AdditionalFields |
ダイナミック |
ASim にマップされないソースによって提供されるキーと値のペアを使用して表される追加情報。 |
_請求額サイズ |
real |
レコード サイズ (バイト単位) |
DstAppId |
ひも |
レポート デバイスによって報告された、ターゲット アプリケーションの ID。 |
DstAppName |
ひも |
ターゲット アプリケーションの名前。 |
DstAppType |
ひも |
ターゲット アプリケーションの種類。 |
DstBytes |
長い |
接続またはセッションで送信先から送信元に送信されたバイト数。 イベントが集計される場合、DstBytes は集計されたすべてのセッションの合計です。 |
DSTの説明 |
ひも |
目的地に関連付けられている説明文。 |
送信先デバイスタイプ |
ひも |
ターゲット デバイスの種類。 |
DstDomain |
ひも |
ターゲット デバイスのドメイン。 |
ドメインタイプ (DstDomainType) |
ひも |
DstDomain の種類。 |
DstDvcId |
ひも |
ターゲット デバイスの ID。 |
DstDvcIdType |
ひも |
DstDvcId の種類。 |
DstFQDN |
ひも |
使用可能な場合はドメイン情報を含む、ターゲット デバイスのホスト名。 |
DstGeoCity |
ひも |
ターゲット IP アドレスに関連付けられている都市。 |
DstGeoCountry |
ひも |
ターゲット IP アドレスに関連付けられている国。 |
DstGeoLatitude |
real |
ターゲット IP アドレスに関連付けられている地理的座標の緯度。 |
DstGeoLongitude |
real |
ターゲット IP アドレスに関連付けられている地理的座標の経度。 |
DstGeoRegion |
ひも |
ターゲット IP アドレスに関連付けられた国の地域または州。 |
DstHostname |
ひも |
ドメイン情報を除いた、ターゲット デバイスのホスト名。 |
DstInterfaceGuid |
ひも |
ターゲット デバイスで使用されるネットワーク インターフェイスの GUID。 |
DstInterfaceName |
ひも |
送信先デバイスによる接続またはセッションに使用されるネットワーク インターフェイス。 |
DstIpAddr |
ひも |
接続またはセッションのターゲットの IP アドレス。 |
DstMacAddr |
ひも |
ターゲット デバイスによって接続またはセッションに使用される、ネットワーク インターフェイスの MAC アドレス。 |
DstNatIpAddr |
ひも |
DstNatIpAddr は、ネットワーク アドレス変換が使用された場合の宛先デバイスの元のアドレス、または送信元との通信に中間デバイスによって使用される IP アドレスのいずれかを表します。 |
DstNatポート番号 |
INT |
中間 NAT デバイスによって報告された場合は、その NAT デバイスがソースとの通信に使用するポート。 |
DstOriginalUserType |
ひも |
ソースによって提供されている場合、元のターゲット ユーザーの種類。 |
DstPackets |
長い |
接続またはセッションで送信先から送信元に送信されたパケット数。 パケットの意味はレポート デバイスで定義されます。 イベントが集計される場合、DstPackets は集計されたすべてのセッションの合計です。 |
送信先ポート番号 |
INT |
送信先 IP ポート。 |
DstSubscriptionId |
ひも |
ターゲット デバイスが属するクラウド プラットフォームのサブスクリプション ID。 DstSubscriptionId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
DstUserId (送信先ユーザーID) |
ひも |
ターゲット ユーザーの、コンピューターが判読できる英数字の一意表現。 |
DstUserIdType |
ひも |
DstUserId フィールドに格納されている ID の種類。 |
DstUsername |
ひも |
使用可能な場合はドメイン情報を含む、ターゲットのユーザー名。 シンプル形式は、ドメイン情報が利用できない場合にのみ使用します。 |
DstUsernameType |
ひも |
DstUsername フィールドに格納されているユーザー名の種類を指定します。 |
DstUserType |
ひも |
ターゲット ユーザーの種類。 |
DstVlanId |
ひも |
ターゲット デバイスに関連する VLAN ID。 |
DstZone |
ひも |
レポート デバイスにより定義された、送信先のネットワーク ゾーン。 |
Dvc |
ひも |
イベントが発生したデバイスまたはイベントを報告したデバイスの一意の識別子。 |
DvcAction |
ひも |
ネットワーク セッションで実行されたアクション。 |
DvcDescription |
ひも |
デバイスに関連付けられる説明のテキスト。 たとえば、プライマリ ドメイン コントローラーです。 |
DvcDomain |
ひも |
イベントを報告するデバイスのドメイン。 |
Dvcドメインタイプ |
ひも |
DvcDomain の種類。 指定できる値は、"Windows" と "FQDN" です。 |
DvcFQDN |
ひも |
イベントが発生した、またはイベントを報告したデバイスのホスト名。 |
Dvcホスト名 |
ひも |
イベントを報告するデバイスのホスト名。 |
DvcId |
ひも |
イベントが発生したデバイスまたはイベントを報告したデバイスの一意の ID。 |
DvcIdType |
ひも |
DvcId の種類。 |
DvcInboundInterface |
ひも |
中間デバイスによって報告された場合は、その NAT デバイスがソース デバイスへの接続に使用するネットワーク インターフェイス。 |
DvcInterface |
ひも |
データがキャプチャされたネットワーク インターフェイス。 通常、このフィールドは、中間またはタップ デバイスによってキャプチャされるネットワーク関連のアクティビティに関連しています。 |
DvcIpAddr |
ひも |
イベントを報告するデバイスの IP アドレス。 |
DvcMacAddr |
ひも |
イベントが発生した、またはイベントを報告したデバイスの MAC アドレス。 例: 00:1B:44:11:3A:B7 |
DvcOriginalAction |
ひも |
報告デバイスによって提供された元のDvcAction。 |
DvcOs |
ひも |
イベントを報告するデバイスで実行されているオペレーティング システム。 |
DvcOsVersion |
ひも |
イベントを報告するデバイス上のオペレーティング システムのバージョン。 |
DVCアウトバウンドインターフェース |
ひも |
中間デバイスによって報告された場合は、その NAT デバイスがターゲット デバイスへの接続に使用するネットワーク インターフェイス。 |
DvcSubscriptionId |
ひも |
デバイスが属するクラウド プラットフォームのサブスクリプション ID。 DvcSubscriptionId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
DvcZone |
ひも |
イベントが発生したネットワーク、またはイベントを報告したネットワーク。 ゾーンは、レポート デバイスによって定義されます。 |
イベント数 |
INT |
この値は、ソースが集計に対応しており、1 つのレコードが複数のイベントを表す可能性があるときに使用されます。 |
イベント終了時間 |
DATETIME |
イベントが終了した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最後のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
イベントメッセージ |
ひも |
一般的なメッセージまたは説明。 |
イベントの元の結果の詳細 |
ひも |
ソースによって提供される元の結果の詳細。 この値は EventResultDetails を導出するために使用され、これには、スキーマごとに文書化された値のうち 1 つのみが含まれるようにします。 |
EventOriginalSeverity |
ひも |
報告元デバイスによって提供された元の重大度。 この値は EventSeverity を導出するために使用されます。 |
EventOriginalSubType |
ひも |
元のイベントのサブタイプまたは ID (ソースによって提供されている場合)。 たとえば、このフィールドは元の Windows ログオンの種類を格納するために使用されます。 この値は EventSubType を導出するために使用され、これには、スキーマごとに文書化された値のうち 1 つのみが含まれるようにします。 |
EventOriginalType |
ひも |
元のイベントの種類または ID (ソースによって提供されている場合)。 |
イベントオリジナルUID (EventOriginalUid) |
ひも |
元のレコードの一意の ID (ソースによって提供されている場合)。 |
EventProduct |
ひも |
イベントを生成している製品。 |
EventProductVersion |
ひも |
イベントを生成している製品のバージョン。 |
イベントレポートURL |
ひも |
イベントで提供される、イベントに関する詳細情報を提供するリソースのURL。 |
イベント結果 |
ひも |
イベントの結果。Success、Partial、Failure、NA (Not Applicable) のいずれかの値で表されます。 この値はソースによって直接提供されない場合があります。その場合は、EventResultDetails フィールドなどの他のイベント フィールドから派生します。 |
イベント結果詳細 |
ひも |
EventResult でレポートされた結果の理由または詳細。 |
EventSchemaVersion |
ひも |
スキーマのバージョン。 |
EventSeverity |
ひも |
イベントの重大度。 有効な値は、Informational、Low、Medium、High です。 |
イベント開始時間 |
DATETIME |
イベントが開始した時刻。 ソースが集計に対応していて、レコードが複数のイベントを表す場合は、最初のイベントが生成された時刻。 ソース レコードによって指定されなかった場合、このフィールドが TimeGenerated フィールドの別名となります。 |
イベントサブタイプ |
ひも |
イベントの種類の追加説明 (該当する場合)。 |
イベントタイプ |
ひも |
レコードによって報告される操作。 |
EventVendor |
ひも |
イベントを生成している製品のベンダー。 |
_IsBillable // 請求可能かどうかを示す |
ひも |
データ インジェストが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
ネットワークアプリケーションプロトコル |
ひも |
接続またはセッションで使用されるアプリケーション レイヤー プロトコル。 |
NetworkBytes |
長い |
両方向に送信されたバイト数。 BytesReceived と BytesSent が両方とも存在する場合、BytesTotal はその合計と同じである必要があります。 イベントが集計される場合、NetworkBytes は集計されたすべてのセッションの合計です。 |
ネットワーク接続履歴 |
ひも |
TCP フラグとその他の使用される可能性がある IP ヘッダー情報。 |
ネットワーク方向 |
ひも |
接続またはセッションの方向。 |
ネットワーク期間 |
INT |
ネットワーク セッションまたは接続の完了にかかる時間 (ミリ秒単位)。 |
ネットワークICMPコード |
INT |
ICMP メッセージの種類を示す数値。IPv4 ネットワーク接続の場合は RFC 2780 で示されている値、IPv6 ネットワーク接続の場合は RFC 4443 で示されている値。 |
ネットワークICMPタイプ |
ひも |
ICMP メッセージの種類のテキスト表現。IPv4 ネットワーク接続の場合は RFC 2780 で示されている値、IPv6 ネットワーク接続の場合は RFC 4443 で示されている値。 |
ネットワークパケット |
長い |
両方向に送信されたパケット数。 PacketsReceived と PacketsSent が両方とも存在する場合、BytesTotal はその合計と同じである必要があります。 パケットの意味はレポート デバイスで定義されます。 イベントが集計される場合、NetworkPackets は集計されたすべてのセッションの合計です。 |
ネットワークプロトコル |
ひも |
IANA プロトコルの割り当て (通常は TCP、UDP、または ICMP) に記載されている接続またはセッションで使用される IP プロトコル。 |
ネットワークプロトコルバージョン |
ひも |
NetworkProtocol のバージョン。 |
ネットワークルール名 |
ひも |
DvcAction が決定されたときに使用されたルールの名前または ID。 |
ネットワークルール番号 |
INT |
DvcAction が決定されたときに使用されたルールの番号。 |
ネットワークセッションID |
ひも |
レポート デバイスによって報告されたセッション識別子。 |
_ResourceId(リソース識別子) |
ひも |
レコードが関連付けられているリソースの一意識別子 |
SourceSystem |
ひも |
イベントが収集されたエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux 、Azure Diagnostics の場合は Azure です |
SrcAppId |
ひも |
レポートデバイスによって報告された、ソースアプリケーションのID。 |
SrcAppName |
ひも |
ソース アプリケーションの名前。 |
SrcAppType |
ひも |
ソース アプリケーションの種類。 |
SrcBytes |
長い |
接続またはセッションで送信元から送信先に送信されたバイト数。 イベントが集計される場合、SrcBytes は集計されたすべてのセッションの合計です。 |
SrcDescription |
ひも |
ソースに関連付けられている説明テキスト。 |
SrcDeviceType |
ひも |
ソース デバイスの種類。 |
SrcDomain |
ひも |
ソース デバイスのドメイン。 |
SrcDomainType |
ひも |
SrcDomain の種類。 |
SrcDvcId |
ひも |
ソース デバイスの ID。 |
SrcDvcIdType |
ひも |
SrcDvcId の種類。 |
SrcFQDN |
ひも |
ソース デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。 |
SrcGeoCity |
ひも |
発信元 IP アドレスに関連付けられている都市。 |
SrcGeoCountry |
ひも |
発信元 IP アドレスに関連付けられている国。 |
SrcGeoLatitude |
real |
発信元 IP アドレスに関連付けられている地理的座標の緯度。 |
SrcGeoLongitude |
real |
発信元 IP アドレスに関連付けられている地理的座標の経度。 |
SrcGeoRegion |
ひも |
発信元 IP アドレスに関連付けられている国内の地域。 |
SrcHostname |
ひも |
ドメイン情報を除いた、ソース デバイスのホスト名。 使用可能なデバイス名がない場合は、関連する IP アドレスを格納できます。 |
SrcInterfaceGuid |
ひも |
ソース デバイスで使用されるネットワーク インターフェイスの GUID。 |
SrcInterfaceName |
ひも |
送信元デバイスで接続またはセッションに使用されるネットワーク インターフェイス。 |
SrcIpAddr |
ひも |
接続またはセッションの開始元の IP アドレス。 |
SrcMacAddr |
ひも |
接続またはセッションの開始元のネットワーク インターフェイスの MAC アドレス。 |
SrcNatIpAddr |
ひも |
SrcNatIpAddr は、送信元デバイスの元のアドレス (ネットワーク アドレス変換が使用された場合) または中継デバイスが宛先との通信に使用する IP アドレスのいずれかを表します。 |
SrcNatPortNumber |
INT |
中間 NAT デバイスによって報告された場合は、その NAT デバイスがターゲットとの通信に使用するポート。 |
SrcOriginalUserType |
ひも |
報告元デバイスによって提供されている場合、元のターゲット ユーザーの種類。 |
SrcPackets |
長い |
接続またはセッションで送信元から送信先に送信されたパケット数。 パケットの意味はレポート デバイスで定義されます。 イベントが集計される場合、SrcPackets は集計されたすべてのセッションの合計です。 |
SrcPortNumber |
INT |
接続元の IP ポート。 複数の接続を構成するセッションに関連しないことがあります。 |
SrcSubscriptionId |
ひも |
ソース デバイスが属するクラウド プラットフォームのサブスクリプション ID。 SrcSubscriptionId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
SrcUserId |
ひも |
ソース ユーザーの、コンピューターが判読できる英数字の一意表現。 |
SrcUserIdType |
ひも |
SrcUserId フィールドに格納されている ID の種類。 |
SrcUsername |
ひも |
使用可能な場合はドメイン情報を含む、ソースのユーザー名。 |
SrcUsernameType |
ひも |
SrcUsername フィールドに格納されているユーザー名の種類を指定します。 |
SrcUserType |
ひも |
送信元ユーザーの種類。 |
SrcVlanId |
ひも |
ソース デバイスに関連する VLAN ID。 |
SrcZone |
ひも |
レポート デバイスにより定義された、送信元のネットワーク ゾーン。 |
_SubscriptionId(サブスクリプションID) |
ひも |
レコードが関連付けられているサブスクリプションの一意の識別子 |
TcpFlagsAck |
ブール |
TCP ACK フラグが報告されました。 受信確認フラグは、パケットを正常に受信したことを確認するために使われます。 上の図からわかるように、受信側は、3 方向ハンドシェイク プロセスの 2 番目の手順で ACK と SYN を送信して、最初のパケットを受信したことを送信者に伝えます。 |
TcpFlagsFin |
ブール |
報告された TCP FIN フラグ。 完了フラグは、送信側からのデータがもうないことを意味します。 そのため、送信側から送信される最後のパケットで使われます。 |
TcpFlagsPsh |
ブール |
TCP PSH フラグが報告されました。 プッシュ フラグは URG フラグにやや似ています。これらのパケットをバッファリングするのではなく、受信したパケットを処理するように受信者に指示します。 |
TcpFlagsRst |
ブール |
TCP RST フラグが報告されました。 リセット フラグは、予期しない特定のホストにパケットが送信されたときに、受信側から送信側に送信されます。 |
TcpFlagsSyn |
ブール |
TCP SYN フラグが報告されました。 同期フラグは、2 つのホスト間で 3 方向ハンドシェイクを確立するための最初の手順として使用されます。 送信側と受信側の両方からの最初のパケットにのみ、このフラグを設定するようにします。 |
TcpFlagsUrg |
ブール |
TCP URG フラグが報告されました。 緊急フラグは、他のすべてのパケットを処理する前に、緊急パケットを処理するように受信側に通知するために使われます。 既知の緊急データがすべて受信されると、受信側にはその旨が通知されます。 詳細については、「RFC 6093」を参照してください。 |
テナント ID |
ひも |
Log Analytics ワークスペース ID |
脅威カテゴリー |
ひも |
ネットワーク セッションで識別された脅威またはマルウェアのカテゴリ。 |
ThreatConfidence |
INT |
識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。 |
ThreatField |
ひも |
脅威が特定されたフィールド。 値は SrcIpAddr、DstIpAddr、Domain、または DnsResponseName です。 |
脅威初報告時間 |
datetime |
IP アドレスまたはドメインが脅威として初めて識別された場合。 |
脅威識別子 |
ひも |
ネットワーク セッションで識別された脅威またはマルウェアの ID。 |
脅威IPアドレス |
ひも |
脅威が特定された IP アドレス。 ThreatField フィールドには、ThreatIpAddr が表すフィールドの名前が含まれています。 |
脅威が活動中です |
ブール |
特定された脅威がアクティブな脅威と見なされる真の ID。 |
脅威の最終報告時間 |
datetime |
最後に IP アドレスまたはドメインが脅威として識別された時刻。 |
ThreatName |
ひも |
ネットワーク セッションで識別された脅威またはマルウェアの名前。 |
ThreatOriginalConfidence |
ひも |
レポート デバイスによって報告される、特定された脅威の元の信頼レベル。 |
ThreatOriginalRiskLevel |
ひも |
レポート デバイスによって報告されたリスク レベル。 |
脅威リスクレベル |
INT |
セッションに関連付けられているリスク レベル。 レベルは 0 から 100 までの数値です。 |
タイムジェネレイテッド |
DATETIME |
イベントが生成された時刻を反映するタイムスタンプ (UTC)。 |
タイプ |
ひも |
テーブルの名前 |