Az Advanced Security Information Model (ASIM) fájlesemény normalizálási sémájának referenciája (nyilvános előzetes verzió)
A Fájlesemény normalizálási sémája a fájltevékenységek leírására szolgál, például fájlok vagy dokumentumok létrehozására, módosítására vagy törlésére. Ezeket az eseményeket az operációs rendszerek, a fájlrendszerek, például az Azure Files és a dokumentumkezelő rendszerek, például a Microsoft SharePoint jelentik.
A Microsoft Sentinel normalizálásáról további információt a Normalizálás és az Advanced Security Information Model (ASIM) című cikkben talál.
Fontos
A Fájlesemény normalizálási sémája jelenleg előzetes verzióban érhető el. Ez a funkció szolgáltatásszint-szerződés nélkül érhető el, és éles számítási feladatokhoz nem ajánlott.
Az Azure Előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon még nem általánosan elérhető Azure-funkciókra vonatkoznak.
Elemzők
Fájltevékenység-elemzők üzembe helyezése és használata
Telepítse az ASIM-fájltevékenység-elemzőket a Microsoft Sentinel GitHub-adattárból. Az összes fájltevékenység-forrás lekérdezéséhez használja az egyesítő elemzőt imFileEvent táblanévként a lekérdezésben.
Az ASIM-elemzők használatáról további információt az ASIM-elemzők áttekintésében talál. A fájltevékenység-elemzők listájához a Microsoft Sentinel az ASIM-elemzők listájára hivatkozik
Saját normalizált elemzők hozzáadása
A fájlesemény-információs modell egyéni elemzőinek implementálásakor nevezze el a KQL-függvényeket a következő szintaxissal: imFileEvent<vendor><Product.
Az ASIM-elemzők kezelésével foglalkozó cikkben megtudhatja, hogyan adhat hozzá egyéni elemzőket a fájltevékenység-egyesítési elemzőhöz.
Normalizált tartalom
A normalizált fájltevékenység-eseményeket használó elemzési szabályok teljes listáját a Fájltevékenység biztonsági tartalma című témakörben találja.
Séma áttekintése
A fájlesemény-információs modell az operációs rendszer Standard kiadás M folyamatentitási sémához van igazítva.
A Fájlesemény séma a következő entitásokra hivatkozik, amelyek központi szerepet jelentenek a fájltevékenységekben:
- Színész. A fájltevékenységet kezdeményező felhasználó
- ActingProcess. Az Aktor által a fájltevékenység elindításához használt folyamat
- TargetFile. A fájl, amelyen a műveletet végrehajtották
- Forrásfájl (SrcFile). A művelet előtt tárolja a fájladatokat.
Az entitások közötti kapcsolat a következőképpen szemléltethető a legjobban: Az aktor egy fájlműveletet hajt végre egy eljáró folyamattal, amely módosítja a forrásfájlt a célfájlra.
Például: JohnDoe Az (Aktor) a (színészi folyamat) használatával Windows File Explorer átnevezi new.doc a (forrásfájlt) a célfájlraold.doc.
Séma részletei
Gyakori mezők
Fontos
Az összes sémában közös mezők részletes leírását az ASIM Common Fields című cikk ismerteti.
A Fájlesemény sémára vonatkozó konkrét irányelvekkel rendelkező mezők
Az alábbi lista azokat a mezőket sorolja fel, amelyek konkrét irányelvekkel rendelkeznek a Fájltevékenység-eseményekhez:
Fontos
A EventSchema mező jelenleg nem kötelező, de 2022. szeptember 1-jén kötelező lesz.
Minden gyakori mező
A táblázatban megjelenő mezők az összes ASIM-sémában gyakoriak. A dokumentum sémaspecifikus irányelvei felülbírálják a mező általános irányelveit. Előfordulhat például, hogy egy mező általában nem kötelező, de egy adott sémához kötelező. Az egyes mezőkkel kapcsolatos további információkért tekintse meg az ASIM Common Fields című cikket.
| Osztály | Mezők |
|---|---|
| Kötelező | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| Ajánlott | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| Lehetséges | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - További mezők - DvcDescription - DvcScopeId - DvcScope |
Célfájlmezők
Az alábbi mezők a fájlművelet célfájljának adatait jelölik. Ha a művelet egyetlen fájlt tartalmaz, FileCreate például a célfájlmezők jelölik.
