CommonSecurityLog
Diese Tabelle dient zum Sammeln von Ereignissen im Allgemeinen Ereignisformat, die am häufigsten von verschiedenen Sicherheitsgeräten wie Check Point, Palo Alto usw. gesendet werden.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Kategorien | Sicherheit |
| Lösungen | Sicherheit, SecurityInsights |
| Standardprotokoll | No |
| Transformation zur Erfassungszeit | Yes |
| Beispielabfragen | Ja |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| Aktivität | Zeichenfolge | Eine Zeichenfolge, die eine lesbare und verständliche Beschreibung des Ereignisses darstellt. |
| AdditionalExtensions | Zeichenfolge | Ein Platzhalter für zusätzliche Felder. Felder werden als Schlüssel-Wert-Paare protokolliert. |
| ApplicationProtocol | Zeichenfolge | Das in der Anwendung verwendete Protokoll wie HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS usw. |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| CollectorHostName | Zeichenfolge | Der Hostname des Collectorcomputers, auf dem der Agent ausgeführt wird. |
| CommunicationDirection | Zeichenfolge | Alle Informationen zur Richtung der überwachten Kommunikation. Gültige Werte: 0 = Eingehend, 1 = Ausgehend. |
| Computer | string | Host, aus Syslog. |
| DestinationDnsDomain | Zeichenfolge | Der DNS-Teil des vollqualifizierten Domänennamens (FQDN). |
| DestinationHostName | Zeichenfolge | Das Ziel, auf das sich das Ereignis in einem IP-Netzwerk bezieht. Das Format muss ein FQDN sein, der dem Zielknoten zugeordnet ist, wenn ein Knoten verfügbar ist. Beispiel: host.domain.com oder Host. |
| DestinationIP | Zeichenfolge | Die IpV4-Zieladresse, auf die sich das Ereignis in einem IP-Netzwerk bezieht. |
| DestinationMACAddress | Zeichenfolge | Die ZIEL-MAC-Adresse (FQDN). |
| DestinationNTDomain | Zeichenfolge | Der Windows-Domänenname der Zieladresse. |
| DestinationPort | INT | Zielport. Gültige Werte: 0 - 65535. |
| DestinationProcessId | INT | Die ID des Zielprozesses, der dem Ereignis zugeordnet ist. |
| DestinationProcessName | Zeichenfolge | Der Name des Zielprozesses des Ereignisses, z. B. telnetd oder sshd. |
| DestinationServiceName | Zeichenfolge | Der Dienst, auf den das Ereignis ausgerichtet ist. Beispiel: sshd. |
| DestinationTranslatedAddress | Zeichenfolge | Identifiziert das übersetzte Ziel, auf das das Ereignis in einem IP-Netzwerk verweist, als IPv4-IP-Adresse. |
| DestinationTranslatedPort | INT | Portierung nach der Übersetzung, z. B. eine Firewall Gültige Portnummern: 0 - 65535. |
| DestinationUserID | Zeichenfolge | Identifiziert den Zielbenutzer nach ID. Beispiel: Unter Unix ist der Stammbenutzer in der Regel der Benutzer-ID 0 zugeordnet. |
| DestinationUserName | Zeichenfolge | Identifiziert den Zielbenutzer nach Namen. |
| DestinationUserPrivileges | Zeichenfolge | Definiert die Berechtigungen der Zielverwendung. Gültige Werte: Admninistrator, User, Guest. |
| DeviceAction | Zeichenfolge | Die im Ereignis angegebene Aktion. |
| DeviceAddress | Zeichenfolge | Die IPv4-Adresse des Geräts, das das Ereignis erzeugt. |
| DeviceCustomDate1 | Zeichenfolge | Eines von zwei Zeitstempelfeldern, die zum Zuordnen von Feldern verfügbar sind, die nicht für ein anderes in diesem Wörterbuch gelten. Verwenden Sie sparsam, und suchen Sie nach Möglichkeit nach einem spezifischeren, vom Wörterbuch bereitgestellten Feld. |
