本页面介绍了 Cloud IDS 威胁提醒创建的日志。
威胁日志
您可以在 Cloud Logging 中查看因网络中的威胁而生成的日志。日志采用 JSON 格式,包含以下字段:
threat_id- 唯一的 Palo Alto Networks 威胁标识符。name- 威胁名称。alert_severity- 威胁的严重程度。INFORMATIONAL、LOW、MEDIUM、HIGH或CRITICAL之一。type- 威胁类型。category- 威胁的子类型。alert_time- 发现威胁的时间。network- 发现威胁的客户网络。source_ip_address- 可疑流量的来源 IP 地址。使用Google Cloud 负载均衡器时,真实客户端 IP 地址不可用,此值为 Google Front End (GFE) 的 IP 地址范围。值可以是130.211.0.0/22或35.191.0.0/16。destination_ip_address- 可疑流量的目标 IP 地址。source_port- 可疑流量的源端口。destination_port- 可疑流量的目标端口。ip_protocol- 可疑流量的 IP 协议。application- 可疑流量的应用类型,例如 SSH。direction- 可疑流量的方向(客户端到服务器或服务器到客户端)。session_id- 应用于每个会话的内部数字标识符。repeat_count- 在 5 秒内出现相同源 IP、目的地 IP、应用和类型的会话数。uri_or_filename- 相关威胁的 URI 或文件名(如果适用)。cves- 与威胁关联的 CVE 列表details- 有关威胁类型的其他信息,摘自 Palo Alto Networks 的 ThreatVault。
之前的 JSON 字段嵌套在日志的 jsonPayload 字段下。威胁日志的名称为 projects/<consumer-project>/logs/ids.googleapis.com/threat。
此外,日志的 labels.id 字段包含 Cloud IDS 端点的名称,其 resource.type 字段为 ids.googleapis.com/Endpoint。
示例查询
Cloud Logging 中的此查询会查询云项目 my-project 中的 IDS 威胁日志,并返回 my-endpoint 端点在 2021 年 4 月 4 日太平洋标准时间 (PST)(-07 时区偏差)上午 8 点至 9 点期间报告的所有威胁,其中威胁的严重程度标记为“高”。
logName="projects/my-project/logs/ids.googleapis.com/threat"
AND resource.type="ids.googleapis.com/Endpoint"
AND resource.labels.id="my-endpoint"
AND timestamp >= "2021-04-18T08:00:00-07"
AND timestamp <= "2021-04-18T09:00:00-07"
AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")
保留政策
保留期由日志所在的存储桶决定。默认情况下,日志会放入 _Default 存储桶中,并且默认情况下,此存储桶的保留政策为 30 天。
您可以选择将日志过滤到不同的存储桶。此外,保留时间是可配置的。
如果您希望保留政策与默认的 30 天不同,可以执行以下任一操作:
- 将所有日志过滤到另一个存储桶中,并配置保留政策。
- 为
_Default存储桶配置自定义保留政策。这会影响_Default存储桶中的所有其他日志。
流量日志
您可以在 Cloud Logging 中查看因网络流量而生成的日志。日志采用 JSON 格式,包含以下字段:
start_time- 会话开始时间。elapsed_time- 会话的已用时间。network- 与 IDS 端点关联的网络。source_ip_address- 数据包的源 IP 地址。source_port- 流量的来源端口。destination_ip_address- 数据包的目标 IP 地址。destination_port- 流量的目标端口。ip_protocol- 数据包的 IP 协议。application- 与会话关联的应用。session_id- 应用于每个会话的内部数字标识符。repeat_count- 在 5 秒内出现相同来源 IP、目标 IP、应用和类型的会话数。total_bytes- 会话中传输的字节总数。total_packets- 在会话中传输的数据包总数。