CEF と CommonSecurityLog フィールドマッピング

次の表は、Common Event Format (CEF) フィールド名をMicrosoft Sentinelの CommonSecurityLog で使用する名前にマップします。これは、Microsoft Sentinelで CEF データソースを操作する場合に役立つ場合があります。詳細については、「syslog メッセージと CEF メッセージを取り込んで、Azure Monitor エージェントでMicrosoft Sentinelする」を参照してください。

A - C

CEF キー名	CommonSecurityLog フィールド名	説明
行為	DeviceAction	イベントに記載されているアクション。
アプリ	ApplicationProtocol	アプリケーションで使用されるプロトコル (HTTP、HTTPS、SSHv2、Telnet、POP、IMPA、IMAPS など)。
猫	DeviceEventCategory	元のデバイスによって割り当てられたカテゴリを表します。多くの場合、デバイスは独自の分類スキーマを使用してイベントを分類します。例: `/Monitor/Disk/Read`。
Cnt	EventCount	同じイベントが観察された回数を示す、イベントに関連付けられたカウント。

D

CEF キー名	CommonSecurityLog 名	説明
デバイスベンダー	DeviceVendor	デバイス製品とバージョンの定義と共に、送信デバイスの種類を一意に識別する文字列。
デバイス製品	DeviceProduct	デバイスベンダーとバージョン定義と共に、送信デバイスの種類を一意に識別する文字列。
デバイスのバージョン	DeviceVersion	デバイス製品とベンダーの定義と共に、送信デバイスの種類を一意に識別する文字列。
destinationDnsDomain	DestinationDnsDomain	完全修飾ドメイン名 (FQDN) の DNS 部分。
destinationServiceName	DestinationServiceName	イベントの対象となるサービス。たとえば、「 `sshd` 」のように入力します。
destinationTranslatedAddress	DestinationTranslatedAddress	IP ネットワーク内のイベントによって参照される変換先を、IPv4 IP アドレスとして識別します。
destinationTranslatedPort	DestinationTranslatedPort	ファイアウォールなどの変換後のポート。有効なポート番号: `0` - `65535`
deviceDirection	CommunicationDirection	観察された通信の方向に関する情報。有効な値: - `0` = 受信 - `1` = 送信
deviceDnsDomain	DeviceDnsDomain	完全修飾ドメイン名 (FQDN) の DNS ドメイン部分
DeviceEventClassID	DeviceEventClassID	イベントの種類ごとに一意の識別子として機能する文字列または整数。
deviceExternalId	deviceExternalId	イベントを生成するデバイスを一意に識別する名前。
deviceFacility	DeviceFacility	イベントを生成する施設。
deviceInboundInterface	DeviceInboundInterface	パケットまたはデータがデバイスに入力されたインターフェイス。
deviceNtDomain	DeviceNtDomain	デバイスアドレスの Windows ドメイン
deviceOutboundInterface	DeviceOutboundInterface	パケットまたはデータがデバイスから離れたインターフェイス。
devicePayloadId	DevicePayloadId	イベントに関連付けられているペイロードの一意識別子。
deviceProcessName	ProcessName	イベントに関連付けられているプロセス名。たとえば、UNIX では、syslog エントリを生成するプロセスです。
deviceTranslatedAddress	DeviceTranslatedAddress	IP ネットワーク内で、イベントが参照する変換されたデバイスアドレスを識別します。形式は Ipv4 アドレスです。
dhost	DestinationHostName	IP ネットワークでイベントが参照する宛先。ノードが使用可能な場合は、変換先ノードに関連付けられた FQDN 形式にする必要があります。たとえば、`host.domain.com` および `host` が禁止となります。
Dmac	DestinationMacAddress	宛先 MAC アドレス (FQDN)
dntdom	DestinationNTDomain	宛先アドレスの Windows ドメイン名。
dpid	DestinationProcessId	イベントに関連付けられている宛先プロセスの ID。
dpriv	DestinationUserPrivileges	変換先の用途の特権を定義します。有効な値: `Administrator`、 `User`、 `Guest`
dproc	DestinationProcessName	イベントの宛先プロセスの名前 ( `telnetd` や `sshd.`
Dpt	DestinationPort	宛先ポート。有効な値: `*0` - `65535`
Dst	DestinationIP	IP ネットワークでイベントが参照する宛先 IpV4 アドレス。
dtz	DeviceTimeZone	イベントを生成するデバイスのタイムゾーン
Duid	DestinationUserId	ID で宛先ユーザーを識別します。
duser	DestinationUserName	宛先ユーザーを名前で識別します。
Dvc	DeviceAddress	イベントを生成するデバイスの IPv4 アドレス。
dvchost	DeviceName	ノードが使用可能な場合、デバイスノードに関連付けられている FQDN。たとえば、`host.domain.com` および `host` が禁止となります。
dvcmac	DeviceMacAddress	イベントを生成するデバイスの MAC アドレス。
dvcpid	プロセス ID	イベントを生成するデバイス上のプロセスの ID を定義します。