| DeviceCustomDate1Label | Zeichenfolge | Alle benutzerdefinierten Felder verfügen über ein entsprechendes Bezeichnungsfeld. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
| DeviceCustomDate2 | Zeichenfolge | Eines von zwei Zeitstempelfeldern, die zum Zuordnen von Feldern verfügbar sind, die nicht für ein anderes in diesem Wörterbuch gelten. Verwenden Sie sparsam, und suchen Sie nach Möglichkeit nach einem spezifischeren, vom Wörterbuch bereitgestellten Feld. |
| DeviceCustomDate2Label | Zeichenfolge | Alle benutzerdefinierten Felder verfügen über ein entsprechendes Bezeichnungsfeld. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
| DeviceCustomFloatingPoint1 | real | Eines von vier Gleitkommafeldern, die für die Zuordnung von Feldern zur Verfügung stehen, die für kein anderes in diesem Wörterbuch gelten. |
| DeviceCustomFloatingPoint1Label | Zeichenfolge | Alle benutzerdefinierten Felder verfügen über ein entsprechendes Bezeichnungsfeld. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
| DeviceCustomFloatingPoint2 | real | Eines von vier Gleitkommafeldern, die für die Zuordnung von Feldern zur Verfügung stehen, die für kein anderes in diesem Wörterbuch gelten. |
| DeviceCustomFloatingPoint2Label | Zeichenfolge | Alle benutzerdefinierten Felder verfügen über ein entsprechendes Bezeichnungsfeld. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
| DeviceCustomFloatingPoint3 | real | Eines von vier Gleitkommafeldern, die für die Zuordnung von Feldern zur Verfügung stehen, die für kein anderes in diesem Wörterbuch gelten. |
| DeviceCustomFloatingPoint3Label | Zeichenfolge | Alle benutzerdefinierten Felder verfügen über ein entsprechendes Bezeichnungsfeld. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
| DeviceCustomFloatingPoint4 | real | Eines von vier Gleitkommafeldern, die für die Zuordnung von Feldern zur Verfügung stehen, die für kein anderes in diesem Wörterbuch gelten. |
| DeviceCustomFloatingPoint4Label | Zeichenfolge | Alle benutzerdefinierten Felder verfügen über ein entsprechendes Bezeichnungsfeld. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
| DeviceCustomIPv6Address1 | Zeichenfolge | Eines von vier IPv6-Adressfeldern, die zum Zuordnen von Feldern zur Verfügung stehen, die für kein anderes in diesem Wörterbuch gelten. |
| DeviceCustomIPv6Address1Label | Zeichenfolge | Alle benutzerdefinierten Felder verfügen über ein entsprechendes Bezeichnungsfeld. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
| DeviceCustomIPv6Address2 | Zeichenfolge | Eines von vier IPv6-Adressfeldern, die zum Zuordnen von Feldern zur Verfügung stehen, die für kein anderes in diesem Wörterbuch gelten. |
| DeviceCustomIPv6Address2Label | Zeichenfolge | Alle benutzerdefinierten Felder verfügen über ein entsprechendes Bezeichnungsfeld. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
| DeviceCustomIPv6Address3 | Zeichenfolge | Eines von vier IPv6-Adressfeldern, die zum Zuordnen von Feldern zur Verfügung stehen, die für kein anderes in diesem Wörterbuch gelten. |
| DeviceCustomIPv6Address3Label | Zeichenfolge | Alle benutzerdefinierten Felder verfügen über ein entsprechendes Bezeichnungsfeld. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
| DeviceCustomIPv6Address4 | Zeichenfolge | Eines von vier IPv6-Adressfeldern, die zum Zuordnen von Feldern zur Verfügung stehen, die für kein anderes in diesem Wörterbuch gelten. |
