ASimDhcpEventLogs
Het ASIM DHCP-schema vertegenwoordigt dhcp-serveractiviteit, inclusief het verwerken van aanvragen voor DHCP IP-adressen die zijn geleased van clientsystemen en het bijwerken van een DNS-server met de verleende leases.
Tabelkenmerken
Kenmerk | Waarde |
---|---|
Resourcetypen | microsoft.securityinsights/asimtables |
Categorieën | Beveiliging |
Oplossingen | SecurityInsights |
Basic-logboek | No |
Opnametijdtransformatie | Yes |
Voorbeeldquery's | - |
Kolommen
Kolom | Type | Description |
---|---|---|
AdditionalFields | dynamisch | Aanvullende informatie, weergegeven met behulp van sleutel-waardeparen die door de bron worden verstrekt en die niet aan ASim worden toegewezen. |
_BilledSize | werkelijk | De recordgrootte in bytes |
DhcpCircuitId | tekenreeks | De ID van het DHCP-circuit, zoals gedefinieerd door RFC3046. |
DhcpLeaseDuration | int | De duur van de lease verleend aan een klant, in seconden. |
DhcpSessionDuration | int | De hoeveelheid tijd, in milliseconden, voor het voltooien van de DHCP-sessie. |
DhcpSessionId | tekenreeks | De sessie-id zoals gerapporteerd door het rapportageapparaat. Voor de Windows DHCP-server stelt u dit in op het veld TransactionID. |
DhcpSrcDHCId | tekenreeks | De DHCP-client-id, zoals gedefinieerd door RFC4701. |
DhcpSubscriberId | tekenreeks | De DHCP-abonnee-id, zoals gedefinieerd door RFC3993. |
DhcpUserClass | tekenreeks | De DHCP-gebruikersklasse, zoals gedefinieerd door RFC3004. |
DhcpUserClassId | tekenreeks | De DHCP-gebruikersklasse-id, zoals gedefinieerd door RFC3004. |
DhcpVendorClass | tekenreeks | De DHCP-leveranciersklasse, zoals gedefinieerd door RFC3925. |
DhcpVendorClassId | tekenreeks | De dhcp-leverancierklasse-id, zoals gedefinieerd door RFC3925. |
DvcAction | tekenreeks | Voor rapportagebeveiligingssystemen, de actie die door het systeem wordt uitgevoerd, indien van toepassing. |
DvcDescription | tekenreeks | Een beschrijvende tekst die aan het apparaat is gekoppeld. |
DvcDomain | tekenreeks | Het domein van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd, afhankelijk van het schema |
DvcDomainType | tekenreeks | Het type DvcDomain. |
DvcFQDN | tekenreeks | De hostnaam van het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd, afhankelijk van het schema. |
DvcHostname | tekenreeks | De hostnaam van het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd, afhankelijk van het schema. |
DvcId | tekenreeks | De unieke id van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd, afhankelijk van het schema. |
DvcIdType | tekenreeks | Het type DvcId. |
DvcInterface | tekenreeks | De netwerkinterface waarop gegevens zijn vastgelegd. Dit veld is doorgaans relevant voor netwerkgerelateerde activiteiten die worden vastgelegd door een tussenliggend of tikapparaat. |
DvcIpAddr | tekenreeks | Het IP-adres van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd, afhankelijk van het schema. |
DvcMacAddr | tekenreeks | Het MAC-adres van het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
DvcOriginalAction | tekenreeks | De oorspronkelijke DvcAction zoals opgegeven door het rapportageapparaat. |
DvcO's | tekenreeks | Het besturingssysteem dat wordt uitgevoerd op het apparaat waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd. |
DvcOsVersion | tekenreeks | De versie van het besturingssysteem op het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd. |
DvcScope | tekenreeks | Het cloudplatformbereik waartoe het apparaat behoort. DvcScope wordt toegewezen aan een abonnementsnaam in Azure en aan een account-id op AWS. |
DvcScopeId | tekenreeks | De bereik-id van het cloudplatform waartoe het apparaat behoort. DvcScopeId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
DvcZone | tekenreeks | Het netwerk waarop de gebeurtenis heeft plaatsgevonden of dat de gebeurtenis heeft gerapporteerd, afhankelijk van het schema. De zone wordt gedefinieerd door het rapportageapparaat. |
