Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Cette page décrit les journaux créés par les alertes de menace Cloud IDS.
Journaux des menaces
Dans Cloud Logging, vous pouvez consulter les journaux générés en raison de menaces dans votre réseau.
Les journaux utilisent un format JSON avec les champs suivants :
threat_id : identifiant de menace unique de Palo Alto Networks.
name : nom de la menace.
alert_severity : gravité de la menace, à savoir INFORMATIONAL, LOW, MEDIUM, HIGH ou CRITICAL.
type : type de menace.
category : sous-type de menace.
alert_time : heure à laquelle la menace a été découverte.
network : réseau client dans lequel la menace a été découverte.
source_ip_address : adresse IP source du trafic suspecté. Lorsque vous utilisez unGoogle Cloud équilibreur de charge, la véritable adresse IP du client n'est pas disponible. Cette valeur correspond en fait à la plage d'adresse IP de Google Front End (GFE). La valeur peut être 130.211.0.0/22 ou 35.191.0.0/16.
destination_ip_address : adresse IP de destination du trafic suspecté.
source_port : port source du trafic suspecté.
destination_port : port de destination du trafic suspecté.
ip_protocol : protocole IP du trafic suspecté.
application : type d'application du trafic suspecté (par exemple, SSH).
direction : direction du trafic suspecté (du client vers le serveur ou du serveur vers le client).
session_id : identifiant numérique interne appliqué à chaque session.
repeat_count : nombre de sessions présentant la même adresse IP source, la même adresse IP de destination, la même application et le même type dans un intervalle de cinq secondes.
uri_or_filename : URI ou nom de fichier de la menace concernée (le cas échéant).
cves : liste des CVE associées à la menace
details : informations supplémentaires sur le type de menace, issues de ThreatVault de Palo Alto Networks.
Les champs JSON précédents sont imbriqués sous le champ jsonPayload du journal. Le nom de journal des journaux de menaces est projects/<consumer-project>/logs/ids.googleapis.com/threat.
De plus, le champ labels.id du journal contient le nom du point de terminaison Cloud IDS, et son champ resource.type est défini sur ids.googleapis.com/Endpoint.
Exemple de requête
Cette requête dans Cloud Logging interroge le journal des menaces IDS dans le projet cloud my-project. Elle renvoie toutes les menaces signalées par le point de terminaison my-endpoint entre 8h et 9h le 4 avril 2021, heure PST (décalage horaire de 7 heures), où la gravité de la menace a été marquée comme ÉLEVÉE.
logName="projects/my-project/logs/ids.googleapis.com/threat"
AND resource.type="ids.googleapis.com/Endpoint"
AND resource.labels.id="my-endpoint"
AND timestamp >= "2021-04-18T08:00:00-07"
AND timestamp <= "2021-04-18T09:00:00-07"
AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")
Règle de conservation
La durée de conservation est déterminée par les buckets de stockage dans lesquels se trouvent les journaux.
Par défaut, les journaux sont placés dans le bucket _Default, qui est associé à une règle de conservation de 30 jours.
Vous pouvez choisir de filtrer les journaux dans différents buckets. Par ailleurs, la durée de conservation est configurable.
Si vous souhaitez une durée de conservation différente de celle par défaut (30 jours), vous pouvez effectuer l'une des opérations suivantes :
Filtrez tous les journaux dans un autre bucket et configurez une règle de conservation.
Configurez une règle de conservation personnalisée pour le bucket _Default. L'opération affectera tous les autres journaux du bucket _Default.
Journaux de trafic
Dans Cloud Logging, vous pouvez consulter les journaux générés en raison de trafic réseau.
Les journaux utilisent un format JSON avec les champs suivants :
start_time : heure de début de la session.
elapsed_time : temps écoulé de la session.
network : réseau associé au point de terminaison IDS.
source_ip_address : adresse IP source du paquet.
source_port : port source du trafic.
destination_ip_address : adresse IP de destination du paquet.
destination_port : port de destination du trafic.
ip_protocol : protocole IP du paquet.
application : application associée à la session.
session_id : identifiant numérique interne appliqué à chaque session.
repeat_count : nombre de sessions présentant la même adresse IP source, la même adresse IP de destination, la même application et le même type dans un intervalle de cinq secondes.
total_bytes : nombre total d'octets transférés au cours de la session.
