本页面介绍 Cloud IDS 威胁提醒创建的日志。
威胁日志
您可以在 Cloud Logging 中查看由于您的网络中的威胁而生成的日志。日志使用 JSON 格式,其中包含以下字段:
threat_id- 唯一的 Palo Alto Networks 威胁标识符。name- 威胁名称。alert_severity- 威胁的严重程度。INFORMATIONAL、LOW、MEDIUM、HIGH或CRITICAL之一。type- 威胁的类型。category- 威胁的子类型。alert_time- 发现威胁的时间。network- 其中发现威胁的客户网络。source_ip_address- 可疑流量的来源 IP 地址。当您使用 Google Cloud 负载均衡器时,真实的客户端 IP 地址不可用,并且此值是 Google Front End (GFE) 的 IP 地址范围。该值可以是130.211.0.0/22或35.191.0.0/16。destination_ip_address- 可疑流量的目标 IP 地址。source_port- 可疑流量的来源端口。destination_port- 可疑流量的目标端口。ip_protocol- 可疑流量的 IP 协议。application- 可疑流量的应用类型,例如 SSH。direction- 可疑流量的方向(客户端到服务器或服务器到客户端)。session_id- 应用于每个会话的内部数字标识符。repeat_count- 在 5 秒内看到具有相同来源 IP、目标 IP、应用和类型的会话数。uri_or_filename- 相关威胁的 URI 或文件名(如果适用)。cves- 与威胁相关联的 CVE 列表details- 有关威胁类型的其他信息,取自 Palo Alto Networks 的 ThreatVault。
之前的 JSON 字段嵌套在日志的 jsonPayload 字段下。威胁日志的日志名称为 projects/<consumer-project>/logs/ids.googleapis.com/threat。
此外,日志的 labels.id 字段包含 Cloud IDS 端点的名称,其 resource.type 字段为 ids.googleapis.com/Endpoint。
示例查询
Cloud Logging 中的此查询会查询 Cloud 项目 my-project 中的 IDS 威胁日志,返回 my-endpoint 端点在太平洋标准时间 2021 年 4 月 4 日上午 8 点到 9 点(太平洋标准时间 -07 时区偏移量)之间报告的所有威胁,其严重程度标记为“高”。
logName="projects/my-project/logs/ids.googleapis.com/threat"
AND resource.type="ids.googleapis.com/Endpoint"
AND resource.labels.id="my-endpoint"
AND timestamp >= "2021-04-18T08:00:00-07"
AND timestamp <= "2021-04-18T09:00:00-07"
AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")
保留政策
保留时长由日志所在的存储分区决定。默认情况下,日志存储在 _Default 存储桶中,此存储桶的保留政策为 30 天。
您可以选择将日志过滤到不同的存储分区。此外,您可以配置保留。
如果您希望使用与默认的 30 天不同的保留政策,可以执行以下任一操作:
- 将所有日志过滤到另一个存储桶中并配置保留政策。
- 为
_Default存储桶配置自定义保留政策。这将影响_Default存储桶中的所有其他日志。
流量日志
您可以在 Cloud Logging 中查看因网络流量而生成的日志。日志使用 JSON 格式,其中包含以下字段:
start_time- 会话的开始时间。elapsed_time- 会话的已用时间。network- 与 IDS 端点关联的网络。source_ip_address- 数据包的来源 IP 地址。source_port- 流量的来源端口。destination_ip_address- 数据包的目标 IP 地址。destination_port- 流量的目标端口。ip_protocol- 数据包的 IP 协议。application- 与会话关联的应用。session_id- 应用于每个会话的内部数字标识符。repeat_count- 在 5 秒内看到具有相同来源 IP、目标 IP、应用和类型的会话数。total_bytes- 会话中传输的总字节数。total_packets- 会话中传输的数据包总数。