EventCount | int | Het aantal gebeurtenissen dat door de record wordt beschreven. Deze waarde wordt gebruikt wanneer de bron aggregatie ondersteunt en één record meerdere gebeurtenissen kan vertegenwoordigen. |
EventEndTime | datum/tijd | Het tijdstip waarop de gebeurtenis is beëindigd. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, de tijd waarop de laatste gebeurtenis is gegenereerd. Als dit veld niet wordt opgegeven door de bronrecord, wordt het veld TimeGenerated als alias gebruikt. |
EventMessage | tekenreeks | Een algemeen bericht of een beschrijving, opgenomen in of gegenereerd op basis van de record. |
EventOriginalResultDetails | tekenreeks | De oorspronkelijke resultaatdetails die door de bron zijn opgegeven. Deze waarde wordt gebruikt om EventResultDetails af te leiden, die slechts één van de waarden moet bevatten die voor elk schema zijn gedocumenteerd. |
EventOriginalSeverity | tekenreeks | De oorspronkelijke ernst zoals opgegeven door het rapportageapparaat. Deze waarde wordt gebruikt om EventSeverity af te leiden. |
EventOriginalSubType | tekenreeks | Het oorspronkelijke gebeurtenissubtype of de oorspronkelijke id, indien opgegeven door de bron. |
EventOriginalType | tekenreeks | Het oorspronkelijke gebeurtenistype of de oorspronkelijke id, indien opgegeven door de bron. |
EventOriginalUid | tekenreeks | Een unieke id van de oorspronkelijke record, indien opgegeven door de bron. |
EventOwner | tekenreeks | De eigenaar van de gebeurtenis, meestal de afdeling of dochteronderneming waarin deze is gegenereerd. |
EventProduct | tekenreeks | Het product dat de gebeurtenis genereert. De waarde moet een van de waarden zijn die worden vermeld in Leveranciers en producten. |
EventProductVersion | tekenreeks | De versie van het product dat de gebeurtenis genereert. |
EventReportUrl | tekenreeks | Een URL die is opgegeven in de gebeurtenis voor een resource die meer informatie over de gebeurtenis biedt. |
EventResult | tekenreeks | Het resultaat van de gebeurtenis, vertegenwoordigd door een van de volgende waarden: Geslaagd, Gedeeltelijk, Mislukt, NB (Niet van toepassing). |
EventResultDetails | tekenreeks | Reden of details voor het resultaat dat is gerapporteerd in het veld EventResult. |
EventSchema | tekenreeks | Het schema waar de gebeurtenis naar wordt genormaliseerd. Elk schema documentt de naam van het schema. |
EventSchemaVersion | tekenreeks | De versie van het schema. Elk schema documentt de huidige versie. |
EventSeverity | tekenreeks | De ernst van de gebeurtenis. |
EventStartTime | datum/tijd | Het tijdstip waarop de gebeurtenis is gestart. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, de tijd waarop de eerste gebeurtenis is gegenereerd. Als dit veld niet wordt opgegeven door de bronrecord, wordt het veld TimeGenerated als alias gebruikt. |
EventSubType | tekenreeks | Beschrijft een onderverdeling van de bewerking die is gerapporteerd in het veld EventType. |
EventType | tekenreeks | Beschrijft de bewerking die door de record wordt gerapporteerd. |
EventVendor | tekenreeks | De leverancier van het product dat de gebeurtenis genereert. De waarde moet een van de waarden zijn die worden vermeld in Leveranciers en producten. |
_IsBillable | tekenreeks | Hiermee geeft u op of het opnemen van de gegevens factureerbaar is. Wanneer _IsBillable is false opgenomen, wordt er geen rekening gehouden met uw Azure-account |
RequestedIpAddr | tekenreeks | Het IP-adres dat is aangevraagd door de DHCP-client, indien beschikbaar. |
_Resourceid | tekenreeks | Een unieke id voor de resource waaraan de record is gekoppeld |
RuleName | tekenreeks | De naam of id van de regel die is gekoppeld aan de inspectieresultaten. |
RuleNumber | int | Het nummer van de regel die is gekoppeld aan de inspectieresultaten. |
SourceSystem | tekenreeks | Het type agent waarvan de gebeurtenis is verzameld. Bijvoorbeeld OpsManager voor Windows-agent, direct verbinden of Operations Manager, Linux voor alle Linux-agents of Azure voor Azure Diagnostics |
SrcDescription | tekenreeks | Een beschrijvende tekst die is gekoppeld aan het apparaat. |