| Field | Osztály | Type | Description |
|---|---|---|---|
| TargetFileCreationTime | Lehetséges | Dátum/idő | A célfájl létrehozásának időpontja. |
| TargetFileDirectory | Lehetséges | Sztring | A célfájl mappája vagy helye. Ennek a mezőnek hasonlónak kell lennie a TargetFilePath mezőhöz, az utolsó elem nélkül. Megjegyzés: Az elemzők akkor adhatják meg ezt az értéket, ha a naplóforrásban elérhető értéket nem kell kinyerni a teljes elérési útból. |
| TargetFileExtension | Lehetséges | Sztring | A célfájl-bővítmény. Megjegyzés: Az elemzők akkor adhatják meg ezt az értéket, ha a naplóforrásban elérhető értéket nem kell kinyerni a teljes elérési útból. |
| TargetFileMimeType | Lehetséges | Enumerated | A célfájl Mime vagy Media típusa. Az engedélyezett értékek az IANA Médiatípusok adattárban jelennek meg. |
| TargetFileName | Ajánlott | Sztring | A célfájl neve elérési út vagy hely nélkül, de szükség esetén kiterjesztéssel. Ennek a mezőnek hasonlónak kell lennie a TargetFilePath mező utolsó eleméhez. |
| Fájlnév | Alias | Alias a TargetFileName mezőhöz. | |
| TargetFilePath | Kötelező | Sztring | A célfájl teljes, normalizált elérési útja, beleértve a mappát vagy helyet, a fájlnevet és a bővítményt. További információ: Elérésiút-struktúra. Megjegyzés: Ha a rekord nem tartalmaz mappa- vagy helyadatokat, csak itt tárolja a fájlnevet. Example: C:\Windows\System32\notepad.exe |
| TargetFilePathType | Kötelező | Enumerated | A TargetFilePath típusa. További információ: Elérésiút-struktúra. |
| FilePath | Alias | Alias a TargetFilePath mezőhöz. | |
| TargetFileMD5 | Lehetséges | MD5 | A célfájl MD5 kivonata. Example: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | Lehetséges | SHA1 | A célfájl SHA-1 kivonata. Példa: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | Lehetséges | SHA256 | A célfájl SHA-256 kivonata. Példa: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | Lehetséges | SHA512 | A forrásfájl SHA-512 kivonata. |
| Hash | Alias | Alias a legjobb elérhető célfájl kivonatához. | |
| HashType | Ajánlott | Sztring | A HASH alias mezőjében tárolt kivonat típusa, az engedélyezett értékek a következőkMD5: , SHASHA256SHA512 és IMPHASH. Kötelező, ha Hash fel van töltve. |
| TargetFileSize | Lehetséges | Long | A célfájl mérete bájtban. |
Forrásfájlmezők
Az alábbi mezők a forrásfájlra vonatkozó információkat jelölik egy olyan fájlműveletben, amely forrást és célhelyet is tartalmaz, például a másolást. Ha a művelet egyetlen fájlt tartalmaz, azt a célfájlmezők jelölik.
