Cloud IDS 日志记录信息

本页面介绍了 Cloud IDS 威胁提醒创建的日志。

威胁日志

您可以在 Cloud Logging 中查看因网络中的威胁而生成的日志。日志采用 JSON 格式,包含以下字段:

  • threat_id - 唯一的 Palo Alto Networks 威胁标识符。
  • name - 威胁名称。
  • alert_severity - 威胁的严重程度。INFORMATIONALLOWMEDIUMHIGHCRITICAL 之一。
  • type - 威胁类型。
  • category - 威胁的子类型。
  • alert_time - 发现威胁的时间。
  • network - 发现威胁的客户网络。
  • source_ip_address - 可疑流量的来源 IP 地址。使用Google Cloud 负载均衡器时,真实客户端 IP 地址不可用,此值为 Google Front End (GFE) 的 IP 地址范围。值可以是 130.211.0.0/2235.191.0.0/16
  • destination_ip_address - 可疑流量的目标 IP 地址。
  • source_port - 可疑流量的源端口。
  • destination_port - 可疑流量的目标端口。
  • ip_protocol - 可疑流量的 IP 协议。
  • application - 可疑流量的应用类型,例如 SSH。
  • direction - 可疑流量的方向(客户端到服务器或服务器到客户端)。
  • session_id - 应用于每个会话的内部数字标识符。
  • repeat_count - 在 5 秒内出现相同源 IP、目的地 IP、应用和类型的会话数。
  • uri_or_filename - 相关威胁的 URI 或文件名(如果适用)。
  • cves - 与威胁关联的 CVE 列表
  • details - 有关威胁类型的其他信息,摘自 Palo Alto Networks 的 ThreatVault。

之前的 JSON 字段嵌套在日志的 jsonPayload 字段下。威胁日志的名称为 projects/<consumer-project>/logs/ids.googleapis.com/threat

此外,日志的 labels.id 字段包含 Cloud IDS 端点的名称,其 resource.type 字段为 ids.googleapis.com/Endpoint

示例查询

Cloud Logging 中的此查询会查询云项目 my-project 中的 IDS 威胁日志,并返回 my-endpoint 端点在 2021 年 4 月 4 日太平洋标准时间 (PST)(-07 时区偏差)上午 8 点至 9 点期间报告的所有威胁,其中威胁的严重程度标记为“高”。

logName="projects/my-project/logs/ids.googleapis.com/threat"
   AND resource.type="ids.googleapis.com/Endpoint"
   AND resource.labels.id="my-endpoint"
   AND timestamp >= "2021-04-18T08:00:00-07"
   AND timestamp <= "2021-04-18T09:00:00-07"
   AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")

保留政策

保留期由日志所在的存储桶决定。默认情况下,日志会放入 _Default 存储桶中,并且默认情况下,此存储桶的保留政策为 30 天。

您可以选择将日志过滤到不同的存储桶。此外,保留时间是可配置的。

如果您希望保留政策与默认的 30 天不同,可以执行以下任一操作:

  • 将所有日志过滤到另一个存储桶中,并配置保留政策。
  • _Default 存储桶配置自定义保留政策。这会影响 _Default 存储桶中的所有其他日志。

流量日志

您可以在 Cloud Logging 中查看因网络流量而生成的日志。日志采用 JSON 格式,包含以下字段:

  • start_time - 会话开始时间。
  • elapsed_time - 会话的已用时间。
  • network - 与 IDS 端点关联的网络。
  • source_ip_address - 数据包的源 IP 地址。
  • source_port - 流量的来源端口。
  • destination_ip_address - 数据包的目标 IP 地址。
  • destination_port - 流量的目标端口。
  • ip_protocol - 数据包的 IP 协议。
  • application - 与会话关联的应用。
  • session_id - 应用于每个会话的内部数字标识符。
  • repeat_count - 在 5 秒内出现相同来源 IP、目标 IP、应用和类型的会话数。
  • total_bytes - 会话中传输的字节总数。
  • total_packets - 在会话中传输的数据包总数。