| DeviceCustomIPv6Address4Label | Zeichenfolge | Alle benutzerdefinierten Felder verfügen über ein entsprechendes Bezeichnungsfeld. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
| DeviceCustomNumber1 | INT | Bald ein veraltetes Feld. Wird durch FieldDeviceCustomNumber1 ersetzt. |
| DeviceCustomNumber1Label | Zeichenfolge | Alle benutzerdefinierten Felder verfügen über ein entsprechendes Bezeichnungsfeld. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
| DeviceCustomNumber2 | INT | Bald ein veraltetes Feld. Wird durch FieldDeviceCustomNumber2 ersetzt. |
| DeviceCustomNumber2Label | Zeichenfolge | Alle benutzerdefinierten Felder verfügen über ein entsprechendes Bezeichnungsfeld. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
| DeviceCustomNumber3 | INT | Bald ein veraltetes Feld. Wird durch FieldDeviceCustomNumber3 ersetzt. |
| DeviceCustomNumber3Label | Zeichenfolge | Alle benutzerdefinierten Felder verfügen über ein entsprechendes Bezeichnungsfeld. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
| DeviceCustomString1 | Zeichenfolge | Eine von sechs verfügbaren Zeichenfolgen zum Zuordnen von Feldern, die für keine andere in diesem Wörterbuch gelten. Verwenden Sie sparsam, und suchen Sie nach Möglichkeit nach einem spezifischeren, wörterbuchspezifischeren Feld. |
| DeviceCustomString1Label | Zeichenfolge | Alle benutzerdefinierten Felder verfügen über ein entsprechendes Bezeichnungsfeld. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
| DeviceCustomString2 | Zeichenfolge | Eine von sechs verfügbaren Zeichenfolgen zum Zuordnen von Feldern, die für keine andere in diesem Wörterbuch gelten. Verwenden Sie sparsam, und suchen Sie nach Möglichkeit nach einem spezifischeren, wörterbuchspezifischeren Feld. |
| DeviceCustomString2Label | Zeichenfolge | Alle benutzerdefinierten Felder verfügen über ein entsprechendes Bezeichnungsfeld. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
| DeviceCustomString3 | Zeichenfolge | Eine von sechs verfügbaren Zeichenfolgen zum Zuordnen von Feldern, die für keine andere in diesem Wörterbuch gelten. Verwenden Sie sparsam, und suchen Sie nach Möglichkeit nach einem spezifischeren, wörterbuchspezifischeren Feld. |
| DeviceCustomString3Label | Zeichenfolge | Alle benutzerdefinierten Felder verfügen über ein entsprechendes Bezeichnungsfeld. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
| DeviceCustomString4 | Zeichenfolge | Eine von sechs verfügbaren Zeichenfolgen zum Zuordnen von Feldern, die für keine andere in diesem Wörterbuch gelten. Verwenden Sie sparsam, und suchen Sie nach Möglichkeit nach einem spezifischeren, wörterbuchspezifischeren Feld. |
| DeviceCustomString4Label | Zeichenfolge | Alle benutzerdefinierten Felder verfügen über ein entsprechendes Bezeichnungsfeld. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
| DeviceCustomString5 | Zeichenfolge | Eine von sechs verfügbaren Zeichenfolgen zum Zuordnen von Feldern, die für keine andere in diesem Wörterbuch gelten. Verwenden Sie sparsam, und suchen Sie nach Möglichkeit nach einem spezifischeren, wörterbuchspezifischeren Feld. |
| DeviceCustomString5Label | Zeichenfolge | Alle benutzerdefinierten Felder verfügen über ein entsprechendes Bezeichnungsfeld. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
| DeviceCustomString6 | Zeichenfolge | Eine von sechs verfügbaren Zeichenfolgen zum Zuordnen von Feldern, die für keine andere in diesem Wörterbuch gelten. Verwenden Sie sparsam, und suchen Sie nach Möglichkeit nach einem spezifischeren, wörterbuchspezifischeren Feld. |
| DeviceCustomString6Label | Zeichenfolge | Alle benutzerdefinierten Felder verfügen über ein entsprechendes Bezeichnungsfeld. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds. |
| DeviceDnsDomain | Zeichenfolge | Der DNS-Domänenteil des vollqualifizierten Domänennamens (FQDN). |
| DeviceEventCategory | Zeichenfolge | Stellt die Kategorie dar, die vom Ursprungsgerät zugewiesen wird. Geräte verwenden häufig ein eigenes Kategorisierungsschema, um Ereignisse zu klassifizieren. Beispiel: "/Monitor/Disk/Read". |
| DeviceEventClassID | Zeichenfolge | Eine Zeichenfolge oder ganze Zahl, die als eindeutiger Bezeichner pro Ereignistyp fungiert. |
| DeviceExternalID | Zeichenfolge | Ein Name, der das Gerät eindeutig identifiziert, das das Ereignis erzeugt. |
| DeviceFacility | Zeichenfolge | Die Facility, die das Ereignis erzeugt. Beispiel: auth oder local1. |
| DeviceInboundInterface | Zeichenfolge | Die Schnittstelle für den Eingang des Pakets oder der Daten in das Gerät. Beispiel: ethernet1/2. |
| DeviceMacAddress | Zeichenfolge | Die MAC-Adresse des Geräts, das das Ereignis erzeugt. |
| DeviceName | Zeichenfolge | Der dem Geräteknoten zugeordnete FQDN, wenn ein Knoten verfügbar ist. Beispiel: host.domain.com oder Host. |
| DeviceNtDomain | Zeichenfolge | Die Windows-Domäne der Geräteadresse. |
| DeviceOutboundInterface | Zeichenfolge | Die Schnittstelle für den Ausgang des Pakets oder der Daten aus dem Gerät. |
| DevicePayloadId | Zeichenfolge | Eindeutiger Bezeichner für die mit dem Ereignis verknüpften Nutzdaten. |
| DeviceProduct | Zeichenfolge | Zeichenfolge, die zusammen mit Geräteprodukt- und Versionsdefinitionen den Typ des sendenden Geräts eindeutig identifiziert. |
| DeviceTimeZone | Zeichenfolge | Zeitzone des Geräts, das das Ereignis generiert. |
| DeviceTranslatedAddress | Zeichenfolge | Identifiziert die übersetzte Geräteadresse, auf die sich das Ereignis bezieht, in einem IP-Netzwerk. Das Format ist eine IPv4-Adresse. |
| DeviceVendor | Zeichenfolge | Zeichenfolge, die zusammen mit Geräteprodukt- und Versionsdefinitionen den Typ des sendenden Geräts eindeutig identifiziert. |
| DeviceVersion | Zeichenfolge | Zeichenfolge, die zusammen mit Geräteprodukt- und Versionsdefinitionen den Typ des sendenden Geräts eindeutig identifiziert. |
| EndTime | datetime | Der Zeitpunkt, zu dem die mit dem Ereignis verbundene Aktivität endete. |
| EventCount | INT | Ein dem Ereignis zugeordneter Zähler, der anzeigt, wie oft das gleiche Ereignis beobachtet wurde. |
| EventOutcome | Zeichenfolge | Zeigt das Ergebnis in der Regel als "Erfolg" oder "Fehler" an. |
| EventType | INT | Der Ereignistyp. Werte sind: 0: Basisereignis, 1: aggregiert, 2: Korrelationsereignis, 3: Aktionsereignis. Hinweis: Dieses Ereignis kann bei Basisereignissen ausgelassen werden. |
| ExternalID | INT | Bald ein veraltetes Feld. Wird durch ExtID ersetzt. |
| ExtID | Zeichenfolge | Eine id, die vom ursprünglichen Gerät verwendet wird (ersetzt die Legacy-ExternalID). In der Regel handelt es sich um steigende Werte, die jeweils einem Ereignis zugeordnet sind. |
| FieldDeviceCustomNumber1 | long | Eines von drei Zahlenfeldern, die für die Zuordnung von Feldern verfügbar sind, die nicht für ein anderes in diesem Wörterbuch gelten (ersetzt die Legacyversion DeviceCustomNumber1). Verwenden Sie sparsam, und suchen Sie nach Möglichkeit nach einem spezifischeren, vom Wörterbuch bereitgestellten Feld. |
| FieldDeviceCustomNumber2 | long | Eines von drei Zahlenfeldern, die zum Zuordnen von Feldern verfügbar sind, die nicht für andere In diesem Wörterbuch gelten (ersetzt die Legacyversion DeviceCustomNumber2). Verwenden Sie sparsam, und suchen Sie nach Möglichkeit nach einem spezifischeren, vom Wörterbuch bereitgestellten Feld. |
| FieldDeviceCustomNumber3 | long | Eines von drei Zahlenfeldern, die für die Zuordnung von Feldern verfügbar sind, die nicht für ein anderes in diesem Wörterbuch gelten (ersetzt die Legacyversion von DeviceCustomNumber3). Verwenden Sie sparsam, und suchen Sie nach Möglichkeit nach einem spezifischeren, vom Wörterbuch bereitgestellten Feld. |
| FileCreateTime | Zeichenfolge | Zeitpunkt, zu dem die Datei erstellt wurde. |
| Dateihash | Zeichenfolge | Hash einer Datei. |
| FileID | Zeichenfolge | Eine ID, die einer Datei zugeordnet ist, z. B. INode. |
| FileModificationTime | Zeichenfolge | Zeitpunkt der letzten Dateiänderung. |
| Dateiname | Zeichenfolge | Der Dateiname ohne Pfad. |
| FilePath | Zeichenfolge | Vollständiger Pfad der Datei einschließlich des Dateinamens. Beispiel: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe oder /usr/bin/zip. |
| FilePermission | Zeichenfolge | Die Berechtigungen der Datei. Beispiel: '2,1,1'. |
| FileSize | INT | Dies ist die Größe der Datei in Byte. |
| FileType | Zeichenfolge | Dateityp wie Pipe, Socket usw. |
| FlexDate1 | Zeichenfolge | Ein Zeitstempelfeld, das zum Zuordnen eines Zeitstempels verfügbar ist, der für kein anderes definiertes Zeitstempelfeld in diesem Wörterbuch gilt. Verwenden Sie alle Flexfelder sparsam, und suchen Sie nach Möglichkeit nach einem spezifischeren, vom Wörterbuch bereitgestellten Feld. Diese Felder sind in der Regel für die Verwendung durch Kunden reserviert und sollten nicht von Anbietern festgelegt werden, es sei denn, dies ist erforderlich. |
| FlexDate1Label | Zeichenfolge | Das Bezeichnungsfeld ist eine Zeichenfolge und beschreibt den Zweck des Flexfelds. |
| FlexNumber1 | INT | Zahlenfelder, die zum Zuordnen von Int-Daten verfügbar sind, die für kein anderes Feld in diesem Wörterbuch gelten. |
| FlexNumber1Label | Zeichenfolge | Die Bezeichnung, die den Wert in FlexNumber1 beschreibt. |
| FlexNumber2 | INT | Zahlenfelder, die zum Zuordnen von Int-Daten verfügbar sind, die für kein anderes Feld in diesem Wörterbuch gelten. |
| FlexNumber2Label | Zeichenfolge | Die Bezeichnung, die den Wert in FlexNumber2 beschreibt |
| FlexString1 | Zeichenfolge | Eines von vier Gleitkommafeldern, die für die Zuordnung von Feldern zur Verfügung stehen, die für kein anderes in diesem Wörterbuch gelten. Verwenden Sie sparsam, und suchen Sie nach Möglichkeit nach einem spezifischeren, vom Wörterbuch bereitgestellten Feld. Diese Felder sind in der Regel für die Verwendung durch Kunden reserviert und sollten nicht von Anbietern festgelegt werden, es sei denn, dies ist erforderlich. |
| FlexString1Label | Zeichenfolge | Das Bezeichnungsfeld ist eine Zeichenfolge und beschreibt den Zweck des Flexfelds. |
| FlexString2 | Zeichenfolge | Eines von vier Gleitkommafeldern, die für die Zuordnung von Feldern zur Verfügung stehen, die für kein anderes in diesem Wörterbuch gelten. Verwenden Sie sparsam, und suchen Sie nach Möglichkeit nach einem spezifischeren, vom Wörterbuch bereitgestellten Feld. Diese Felder sind in der Regel für die Verwendung durch Kunden reserviert und sollten nicht von Anbietern festgelegt werden, es sei denn, dies ist erforderlich. |
