WindowsEvent
Windows-Ereignisse, die vom Agent gesammelt und gesendet werden.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | CustomizedWindowsEventsFiltering, InternalWindowsEvent, SecurityInsights, WEFInternalUat, WEF_10x, WEF_10xDSRE, WinLog, WindowsEventForwarding |
| Standardprotokoll | No |
| Transformation zur Erfassungszeit | Yes |
| Beispielabfragen | Ja |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| _BilledSize | real | Die Datensatzgröße in Bytes |
| Kanal | Zeichenfolge | Der Kanal, in dem das Ereignis protokolliert wurde. |
| Computer | string | Der Name des Computers, auf dem das Ereignis aufgetreten ist. |
| Correlation | Zeichenfolge | Die Aktivitätsbezeichner, die Consumer zum Gruppieren verwandter Ereignisse verwenden können. |
| EventData | dynamisch | Enthält die Ereignisdaten, die in den dynamischen Typ analysiert werden. Wenn die Analyse fehlschlägt, enthält dieses Feld NULL, und das Feld RawEventData wird aufgefüllt. |
| EventId | INT | Der Bezeichner, den der Anbieter verwendet hat, um das Ereignis zu identifizieren. |
| EventLevel | INT | Enthält den Schweregrad des Ereignisses. |
| EventLevelName | Zeichenfolge | Die gerenderte Nachrichtenzeichenfolge der im -Ereignis angegebenen Ebene. |
| EventOriginId | Zeichenfolge | VM-ID, die vom Azure Instance Metadata Service (IMDS) abgerufen wurde. |
| EventRecordId | Zeichenfolge | Die Datensatznummer, die dem Ereignis zugewiesen wurde, als es protokolliert wurde. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| Schlüsselwörter | Zeichenfolge | Eine Bitmaske der im -Ereignis definierten Schlüsselwörter. |
| ManagementGroupName | Zeichenfolge | Zusätzliche Informationen basierend auf dem Ressourcentyp. |
| Opcode | Zeichenfolge | Das opcode-Element wird durch den komplexen Typ SystemPropertiesType definiert. |
| Anbieter | Zeichenfolge | Systemeigenschaftentyp: Gibt den Anbieter an, der das Ereignis protokolliert hat. |
| RawEventData | Zeichenfolge | Die unformatierte Ereignis-XML, wenn die Analyse fehlschlägt. Es ist NULL, wenn die Analyse erfolgreich ist. |
| _ResourceId | Zeichenfolge | Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist. |
| _SubscriptionId | Zeichenfolge | Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist. |
| SystemProcessId | INT | Gibt den Prozess an, der das Ereignis generiert hat |
| SystemThreadId | INT | Gibt den Thread an, der das Ereignis generiert hat |
| SystemUserId | Zeichenfolge | Die ID des Benutzers, der für das Ereignis verantwortlich ist. |
| Aufgabe | INT | Die im -Ereignis definierte Aufgabe. |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| TimeGenerated | datetime | Der Zeitstempel, zu dem das Ereignis auf dem Computer generiert wurde. |
| type | Zeichenfolge | Der Name der Tabelle. |
| Version | INT | Enthält die Versionsnummer der Ereignisdefinition. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für