E - I

CEF キー名	CommonSecurityLog 名	説明
外部ID	ExternalID	発信元デバイスで使用される ID。通常、これらの値には、それぞれイベントに関連付けられている増加する値があります。
fileCreateTime	FileCreateTime	ファイルが作成された時刻。
fileHash	FileHash	ファイルのハッシュ。
fileId	FileID	inode などのファイルに関連付けられている ID。
fileModificationTime	FileModificationTime	ファイルが最後に変更された時刻。
Filepath	FilePath	ファイル名を含む、ファイルへの完全パス。例: `C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` または `/usr/bin/zip`。
filePermission	FilePermission	ファイルのアクセス許可。
Filetype	FileType	パイプ、ソケットなどのファイルの種類。
Fname	FileName	パスのないファイルの名前。
fsize	FileSize	ファイルのサイズ。
ホスト	コンピューター	Syslog からのホスト
で	ReceivedBytes	受信に転送されたバイト数。

M - P

CEF キー名	CommonSecurityLog 名	説明
msg	メッセージ	イベントの詳細を示すメッセージ。
名前	アクティビティ	イベントの人間が判読できるわかりやすい説明を表す文字列。
oldFileCreateTime	OldFileCreateTime	古いファイルが作成された時刻。
oldFileHash	OldFileHash	古いファイルのハッシュ。
oldFileId	OldFileId	inode などの古いファイルに関連付けられている ID。
oldFileModificationTime	OldFileModificationTime	古いファイルが最後に変更された時刻。
oldFileName	OldFileName	古いファイルの名前。
oldFilePath	OldFilePath	ファイル名を含む、古いファイルへの完全パス。たとえば、`C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe` および `/usr/bin/zip` が禁止となります。
oldFilePermission	OldFilePermission	古いファイルのアクセス許可。
oldFileSize	OldFileSize	古いファイルのサイズ。
oldFileType	OldFileType	パイプ、ソケットなど、古いファイルのファイルの種類。
乙	SentBytes	送信に転送されたバイト数。
結果	EventOutcome	イベントの結果 ( `success` や `failure`など)。
プロト	プロトコル	使用されるレイヤー 4 プロトコルを識別するトランスポートプロトコル。使用可能な値には、 `TCP` や `UDP`などのプロトコル名が含まれます。