| FlexString2Label | Zeichenfolge | Das Bezeichnungsfeld ist eine Zeichenfolge und beschreibt den Zweck des flex-Felds. |
| IndicatorThreatType | Zeichenfolge | Der Bedrohungstyp der MaliciousIP gemäß unserem TI-Feed. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| LogSeverity | Zeichenfolge | Eine Zeichenfolge oder ganze Zahl, die die Wichtigkeit des Ereignisses beschreibt. Gültige Zeichenfolgenwerte: Unbekannt, Niedrig, Mittel, Hoch, Very-High Gültige ganzzahlige Werte sind: 0-3 = Niedrig, 4-6 = Mittel, 7-8 = Hoch, 9-10 = Sehr hoch. |
| MaliciousIP | Zeichenfolge | Wenn eine der IP-Adressen in der Nachricht mit dem aktuellen TI-Feed korreliert ist, wird sie hier angezeigt. |
| MaliciousIPCountry | Zeichenfolge | Das Land der MaliciousIP gemäß den GEO-Informationen zum Zeitpunkt der Aufzeichnungserfassung. |
| MaliciousIPLatitude | real | Der Breitengrad der MaliciousIP gemäß den GEO-Informationen zum Zeitpunkt der Datensatzerfassung. |
| MaliciousIPLongitude | real | Der Längengrad der MaliciousIP gemäß den GEO-Informationen zum Zeitpunkt der Aufzeichnungserfassung. |
| `Message` | Zeichenfolge | Eine Meldung, die weitere Details zum Ereignis enthält. |
| OldFileCreateTime | Zeichenfolge | Zeitpunkt, zu dem die alte Datei erstellt wurde. |
| OldFileHash | Zeichenfolge | Hash der alten Datei. |
| OldFileID | Zeichenfolge | Eine ID, die der alten Datei zugeordnet ist, z. B. INode. |
| OldFileModificationTime | Zeichenfolge | Zeitpunkt der letzten Änderung der alten Datei. |
| OldFileName | Zeichenfolge | Name der alten Datei. |
| OldFilePath | Zeichenfolge | Vollständiger Pfad der alten Datei einschließlich des Dateinamens. Beispiel: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe oder /usr/bin/zip. |
| OldFilePermission | Zeichenfolge | Berechtigungen der alten Datei. Beispiel: "2,1,1". |
| OldFileSize | INT | Die Größe der alten Datei in Bytes. |
| OldFileType | Zeichenfolge | Dateityp der alten Datei wie Pipe, Socket usw. |
| OriginalLogSeverity | Zeichenfolge | Eine nicht zugeordnete Version von LogSeverity. Beispiel: Warnung/Kritisch/Info anstelle des normilisierten Niedrig/Mittel/Hoch im LogSeverity-Feld |
| ProcessID | INT | Definiert die ID des Prozesses auf dem Gerät, das das Ereignis erzeugt. |
| ProcessName | Zeichenfolge | Dem Ereignis zugeordneter Prozessname. Beispiel: In UNIX der Prozess, der den Syslog-Eintrag generiert. |
| Protocol | Zeichenfolge | Transportprotokoll, das das verwendete Layer-4-Protokoll identifiziert. Mögliche Werte sind Protokollnamen, z. B. TCP oder UDP. |
| `Reason` | Zeichenfolge | Der Grund für die Generierung eines Überwachungsereignisses. Beispiel: "Falsches Kennwort" oder "unbekannter Benutzer". Dies kann auch ein Fehler- oder Rückgabecode sein. Beispiel: "0x1234". |
| ReceiptTime | Zeichenfolge | Der Zeitpunkt, zu dem das mit der Aktivität verbundene Ereignis empfangen wurde. Anders als das Feld "Timegenerated", das ist der Zeitpunkt, an dem das Ereignis auf dem Protokollsammlercomputer empfangen wurde. |
| ReceivedBytes | long | Anzahl der eingehend übertragenen Bytes. |
| RemoteIP | Zeichenfolge | Die Remote-IP-Adresse, die nach Möglichkeit vom Richtungswert des Ereignisses abgeleitet wird. |
| RemotePort | Zeichenfolge | Der Remoteport, der nach Möglichkeit vom Richtungswert des Ereignisses abgeleitet ist. |
| ReportReferenceLink | Zeichenfolge | Link zum Bericht des TI-Feeds. |
| RequestClientApplication | Zeichenfolge | Der Benutzer-Agent, der der Anforderung zugeordnet ist. |
| RequestContext | Zeichenfolge | Beschreibt den Inhalt, von dem die Anforderung stammt, z. B. den HTTP-Referrer. |
| RequestCookies | Zeichenfolge | Der Anforderung zugeordnete Cookies. |
| RequestMethod | Zeichenfolge | Die zum Zugreifen auf eine URL verwendete Methode. Gültige Werte umfassen Methoden wie POST, GET usw. |
| RequestURL | Zeichenfolge | Die URL, auf die für eine HTTP-Anforderung zugegriffen wird, einschließlich des Protokolls. Beispiel: http://www/secure.com. |
| _ResourceId | Zeichenfolge | Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist. |
| SentBytes | long | Anzahl der ausgehend übertragenen Bytes. |
| SimplifiedDeviceAction | Zeichenfolge | Eine zugeordnete Version von DeviceAction, z. B. Denied > Deny. |
| SourceDnsDomain | Zeichenfolge | Der DNS-Domänenteil des vollständigen FQDN. |
| SourceHostName | Zeichenfolge | Identifiziert die Quelle, auf die sich das Ereignis in einem IP-Netzwerk bezieht. Das Format muss ein vollqualifizierter Domänenname (DQDN) sein, der dem Quellknoten zugeordnet ist, wenn ein Knoten verfügbar ist. Beispiel: Host oder host.domain.com. |
| SourceIP | Zeichenfolge | Die Quelle, auf die ein Ereignis in einem IP-Netzwerk verweist, als IPv4-Adresse. |
| SourceMACAddress | Zeichenfolge | MAC-Adresse der Quelle. |
| SourceNTDomain | Zeichenfolge | Der Windows-Domänenname für die Quelladresse. |
| SourcePort | INT | Die Quellportnummer. Gültige Portnummern sind 0 - 65535. |
| SourceProcessId | INT | Die ID des Quellprozesses, der dem Ereignis zugeordnet ist. |
| SourceProcessName | Zeichenfolge | Der Name des Quellprozesses des Ereignisses. |
| SourceServiceName | Zeichenfolge | Der Dienst, der für das Generieren des Ereignisses verantwortlich ist. |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| SourceTranslatedAddress | Zeichenfolge | Identifiziert die übersetzte Quelle, auf die sich das Ereignis bezieht, in einem IP-Netzwerk. |
| SourceTranslatedPort | INT | Quellport nach der Übersetzung, z. B. als Firewall. Gültige Portnummern sind 0 - 65535. |
| SourceUserID | Zeichenfolge | Identifiziert den Quellbenutzer anhand der ID. |
| SourceUserName | Zeichenfolge | Identifiziert den Quellbenutzer anhand des Namens. Email Adressen werden auch den Feldern UserName zugeordnet. Der Absender ist ein Kandidat für dieses Feld. |
| SourceUserPrivileges | Zeichenfolge | Die Berechtigungen des Quellbenutzers. Gültige Werte sind: Administrator, Benutzer, Gast. |
| StartTime | datetime | Der Zeitpunkt, zu dem die Aktivität, auf die das Ereignis verweist, gestartet wurde. |
| _SubscriptionId | Zeichenfolge | Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist. |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| ThreatConfidence | Zeichenfolge | Das Bedrohungsvertrauen der MaliciousIP gemäß unserem TI-Feed. |
| ThreatDescription | Zeichenfolge | Die Bedrohungsbeschreibung der MaliciousIP gemäß unserem TI-Feed. |
| ThreatSeverity | INT | Der Bedrohungsschweregrad des MaliciousIP gemäß unserem TI-Feed zum Zeitpunkt der Aufzeichnungserfassung. |
| TimeGenerated | datetime | Ereignissammlungszeit in UTC. |
| type | Zeichenfolge | Der Name der Tabelle. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für