total_packets : nombre total de paquets transférés au cours de la session.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/05 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/05 (UTC)."],[[["\u003cp\u003eCloud IDS threat alerts generate logs viewable in Cloud Logging, using a JSON format with fields like \u003ccode\u003ethreat_id\u003c/code\u003e, \u003ccode\u003ename\u003c/code\u003e, and \u003ccode\u003ealert_severity\u003c/code\u003e to describe detected threats.\u003c/p\u003e\n"],["\u003cp\u003eThe JSON payload includes crucial details such as the source and destination IP addresses, ports, threat type, and severity, alongside additional data from Palo Alto Networks' ThreatVault.\u003c/p\u003e\n"],["\u003cp\u003eThreat logs can be queried within Cloud Logging using specific criteria, including the endpoint name, timestamp ranges, and threat severity levels, as demonstrated by the provided sample query.\u003c/p\u003e\n"],["\u003cp\u003eRetention of these logs depends on the storage bucket and is set to 30 days by default in the \u003ccode\u003e_Default\u003c/code\u003e bucket, but it can be customized through different bucket configurations.\u003c/p\u003e\n"],["\u003cp\u003eTraffic logs are also generated in Cloud Logging, using a JSON format, and they contain information about network traffic, such as \u003ccode\u003estart_time\u003c/code\u003e, \u003ccode\u003eelapsed_time\u003c/code\u003e, source and destination information, and the protocol used.\u003c/p\u003e\n"]]],[],null,["# Cloud IDS logging information\n\nThis page describes the logs created by Cloud IDS threat alerts.\n\nThreat logs\n-----------\n\nYou can view logs generated due to threats in your network in Cloud Logging.\nThe logs use a JSON format with the following fields:\n\n- `threat_id` - Unique Palo Alto Networks threat identifier.\n- `name` - Threat name.\n- `alert_severity` - Severity of the threat. One of `INFORMATIONAL`, `LOW`, `MEDIUM`, `HIGH`, or `CRITICAL`.\n- `type` - Type of the threat.\n- `category` - Sub-type of the threat.\n- `alert_time` - Time when the threat was discovered.\n- `network` - Customer network in which the threat was discovered.\n- `source_ip_address` - Suspected traffic's source IP address. When you use a Google Cloud load balancer the true client IP address is not available, and this value is the IP address range of the Google Front End (GFE). The value can be `130.211.0.0/22` or `35.191.0.0/16`.\n- `destination_ip_address` - Suspected traffic's destination IP address.\n- `source_port` - Suspected traffic's source port.\n- `destination_port` - Suspected traffic's destination port.\n- `ip_protocol` - Suspected traffic's IP protocol.\n- `application` - Suspected traffic's application type---for example, SSH.\n- `direction` - Suspected traffic's direction (client-to-server or server-to-client).\n- `session_id` - An internal numerical identifier applied to each session.\n- `repeat_count` - Number of sessions with the same source IP, destination IP, application, and type seen within 5 seconds.\n- `uri_or_filename` - URI or filename of the relevant threat, if applicable.\n- `cves` - a list of CVEs associated with the threat\n- `details` - Additional information about the type of threat, taken from Palo Alto Networks' ThreatVault.\n\nThe previous JSON fields are nested under the log's `jsonPayload` field. The\nlog name for threat logs is\n`projects/\u003cconsumer-project\u003e/logs/ids.googleapis.com/threat`.\n\nIn addition, the log's `labels.id` field contains the Cloud IDS endpoint's\nname, and its `resource.type` field is `ids.googleapis.com/Endpoint`.\n\n### Sample query\n\nThis query in Cloud Logging queries the IDS threat log in cloud project\n\u003cvar translate=\"no\"\u003emy-project\u003c/var\u003e, returning all threats reported by the\n\u003cvar translate=\"no\"\u003emy-endpoint\u003c/var\u003e endpoint between 8am-9am on April 4, 2021, PST time\n(-07 timezone offset), where the threat's severity was marked HIGH. \n\n```\nlogName=\"projects/my-project/logs/ids.googleapis.com/threat\"\n AND resource.type=\"ids.googleapis.com/Endpoint\"\n AND resource.labels.id=\"my-endpoint\"\n AND timestamp \u003e= \"2021-04-18T08:00:00-07\"\n AND timestamp \u003c= \"2021-04-18T09:00:00-07\"\n AND jsonPayload.alert_severity=(\"HIGH\" OR \"CRITICAL\")\n```\n\n### Retention policy\n\nRetention is determined by the storage buckets in which the logs are located.\nBy default, logs are placed in the `_Default` bucket, and by default this bucket\nhas a retention policy of 30 days.\n\nYou can choose to filter logs to different buckets. In addition, retention is\nconfigurable.\n\nIf you want a different retention policy than the default 30 days, you can do\none of the following:\n\n- Filter all logs into another bucket and configure a retention policy.\n- Configure a custom retention policy for the `_Default` bucket. This will affect all other logs in the `_Default` bucket.\n\nTraffic logs\n------------\n\nYou can view logs generated due to network traffic in Cloud Logging.\nThe logs use a JSON format with the following fields:\n\n- `start_time` - The time of the session start.\n- `elapsed_time` - The elapsed time of the session.\n- `network` - The network associated with the IDS endpoint.\n- `source_ip_address` - The source IP address of the packet.\n- `source_port` - The source port of the traffic.\n- `destination_ip_address` - The destination IP address of the packet.\n- `destination_port` - The destination port of the traffic.\n- `ip_protocol` - The IP protocol of the packet.\n- `application` - The application associated with the session.\n- `session_id` - An internal numerical identifier applied to each session.\n- `repeat_count` - The number of sessions with the same source IP, destination IP, application, and type seen within 5 seconds.\n- `total_bytes` - The total number of bytes transferred in the session.\n- `total_packets` - The total number of packets transferred in the session."]]