CommonSecurityLog
이 표는 Check Point, Palo Alto 등과 같은 다양한 보안 어플라이언스에서 가장 자주 전송되는 공통 이벤트 형식의 이벤트를 수집하기 위한 것입니다.
테이블 특성
attribute | 값 |
---|---|
리소스 종류 | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
범주 | 보안 |
솔루션 | 보안, SecurityInsights |
기본 로그 | No |
수집 시간 변환 | Yes |
샘플 쿼리 | 예 |
열
열 | 형식 | 설명 |
---|---|---|
활동 | 문자열 | 사용자가 읽고 이해할 수 있는 이벤트 설명을 나타내는 문자열입니다. |
AdditionalExtensions | 문자열 | 추가 필드의 자리 표시자입니다. 필드는 키-값 쌍으로 기록됩니다. |
ApplicationProtocol | 문자열 | 애플리케이션에 사용되는 프로토콜(예: HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS 등)입니다. |
_BilledSize | real | 레코드 크기(바이트) |
CollectorHostName | 문자열 | 에이전트를 실행하는 수집기 컴퓨터의 호스트 이름입니다. |
CommunicationDirection | 문자열 | 관찰된 통신이 진행된 방향에 대한 정보입니다. 유효한 값: 0 = 인바운드, 1 = 아웃바운드. |
Computer | 문자열 | 호스트, Syslog에서. |
DestinationDnsDomain | 문자열 | FQDN(정규화된 도메인 이름)의 DNS 부분입니다. |
DestinationHostName | 문자열 | IP 네트워크에서 이벤트가 참조하는 대상입니다. 노드를 사용할 수 있는 경우 이 형식은 대상 노드와 연결된 FQDN이어야 합니다. 예: host.domain.com 또는 호스트입니다. |
DestinationIP | 문자열 | IP 네트워크에서 이벤트가 참조하는 대상 IpV4 주소입니다. |
DestinationMACAddress | 문자열 | 대상 MAC 주소(FQDN)입니다. |
DestinationNTDomain | 문자열 | 대상 주소의 Windows 도메인 이름입니다. |
DestinationPort | int | 대상 포트입니다. 유효한 값: 0 - 65535. |
DestinationProcessId | int | 이벤트와 연결된 대상 프로세스의 ID입니다. |
DestinationProcessName | 문자열 | 텔넷 또는 sshd와 같은 이벤트의 대상 프로세스 이름입니다. |
DestinationServiceName | 문자열 | 이벤트에 의해 대상으로 지정된 서비스입니다. 예: sshd. |
DestinationTranslatedAddress | 문자열 | IP 네트워크에서 이벤트에 의해 참조되는 변환된 대상을 IPv4 IP 주소로 식별합니다. |
DestinationTranslatedPort | int | 방화벽 유효한 포트 번호와 같은 변환 후 포트: 0 - 65535. |
DestinationUserID | string | ID로 대상 사용자를 식별합니다. 예를 들어 Unix에서 루트 사용자는 일반적으로 사용자 ID 0과 연결됩니다. |
DestinationUserName | string | 이름으로 대상 사용자를 식별합니다. |
DestinationUserPrivileges | string | 대상 사용 권한을 정의합니다. 유효한 값: Admninistrator, User, Guest. |
DeviceAction | 문자열 | 이벤트에 언급된 작업입니다. |
DeviceAddress | 문자열 | 이벤트를 생성하는 디바이스의 IPv4 주소입니다. |
DeviceCustomDate1 | string | 이 사전의 다른 어떤 필드에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 두 개의 타임스탬프 필드 중 하나입니다. 드물게 사용하고 가능한 경우 보다 구체적인 사전 제공 필드를 찾습니다. |
DeviceCustomDate1Label | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
DeviceCustomDate2 | 문자열 | 이 사전의 다른 어떤 필드에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 두 개의 타임스탬프 필드 중 하나입니다. 드물게 사용하고 가능한 경우 보다 구체적인 사전 제공 필드를 찾습니다. |
DeviceCustomDate2Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
DeviceCustomFloatingPoint1 | real | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 네 개의 부동 소수점 필드 중 하나입니다. |
DeviceCustomFloatingPoint1Label | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
DeviceCustomFloatingPoint2 | real | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 네 개의 부동 소수점 필드 중 하나입니다. |
DeviceCustomFloatingPoint2Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
