Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I log dei flussi VPC, inseriti dal connettore di Sentinel, consentono di acquisire il traffico IP da e verso le interfacce di rete VPC AWS.
Attributi di tabella
| Attribute | Value |
|---|---|
| Tipi di risorse | - |
| Categories | Security |
| Solutions | SecurityInsights |
| Log di base | Yes |
| Trasformazione durante l'ingestione | Yes |
| Interrogazioni di esempio | Yes |
Columns
| Column | Type | Description |
|---|---|---|
| AccountId | string | ID dell'account AWS del proprietario dell'interfaccia di rete di origine per cui viene registrato il traffico. Se l'interfaccia di rete viene creata da un servizio AWS, ad esempio durante la creazione di un endpoint VPC o di Network Load Balancer, il record potrebbe visualizzare sconosciuto per questo campo. |
| Action | string | Azione associata al traffico. |
| AzId | string | ID della zona di disponibilità. |
| _BilledSize | real | Le dimensioni del record in byte |
| Bytes | long | Numero di byte trasferiti durante il flusso. |
| DstAddr | string | Indirizzo di destinazione per il traffico in uscita. |
| DstPort | int | Porta di destinazione del traffico. |
| EcsClusterArn | string | Optional. Specificare un identificatore univoco per la voce di log consente a Logging di rimuovere voci duplicate con lo stesso timestamp e insertId in un singolo risultato della query. |
| EcsClusterName | string | Optional. Specificare un identificatore univoco per la voce di log consente a Logging di rimuovere voci duplicate con lo stesso timestamp e insertId in un singolo risultato della query. |
| EcsContainerId | string | Optional. Specificare un identificatore univoco per la voce di log consente a Logging di rimuovere voci duplicate con lo stesso timestamp e insertId in un singolo risultato della query. |
| EcsContainerInstanceArn | string | Optional. Specificare un identificatore univoco per la voce di log consente a Logging di rimuovere voci duplicate con lo stesso timestamp e insertId in un singolo risultato della query. |
| EcsContainerInstanceId | string | Optional. Specificare un identificatore univoco per la voce di log consente a Logging di rimuovere voci duplicate con lo stesso timestamp e insertId in un singolo risultato della query. |
| EcsSecondContainerId | string | Optional. Specificare un identificatore univoco per la voce di log consente a Logging di rimuovere voci duplicate con lo stesso timestamp e insertId in un singolo risultato della query. |
| EcsServiceName | string | Optional. Specificare un identificatore univoco per la voce di log consente a Logging di rimuovere voci duplicate con lo stesso timestamp e insertId in un singolo risultato della query. |
| EcsTaskArn | string | Optional. Specificare un identificatore univoco per la voce di log consente a Logging di rimuovere voci duplicate con lo stesso timestamp e insertId in un singolo risultato della query. |
| EcsTaskDefinitionArn | string | Optional. Specificare un identificatore univoco per la voce di log consente a Logging di rimuovere voci duplicate con lo stesso timestamp e insertId in un singolo risultato della query. |
| EcsTaskId | string | Optional. Specificare un identificatore univoco per la voce di log consente a Logging di rimuovere voci duplicate con lo stesso timestamp e insertId in un singolo risultato della query. |
| End | datetime | Ora in cui l'ultimo pacchetto del flusso è stato ricevuto entro l'intervallo di aggregazione. |
| FlowDirection | string | Direzione del flusso rispetto all'interfaccia in cui viene acquisito il traffico. |
| InstanceId | string | ID dell'istanza associata all'interfaccia di rete per cui viene registrato il traffico. |
| InterfaceId | string | ID dell'interfaccia di rete per cui viene registrato il traffico. |
| _IsBillable | string | Specifica se l'ingestione dei dati è fatturabile. Quando _IsBillable è false, l'inserimento non viene fatturato all'account Azure |
| LogStatus | string | Lo stato di registrazione del log dei flussi. |
| Packets | int | Numero di pacchetti trasferiti durante il flusso. |
| PktDstAddr | string | Indirizzo IP di destinazione (originale) a livello di pacchetto per il traffico. |
| PktDstAwsService | string | Nome del subset di intervalli di indirizzi IP per il campo PktDstAddr, se l'indirizzo IP di destinazione è per un servizio AWS. |
| PktSrcAddr | string | Indirizzo IP di origine (originale) a livello di pacchetto del traffico. |
| PktSrcAwsService | string | Nome del subset di intervalli di indirizzi IP per il campo PktSrcAddr, se l'indirizzo IP di origine è per un servizio AWS. |
| Protocol | int | Il numero di protocollo IANA del traffico. |
| Region | string | Area che contiene l'interfaccia di rete per cui viene registrato il traffico. |
| SourceSystem | string | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, connessione diretta oppure Operations Manager, Linux per tutti gli agenti Linux, o Azure per Diagnostica di Azure |
| SrcAddr | string | Indirizzo di origine per il traffico in ingresso. |
| SrcPort | int | Porta di origine del traffico. |
| Start | datetime | Indirizzo IP remoto della richiesta. |
| SublocationId | string | ID della sublocalizzazione contenente l'interfaccia di rete per la quale viene registrato il traffico. |
| SublocationType | string | Il tipo di sottolocazione che viene restituito nel campo sublocationId. |
| SubnetId | string | L'ID della subnet. |
| TcpFlags | int | Valore della maschera di bit per i flag TCP seguenti. |
| TenantId | string | L'ID dell'area di lavoro Log Analytics |
| TimeGenerated | datetime | Timestamp (UTC) di quando è stato generato l'evento. Questo valore sarà uguale al campo di input "start" o all'ora di arrivo dei dati in Monitoraggio di Azure nel caso in cui il campo di input "start" sia vuoto o mancante. |
| TrafficPath | string | Percorso che porta il traffico in uscita verso la destinazione. |
| TrafficType | string | Tipo di traffico. I valori possibili sono IPv4, IPv6 e EFA. Per altre informazioni, cercare "Elastic Fabric Adapter (EFA)". |
| Type | string | Nome della tabella |
| Version | int | La versione dei log dei flussi VPC. |
| VpcId | string | L'ID VPC. |