| Field | Osztály | Type | Description |
|---|---|---|---|
| SrcFileCreationTime | Lehetséges | Dátum/idő | A forrásfájl létrehozásának időpontja. |
| SrcFileDirectory | Lehetséges | Sztring | A forrásfájl mappája vagy helye. Ennek a mezőnek hasonlónak kell lennie az SrcFilePath mezőhöz, az utolsó elem nélkül. Megjegyzés: Az elemzők akkor adhatják meg ezt az értéket, ha az érték elérhető a naplóforrásban, és nem kell kinyerni a teljes elérési útból. |
| SrcFileExtension | Lehetséges | Sztring | A forrásfájl-bővítmény. Megjegyzés: Az elemzők megadhatják ezt az értéket, amely a naplóforrásban elérhető, és nem kell kinyerni a teljes elérési útból. |
| SrcFileMimeType | Lehetséges | Enumerated | A forrásfájl Mime vagy Média típusa. A támogatott értékek az IANA Médiatípusok adattárban jelennek meg. |
| SrcFileName | Ajánlott | Sztring | A forrásfájl neve elérési út vagy hely nélkül, de szükség esetén kiterjesztéssel. Ennek a mezőnek az SrcFilePath mező utolsó eleméhez hasonlónak kell lennie. |
| SrcFilePath | Ajánlott | Sztring | A forrásfájl teljes, normalizált elérési útja, beleértve a mappát vagy helyet, a fájlnevet és a bővítményt. További információ: Elérésiút-struktúra. Example: /etc/init.d/networking |
| SrcFilePathType | Ajánlott | Enumerated | Az SrcFilePath típusa. További információ: Elérésiút-struktúra. |
| SrcFileMD5 | Lehetséges | MD5 | A forrásfájl MD5 kivonata. Example: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | Lehetséges | SHA1 | A forrásfájl SHA-1 kivonata. Példa: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | Lehetséges | SHA256 | A forrásfájl SHA-256 kivonata. Példa: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | Lehetséges | SHA512 | A forrásfájl SHA-512 kivonata. |
| SrcFileSize | Lehetséges | Long | A forrásfájl mérete bájtban. |
Aktormezők
| Field | Osztály | Type | Description |
|---|---|---|---|
| ActorUserId | Ajánlott | Sztring | Az Aktor géppel olvasható, alfanumerikus, egyedi ábrázolása. A különböző azonosítótípusok támogatott formátumához tekintse meg a Felhasználó entitást. Example: S-1-12 |
| ActorScope | Lehetséges | Sztring | A hatókör, például a Microsoft Entra-bérlő, amelyben az ActorUserId és az ActorUsername definiálva van. vagy további információk és az engedélyezett értékek listája: UserScope a Séma áttekintése című cikkben. |
| ActorScopeId | Lehetséges | Sztring | A hatókör azonosítója, például a Microsoft Entra Directory azonosítója, amelyben az ActorUserId és az ActorUsername definiálva van. vagy további információ és az engedélyezett értékek listája: UserScopeId a Séma áttekintése című cikkben. |
| ActorUserIdType | Feltételes | Sztring | Az ActorUserId mezőben tárolt azonosító típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a UserIdType-t a Séma áttekintése című cikkben. |
| ActorUsername | Kötelező | Sztring | Az Aktor felhasználóneve, beleértve a tartományinformációkat, ha elérhető. A különböző azonosítótípusok támogatott formátumához tekintse meg a Felhasználó entitást. Csak akkor használja az egyszerű űrlapot, ha a tartományinformációk nem érhetők el. Tárolja a Felhasználónév típust az ActorUsernameType mezőben. Ha más felhasználónévformátumok is elérhetők, tárolja őket a mezőkben ActorUsername<UsernameType>.Example: AlbertE |
| Felhasználó | Alias | Alias az ActorUsername mezőhöz. Example: CONTOSO\dadmin |
|
| ActorUsernameType | Feltételes | Enumerated | Az ActorUsername mezőben tárolt felhasználónév típusát adja meg. Az engedélyezett értékek listájáért és további információkért tekintse meg a Felhasználónévtípust a Séma áttekintése című cikkben. Example: Windows |
| ActorSessionId | Lehetséges | Sztring | Az Aktor bejelentkezési munkamenetének egyedi azonosítója. Example: 999Megjegyzés: A típus sztringkéntvan definiálva a különböző rendszerek támogatásához, de Windows rendszeren ennek az értéknek numerikusnak kell lennie. Ha Windows rendszerű gépet használ, és más típust használ, mindenképpen konvertálja az értékeket. Ha például hexadecimális értéket használt, konvertálja decimális értékké. |
| ActorUserType | Lehetséges | UserType | Az Aktor típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a UserType című témakört a Séma áttekintése című cikkben. Megjegyzés: Az érték a forrásrekordban különböző kifejezések használatával adható meg, amelyeket ezekre az értékekre kell normalizálni. Az eredeti érték tárolása az ActorOriginalUserType mezőben. |
| AktorOriginalUserType | Lehetséges | Sztring | Ha a jelentéskészítő eszköz megadja, az eredeti célfelhasználó típusa. |
Eljáró folyamatmezők
| Field | Osztály | Type | Description |
|---|---|---|---|
| ActingProcessCommandLine | Lehetséges | Sztring | Az eljáró folyamat futtatásához használt parancssor. Example: "choco.exe" -v |
| ActingProcessName | Lehetséges | sztring | Az eljáró folyamat neve. Ez a név általában abból a rendszerképből vagy végrehajtható fájlból származik, amely a folyamat virtuális címterébe leképezett kezdeti kód és adatok meghatározására szolgál. Example: C:\Windows\explorer.exe |
| Folyamat | Alias | Alias to ActingProcessName | |
| ActingProcessId | Lehetséges | Sztring | Az eljáró folyamat folyamatazonosítója (PID). Example: 48610176 Megjegyzés: A típus sztringkéntvan definiálva a különböző rendszerek támogatásához, de Windows és Linux rendszeren ennek az értéknek numerikusnak kell lennie. Ha Windows vagy Linux rendszerű gépet használ, és más típust használ, mindenképpen konvertálja az értékeket. Ha például hexadecimális értéket használt, konvertálja decimális értékké. |
| ActingProcessGuid | Lehetséges | sztring | Az eljáró folyamat generált egyedi azonosítója (GUID). Lehetővé teszi a folyamatok különböző rendszerek közötti azonosítását. Example: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
Forrásrendszerhez kapcsolódó mezők
Az alábbi mezők a fájltevékenységet kezdeményező rendszer adatait jelenítik meg, jellemzően a hálózaton keresztüli átvitelkor.
| Field | Osztály | Type | Description |
|---|---|---|---|
| SrcIpAddr | Ajánlott | IP Address | Ha a műveletet egy távoli rendszer kezdeményezi, a rendszer IP-címe. Example: 185.175.35.214 |
| IpAddr | Alias | Alias – SrcIpAddr | |
| Src | Alias | Alias – SrcIpAddr | |
| SrcPortNumber | Lehetséges | Egész szám | Ha a műveletet egy távoli rendszer kezdeményezi, az a portszám, amelyről a kapcsolatot kezdeményezték. Example: 2335 |
| SrcHostname | Ajánlott | Hostname (Gazdanév) | A forráseszköz gazdagépneve, a tartományinformációk kivételével. Ha nem érhető el eszköznév, ebben a mezőben tárolja a megfelelő IP-címet. Example: DESKTOP-1282V4D |
| SrcDomain | Ajánlott | Sztring | A forráseszköz tartománya. Example: Contoso |
| SrcDomainType | Feltételes | DomainType | A SrcDomain típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DomainType témakört a Séma áttekintése című cikkben. A SrcDomain használata esetén kötelező megadni. |
| SrcFQDN | Lehetséges | Sztring | A forráseszköz állomásneve, beleértve a tartományinformációkat, ha elérhető. Megjegyzés: Ez a mező támogatja a hagyományos teljes tartománynév és a Windows tartománynév formátumot is. Az SrcDomainType mező a használt formátumot tükrözi. Example: Contoso\DESKTOP-1282V4D |
| SrcDescription | Lehetséges | Sztring | Az eszközhöz társított leíró szöveg. For example: Primary Domain Controller. |
| SrcDvcId | Lehetséges | Sztring | A forráseszköz azonosítója. Ha több azonosító is elérhető, használja a legfontosabbat, és tárolja a többit a mezőkben SrcDvc<DvcIdType>.Example: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | Lehetséges | Sztring | A felhőplatform hatókörazonosítója, amelyhez az eszköz tartozik. Az SrcDvcScopeId az Azure-beli előfizetés-azonosítóra és az AWS-fiókazonosítóra van leképezetten. |
| SrcDvcScope | Lehetséges | Sztring | A felhőplatform hatóköre, amelyhez az eszköz tartozik. Az SrcDvcScope egy Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra képez le. |
| SrcDvcIdType | Feltételes | DvcIdType | Az SrcDvcId típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DvcIdType-t a Séma áttekintése című cikkben. Megjegyzés: Ez a mező SrcDvcId használata esetén kötelező. |
| SrcDeviceType | Lehetséges | DeviceType | A forráseszköz típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg a DeviceType-t a Séma áttekintése című cikkben. |
| SrcSubscriptionId | Lehetséges | Sztring | A felhőplatform-előfizetés azonosítója, amelyhez a forráseszköz tartozik. SrcSubscriptionId-leképezés az Azure-beli előfizetés-azonosítóra és egy AWS-fiókazonosítóra. |
| SrcGeoCountry | Lehetséges | Ország | A forrás IP-címéhez társított ország. Example: USA |
| SrcGeoRegion | Lehetséges | Region | A forrás IP-címéhez társított régió. Example: Vermont |
| SrcGeoCity | Lehetséges | City | A forrás IP-címéhez társított város. Example: Burlington |
| SrcGeoLatitude | Lehetséges | Latitude | A forrás IP-címhez társított földrajzi koordináták szélessége. Example: 44.475833 |
| SrcGeoLongitude | Lehetséges | Longitude | A forrás IP-címhez társított földrajzi koordináták hosszúsága. Example: 73.211944 |
Hálózattal kapcsolatos mezők
Az alábbi mezők a hálózati munkamenetre vonatkozó információkat jelölik, amikor a fájltevékenységet a hálózaton keresztül szállították.