DeviceCustomFloatingPoint3 | real | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 네 개의 부동 소수점 필드 중 하나입니다. |
DeviceCustomFloatingPoint3Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
DeviceCustomFloatingPoint4 | real | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 네 개의 부동 소수점 필드 중 하나입니다. |
DeviceCustomFloatingPoint4Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
DeviceCustomIPv6Address1 | 문자열 | 이 사전의 다른 어떤 필드도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 4개의 IPv6 주소 필드 중 하나입니다. |
DeviceCustomIPv6Address1Label | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
DeviceCustomIPv6Address2 | 문자열 | 이 사전의 다른 어떤 필드도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 4개의 IPv6 주소 필드 중 하나입니다. |
DeviceCustomIPv6Address2Label | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
DeviceCustomIPv6Address3 | string | 이 사전의 다른 어떤 필드도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 4개의 IPv6 주소 필드 중 하나입니다. |
DeviceCustomIPv6Address3Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
DeviceCustomIPv6Address4 | string | 이 사전의 다른 어떤 필드도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 4개의 IPv6 주소 필드 중 하나입니다. |
DeviceCustomIPv6Address4Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
DeviceCustomNumber1 | int | 곧 사용되지 않는 필드가 될 것입니다. FieldDeviceCustomNumber1로 대체됩니다. |
DeviceCustomNumber1Label | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
DeviceCustomNumber2 | int | 곧 사용되지 않는 필드가 될 것입니다. FieldDeviceCustomNumber2로 대체됩니다. |
DeviceCustomNumber2Label | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
DeviceCustomNumber3 | int | 곧 사용되지 않는 필드가 될 것입니다. FieldDeviceCustomNumber3으로 대체됩니다. |
DeviceCustomNumber3Label | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
DeviceCustomString1 | 문자열 | 이 사전의 다른 어떤 문자열에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 6개의 문자열 중 하나입니다. 가능한 경우 드물게 사용하고 사전 제공 필드를 더 구체적으로 찾습니다. |
DeviceCustomString1Label | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
DeviceCustomString2 | 문자열 | 이 사전의 다른 어떤 문자열에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 6개의 문자열 중 하나입니다. 가능한 경우 드물게 사용하고 사전 제공 필드를 더 구체적으로 찾습니다. |
DeviceCustomString2Label | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
DeviceCustomString3 | 문자열 | 이 사전의 다른 어떤 문자열에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 6개의 문자열 중 하나입니다. 가능한 경우 드물게 사용하고 사전 제공 필드를 더 구체적으로 찾습니다. |
DeviceCustomString3Label | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
DeviceCustomString4 | 문자열 | 이 사전의 다른 어떤 문자열에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 6개의 문자열 중 하나입니다. 가능한 경우 드물게 사용하고 사전 제공 필드를 더 구체적으로 찾습니다. |
DeviceCustomString4Label | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
