本页介绍了 Cloud IDS 威胁提醒创建的日志。
威胁日志
您可以在 Cloud Logging 中查看因网络中存在威胁而生成的日志。日志使用 JSON 格式,其中包含以下字段:
threat_id- 唯一的 Palo Alto Networks 威胁标识符。name- 威胁名称。alert_severity- 威胁的严重程度。INFORMATIONAL、LOW、MEDIUM、HIGH或CRITICAL之一。type- 威胁类型。category- 威胁的子类型。alert_time- 发现威胁的时间。network- 检测到威胁的客户网络。source_ip_address- 可疑流量的来源 IP 地址。当您使用Google Cloud 负载均衡器时,真实的客户端 IP 地址不可用,此值为 Google 前端 (GFE) 的 IP 地址范围。值可以是130.211.0.0/22或35.191.0.0/16。destination_ip_address- 可疑流量的目标 IP 地址。source_port- 疑似流量的来源端口。destination_port- 疑似流量的目标端口。ip_protocol- 疑似流量的 IP 协议。application- 疑似流量的应用类型,例如 SSH。direction- 疑似流量的方向(客户端到服务器或服务器到客户端)。session_id- 应用于每个会话的内部数字标识符。repeat_count- 在 5 秒内出现相同来源 IP、目的地 IP、应用和类型的会话数。uri_or_filename- 相关威胁的 URI 或文件名(如果适用)。cves- 与威胁关联的 CVE 列表details- 有关威胁类型的其他信息,取自 Palo Alto Networks 的 ThreatVault。
之前的 JSON 字段嵌套在日志的 jsonPayload 字段下。威胁日志的日志名称为 projects/<consumer-project>/logs/ids.googleapis.com/threat。
此外,日志的 labels.id 字段包含 Cloud IDS 端点的名称,其 resource.type 字段为 ids.googleapis.com/Endpoint。
示例查询
Cloud Logging 中的以下查询会查询云项目 my-project 中的 IDS 威胁日志,返回 my-endpoint 端点在 2021 年 4 月 4 日上午 8 点至 9 点(美国太平洋时间,-07 时区偏移)报告的所有威胁,其中威胁的严重程度被标记为“高”。
logName="projects/my-project/logs/ids.googleapis.com/threat"
AND resource.type="ids.googleapis.com/Endpoint"
AND resource.labels.id="my-endpoint"
AND timestamp >= "2021-04-18T08:00:00-07"
AND timestamp <= "2021-04-18T09:00:00-07"
AND jsonPayload.alert_severity=("HIGH" OR "CRITICAL")
保留政策
保留期限取决于日志所在的存储分区。默认情况下,日志会放置在 _Default 存储桶中,并且默认情况下,此存储桶的保留政策为 30 天。
您可以选择将日志过滤到不同的存储分区。此外,保留期限是可配置的。
如果您希望采用与默认 30 天不同的保留政策,可以执行以下任一操作:
- 将所有日志过滤到另一个存储桶,并配置保留政策。
- 为
_Default存储桶配置自定义保留政策。这将影响_Default存储桶中的所有其他日志。
流量日志
您可以在 Cloud Logging 中查看因网络流量而生成的日志。日志使用 JSON 格式,其中包含以下字段:
start_time- 会话开始时间。elapsed_time- 会话的经过时间。network- 与 IDS 端点关联的网络。source_ip_address- 数据包的来源 IP 地址。source_port- 流量的来源端口。destination_ip_address- 数据包的目标 IP 地址。destination_port- 流量的目的地端口。ip_protocol- 数据包的 IP 协议。application- 与会话关联的应用。session_id- 应用于每个会话的内部数字标识符。repeat_count- 在 5 秒内出现相同来源 IP、目的地 IP、应用和类型的会话数。total_bytes- 会话中传输的总字节数。total_packets- 会话中传输的数据包总数。