| AdditionalFields |
dynamic |
ASim에 매핑되지 않는 원본에서 제공하는 키/값 쌍을 사용하여 표시되는 추가 정보입니다. |
| _BilledSize |
real |
레코드 크기(바이트) |
| DstAppId |
string |
보고 디바이스에서 보고한 대상 애플리케이션의 ID입니다. |
| DstAppName |
string |
대상 애플리케이션의 이름입니다. |
| DstAppType |
string |
대상 애플리케이션의 형식입니다. |
| DstBytes |
long |
연결 또는 세션의 대상에서 원본으로 보낸 바이트 수 이벤트가 집계되면 DstBytes는 집계된 모든 세션에 대한 합계입니다. |
| DstDescription |
string |
대상과 연결된 설명 텍스트입니다. |
| DstDeviceType |
string |
대상 디바이스의 형식입니다. |
| DstDomain |
string |
대상 디바이스의 도메인입니다. |
| DstDomainType |
string |
DstDomain 형식입니다. |
| DstDvcId |
string |
대상 디바이스의 ID입니다. |
| DstDvcIdType |
string |
DstDvcId 형식입니다. |
| DstFQDN |
string |
사용 가능한 경우 도메인 정보를 포함한 대상 디바이스 호스트 이름입니다. |
| DstGeoCity |
string |
대상 IP 주소와 연결된 도시입니다. |
| DstGeoCountry |
string |
대상 IP 주소와 연결된 국가입니다. |
| DstGeoLatitude |
real |
대상 IP 주소와 연결된 지리적 좌표의 위도입니다. |
| DstGeoLongitude |
real |
대상 IP 주소와 연결된 지리적 좌표의 경도입니다. |
| DstGeoRegion |
string |
대상 IP 주소와 연결된 국가 내의 지역 또는 주입니다. |
| DstHostname |
string |
도메인 정보를 제외한 대상 디바이스 호스트 이름입니다. |
| DstInterfaceGuid |
string |
대상 디바이스에서 사용되는 네트워크 인터페이스의 GUID입니다. |
| DstInterfaceName |
string |
대상 디바이스의 연결 또는 세션에 사용되는 네트워크 인터페이스 |
| DstIpAddr |
string |
연결 또는 세션 대상의 IP 주소입니다. |
| DstMacAddr |
string |
대상 디바이스의 연결 또는 세션에 사용되는 네트워크 인터페이스의 MAC 주소입니다. |
| DstNatIpAddr |
string |
DstNatIpAddr는 네트워크 주소 변환을 사용한 경우 대상 디바이스의 원래 주소 또는 원본과의 통신을 위해 중간 디바이스에서 사용하는 IP 주소 중 하나를 나타냅니다. |
| DstNatPortNumber |
int |
중간 NAT 디바이스에서 보고한 경우 NAT 디바이스에서 원본과 통신하는 데 사용하는 포트입니다. |
| DstOriginalUserType |
string |
원본에서 제공한 경우 원래 대상 사용자 유형입니다. |
| DstPackets |
long |
연결 또는 세션에 대한 대상에서 원본으로 전송된 패킷 수입니다. 패킷의 의미는 보고 디바이스에 의해 정의됩니다. 이벤트가 집계되면 DstPackets는 집계된 모든 세션의 합계입니다. |
| DstPortNumber |
int |
대상 IP 포트입니다. |
| DstSubscriptionId |
string |
대상 디바이스가 속한 클라우드 플랫폼 구독 ID입니다. DstSubscriptionId는 Azure의 구독 ID와 AWS의 계정 ID에 매핑됩니다. |
| DstUserId |
string |
대상 사용자에 대한 컴퓨터 판독 가능한 영숫자 고유 표현입니다. |
| DstUserIdType |
string |
DstUserId 필드에 저장된 ID 형식입니다. |
| DstUsername |
string |
사용 가능한 경우 도메인 정보를 포함한 대상 사용자 이름입니다. 도메인 정보를 사용할 수 없는 경우에만 단순 양식을 사용합니다. |
| DstUsernameType |
string |
DstUsername 필드에 저장된 사용자 이름 형식을 지정합니다. |
| DstUserType |
string |
대상 사용자의 형식입니다. |
| DstVlanId |
string |
대상 디바이스와 관련된 VLAN ID입니다. |
| DstZone |
string |
보고 디바이스에 정의된 대상의 네트워크 영역 |
| Dvc |
string |
이벤트가 발생했거나 이벤트를 보고한 디바이스의 고유 식별자입니다. |
| DvcAction |
string |
네트워크 세션에서 수행된 작업입니다. |
| DvcDescription |
string |
디바이스와 관련된 설명 텍스트입니다. 예: 기본 도메인 컨트롤러입니다. |
| DvcDomain |
string |
이벤트를 보고하는 디바이스의 도메인입니다. |
| DvcDomainType |
string |
DvcDomain 형식입니다. 가능한 값에는 'Windows' 및 'FQDN'이 포함됩니다. |
| DvcFQDN |
string |
이벤트가 발생했거나 이벤트를 보고한 디바이스의 호스트 이름입니다. |
| DvcHostname |
string |
이벤트를 보고하는 디바이스의 호스트 이름입니다. |
| DvcId |
string |
이벤트가 발생했거나 이벤트를 보고한 디바이스의 고유 ID입니다. |
| DvcIdType |
string |
DvcId 형식입니다. |
| DvcInboundInterface |
string |
중간 디바이스에서 보고한 경우 원본 디바이스에 연결하기 위해 NAT 디바이스에서 사용하는 네트워크 인터페이스입니다. |
| DvcInterface |
string |
데이터가 캡처된 네트워크 인터페이스입니다. 이 필드는 일반적으로 중간 또는 탭 디바이스에 의해 캡처되는 네트워크 관련 작업과 관련이 있습니다. |
| DvcIpAddr |
string |
이벤트를 보고하는 디바이스의 IP 주소입니다. |
| DvcMacAddr |
string |
이벤트가 발생했거나 이벤트를 보고한 디바이스의 MAC 주소입니다. 예: 00:1B:44:11:3A:B7 |
| DvcOriginalAction |
string |
보고 디바이스에서 제공한 원래 DvcAction입니다. |
| DvcOs |
string |
이벤트를 보고하는 디바이스에서 실행되는 운영 체제입니다. |
| DvcOsVersion |
string |
이벤트를 보고하는 디바이스의 운영 체제 버전입니다. |
| DvcOutboundInterface |
string |
중간 디바이스에 의해 보고된 경우 NAT 디바이스가 대상 디바이스에 연결하는 데 사용하는 네트워크 인터페이스입니다. |
| DvcSubscriptionId |
string |
디바이스가 속한 클라우드 플랫폼 구독 ID입니다. DvcSubscriptionId는 Azure의 구독 ID와 AWS의 계정 ID에 매핑됩니다. |
| DvcZone |
string |
이벤트가 발생했거나 이벤트를 보고한 네트워크입니다. 영역은 보고 디바이스에 의해 정의됩니다. |
| EventCount |
int |
이 값은 원본에서 집계를 지원할 때 사용되며, 단일 레코드에서 여러 이벤트를 나타낼 수 있습니다. |
| EventEndTime |
날짜/시간 |
이벤트가 종료된 시간입니다. 원본이 집계를 지원하고 레코드가 여러 이벤트를 나타내는 경우 마지막 이벤트가 생성된 시간입니다. 원본 레코드에서 제공하지 않는 경우 이 필드는 TimeGenerated 필드의 별칭을 지정합니다. |
| EventMessage |
string |
일반적인 메시지 또는 설명입니다. |
| EventOriginalResultDetails |
string |
원본에서 제공한 원본 결과 세부 정보입니다. 이 값은 각 스키마에 대해 문서화된 값 중 하나만 있어야 하는 EventResultDetails를 파생하는 데 사용됩니다. |
| EventOriginalSeverity |
string |
보고 디바이스에서 제공한 원래 심각도입니다. 이 값은 EventSeverity를 파생하는 데 사용됩니다. |
| EventOriginalSubType |
string |
원본에서 제공한 경우 원래 이벤트 하위 형식 또는 ID입니다. 예를 들어, 이 필드는 원래 Windows 로그온 형식을 저장하는 데 사용됩니다. 이 값은 각 스키마에 대해 문서화된 값 중 하나만 있어야 하는 EventSubType을 파생하는 데 사용됩니다. |
| EventOriginalType |
string |
원본에서 제공하는 경우 원래 이벤트 유형 또는 ID입니다. |
| EventOriginalUid |
string |
원본에서 제공하는 경우 원래 레코드의 고유 ID입니다. |
| EventProduct |
string |
이벤트를 생성하는 제품 |
| EventProductVersion |
string |
이벤트를 생성하는 제품의 버전입니다. |
| EventReportUrl |
string |
이벤트에 대한 자세한 정보를 제공하는 리소스에 대해 이벤트에 제공된 URL입니다. |
| EventResult |
string |
성공, 부분, 실패, NA(해당 없음) 값 중 하나로 표시되는 이벤트의 결과입니다. 이 값은 원본에서 직접 제공할 수 없습니다. 이 경우 EventResultDetails 필드와 같은 다른 이벤트 필드에서 파생됩니다. |
| EventResultDetails |
string |
EventResult 필드에 보고된 결과에 대한 이유 또는 세부 정보입니다. |
| EventSchemaVersion |
string |
스키마의 버전입니다. |
| EventSeverity |
string |
이벤트의 심각도입니다. 유효한 값은 정보, 낮음, 중간 또는 높음입니다. |
| EventStartTime |
날짜/시간 |
이벤트가 시작된 시간입니다. 원본이 집계를 지원하고 레코드가 여러 이벤트를 나타내는 경우 첫 번째 이벤트가 생성된 시간입니다. 원본 레코드에서 제공하지 않는 경우 이 필드는 TimeGenerated 필드의 별칭을 지정합니다. |
| EventSubType |
string |
해당하는 경우 이벤트 유형에 대한 추가 설명입니다. |
| EventType |
string |
레코드에서 보고한 작업입니다. |
| EventVendor |
string |
이벤트를 생성하는 제품의 공급업체입니다. |
| _IsBillable |
string |
데이터 수집이 청구 가능한지 여부를 지정합니다. _IsBillable이 false인 경우 수집 비용은 Azure 계정에 청구되지 않습니다. |
| NetworkApplicationProtocol |
string |
연결 또는 세션에서 사용하는 애플리케이션 계층 프로토콜입니다. |
| NetworkBytes |
long |
양방향으로 전송된 바이트 수입니다. BytesReceived와 BytesSent가 모두 있는 경우 그 합계는 BytesTotal과 같아야 합니다. 이벤트가 집계되면 NetworkBytes는 집계된 모든 세션의 합계입니다. |
| NetworkConnectionHistory |
string |
TCP 플래그 및 기타 잠재적인 IP 헤더 정보. |
| NetworkDirection |
string |
연결 또는 세션의 방향입니다. |
| NetworkDuration |
int |
네트워크 세션 또는 연결을 완료하는 데 걸리는 시간(밀리초) |
| NetworkIcmpCode |
int |
ICMP 메시지의 경우 IPv4 네트워크 연결의 경우 RFC 2780 또는 IPv6 네트워크 연결의 경우 RFC 4443에 설명된 대로 ICMP 메시지 형식 숫자 값입니다. |
| NetworkIcmpType |
string |
ICMP 메시지의 경우 IPv4 네트워크 연결에 대해서는 RFC 2780 또는 IPv6 네트워크 연결에 대해서는 RFC 4443에 설명된 대로 ICMP 메시지 형식 텍스트 표현입니다. |
| NetworkPackets |
long |
양방향으로 전송된 패킷 수입니다. PacketsReceived와 PacketsSent가 모두 있는 경우 그 합계는 BytesTotal과 같아야 합니다. 패킷의 의미는 보고 디바이스에 의해 정의됩니다. 이벤트가 집계되면 NetworkPackets는 집계된 모든 세션에 대한 합계입니다. |
| NetworkProtocol |
string |
IANA 프로토콜 할당에 나열된 대로 연결 또는 세션에서 사용하는 IP 프로토콜(일반적으로 TCP, UDP 또는 ICMP)입니다. |
| NetworkProtocolVersion |
string |
NetworkProtocol의 버전입니다. |
| NetworkRuleName |
string |
DvcAction이 결정된 규칙의 이름 또는 ID입니다. |
| NetworkRuleNumber |
int |
DvcAction이 결정된 규칙의 번호입니다. |
| NetworkSessionId |
string |
보고 디바이스에서 보고한 세션 식별자입니다. |
| _ResourceId |
string |
레코드가 연결된 리소스의 고유 식별자입니다. |
| SourceSystem |
string |
이벤트가 수집된 에이전트의 형식. 예를 들어, Windows 에이전트(직접 연결 또는 Operations Manager)의 경우 OpsManager, 모든 Linux 에이전트의 경우 Linux, Azure Diagnostics의 경우 Azure |
| SrcAppId |
string |
보고 디바이스에서 보고한 원본 애플리케이션의 ID입니다. |
| SrcAppName |
string |
원본 애플리케이션의 이름입니다. |
| SrcAppType |
string |
원본 애플리케이션의 형식입니다. |
| SrcBytes |
long |
연결 또는 세션의 원본에서 대상으로 보낸 바이트 수 이벤트가 집계되면 SrcBytes는 집계된 모든 세션의 합계입니다. |
| SrcDescription |
string |
원본과 연결된 설명 텍스트입니다. |
| SrcDeviceType |
string |
원본 디바이스의 형식입니다. |
| SrcDomain |
string |
원본 디바이스의 도메인입니다. |
| SrcDomainType |
string |
SrcDomain 형식입니다. |
| SrcDvcId |
string |
원본 디바이스의 ID입니다. |
| SrcDvcIdType |
string |
SrcDvcId 형식입니다. |
| SrcFQDN |
string |
사용 가능한 경우 도메인 정보를 포함하는 원본 디바이스 호스트 이름입니다. |
| SrcGeoCity |
string |
원본 IP 주소와 연결된 도시입니다. |
| SrcGeoCountry |
string |
원본 IP 주소와 연결된 국가입니다. |
| SrcGeoLatitude |
real |
원본 IP 주소와 연결된 지리적 좌표의 위도입니다. |
| SrcGeoLongitude |
real |
원본 IP 주소와 연결된 지리적 좌표의 경도입니다. |
| SrcGeoRegion |
string |
원본 IP 주소와 연결된 국가 내의 지역입니다. |
| SrcHostname |
string |
도메인 정보를 제외한 원본 디바이스 호스트 이름입니다. 사용할 수 있는 디바이스 이름이 없는 경우 관련 IP 주소를 저장할 수 있습니다. |
| SrcInterfaceGuid |
string |
원본 디바이스에서 사용되는 네트워크 인터페이스의 GUID입니다. |
| SrcInterfaceName |
string |
원본 디바이스에서 연결 또는 세션에 사용하는 네트워크 인터페이스 |
| SrcIpAddr |
string |
연결 또는 세션이 시작된 IP 주소입니다. |
| SrcMacAddr |
string |
연결 또는 세션이 시작된 네트워크 인터페이스의 MAC 주소입니다. |
| SrcNatIpAddr |
string |
SrcNatIpAddr는 네트워크 주소 변환을 사용한 경우 원본 디바이스의 원래 주소 또는 대상과의 통신을 위해 중간 디바이스에서 사용하는 IP 주소 중 하나를 나타냅니다. |
| SrcNatPortNumber |
int |
중간 NAT 디바이스에서 보고된 경우 NAT 디바이스에서 대상과 통신하는 데 사용하는 포트입니다. |
| SrcOriginalUserType |
string |
보고 디바이스에서 제공하는 경우 원래 대상 사용자 유형입니다. |
| SrcPackets |
long |
원본에서 연결 또는 세션의 대상으로 전송된 패킷 수입니다. 패킷의 의미는 보고 디바이스에 의해 정의됩니다. 이벤트가 집계되면 SrcPackets는 집계된 모든 세션에 대한 합계입니다. |
| SrcPortNumber |
int |
연결이 시작된 IP 포트입니다. 여러 연결을 구성하는 세션과 관련이 없을 수 있습니다. |
| SrcSubscriptionId |
string |
원본 디바이스가 속한 클라우드 플랫폼 구독 ID입니다. SrcSubscriptionId는 Azure의 구독 ID와 AWS의 계정 ID에 매핑됩니다. |
| SrcUserId |
string |
원본 사용자에 대한 컴퓨터 판독 가능한 영숫자 고유 표현입니다. |
| SrcUserIdType |
string |
SrcUserId 필드에 저장된 ID 형식입니다. |
| SrcUsername |
string |
사용 가능한 경우 도메인 정보를 포함한 원본 사용자 이름입니다. |
| SrcUsernameType |
string |
SrcUsername 필드에 저장된 사용자 이름 형식을 지정합니다. |
| SrcUserType |
string |
원본 사용자의 형식입니다. |
| SrcVlanId |
string |
원본 디바이스와 관련된 VLAN ID입니다. |
| SrcZone |
string |
보고 디바이스에서 정의한 원본 네트워크 영역 |
| _SubscriptionId |
string |
레코드가 연결된 구독의 고유 식별자입니다. |
| TcpFlagsAck |
bool |
보고된 TCP ACK 플래그입니다. 승인 플래그는 패킷의 성공적인 수신을 승인하는 데 사용됩니다. 위의 다이어그램에서 볼 수 있듯이 수신자는 3방향 핸드셰이크 프로세스의 두 번째 단계에서 ACK와 SYN을 보내 보낸 사람에게 초기 패킷을 수신했음을 알릴 수 있습니다. |
| TcpFlagsFin |
bool |
보고된 TCP FIN 플래그입니다. 완료된 플래그는 보낸 사람으로부터 더 이상 데이터가 없음을 의미합니다. 따라서 보낸 사람으로부터 전송된 마지막 패킷에 사용됩니다. |
| TcpFlagsPsh |
bool |
보고된 TCP PSH 플래그입니다. 푸시 플래그는 URG 플래그와 다소 유사하며 수신자가 버퍼링하는 대신 수신될 때 이러한 패킷을 처리하도록 지시합니다. |
| TcpFlagsRst |
bool |
보고된 TCP RST 플래그입니다. 패킷이 예상하지 못한 특정 호스트로 전송되면 재설정 플래그가 수신자에서 보낸 사람에게 전송됩니다. |
| TcpFlagsSyn |
bool |
보고된 TCP SYN 플래그입니다. 동기 플래그는 두 호스트 간에 3방향 핸드셰이크를 설정하는 첫 번째 단계로 사용됩니다. 보낸 사람 및 수신자 모두의 첫 번째 패킷에만 이 플래그를 설정해야 합니다. |
| TcpFlagsUrg |
bool |
보고된 TCP URG 플래그입니다. 긴급 플래그는 다른 모든 패킷을 처리하기 전에 수신자에게 긴급 패킷을 처리하도록 알리는 데 사용됩니다. 알려진 긴급 데이터가 모두 수신되면 수신자에게 알림이 전송됩니다. 자세한 내용은 RFC 6093을 참조하세요. |
| TenantId |
string |
Log Analytics 작업 영역 ID |
| ThreatCategory |
string |
네트워크 세션에서 식별된 위협 또는 맬웨어의 범주입니다. |
| ThreatConfidence |
int |
식별된 위협의 신뢰 수준이며, 0~100의 값으로 정규화됩니다. |
| ThreatField |
string |
위협이 식별된 필드입니다. 값은 SrcIpAddr, DstIpAddr, Domain 또는 DnsResponseName입니다. |
| ThreatFirstReportedTime |
날짜/시간 |
IP 주소 또는 도메인이 처음으로 위협으로 식별된 시간입니다. |
| ThreatId |
string |
네트워크 세션에서 식별된 위협 또는 맬웨어의 ID입니다. |
| ThreatIpAddr |
string |
위협이 식별된 IP 주소입니다. ThreatField 필드에는 ThreatIpAddr에서 나타내는 필드의 이름이 포함됩니다. |
| ThreatIsActive |
bool |
식별된 위협이 활성 위협으로 간주되는 True ID입니다. |
| ThreatLastReportedTime |
날짜/시간 |
IP 주소 또는 도메인이 마지막으로 위협으로 식별된 시간입니다. |
| ThreatName |
string |
네트워크 세션에서 식별된 위협 또는 맬웨어의 이름입니다. |
| ThreatOriginalConfidence |
string |
보고 디바이스에서 보고하는 식별된 위협의 원래 신뢰 수준입니다. |
| ThreatOriginalRiskLevel |
string |
보고 디바이스에서 보고한 위험 수준입니다. |
| ThreatRiskLevel |
int |
세션과 관련된 위험 수준입니다. 수준은 0에서 100 사이의 숫자입니다. |
| TimeGenerated |
날짜/시간 |
이벤트가 생성된 시간을 반영하는 타임스탬프(UTC)입니다. |
| Type |
string |
테이블의 이름입니다. |