DeviceCustomString5 | 문자열 | 이 사전의 다른 어떤 문자열에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 6개의 문자열 중 하나입니다. 가능한 경우 드물게 사용하고 사전 제공 필드를 더 구체적으로 찾습니다. |
DeviceCustomString5Label | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
DeviceCustomString6 | 문자열 | 이 사전의 다른 어떤 문자열에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 6개의 문자열 중 하나입니다. 가능한 경우 드물게 사용하고 사전 제공 필드를 더 구체적으로 찾습니다. |
DeviceCustomString6Label | string | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
DeviceDnsDomain | string | FQDN(정규화된 도메인 이름)의 DNS 도메인 부분입니다. |
DeviceEventCategory | 문자열 | 원래 디바이스에서 할당한 범주를 나타냅니다. 디바이스는 종종 자체 분류 스키마를 사용하여 이벤트를 분류합니다. 예: '/Monitor/Disk/Read'. |
DeviceEventClassID | 문자열 | 이벤트 유형별 고유 식별자 역할을 하는 문자열 또는 정수입니다. |
DeviceExternalID | 문자열 | 이벤트를 생성하는 디바이스를 고유하게 식별하는 이름입니다. |
DeviceFacility | 문자열 | 이벤트를 생성하는 기능입니다. 예: auth 또는 local1. |
DeviceInboundInterface | string | 패킷 또는 데이터가 디바이스에 들어갈 때 사용된 인터페이스입니다. 예: ethernet1/2. |
DeviceMacAddress | 문자열 | 이벤트를 생성하는 디바이스의 MAC 주소입니다. |
DeviceName | 문자열 | 노드를 사용할 수 있는 경우 디바이스 노드와 연결된 FQDN입니다. 예: host.domain.com 또는 호스트입니다. |
DeviceNtDomain | 문자열 | 디바이스 주소의 Windows 도메인입니다. |
DeviceOutboundInterface | 문자열 | 패킷이 디바이스에서 나올 때 사용된 인터페이스입니다. |
DevicePayloadId | string | 이벤트와 연결된 페이로드의 고유 식별자입니다. |
DeviceProduct | string | 디바이스 제품 및 버전 정의와 함께 보내는 디바이스의 유형을 고유하게 식별하는 문자열입니다. |
DeviceTimeZone | string | 이벤트를 생성하는 디바이스의 표준 시간대입니다. |
DeviceTranslatedAddress | string | IP 네트워크에서 이벤트가 참조하는 변환된 디바이스 주소를 식별합니다. 형식은 Ipv4 주소입니다. |
DeviceVendor | string | 디바이스 제품 및 버전 정의와 함께 보내는 디바이스의 유형을 고유하게 식별하는 문자열입니다. |
DeviceVersion | 문자열 | 디바이스 제품 및 버전 정의와 함께 디바이스를 보내는 유형을 고유하게 식별하는 문자열입니다. |
EndTime | Datetime | 이벤트와 관련된 활동이 종료된 시간입니다. |
EventCount | int | 동일한 이벤트가 관찰된 횟수를 표시하는 이벤트와 연결된 개수입니다. |
EventOutcome | 문자열 | 일반적으로 결과를 '성공' 또는 '실패'로 표시합니다. |
EventType | int | 이벤트 유형입니다. 값 값은 0: 기본 이벤트, 1: 집계됨, 2: 상관 관계 이벤트, 3: 작업 이벤트입니다. 참고: 이 이벤트는 기본 이벤트에 대해 생략할 수 있습니다. |
ExternalID | int | 곧 사용되지 않는 필드가 될 것입니다. ExtID로 대체됩니다. |
ExtID | string | 원래 디바이스에서 사용하는 ID입니다(레거시 ExternalID를 대체합니다). 일반적으로 이러한 값은 각각 이벤트와 연결된 늘어나는 값입니다. |
FieldDeviceCustomNumber1 | long | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 세 가지 숫자 필드 중 하나입니다(레거시 DeviceCustomNumber1을 대체합니다). 드물게 사용하고 가능한 경우 보다 구체적인 사전 제공 필드를 찾습니다. |
FieldDeviceCustomNumber2 | long | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 세 가지 숫자 필드 중 하나입니다(레거시 DeviceCustomNumber2를 대체합니다). 드물게 사용하고 가능한 경우 보다 구체적인 사전 제공 필드를 찾습니다. |
FieldDeviceCustomNumber3 | long | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 세 가지 숫자 필드 중 하나입니다(레거시 DeviceCustomNumber3을 대체합니다). 드물게 사용하고 가능한 경우 보다 구체적인 사전 제공 필드를 찾습니다. |
FileCreateTime | 문자열 | 파일이 만들어진 시간입니다. |
FileHash | string | 파일의 해시입니다. |
FileID | 문자열 | 파일과 연결된 ID(예: inode)입니다. |