R - T

CEF キー名	CommonSecurityLog 名	説明
理由	理由	監査イベントが生成された理由。たとえば、`badd password` および `unknown user` が禁止となります。これは、エラーまたは戻りコードである可能性もあります。例: `0x1234`。
要求	RequestURL	プロトコルを含む HTTP 要求に対してアクセスされる URL。たとえば、`http://www/secure.com` のように指定します。
requestClientApplication	RequestClientApplication	要求に関連付けられているユーザーエージェント。
requestContext	RequestContext	HTTP 参照元など、要求の送信元のコンテンツについて説明します。
requestCookies	RequestCookies	要求に関連付けられている Cookie。
requestMethod	RequestMethod	URL へのアクセスに使用するメソッド。有効な値には、 `POST`、 `GET`などのメソッドが含まれます。
Rt	ReceiptTime	アクティビティに関連するイベントが受信された時刻。
重要度	LogSeverity	イベントの重要性を表す文字列または整数。有効な文字列値: `Unknown` 、 `Low`、 `Medium`、 `High`、 `Very-High` 有効な整数値は次のとおりです。 - `0` - `3` = Low - `4` - `6` = 中 - `7` - `8` = High - `9` - `10` = Very-High
shost	SourceHostName	IP ネットワークでイベントが参照するソースを識別します。形式は、ノードが使用可能な場合、ソースノードに関連付けられている完全修飾ドメイン名 (FQDN) である必要があります。たとえば、`host` および `host.domain.com` が禁止となります。
smac	SourceMacAddress	送信元 MAC アドレス。
sntdom	SourceNTDomain	ソースアドレスの Windows ドメイン名。
sourceDnsDomain	SourceDnsDomain	完全な FQDN の DNS ドメイン部分。
sourceServiceName	SourceServiceName	イベントの生成を担当するサービス。
sourceTranslatedAddress	SourceTranslatedAddress	IP ネットワークでイベントが参照する変換されたソースを識別します。
sourceTranslatedPort	SourceTranslatedPort	変換後のソースポート (ファイアウォールなど)。有効なポート番号が `0` - `65535`。
Spid	SourceProcessId	イベントに関連付けられているソースプロセスの ID。
spriv	SourceUserPrivileges	ソースユーザーの特権。有効な値には、 `Administrator`、 `User`、 `Guest`
sproc	SourceProcessName	イベントのソースプロセスの名前。
Spt	SourcePort	ソースポート番号。有効なポート番号が `0` - `65535`。
src	SourceIP	IPv4 アドレスとして、IP ネットワークでイベントが参照するソース。
Suid	SourceUserID	ソースユーザーを ID で識別します。
suser	SourceUserName	ソースユーザーを名前で識別します。
type	EventType	イベントの種類。値には、次のものが含まれます。 - `0`: 基本イベント - `1`：集計 - `2`: 相関イベント - `3`: action イベント注: 基本イベントの場合、このイベントは省略できます。

カスタムフィールド

次の表では、組み込みフィールドのいずれにも適用されないデータに使用できる CEF キーと CommonSecurityLog フィールドの名前をマップします。

カスタム IPv6 アドレスフィールド

次の表は、カスタムデータで使用できる IPv6 アドレスフィールドの CEF キーと CommonSecurityLog 名をマップします。

CEF キー名	CommonSecurityLog 名
c6a1	DeviceCustomIPv6Address1
c6a1Label	DeviceCustomIPv6Address1Label
c6a2	DeviceCustomIPv6Address2
c6a2Label	DeviceCustomIPv6Address2Label
c6a3	DeviceCustomIPv6Address3
c6a3Label	DeviceCustomIPv6Address3Label
c6a4	DeviceCustomIPv6Address4
c6a4Label	DeviceCustomIPv6Address4Label
cfp1	DeviceCustomFloatingPoint1
cfp1Label	deviceCustomFloatingPoint1Label
cfp2	DeviceCustomFloatingPoint2
cfp2Label	deviceCustomFloatingPoint2Label
cfp3	DeviceCustomFloatingPoint3
cfp3Label	deviceCustomFloatingPoint3Label
cfp4	DeviceCustomFloatingPoint4
cfp4Label	deviceCustomFloatingPoint4Label

ユーザー設定の数値フィールド

次の表は、カスタムデータで使用できる数値フィールドの CEF キーと CommonSecurityLog 名をマップします。

CEF キー名	CommonSecurityLog 名
cn1	DeviceCustomNumber1
cn1Label	DeviceCustomNumber1Label
Cn2	DeviceCustomNumber2
cn2Label	DeviceCustomNumber2Label
cn3	DeviceCustomNumber3
cn3Label	DeviceCustomNumber3Label

カスタム文字列フィールド

次の表は、カスタムデータで使用できる 文字列 フィールドの CEF キーと CommonSecurityLog 名をマップします。

CEF キー名	CommonSecurityLog 名
cs1	DeviceCustomString1 ¹
cs1Label	DeviceCustomString1Label ¹
cs2	DeviceCustomString2 ¹
cs2Label	DeviceCustomString2Label ¹
cs3	DeviceCustomString3 ¹
cs3Label	DeviceCustomString3Label ¹
cs4	DeviceCustomString4 ¹
cs4Label	DeviceCustomString4Label ¹
Cs5	DeviceCustomString5 ¹
cs5Label	DeviceCustomString5Label ¹
Cs6	DeviceCustomString6 ¹
cs6Label	DeviceCustomString6Label ¹
flexString1	FlexString1
flexString1Label	FlexString1Label
flexString2	FlexString2
flexString2Label	FlexString2Label

ヒント

¹DeviceCustomString フィールドは控えめに使用し、可能であればより具体的な組み込みフィールドを使用することをお勧めします。

カスタムタイムスタンプフィールド

次の表は、カスタムデータで使用できる タイムスタンプ フィールドの CEF キーと CommonSecurityLog 名をマップします。

CEF キー名	CommonSecurityLog 名
deviceCustomDate1	DeviceCustomDate1
deviceCustomDate1Label	DeviceCustomDate1Label
deviceCustomDate2	DeviceCustomDate2
deviceCustomDate2Label	DeviceCustomDate2Label
flexDate1	FlexDate1
flexDate1Label	FlexDate1Label

カスタム整数データフィールド

次の表は、カスタムデータで使用できる整数フィールドの CEF キーと CommonSecurityLog 名をマップします。

CEF キー名	CommonSecurityLog 名
flexNumber1	FlexNumber1
flexNumber1Label	FlexNumber1Label
flexNumber2	FlexNumber2
flexNumber2Label	FlexNumber2Label

エンリッチメントフィールド

次の CommonSecurityLog フィールドは、ソースデバイスから受信した元のイベントをエンリッチするためにMicrosoft Sentinelによって追加され、CEF キーにはマッピングがありません。

脅威インテリジェンスフィールド

CommonSecurityLog フィールド名	説明
IndicatorThreatType	脅威インテリジェンスフィードに従った MaliciousIP 脅威の種類。
MaliciousIP	現在の脅威インテリジェンスフィードと関連付けるメッセージ内の IP アドレスを一覧表示します。
MaliciousIPCountry	レコードインジェスト時の地理情報に従って、 MaliciousIP の国/地域。
MaliciousIPLatitude	レコードインジェスト時の地理情報に従った MaliciousIP 経度。
MaliciousIPLongitude	レコードインジェスト時の地理情報に従った MaliciousIP 経度。
ReportReferenceLink	脅威インテリジェンスレポートにリンクします。
ThreatConfidence	脅威インテリジェンスフィードに従って、 MaliciousIP 脅威の信頼度。
ThreatDescription	脅威インテリジェンスフィードに従った MaliciousIP 脅威の説明。
ThreatSeverity	レコードインジェスト時の脅威インテリジェンスフィードに従った、MaliciousIP の脅威の重大度。

その他のエンリッチメントフィールド

CommonSecurityLog フィールド名	説明
OriginalLogSeverity	常に空で、CiscoASA との統合がサポートされます。ログ重大度の値の詳細については、「 LogSeverity 」フィールドを参照してください。
RemoteIP	リモート IP アドレス。この値は、可能であれば CommunicationDirection フィールドに基づいています。
RemotePort	リモートポート。この値は、可能であれば CommunicationDirection フィールドに基づいています。
SimplifiedDeviceAction	DeviceAction フィールドに元の値を保持したまま、DeviceAction 値を静的な値セットに簡略化します。たとえば、 `Denied`>`Deny`。
SourceSystem	常に OpsManager として定義されます。

フィードバック

このページはお役に立ちましたか?

Last updated on 2026-04-23

CEF と CommonSecurityLog フィールド マッピング

A - C

D

E - I

M - P

R - T

カスタム フィールド

カスタム IPv6 アドレス フィールド

ユーザー設定の数値フィールド

カスタム文字列フィールド

カスタム タイムスタンプ フィールド

カスタム整数データ フィールド

エンリッチメント フィールド

脅威インテリジェンス フィールド

その他のエンリッチメント フィールド

関連コンテンツ