CloudAuditEvents
ينطبق على:
- Microsoft Defender XDR
CloudAuditEvents يحتوي الجدول في مخطط التتبع المتقدم على معلومات حول أحداث تدقيق السحابة لمختلف الأنظمة الأساسية السحابية المحمية بواسطة Microsoft Defender للمؤسسة للسحابة. استخدم هذا المرجع لإنشاء استعلامات ترجع معلومات من هذا الجدول.
هام
تتعلق بعض المعلومات بالمنتج الذي تم إصداره مسبقا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريا. لا تقدم Microsoft أي ضمانات، سواءً كانت صريحة أم ضمنية، فيما يتعلق بالمعلومات الواردة هنا.
للحصول على معلومات حول الجداول الأخرى في مخطط التتبع المتقدم، راجع مرجع التتبع المتقدم.
| اسم العمود | نوع البيانات | الوصف |
|---|---|---|
Timestamp |
datetime |
تاريخ ووقت تسجيل الحدث |
ReportId |
string |
معرف فريد للحدث |
DataSource |
string |
يمكن أن يكون مصدر البيانات لأحداث تدقيق السحابة GCP (ل Google Cloud Platform) أو AWS (لخدمات Amazon Web Services) أو Azure (ل Azure Resource Manager) أو Kubernetes Audit (ل Kubernetes) أو الأنظمة الأساسية السحابية الأخرى |
ActionType |
string |
نوع النشاط الذي أدى إلى تشغيل الحدث، يمكن أن يكون: غير معروف، الإنشاء، قراءة، تحديث، حذف، غير ذلك |
OperationName |
string |
اسم عملية تدقيق الحدث كما يظهر في السجل، وعادة ما يتضمن كلا من نوع المورد والعملية |
ResourceId |
string |
معرف فريد لمورد السحابة الذي تم الوصول إليه |
IPAddress |
string |
عنوان IP للعميل المستخدم للوصول إلى مورد السحابة أو مستوى التحكم |
IsAnonymousProxy |
boolean |
يشير إلى ما إذا كان عنوان IP ينتمي إلى وكيل مجهول معروف (1) أو لا (0) |
CountryCode |
string |
رمز مكون من حرفين يشير إلى البلد الذي تم فيه تحديد موقع عنوان IP للعميل جغرافيا |
City |
string |
المدينة التي يتم فيها تحديد موقع عنوان IP للعميل جغرافيا |
Isp |
string |
موفر خدمة الإنترنت (ISP) المقترن بعنوان IP |
UserAgent |
string |
معلومات عامل المستخدم من مستعرض الويب أو تطبيق العميل الآخر |
RawEventData |
dynamic |
معلومات الحدث الأولية الكاملة من مصدر البيانات بتنسيق JSON |
AdditionalFields |
dynamic |
معلومات إضافية حول حدث التدقيق |
نموذج استعلام
للحصول على قائمة نموذجية من أوامر إنشاء الجهاز الظاهري التي تم تنفيذها في الأيام السبعة الماضية:
CloudAuditEvents
| where Timestamp > ago(7d)
| where OperationName startswith "Microsoft.Compute/virtualMachines/write"
| extend Status = RawEventData["status"], SubStatus = RawEventData["subStatus"]
| sample 10
المواضيع ذات الصلة
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