FileModificationTime | 문자열 | 파일이 마지막으로 수정된 시간입니다. |
FileName | string | 경로 없이 파일의 이름입니다. |
FilePath | 문자열 | 파일 이름을 포함하는 파일의 전체 경로입니다. 예: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 또는 /usr/bin/zip입니다. |
FilePermission | 문자열 | 파일의 사용 권한입니다. 예: '2,1,1'. |
FileSize | int | 파일의 크기(바이트)입니다. |
FileType | 문자열 | 파이프, 소켓 등의 파일 형식입니다. |
FlexDate1 | 문자열 | 이 사전의 다른 정의된 타임스탬프 필드에 적용되지 않는 타임스탬프를 매핑하는 데 사용할 수 있는 타임스탬프 필드입니다. 가능한 경우 모든 flex 필드를 아끼고 보다 구체적인 사전 제공 필드를 찾습니다. 이러한 필드는 일반적으로 고객 사용을 위해 예약되며 필요한 경우가 아니면 공급업체에서 설정해서는 안 됩니다. |
FlexDate1Label | string | 레이블 필드는 문자열이며 flex 필드의 용도를 설명합니다. |
FlexNumber1 | int | 이 사전의 다른 필드에 적용되지 않는 Int 데이터를 매핑하는 데 사용할 수 있는 숫자 필드입니다. |
FlexNumber1Label | string | FlexNumber1의 값을 설명하는 레이블 |
FlexNumber2 | int | 이 사전의 다른 필드에 적용되지 않는 Int 데이터를 매핑하는 데 사용할 수 있는 숫자 필드입니다. |
FlexNumber2Label | 문자열 | FlexNumber2의 값을 설명하는 레이블 |
FlexString1 | 문자열 | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 네 개의 부동 소수점 필드 중 하나입니다. 드물게 사용하고 가능한 경우 보다 구체적인 사전 제공 필드를 찾습니다. 이러한 필드는 일반적으로 고객 사용을 위해 예약되며 필요한 경우가 아니면 공급업체에서 설정해서는 안 됩니다. |
FlexString1Label | 문자열 | 레이블 필드는 문자열이며 flex 필드의 용도를 설명합니다. |
FlexString2 | 문자열 | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 네 개의 부동 소수점 필드 중 하나입니다. 드물게 사용하고 가능한 경우 보다 구체적인 사전 제공 필드를 찾습니다. 이러한 필드는 일반적으로 고객 사용을 위해 예약되며 필요한 경우가 아니면 공급업체에서 설정해서는 안 됩니다. |
FlexString2Label | 문자열 | 레이블 필드는 문자열이며 flex 필드의 용도를 설명합니다. |
IndicatorThreatType | string | TI 피드에 따른 MaliciousIP의 위협 유형입니다. |
_IsBillable | string | 데이터 수집을 청구할 수 있는지 여부를 지정합니다. _IsBillable 수집 시 false Azure 계정에 청구되지 않음 |
LogSeverity | 문자열 | 이벤트의 중요도를 설명하는 문자열 또는 정수입니다. 유효한 문자열 값: 알 수 없음, 낮음, 중간, 높음, Very-High 유효한 정수 값은 0-3 = 낮음, 4-6 = 중간, 7-8 = 높음, 9-10 = 매우 높음입니다. |
MaliciousIP | string | 메시지의 IP 중 하나가 현재 TI 피드와 상관 관계가 있는 경우 여기에 표시됩니다. |
MaliciousIPCountry | string | 레코드 수집 시 GEO 정보에 따른 MaliciousIP의 국가입니다. |
MaliciousIPLatitude | real | 레코드 수집 시 GEO 정보에 따른 MaliciousIP의 위도입니다. |
MaliciousIPLongitude | real | 레코드 수집 시 GEO 정보에 따른 MaliciousIP의 경도입니다. |
메시지 | 문자열 | 이벤트에 대한 자세한 정보를 제공하는 메시지입니다. |
OldFileCreateTime | 문자열 | 이전 파일을 만든 시간입니다. |
OldFileHash | 문자열 | 이전 파일의 해시입니다. |
OldFileID | 문자열 | 이전 파일과 연결된 ID(예: inode)입니다. |
OldFileModificationTime | 문자열 | 파일이 마지막으로 수정된 시간입니다. |
OldFileName | 문자열 | 이전 파일의 이름입니다. |
OldFilePath | 문자열 | 파일 이름을 포함하여 이전 파일의 전체 경로입니다. 예: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 또는 /usr/bin/zip입니다. |
OldFilePermission | 문자열 | 이전 파일의 권한입니다. 예: '2,1,1'. |
OldFileSize | int | 이전 파일의 크기(바이트)입니다. |
OldFileType | 문자열 | 파이프, 소켓 등 이전 파일의 파일 형식입니다. |
OriginalLogSeverity | 문자열 | 매핑이 없는 LogSeverity 버전입니다. 예: LogSeverity 필드에서 표준화된 낮음/중간/높음 대신 경고/위험/정보 |
ProcessID | int | 이벤트를 생성하는 디바이스에서 프로세스의 ID를 정의합니다. |
ProcessName | 문자열 | 이벤트와 연결된 프로세스 이름입니다. 예를 들어 UNIX에서는 syslog 항목을 생성하는 프로세스입니다. |
프로토콜 | 문자열 | 사용된 계층 4 프로토콜을 식별하는 전송 프로토콜입니다. 가능한 값에는 TCP 또는 UDP와 같은 프로토콜 이름이 포함됩니다. |
이유 | string | 감사 이벤트가 생성된 이유입니다. 예를 들어 '잘못된 암호' 또는 '알 수 없는 사용자'가 있습니다. 오류 또는 반환 코드일 수도 있습니다. 예: '0x1234'. |
ReceiptTime | 문자열 | 작업과 관련된 이벤트를 받은 시간입니다. 로그 수집기 컴퓨터에서 이벤트가 수신된 시점인 'Timegenerated' 필드가 다릅니다. |
ReceivedBytes | long | 인바운드로 전송된 바이트 수입니다. |
RemoteIP | 문자열 | 가능한 경우 이벤트의 방향 값에서 파생된 원격 IP 주소입니다. |
RemotePort | 문자열 | 가능한 경우 이벤트의 방향 값에서 파생된 원격 포트입니다. |
ReportReferenceLink | 문자열 | TI 피드의 보고서에 연결합니다. |
RequestClientApplication | string | 요청과 연결된 사용자 에이전트입니다. |
RequestContext | 문자열 | HTTP 참조 페이지와 같이 요청이 시작된 콘텐츠를 설명합니다. |
RequestCookies | 문자열 | 요청과 연결된 쿠키입니다. |
RequestMethod | 문자열 | URL에 액세스하는 데 사용되는 메서드입니다. 유효한 값에는 POST, GET 등의 메서드가 포함됩니다. |
RequestURL | 문자열 | 프로토콜을 포함하여 HTTP 요청에 대해 액세스되는 URL입니다. 예: http://www/secure.com. |
_ResourceId | 문자열 | 레코드가 연결된 리소스의 고유 식별자입니다. |
SentBytes | long | 아웃바운드로 전송된 바이트 수입니다. |
SimplifiedDeviceAction | 문자열 | 거부 거부와 같은 DeviceAction의 매핑된 > 버전입니다. |
SourceDnsDomain | 문자열 | 전체 FQDN의 DNS 도메인 부분입니다. |
SourceHostName | string | 이벤트가 IP 네트워크에서 참조하는 원본을 식별합니다. 노드를 사용할 수 있는 경우 형식은 원본 노드와 연결된 DQDN(정규화된 도메인 이름)이어야 합니다. 예: 호스트 또는 host.domain.com. |
SourceIP | 문자열 | IP 네트워크에서 이벤트가 IPv4 주소로 참조하는 원본입니다. |
SourceMACAddress | 문자열 | 원본 MAC 주소입니다. |
SourceNTDomain | 문자열 | 원본 주소에 대한 Windows 도메인 이름입니다. |
SourcePort | int | 원본 포트 번호입니다. 유효한 포트 번호는 0 - 65535입니다. |
SourceProcessId | int | 이벤트와 연결된 원본 프로세스의 ID입니다. |
SourceProcessName | 문자열 | 이벤트 원본 프로세스의 이름입니다. |
SourceServiceName | 문자열 | 이벤트 생성을 담당하는 서비스입니다. |
SourceSystem | 문자열 | 이벤트가 수집된 에이전트의 유형입니다. 예를 들어 OpsManager Windows 에이전트의 경우 직접 연결 또는 Operations Manager, Linux 모든 Linux 에이전트 또는 Azure Azure Diagnostics |
SourceTranslatedAddress | 문자열 | IP 네트워크에서 이벤트가 참조하는 변환된 원본을 식별합니다. |
SourceTranslatedPort | int | 변환 후의 원본 포트(예: 방화벽)입니다. 유효한 포트 번호는 0 - 65535입니다. |
SourceUserID | 문자열 | ID로 원본 사용자를 식별합니다. |
SourceUserName | 문자열 | 이름으로 원본 사용자를 식별합니다. Email 주소도 UserName 필드에 매핑됩니다. 발신자는 이 필드에 넣을 후보입니다. |
SourceUserPrivileges | 문자열 | 원본 사용자의 권한입니다. 유효한 값은 Administrator, User, Guest입니다. |
StartTime | Datetime | 이벤트에서 참조하는 작업이 시작된 시간입니다. |
_SubscriptionId | 문자열 | 레코드가 연결된 구독의 고유 식별자입니다. |
TenantId | 문자열 | Log Analytics 작업 영역 ID |
ThreatConfidence | 문자열 | TI 피드에 따른 MaliciousIP의 위협 신뢰도입니다. |
ThreatDescription | 문자열 | TI 피드에 따른 MaliciousIP의 위협 설명입니다. |
ThreatSeverity | int | 레코드 수집 시 TI 피드에 따른 MaliciousIP의 위협 심각도입니다. |
TimeGenerated | Datetime | 이벤트 수집 시간(UTC)입니다. |
Type | 문자열 | 테이블의 이름입니다. |
피드백
https://aka.ms/ContentUserFeedback을 참조하세요.
출시 예정: 2024년 내내 콘텐츠 피드백 메커니즘인 GitHub 문제를 단계적으로 폐지하고 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은다음에 대한 사용자 의견 제출 및 보기