| Field | Osztály | Type | Description |
|---|---|---|---|
| HttpUserAgent | Lehetséges | Sztring | Ha a műveletet egy távoli rendszer http vagy HTTPS használatával kezdeményezi, a felhasználói ügynököt használta. Például: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | Lehetséges | Sztring | Ha a műveletet egy távoli rendszer kezdeményezi, ez az OSI-modellben használt alkalmazásréteg-protokoll. Bár ez a mező nincs számbavetve, és bármilyen értéket elfogad, a javasolt értékek a következők: HTTP, HTTPS, SMB, , ésFTPSSHExample: SMB |
Célalkalmazás mezői
Az alábbi mezők a felhasználó nevében a fájltevékenységet végrehajtó célalkalmazás adatait jelölik. A célalkalmazások általában a hálózaton túli fájltevékenységekhez kapcsolódnak, például Saas -alkalmazások (szoftver mint szolgáltatás) használatával.
| Field | Osztály | Type | Description |
|---|---|---|---|
| TargetAppName | Lehetséges | Sztring | A célalkalmazás neve. Example: Facebook |
| Alkalmazás | Alias | Alias a TargetAppName-hez. | |
| TargetAppId | Lehetséges | Sztring | A célalkalmazás azonosítója a jelentéskészítő eszköz által jelentett módon. |
| TargetAppType | Lehetséges | AppType | A célalkalmazás típusa. Az engedélyezett értékek listájáért és további információkért tekintse meg az AppType-t a Séma áttekintése című cikkben. Ez a mező kötelező a TargetAppName vagy a TargetAppId használata esetén. |
| TargetUrl | Lehetséges | Sztring | Ha a műveletet HTTP vagy HTTPS használatával indítják el, a használt URL-címet kell használni. Example: https://onedrive.live.com/?authkey=... |
| Url | Alias | Alias – TargetUrl |
Vizsgálati mezők
Az alábbi mezők azt jelzik, hogy egy biztonsági rendszer, például egy vírusirtó rendszer által végzett ellenőrzés milyen módon történik. Az azonosított szál általában ahhoz a fájlhoz van társítva, amelyen a tevékenységet végrehajtották, és nem magát a tevékenységet.
