IdentityQueryEvents
Informationen zu Abfragen, die für Active Directory-Objekte ausgeführt werden, z. B. Benutzer, Gruppen, Geräte und Domänen.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | SecurityInsights |
| Standardprotokoll | No |
| Transformation zur Erfassungszeit | Yes |
| Beispielabfragen | Ja |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| AccountDisplayName | Zeichenfolge | Name des im Adressbuch angezeigten Kontobenutzers |
| AccountDomain | Zeichenfolge | Domäne des Kontos |
| AccountName | Zeichenfolge | Benutzername des Kontos |
| AccountObjectId | Zeichenfolge | Eindeutiger Bezeichner für das Konto in Azure AD |
| AccountSid | Zeichenfolge | Sicherheits-ID (SID) des Kontos |
| AccountUpn | Zeichenfolge | Benutzerprinzipalname (UPN) des Kontos |
| ActionType | Zeichenfolge | Typ der Aktivität, die das Ereignis ausgelöst hat |
| AdditionalFields | dynamisch | Zusätzliche Informationen zur Entität oder zum Ereignis |
| Anwendung | Zeichenfolge | Anwendung, die die aufgezeichnete Aktion ausgeführt hat |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| DestinationDeviceName | Zeichenfolge | Name des Geräts, auf dem die Serveranwendung ausgeführt wird, die die aufgezeichnete Aktion verarbeitet hat |
| DestinationIPAddress | Zeichenfolge | IP-Adresse des Geräts, auf dem die Serveranwendung ausgeführt wird, die die aufgezeichnete Aktion verarbeitet hat |
| DestinationPort | Zeichenfolge | Zielport der zugehörigen Netzwerkkommunikation |
| DeviceName | Zeichenfolge | Vollqualifizierter Domänenname (FQDN) des Geräts |
| IPAddress | Zeichenfolge | IP-Adresse, die dem Endpunkt zugewiesen und während der zugehörigen Netzwerkkommunikation verwendet wird |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| Standort | Zeichenfolge | Ort, Land oder anderer geografischer Ort, der dem Ereignis zugeordnet ist |
| Port | Zeichenfolge | TCP-Port, der während der Kommunikation verwendet wird |
| Protocol | Zeichenfolge | Während der Kommunikation verwendetes Protokoll |
| Abfrage | Zeichenfolge | Zeichenfolge, die zum Ausführen der Abfrage verwendet wird |
| QueryTarget | Zeichenfolge | Name des Benutzers, der Gruppe, des Geräts, der Domäne oder eines anderen Entitätstyps, der abgefragt wird |
| QueryType | Zeichenfolge | Abfragetyp, z. B. QueryGroup, QueryUser oder EnumerateUsers |
| ReportId | Zeichenfolge | Eindeutiger Bezeichner für das Ereignis |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| TargetAccountDisplayName | Zeichenfolge | Anzeigename des Kontos, auf das die aufgezeichnete Aktion angewendet wurde |
| TargetAccountUpn | Zeichenfolge | Benutzerprinzipalname (UPN) des Kontos, auf das die aufgezeichnete Aktion angewendet wurde |
| TargetDeviceName | Zeichenfolge | Vollqualifizierter Domänenname (FQDN) des Geräts, auf das die aufgezeichnete Aktion angewendet wurde |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| TimeGenerated | datetime | Datum und Uhrzeit (UTC), wann der Datensatz generiert wurde |
| type | Zeichenfolge | Der Name der Tabelle. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für