SrcDeviceType | tekenreeks | Het type apparaat. |
SrcDomain | tekenreeks | Het domein van het apparaat. |
SrcDomainType | tekenreeks | Het type domein. |
SrcDvcId | tekenreeks | De id van het apparaat. |
SrcDvcIdType | tekenreeks | Het type van de DvcId. |
SrcDvcScope | tekenreeks | Het cloudplatformbereik waartoe het apparaat behoort. |
SrcDvcScopeId | tekenreeks | De bereik-id van het cloudplatform waartoe het apparaat behoort. |
SrcFQDN | tekenreeks | De hostnaam van het apparaat, inclusief domeingegevens indien beschikbaar. |
SrcGeoCity | tekenreeks | De plaats die is gekoppeld aan het bron-IP-adres. |
SrcGeoCountry | tekenreeks | Het land dat is gekoppeld aan het bron-IP-adres. |
SrcGeoLatitude | werkelijk | De breedtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. |
SrcGeoLongitude | werkelijk | De lengtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. |
SrcGeoRegion | tekenreeks | De regio binnen een land dat is gekoppeld aan het bron-IP-adres. |
SrcHostname | tekenreeks | De hostnaam van het apparaat, met uitzondering van domeingegevens. |
SrcIpAddr | tekenreeks | Het IP-adres van het bronapparaat. |
SrcMacAddr | tekenreeks | Het MAC-adres van de netwerkinterface waaruit de verbinding of sessie afkomstig is. |
SrcOriginalRiskLevel | tekenreeks | Het risiconiveau dat is gekoppeld aan de geïdentificeerde bron zoals gerapporteerd door het rapportageapparaat. |
SrcOriginalUserType | tekenreeks | Het oorspronkelijke brongebruikerstype, indien opgegeven door de bron. |
SrcPortNumber | int | De IP-poort waarop het apparaat heeft gecommuniceerd, indien van toepassing. |
SrcRiskLevel | int | Het risiconiveau dat is gekoppeld aan de geïdentificeerde bron. |
SrcUserId | tekenreeks | Een machineleesbare, alfanumerieke, unieke weergave van de gebruiker. |
SrcUserIdType | tekenreeks | Het type SrcUserId. |
SrcUsername | tekenreeks | De gebruikersnaam van de gebruiker, inclusief domeingegevens indien beschikbaar. |
SrcUsernameType | tekenreeks | Het type gebruikersnaam. |
SrcUserScope | tekenreeks | Het type gebruikersnaam. |
SrcUserScopeId | tekenreeks | De bereik-id, zoals Azure AD tenant-id, waarin UserId en Username zijn gedefinieerd. |
SrcUserSessionId | tekenreeks | De unieke id van de aanmeldingssessie van de gebruiker. |
SrcUserType | tekenreeks | Het type gebruiker |
SrcUserUid | tekenreeks | De Unix- of Linux-gebruikers-id van de gebruiker. |
_SubscriptionId | tekenreeks | Een unieke id voor het abonnement waaraan de record is gekoppeld |
TenantId | tekenreeks | De id van de Log Analytics-werkruimte |
ThreatCategory | tekenreeks | De categorie van de bedreiging of malware die in de activiteit is geïdentificeerd. |
ThreatConfidence | int | Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd naar een waarde tussen 0 en een 100. |
Bedreigingsveld | tekenreeks | Het veld waarvoor een bedreiging is geïdentificeerd. |
ThreatFirstReportedTime | datum/tijd | De eerste keer dat het IP-adres of domein werd geïdentificeerd als een bedreiging. |
ThreatId | tekenreeks | De id van de bedreiging of malware die in de activiteit is geïdentificeerd. |
ThreatIsActive | booleaans | True ID de geïdentificeerde bedreiging wordt beschouwd als een actieve bedreiging. |
ThreatLastReportedTime | datum/tijd | De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
ThreatName | tekenreeks | De naam van de bedreiging of malware die in de activiteit is geïdentificeerd. |
ThreatOriginalConfidence | tekenreeks | Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat. |
ThreatOriginalRiskLevel | tekenreeks | Het risiconiveau zoals gerapporteerd door het rapportageapparaat. |
ThreatRiskLevel | int | Het risiconiveau dat is gekoppeld aan de geïdentificeerde bedreiging. Het niveau moet een getal tussen 0 en 100 zijn. |
TimeGenerated | datum/tijd | De tijdstempel (UTC) die de tijd weergeeft waarin de gebeurtenis is gegenereerd. |
Type | tekenreeks | De naam van de tabel |
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor