| AdditionalFields |
по строкам |
Дополнительные сведения, представленные с помощью пар "ключ-значение", предоставляемых источником, который не сопоставляется с ASim. |
| _BilledSize |
real |
Размер записи в байтах |
| DstAppId |
строка |
Идентификатор приложения назначения, который сообщается устройством отчетов. |
| DstAppName |
строка |
Введите имя приложения назначения. |
| DstAppType |
строка |
Тип приложения назначения. |
| DstBytes |
длинный |
Число байтов, отправленных от места назначения к источнику для соединения или сеанса. Если событие агрегировано, DstBytes — это сумма по всем агрегированным сеансам. |
| DstDeviceType |
строка |
Тип устройства назначения. |
| DstDomain |
строка |
Домен устройства назначения. |
| DstDomainType |
строка |
Тип DstDomain. |
| DstDvcId |
строка |
Идентификатор ресурса устройства назначения. |
| DstDvcIdType |
строка |
Тип DstDvcId. |
| DstDvcScope |
строка |
Область облачной платформы, к которой принадлежит целевое устройство. DvcScope сопоставляется с подпиской в Azure и учетной записью в AWS. |
| DstDvcScopeId |
строка |
Идентификатор области облачной платформы, к которому принадлежит целевое устройство. DvcScopeId сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
| DstFQDN |
строка |
Имя узла устройства назначения, включая сведения о домене, если они доступны. |
| DstGeoCity |
строка |
Город, связанный с IP-адресом назначения. |
| DstGeoCountry |
строка |
Страна, связанная с IP-адресом назначения. |
| DstGeoLatitude |
real |
Широта географической координаты, связанная с IP-адресом назначения. |
| DstGeoLongitude |
real |
Долгота географической координаты, связанная с IP-адресом назначения. |
| DstGeoRegion |
строка |
Регион или штат в стране, связанной с IP-адресом назначения. |
| DstHostname |
строка |
Имя узла устройства назначения, включая сведения о домене. |
| DstIpAddr |
строка |
IP-адрес подключения или назначения сеанса. |
| DstMacAddr |
строка |
MAC-адрес сетевого интерфейса, используемый устройством назначения для подключения или сеанса. |
| DstNatIpAddr |
строка |
DstNatIpAddr представляет любой из следующих вариантов: исходный адрес конечного устройства, если был использован сетевой адрес или IP-адрес, используемый промежуточным устройством для связи с источником. |
| DstNatPortNumber |
INT |
Если сообщение передается промежуточным устройством NAT, то это будет порт, используемый устройством NAT для связи с источником. |
| DstOriginalUserType |
строка |
Начальный тип пользователя назначения, если он указан источником. |
| DstPackets |
длинный |
Число пакетов, отправленных от места назначения к источнику для соединения или сеанса. Значение пакета определяется устройством составления отчетов. Если событие агрегировано, DstPackets — это сумма по всем агрегированным сеансам. |
| DstPortNumber |
INT |
Порт назначения. |
| DstUserId |
строка |
Считываемое компьютером буквенно-цифровое, уникальное представление пользователя назначения. |
| DstUserIdType |
строка |
Тип идентификатора, который хранится в поле DstUserId. |
| DstUsername |
строка |
Имя пользователя назначения, включая сведения о домене, если они доступны. Используйте простую форму, только если сведения о домене недоступны. |
| DstUsernameType |
строка |
Указывает тип имени пользователя, хранимого в поле DstUsername. |
| DstUserType |
строка |
Тип пользователя назначения. |
| Dvc |
строка |
Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии. |
| DvcAction |
строка |
Действия, выполненные в веб-сеансе. |
| DvcDomain |
строка |
Домен устройства, сообщающего о событии. |
| DvcDomainType |
строка |
Тип DvcDomain. Возможные значения включают "Windows" и "полное доменное имя". |
| DvcFQDN |
строка |
Имя узла устройства, на котором произошло событие или которое сообщило о событии. |
| DvcHostname |
строка |
Имя узла устройства, сообщающее о событии. |
| DvcId |
строка |
Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии. |
| DvcIdType |
строка |
Тип DvcId. |
| DvcIpAddr |
строка |
IP-адрес устройства, сообщающего о событии. |
| DvcOriginalAction |
строка |
Исходное действие DvcAction, предоставленное передающим устройством. |
| EventCount |
INT |
Обычно это значение используется для источников, которые поддерживают агрегирование, то есть когда одна запись может сопоставляться с несколькими событиями. |
| EventEndTime |
datetime |
Время окончания события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации последнего события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| EventMessage |
строка |
Общее сообщение или описание. |
| EventOriginalResultDetails |
строка |
Исходные сведения о результатах, предоставленные источником. Это значение используется для получения значения EventResultDetails, которое должно иметь только одно из значений, задокументированных для каждой схемы. |
| EventOriginalSeverity |
строка |
Исходная степень серьезности, предоставленная передающим устройством. Это значение используется для получения EventSeverity. |
| EventOriginalSubType |
строка |
Исходный идентификатор или подтип события, если предоставлен источником. Например, это поле будет использоваться для хранения исходного типа события входа Windows. Это значение используется для получения значения EventSubType, которое должно иметь только одно из значений, задокументированных для каждой схемы. |
| EventOriginalType |
строка |
Исходный идентификатор или тип события, если он указан источником. |
| EventOriginalUid |
строка |
Уникальный идентификатор исходной записи, если он указан источником. |
| EventOwner |
строка |
Владелец события, который обычно является отделом или дочерней компанией, в которой она была создана. |
| EventProduct |
строка |
Продукт, создающий событие. |
| EventProductVersion |
строка |
Версия продукта, создающего событие. |
| EventReportUrl |
строка |
URL-адрес, предоставленный в событии для ресурса с дополнительной информацией об этом событии. |
| EventResult |
строка |
Результат события, представленный одним из следующих значений: Success, Partial, Failure, NA (Not Applicable). Значение может не предоставляться напрямую источниками, в этом случае оно является производным от других полей событий, например поля EventResultDetails. |
| EventResultDetails |
строка |
Код состояния HTTP. |
| EventSchemaVersion |
строка |
Номер версии схемы. |
| EventSeverity |
строка |
Серьезность события. Допустимые значения: "Информационный", "Низкий", "Средний" или "Высокий". |
| EventStartTime |
datetime |
Время начала события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации первого события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| EventSubType |
строка |
Дополнительное описание типа события, если применимо. |
| EventType |
строка |
Операция, сообщаемая записью. |
| EventVendor |
строка |
Поставщик продукта, создающего событие. |
| FileContentType |
строка |
Для передачи по HTTP это тип содержимого отправляемого файла. |
| FileMD5 |
строка |
Для передачи по HTTP это хэш MD5 отправленного файла. |
| FileName |
строка |
Для передачи по HTTP это имя отправленного файла. |
| FileSHA1 |
строка |
Для передачи по HTTP это хэш SHA1 отправленного файла. |
| FileSHA256 |
строка |
Для передачи по HTTP это хэш SHA256 отправленного файла. |
| FileSHA512 |
строка |
Для передачи по HTTP это хэш SHA512 отправленного файла. |
| FileSize |
INT |
Для передачи по HTTP это размер (в байтах) отправленного файла. |
| HttpContentFormat |
строка |
Часть HttpContentType с форматом содержимого. |
| HttpContentType |
строка |
Заголовок типа содержимого для HTTP-ответа. |
| HttpHost |
строка |
Виртуальный веб-сервер, на который предназначен HTTP-запрос. |
| HttpReferrer |
строка |
Заголовок источника ссылки HTTP. |
| HttpRequestMethod |
строка |
Метод HTTP. |
| HttpRequestTime |
INT |
Время в миллисекундах потребовалось для отправки запроса серверу. |
| HttpRequestXff |
строка |
HTTP-заголовок X-Forwarded-For. |
| HttpResponseTime |
INT |
Время в миллисекундах потребовалось для получения ответа на сервере. |
| HttpUserAgent |
строка |
Заголовок агента пользователя HTTP. |
| HttpVersion |
строка |
Версия HTTP-запроса. |
| _IsBillable |
строка |
Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure. |
| NetworkApplicationProtocol |
строка |
Протокол на уровне приложения, используемый соединением или сеансом. |
| NetworkBytes |
длинный |
Число байтов, отправленных в обоих направлениях. Если BytesReceived и BytesSent существуют, значение BytesTotal должно быть равно их сумме. Если событие агрегировано, NetworkBytes — это сумма по всем агрегированным сеансам. |
| NetworkConnectionHistory |
строка |
Флаги TCP и другие возможные сведения о заголовке IP. |
| NetworkDirection |
строка |
Направление подключения или сеанса. |
| NetworkDuration |
INT |
Время в миллисекундах для завершения веб-сеанса или подключения. |
| NetworkIcmpCode |
INT |
Для сообщения ICMP введите числовое значение типа сообщения ICMP, как описано в RFC 2780 для сетевых подключений IPv4 или в RFC 4443 для сетевых подключений IPv6. |
| NetworkIcmpType |
строка |
Для сообщения ICMP введите текстовое представление типа сообщения ICMP, как описано в RFC 2780 для сетевых подключений IPv4 или в RFC 4443 для сетевых подключений IPv6. |
| NetworkPackets |
длинный |
Число пакетов, отправленных в обоих направлениях. Если PacketsReceived и PacketsSent существуют, значение BytesTotal должно быть равно их сумме. Значение пакета определяется устройством составления отчетов. Если событие агрегировано, NetworkPackets — это сумма по всем агрегированным сеансам. |
| NetworkProtocol |
строка |
IP-протокол, используемый подключением или сеансом, как указано в назначении протокола IANA, который обычно является TCP, UDP или ICMP. |
| NetworkProtocolVersion |
строка |
Версия NetworkProtocol. |
| NetworkSessionId |
строка |
Идентификатор сеанса, сообщаемый устройством составления отчетов. |
| _ResourceId |
строка |
Уникальный идентификатор ресурса, с которым связана запись. |
| Правило |
строка |
Значение NetworkRuleName или NetworkRuleNumber |
| RuleName |
строка |
Имя или идентификатор правила, по которому было принято решение об DvcAction. Пример: AnyAnyDrop |
| RuleNumber |
INT |
Номер правила, по которому было принято решение об DvcAction. Пример: 23 |
| SourceSystem |
строка |
Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
| SrcAppId |
строка |
Идентификатор исходного приложения, который сообщается передающим устройством. |
| SrcAppName |
строка |
Имя исходного приложения. |
| SrcAppType |
строка |
Тип исходного приложения. |
| SrcBytes |
длинный |
Число байтов, отправленных от источника к месту назначения для соединения или сеанса. Если событие агрегировано, SrcBytes — это сумма по всем агрегированным сеансам. |
| SrcDeviceType |
строка |
Тип исходного устройства. |
| SrcDomain |
строка |
Домен исходного устройства. |
| SrcDomainType |
строка |
Тип SrcDomain. |
| SrcDvcId |
строка |
Идентификатор исходного устройства. |
| SrcDvcIdType |
строка |
Тип SrcDvcId. |
| SrcDvcScope |
строка |
Область облачной платформы, к которой принадлежит исходное устройство. DvcScope сопоставляется с подпиской в Azure и учетной записью в AWS. |
| SrcDvcScopeId |
строка |
Идентификатор области облачной платформы, к которому принадлежит исходное устройство. DvcScopeId сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
| SrcFQDN |
строка |
Имя узла исходного устройства, включая сведения о домене, если они доступны. |
| SrcGeoCity |
строка |
Город, связанный с исходным IP-адресом. |
| SrcGeoCountry |
строка |
Страна, связанная с исходным IP-адресом. |
| SrcGeoLatitude |
real |
Географическая широта, связанная с исходным IP-адресом. |
| SrcGeoLongitude |
real |
Географическая долгота, связанная с исходным IP-адресом. |
| SrcGeoRegion |
строка |
Регион в стране, связанный с исходным IP-адресом. |
| SrcHostname |
строка |
Имя узла исходного устройства, включая сведения о домене. Если имя устройства недоступно, может хранить соответствующий IP-адрес. |
| SrcIpAddr |
строка |
IP-адрес, с которого поступило соединение или сеанс. |
| SrcMacAddr |
строка |
MAC-адрес сетевого интерфейса, из которого создано подключение или сеанс. |
| SrcNatIpAddr |
строка |
SrcNatIpAddr представляет любой из следующих вариантов: исходный адрес исходного устройства, если использовался перевод сетевых адресов или IP-адрес, используемый промежуточным устройством для связи с назначением. |
| SrcNatPortNumber |
INT |
Если сообщение передается промежуточным устройством NAT, то это будет порт, используемый устройством NAT для связи с пунктом назначения. |
| SrcOriginalUserType |
строка |
Исходный тип пользователя назначения, если он предоставляется устройством отчетов. |
| SrcPackets |
длинный |
Число пакетов, отправленных от источника к месту назначения для соединения или сеанса. Значение пакета определяется устройством составления отчетов. Если событие агрегировано, SrcPackets — это сумма по всем агрегированным сеансам. |
| SrcPortNumber |
INT |
Порт IP-адреса, с которого было создано подключение. Может не иметь отношения к сеансу, включающему несколько подключений. |
| SrcProcessGuid |
строка |
Созданный уникальный идентификатор (GUID) исходного процесса. |
| SrcProcessId |
строка |
Идентификатор процесса (PID) исходного процесса. |
| SrcProcessName |
строка |
Имя исходного процесса. |
| SrcUserId |
строка |
Считываемое компьютером буквенно-цифровое, уникальное представление исходного пользователя. |
| SrcUserIdType |
строка |
Тип идентификатора, который хранится в поле SrcUserId. |
| SrcUsername |
строка |
Имя исходного пользователя, включая сведения о домене, если они доступны. |
| SrcUsernameType |
строка |
Указывает тип имени пользователя, хранимого в поле SrcUsername. |
| SrcUserScope |
строка |
Область, например клиент Azure AD, в которой определены SrcUserId и SrcUsername. |
| SrcUserScopeId |
строка |
Идентификатор области, например клиента Azure AD, в которой определены SrcUserId и SrcUsername. |
| SrcUserType |
строка |
Тип исходного пользователя. |
| _SubscriptionId |
строка |
Уникальный идентификатор подписки, с которой связана запись |
| TenantId |
строка |
Идентификатор рабочей области Log Analytics |
| ThreatCategory |
строка |
Категория угроз или вредоносных программ, определенных в веб-сеансе. |
| ThreatConfidence |
INT |
Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| ThreatField |
строка |
Поле, для которого была обнаружена угроза. Это значение — SrcIpAddr, DstIpAddr, Domain или DnsResponseName. |
| ThreatFirstReportedTime |
datetime |
Время первого обнаружения угрозы для этого IP-адреса или домена. |
| ThreatId |
строка |
Идентификатор угрозы или вредоносных программ, определенных в веб-сеансе. |
| ThreatIpAddr |
строка |
IP-адрес, для которого была обнаружена угроза. Поле ThreatField содержит имя поля, которое представляет ThreatIpAddr. |
| ThreatIsActive |
bool |
Истинный идентификатор обнаруженной угрозы считается активной угрозой. |
| ThreatLastReportedTime |
datetime |
Время последнего обнаружения угрозы для этого IP-адреса или домена. |
| ThreatName |
строка |
Имя угрозы или вредоносных программ, определенных в веб-сеансе. |
| ThreatOriginalConfidence |
строка |
Исходный уровень достоверности для обнаруженной угрозы, полученный от устройства, сообщившего о ней. |
| ThreatOriginalRiskLevel |
строка |
Уровень риска, сообщаемый устройством отчетов. |
| ThreatRiskLevel |
INT |
Связанный с сеансом уровень риска. Уровень — от 0 до 100. |
| TimeGenerated |
datetime |
Метка времени (UTC), отражающая время создания события. |
| Тип |
строка |
Имя таблицы. |
| URL |
строка |
Полный URL-адрес HTTP-запроса, включая параметры. |
| UrlCategory |
строка |
Определенная группа URL-адреса или часть домена URL-адреса. |
| UrlOriginal |
строка |
Исходное значение URL-адреса, если URL-адрес был изменен передающим устройством и указаны оба значения. |