| Field | Osztály | Type | Description |
|---|---|---|---|
| RuleName | Lehetséges | Sztring | A szabály neve vagy azonosítója a vizsgálati eredményekhez társítva. |
| RuleNumber | Lehetséges | Egész szám | A vizsgálati eredményekhez társított szabály száma. |
| Szabály | Feltételes | Sztring | A kRuleName vagy a RuleNumber értéke. Ha a RuleNumber értékét használja, a típust sztringgé kell konvertálni. |
| ThreatId | Lehetséges | Sztring | A fájltevékenységben azonosított fenyegetés vagy kártevő azonosítója. |
| ThreatName | Lehetséges | Sztring | A fájltevékenységben azonosított fenyegetés vagy kártevő neve. Example: EICAR Test File |
| ThreatCategory | Lehetséges | Sztring | A fájltevékenységben azonosított fenyegetés vagy kártevők kategóriája. Example: Trojan |
| ThreatRiskLevel | Lehetséges | Egész szám | Az azonosított fenyegetéshez társított kockázati szint. A szintnek 0 és 100 közötti számnak kell lennie. Megjegyzés: Előfordulhat, hogy az érték egy másik skálával jelenik meg a forrásrekordban, amelyet erre a skálára kell normalizálni. Az eredeti értéket a ThreatRiskLevelOriginal fájlban kell tárolni. |
| ThreatOriginalRiskLevel | Lehetséges | Sztring | A jelentéskészítő eszköz által jelentett kockázati szint. |
| ThreatFilePath | Lehetséges | Sztring | Egy fájl elérési útja, amelyhez fenyegetést azonosítottak. A ThreatField mező a ThreatFilePath által képviselt mező nevét tartalmazza. |
| ThreatField | Lehetséges | Enumerated | Az a mező, amelyhez fenyegetést azonosítottak. Az érték vagy SrcFilePathDstFilePath. |
| ThreatConfidence | Lehetséges | Egész szám | A azonosított fenyegetés megbízhatósági szintje 0 és 100 közötti értékre normalizálva. |
| ThreatOriginalConfidence | Lehetséges | Sztring | Az azonosított fenyegetés eredeti megbízhatósági szintje a jelentéskészítő eszköz által jelentett módon. |
| ThreatIsActive | Lehetséges | Boolean | Igaz, ha az azonosított fenyegetés aktív fenyegetésnek minősül. |
| ThreatFirstReportedTime | Lehetséges | dátum/idő | Az IP-cím vagy tartomány első azonosítása fenyegetésként. |
| ThreatLastReportedTime | Lehetséges | dátum/idő | Az IP-cím vagy tartomány legutóbbi azonosítása fenyegetésként. |
Elérésiút-struktúra
Az elérési utat az alábbi formátumok egyikének megfelelően kell normalizálni. Az érték normalizált formátuma a megfelelő FilePathType mezőben jelenik meg.
| Típus | Példa | Jegyzetek |
|---|---|---|
| Helyi Windows | C:\Windows\System32\notepad.exe |
Mivel a Windows-elérési utak nevei nem érzékenyek a kis- és nagybetűkre, ez a típus azt jelenti, hogy az érték nem megkülönbözteti a kis- és nagybetűket. |
| Windows-megosztás | \\Documents\My Shapes\Favorites.vssx |
Mivel a Windows-elérési utak nevei nem érzékenyek a kis- és nagybetűkre, ez a típus azt jelenti, hogy az érték nem megkülönbözteti a kis- és nagybetűket. |
| Unix | /etc/init.d/networking |
Mivel a Unix-elérési utak neve megkülönbözteti a kis- és nagybetűket, ez a típus azt jelenti, hogy az érték megkülönbözteti a kis- és nagybetűket. – Ezt a típust használja az AWS S3-hoz. Fűzi össze a gyűjtőt és a kulcsneveket az elérési út létrehozásához. – Használja ezt a típust az Azure Blob Storage objektumkulcsaihoz. |
| URL-cím | https://1drv.ms/p/s!Av04S_*********we |
Akkor használja, ha a fájl elérési útja URL-címként érhető el. Az URL-címek nem korlátozódnak a HTTP-re vagy a https-ra, és bármely érték, beleértve az FTP-értéket is, érvényes. |
Sémafrissítések
A séma 0.1.1-es verziójának változásai:
- Hozzáadta a mezőt
EventSchema.
A séma 0.2-es verziójában vannak változások:
- Ellenőrző mezők hozzáadva.
- Hozzáadta a mezőket
ActorScope,TargetUserScope,HashType,TargetAppName,TargetAppTypeTargetAppId,SrcGeoCountry,SrcGeoRegion,SrcGeoLatitudeSrcGeoLongitude,ActorSessionId,DvcScopeId, ésDvcScope.. - Hozzáadta az aliasokat
Url,IpAddra "FileName" ésSrca .
A séma 0.2.1-es verziójában vannak változások:
- Aliasként hozzáadva
Applicationa fájlhozTargetAppName. - Hozzáadva a mező
ActorScopeId - Forráseszközhöz kapcsolódó mezők hozzáadva.
Következő lépések
For more information, see: