idm.read_only_udm.metadata.product_version | 从 properties.log.apiVersion 获取 kube-audit 类别的相应值。 | |
| event.idm.read_only_udm.metadata.vendor_name | 设置为“Microsoft”。 | |
| event.idm.read_only_udm.network.application_protocol | 如果协议不为空,则取自协议。 | |
| event.idm.read_only_udm.network.http.method | 从 AppServiceHTTPLogs 的 properties.CsMethod 中获取的值。 | |
| event.idm.read_only_udm.network.http.referral_url | 从属性中获取的值。AppServiceHTTPLogs 的 Referer。 | |
| event.idm.read_only_udm.network.http.referral_url | 如果不为空,则从 URI 中获取值。 | |
| event.idm.read_only_udm.network.http.response_code | 将 responseStatus.code 转换为整数,用于 kube-audit 类别。 | |
| event.idm.read_only_udm.network.http.response_code | 将 AppServiceHTTPLogs 的属性 ScStatus 转换为整数。 | |
| event.idm.read_only_udm.network.http.response_code | 从 properties.statusCode 转换为整数。 | |
| event.idm.read_only_udm.network.http.response_code | 从 statusCode 转换为整数。 | |
| event.idm.read_only_udm.network.http.user_agent | 如果非空,则取自 user_agent。 | |
| event.idm.read_only_udm.network.received_bytes | 从 AppServiceHTTPLogs 的 properties.ScBytes 中获取的值。 | |
| event.idm.read_only_udm.network.received_bytes | 从 properties.responseLength 获取的值。 | |
| event.idm.read_only_udm.network.sent_bytes | 从 AppServiceHTTPLogs 的属性中获取的值。 | |
| event.idm.read_only_udm.network.sent_bytes | 取自 properties.requestLength 的值。 | |
| event.idm.read_only_udm.network.session_id | 取自 properties.session_id 的值。 | |
| event.idm.read_only_udm.network.session_id | 取自 record.properties.session_id 的值。 | |
| event.idm.read_only_udm.network.tls.version | 如果 properties.tlsVersion 不为空,则取自该属性的值。 | |
| event.idm.read_only_udm.principal.application | 如果 properties.application_name 不为空,则取自该属性。 | |
| event.idm.read_only_udm.principal.asset.asset_id | 如果 prop_device_id 不为 null,则取自 prop_device_id。 | |
| event.idm.read_only_udm.principal.asset.hardware | 如果非空,则从硬件合并。 | |
| event.idm.read_only_udm.principal.asset.hostname | 如果 properties.host_name 不为空,则取自该属性的值。 | |
| event.idm.read_only_udm.principal.asset.hostname | 从 AppServiceHTTPLogs 的属性中获取的值。 | |
| event.idm.read_only_udm.principal.asset.hostname | 从 AppServiceHTTPLogs 的 record.properties.CsHost 中获取的值。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 AppServiceHTTPLogs 的 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip1 合并,用于 AppServiceHTTPLogs。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 principal_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 类别的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.clientIpAddress 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 client_ip 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 record.properties.clientIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 kube-audit 记录的 IP 合并而来。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 src_ip 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.ipAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 callerIpAddress 合并。 | |
| event.idm.read_only_udm.principal.asset.ip | 从 properties.client_ip 合并。 |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。