SentinelAudit

Überwachungsprotokolle für Vorgänge, die für Azure Sentinel-Ressourcen ausgeführt werden, z. B. Datenconnectors, Analyseregeln und vieles mehr. Diese Protokolle können verwendet werden, um Vorgänge für Ihre Sentinel-Ressourcen zu überwachen.

Tabellenattribute

attribute	Wert
Ressourcentypen	-
Kategorien	Sicherheit, Überwachung
Lösungen	SecurityInsights
Standardprotokoll	No
Transformation zur Erfassungszeit	No
Beispielabfragen	Ja

Spalten

Spalte	Typ	BESCHREIBUNG
_BilledSize	real	Die Datensatzgröße in Bytes
CorrelationId	Zeichenfolge	Ein eindeutiger Datensatzbezeichner.
BESCHREIBUNG	Zeichenfolge	Die Vorgangsbeschreibung.
ExtendedProperties	dynamisch	Zusätzliche Informationen basierend auf dem Ressourcentyp.
_IsBillable	Zeichenfolge	Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt.
Vorgangsname	Zeichenfolge	Der Name des Vorgangs, der das Ereignis ausgelöst hat.
SentinelResourceId	Zeichenfolge	Die Sentinel-Ressourcen-ID.
SentinelResourceKind	Zeichenfolge	Die Ressourcenart, z. B. Connectorart (z. B. Office365, AmazonWebServicesCloudTrail), Art der Warnungsregel (geplant).
SentinelResourceName	Zeichenfolge	Der Name der Sentinel-Ressource.
SentinelResourceType	Zeichenfolge	Der Ressourcentyp, z. B. DataConnector, AlertRule usw.
SourceSystem	Zeichenfolge	Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose
Status	Zeichenfolge	Status des Vorgangs, z. B.: Erfolg, Fehler, Warnung, Information, Teilerfolg.
TenantId	Zeichenfolge	Die Log Analytics-Arbeitsbereichs-ID
TimeGenerated	datetime	Der Zeitstempel (UTC) des Zeitpunkts, zu dem das Ereignis generiert wurde.
type	Zeichenfolge	Der Name der Tabelle.
WorkspaceId	Zeichenfolge	Die Arbeitsbereichs-ID.