CommonSecurityLog
Ta tabela służy do zbierania zdarzeń w formacie Common Event Format, które są najczęściej wysyłane z różnych urządzeń zabezpieczeń, takich jak Check Point, Palo Alto i nie tylko.
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Kategorie | Zabezpieczenia |
| Rozwiązania | Zabezpieczenia, ZabezpieczeniaInsights |
| Dziennik podstawowy | Nie. |
| Przekształcanie czasu pozyskiwania | Tak |
| Przykładowe zapytania | Tak |
Kolumny
| Kolumna | Type | Opis |
|---|---|---|
| Aktywność | string | Ciąg reprezentujący czytelny dla człowieka i zrozumiały opis zdarzenia. |
| Dodatkowe rozszerzenia | string | Symbol zastępczy dodatkowych pól. Pola są rejestrowane jako pary klucz-wartość. |
| ApplicationProtocol | string | Protokół używany w aplikacji, taki jak HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS itd. |
| _BilledSize | rzeczywiste | Rozmiar rekordu w bajtach |
| Nazwa hosta modułu zbierającego | string | Nazwa hosta maszyny modułu zbierającego, na którym działa agent. |
| CommunicationDirection | string | Wszelkie informacje o kierunku, w jakim została podjęta obserwowana komunikacja. Prawidłowe wartości: 0 = przychodzące, 1 = wychodzące. |
| Komputer | string | Host z dziennika systemowego. |
| DestinationDnsDomain | string | Część DNS w pełni kwalifikowanej nazwy domeny (FQDN). |
| DestinationHostName | string | Miejsce docelowe, do którego odnosi się zdarzenie w sieci IP. Format powinien być nazwą FQDN skojarzona z węzłem docelowym, gdy węzeł jest dostępny. Na przykład: host.domain.com lub host. |
| Docelowy adres IP | string | Docelowy adres IPV4, do którego odnosi się zdarzenie w sieci IP. |
| DestinationMACAddress | string | Docelowy adres MAC (FQDN). |
| DestinationNTDomain | string | Nazwa domeny systemu Windows adresu docelowego. |
| DestinationPort | int | Port docelowy. Prawidłowe wartości: 0– 65535. |
| Identyfikator DestinationProcessId | int | Identyfikator procesu docelowego skojarzonego ze zdarzeniem. |
| DestinationProcessName | string | Nazwa procesu docelowego zdarzenia, na przykład telnetd lub sshd. |
| DestinationServiceName | string | Usługa, która jest objęta zdarzeniem. Na przykład: sshd. |
| DestinationTranslatedAddress | string | Identyfikuje przetłumaczone miejsce docelowe, do którego odwołuje się zdarzenie w sieci IP, jako adres IP IPv4. |
| DestinationTranslatedPort | int | Port po translacji, taki jak zapora Prawidłowe numery portów: 0– 65535. |
| Identyfikator użytkownika docelowego | string | Identyfikuje docelowego użytkownika według identyfikatora. Na przykład: w systemie Unix użytkownik główny jest zazwyczaj skojarzony z identyfikatorem użytkownika 0. |
| DestinationUserName | string | Identyfikuje docelowego użytkownika według nazwy. |
| DestinationUserPrivileges | string | Definiuje uprawnienia użytkownika docelowego. Prawidłowe wartości: Admninistrator, Użytkownik, Gość. |
| DeviceAction | string | Akcja wymieniona w zdarzeniu. |
| DeviceAddress | string | Adres IPv4 urządzenia generującego zdarzenie. |
| DeviceCustomDate1 | string | Jedno z dwóch pól znacznika czasu dostępne do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. |
| DeviceCustomDate1Label | string | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomDate2 | string | Jedno z dwóch pól znacznika czasu dostępne do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. |
| DeviceCustomDate2Label | string | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomFloatingPoint1 | rzeczywiste | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| DeviceCustomFloatingPoint1Label | string | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomFloatingPoint2 | rzeczywiste | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| DeviceCustomFloatingPoint2Label | string | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomFloatingPoint3 | rzeczywiste | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| DeviceCustomFloatingPoint3Label | string | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomFloatingPoint4 | rzeczywiste | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| DeviceCustomFloatingPoint4Label | string | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomIPv6Address1 | string | Jedno z czterech pól adresów IPv6 dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| DeviceCustomIPv6Address1Label | string | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomIPv6Address2 | string | Jedno z czterech pól adresów IPv6 dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| DeviceCustomIPv6Address2Label | string | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomIPv6Address3 | string | Jedno z czterech pól adresów IPv6 dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| DeviceCustomIPv6Address3Label | string | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomIPv6Address4 | string | Jedno z czterech pól adresów IPv6 dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. |
| DeviceCustomIPv6Address4Label | string | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomNumber1 | int | Wkrótce będzie przestarzałym polem. Zostanie zastąpiony przez FieldDeviceCustomNumber1. |
| DeviceCustomNumber1Label | string | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomNumber2 | int | Wkrótce będzie przestarzałym polem. Zostanie zastąpiony przez FieldDeviceCustomNumber2. |
| DeviceCustomNumber2Label | string | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomNumber3 | int | Wkrótce będzie przestarzałym polem. Zostanie zastąpiony przez FieldDeviceCustomNumber3. |
| DeviceCustomNumber3Label | string | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomString1 | string | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. |
| DeviceCustomString1Label | string | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomString2 | string | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. |
| DeviceCustomString2Label | string | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomString3 | string | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. |
| DeviceCustomString3Label | string | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomString4 | string | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. |
| DeviceCustomString4Label | string | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomString5 | string | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. |
| DeviceCustomString5Label | string | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceCustomString6 | string | Jeden z sześciu ciągów dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. |
| DeviceCustomString6Label | string | Wszystkie pola niestandardowe mają odpowiednie pole etykiety. Każde z tych pól jest ciągiem i opisuje przeznaczenie pola niestandardowego. |
| DeviceDnsDomain | string | Część domeny DNS pełnej kwalifikowanej nazwy domeny (FQDN). |
| DeviceEventCategory | string | Reprezentuje kategorię przypisaną przez urządzenie źródłowe. Urządzenia często używają własnego schematu kategoryzacji do klasyfikowania zdarzeń. Przykład: "/Monitor/Disk/Read". |
| DeviceEventClassID | string | Ciąg lub liczba całkowita, która służy jako unikatowy identyfikator dla typu zdarzenia. |
| DeviceExternalID | string | Nazwa, która jednoznacznie identyfikuje urządzenie generujące zdarzenie. |
| DeviceFacility | string | Obiekt generujący zdarzenie. Na przykład: auth lub local1. |
| DeviceInboundInterface | string | Interfejs, na którym pakiet lub dane zostały wprowadzone na urządzeniu. Na przykład: ethernet1/2. |
| DeviceMacAddress | string | Adres MAC urządzenia generującego zdarzenie. |
| Nazwa urządzenia | string | Nazwa FQDN skojarzona z węzłem urządzenia, gdy węzeł jest dostępny. Na przykład: host.domain.com lub host. |
| DeviceNtDomain | string | Domena systemu Windows adresu urządzenia. |
| DeviceOutboundInterface | string | Interfejs, na którym pakiet lub dane opuściły urządzenie. |
| DevicePayloadId | string | Unikatowy identyfikator ładunku skojarzonego ze zdarzeniem. |
| DeviceProduct | string | Ciąg, który wraz z definicjami produktu i wersji urządzenia jednoznacznie identyfikuje typ urządzenia wysyłającego. |
| Strefa czasowa urządzenia | string | Strefa czasowa urządzenia generującego zdarzenie. |
| DeviceTranslatedAddress | string | Identyfikuje przetłumaczony adres urządzenia, do którego odnosi się zdarzenie, w sieci IP. Format to adres Ipv4. |
| DeviceVendor | string | Ciąg, który wraz z definicjami produktu i wersji urządzenia jednoznacznie identyfikuje typ urządzenia wysyłającego. |
| DeviceVersion | string | Ciąg, który wraz z definicjami produktu i wersji urządzenia jednoznacznie identyfikuje typ urządzenia wysyłającego. |
| EndTime | datetime | Godzina zakończenia działania związanego ze zdarzeniem. |
| EventCount | int | Liczba skojarzona ze zdarzeniem pokazująca, ile razy zaobserwowano to samo zdarzenie. |
| EventOutcome | string | Wyświetla wynik, zwykle jako "sukces" lub "niepowodzenie". |
| EventType | int | Typ zdarzenia. Wartości wartości obejmują: 0: zdarzenie podstawowe, 1: zagregowane, 2: zdarzenie korelacji, 3: zdarzenie akcji. Uwaga: to zdarzenie można pominąć dla zdarzeń podstawowych. |
| Identyfikator zewnętrzny | int | Wkrótce będzie przestarzałym polem. Zostanie zastąpiony przez ExtID. |
| ExtID | string | Identyfikator używany przez urządzenie źródłowe (spowoduje zastąpienie starszego identyfikatora ExternalID). Zazwyczaj te wartości mają coraz większe wartości, które są skojarzone ze zdarzeniem. |
| FieldDeviceCustomNumber1 | długi | Jedno z trzech pól liczbowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku (zastąpi starsze pole DeviceCustomNumber1). Użyj oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. |
| FieldDeviceCustomNumber2 | długi | Jedno z trzech pól liczbowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku (zastąpi starsze pole DeviceCustomNumber2). Użyj oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. |
| FieldDeviceCustomNumber3 | długi | Jedno z trzech pól liczbowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku (zastąpi starsze pole DeviceCustomNumber3). Użyj oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. |
| FileCreateTime | string | Godzina utworzenia pliku. |
| Skrót pliku | string | Skrót pliku. |
| Identyfikator pliku | string | Identyfikator skojarzony z plikiem, taki jak inode. |
| FileModificationTime | string | Godzina ostatniej modyfikacji pliku. |
| FileName | string | Nazwa pliku bez ścieżki. |
| FilePath | string | Pełna ścieżka do pliku, w tym nazwa pliku. Na przykład: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe lub /usr/bin/zip. |
| FilePermission | string | Uprawnienia pliku. Na przykład: "2,1,1". |
| Rozmiar pliku | int | Rozmiar pliku w bajtach. |
| Typ pliku | string | Typ pliku, taki jak potok, gniazdo itd. |
| FlexDate1 | string | Pole znacznika czasu dostępne do mapowania znacznika czasu, które nie ma zastosowania do żadnego innego zdefiniowanego pola znacznika czasu w tym słowniku. Używaj wszystkich pól flex oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. Te pola są zwykle zarezerwowane do użytku przez klienta i nie powinny być ustawiane przez dostawców, chyba że jest to konieczne. |
| FlexDate1Label | string | Pole etykiety jest ciągiem i opisuje przeznaczenie pola flex. |
| FlexNumber1 | int | Pola liczbowe dostępne do mapowania danych int, które nie mają zastosowania do żadnego innego pola w tym słowniku. |
| FlexNumber1Label | string | Etykieta, która opisuje wartość w elemecie FlexNumber1 |
| FlexNumber2 | int | Pola liczbowe dostępne do mapowania danych int, które nie mają zastosowania do żadnego innego pola w tym słowniku. |
| FlexNumber2Label | string | Etykieta, która opisuje wartość w aplikacji FlexNumber2 |
| FlexString1 | string | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. Te pola są zwykle zarezerwowane do użytku przez klienta i nie powinny być ustawiane przez dostawców, chyba że jest to konieczne. |
| FlexString1Label | string | Pole etykiety jest ciągiem i opisuje przeznaczenie pola flex. |
| FlexString2 | string | Jedno z czterech pól zmiennoprzecinkowych dostępnych do mapowania pól, które nie mają zastosowania do żadnego innego w tym słowniku. Użyj oszczędnie i poszukaj bardziej szczegółowego, dostarczonego pola słownika, jeśli jest to możliwe. Te pola są zwykle zarezerwowane do użytku przez klienta i nie powinny być ustawiane przez dostawców, chyba że jest to konieczne. |
| FlexString2Label | string | Pole etykiety jest ciągiem i opisuje przeznaczenie pola flex. |
| IndicatorThreatType | string | Typ zagrożenia złośliwego koduIP zgodnie z naszym kanałem informacyjnym TI. |
| _IsBillable | string | Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| LogSeverity | string | Ciąg lub liczba całkowita, która opisuje znaczenie zdarzenia. Prawidłowe wartości ciągów: Nieznane, Niskie, Średnie, Wysokie, Bardzo Wysokie prawidłowe wartości całkowite to: 0-3 = Niski, 4-6 = Średni, 7-8 = Wysoki, 9-10 = Bardzo wysokie. |
| MaliciousIP | string | Jeśli jeden z adresów IP w komunikacie był skorelowany z bieżącym kanałem informacyjnym TI, zostanie on wyświetlony tutaj. |
| Złośliwe kontoIP | string | Kraj złośliwego adresu IP zgodnie z informacjami geograficznymi w momencie pozyskiwania rekordu. |
| MaliciousIPLatitude | rzeczywiste | Szerokość geograficzna złośliwego adresuIP zgodnie z informacjami geograficznymi w momencie pozyskiwania rekordu. |
| Złośliwy elementIPLongitude | rzeczywiste | Długość geograficzna złośliwego adresuIP zgodnie z informacjami geograficznymi w momencie pozyskiwania rekordu. |
| Wiadomość | string | Komunikat z bardziej szczegółowymi informacjami o zdarzeniu. |
| OldFileCreateTime | string | Czas utworzenia starego pliku. |
| OldFileHash | string | Skrót starego pliku. |
| OldFileID | string | Identyfikator skojarzony ze starym plikiem, na przykład inode. |
| OldFileModificationTime | string | Czas ostatniej modyfikacji starego pliku. |
| OldFileName | string | Nazwa starego pliku. |
| OldFilePath | string | Pełna ścieżka do starego pliku, w tym nazwa pliku. Na przykład: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe lub /usr/bin/zip. |
| OldFilePermission | string | Uprawnienia starego pliku. Na przykład: "2,1,1". |
| OldFileSize | int | Rozmiar starego pliku w bajtach. |
| OldFileType | string | Typ pliku starego pliku, taki jak potok, gniazdo itd. |
| OriginalLogSeverity | string | Niemapowana wersja elementu LogSeverity. Na przykład: Ostrzeżenie/Krytyczne/Informacje zamiast normilized Low/Medium/High w polu LogSeverity |
| ProcessId | int | Definiuje identyfikator procesu na urządzeniu generującym zdarzenie. |
| ProcessName | string | Nazwa procesu skojarzona ze zdarzeniem. Na przykład: w systemie UNIX proces generujący wpis dziennika systemowego. |
| Protokół | string | Protokół transportowy identyfikujący używany protokół Warstwy 4. Możliwe wartości obejmują nazwy protokołów, takie jak TCP lub UDP. |
| Przyczyna | string | Przyczyna wygenerowania zdarzenia inspekcji. Na przykład "złe hasło" lub "nieznany użytkownik". Może to być również błąd lub kod zwracany. Przykład: "0x1234". |
| Godzina odbioru | string | Czas odebrania zdarzenia związanego z działaniem. Różni się wtedy pole "Timegenerated", czyli wtedy, gdy zdarzenie zostało odebrane na maszynie modułu zbierającego dzienniki. |
| ReceivedBytes | długi | Liczba przetransferowanych bajtów przychodzących. |
| RemoteIP | string | Zdalny adres IP pochodzący z wartości kierunku zdarzenia, jeśli jest to możliwe. |
| RemotePort | string | Port zdalny, pochodzący z wartości kierunku zdarzenia, jeśli jest to możliwe. |
| ReportReferenceLink | string | Link do raportu kanału informacyjnego TI. |
| RequestClientApplication | string | Agent użytkownika skojarzony z żądaniem. |
| RequestContext | string | Opisuje zawartość, z której pochodzi żądanie, na przykład odwołanie HTTP. |
| RequestCookies | string | Pliki cookie skojarzone z żądaniem. |
| RequestMethod | string | Metoda używana do uzyskiwania dostępu do adresu URL. Prawidłowe wartości obejmują metody, takie jak POST, GET itd. |
| RequestURL | string | Adres URL dostępny dla żądania HTTP, w tym protokół. Na przykład: http://www/secure.com.. |
| _ResourceId | string | Unikatowy identyfikator zasobu skojarzonego z rekordem |
| SentBytes | długi | Liczba przetransferowanych bajtów wychodzących. |
| SimplifiedDeviceAction | string | Zamapowana wersja elementu DeviceAction, taka jak Odmowa odmowy > . |
| SourceDnsDomain | string | Część domeny DNS pełnej nazwy FQDN. |
| SourceHostName | string | Identyfikuje źródło, do którego odnosi się zdarzenie w sieci IP. Format powinien być w pełni kwalifikowaną nazwą domeny (DQDN) skojarzona z węzłem źródłowym, gdy węzeł jest dostępny. Na przykład: host lub host.domain.com. |
| SourceIP | string | Źródło, do którego zdarzenie odnosi się w sieci IP, jako adres IPv4. |
| SourceMACAddress | string | Źródłowy adres MAC. |
| ŹródłoNTDomain | string | Nazwa domeny systemu Windows dla adresu źródłowego. |
| SourcePort | int | Numer portu źródłowego. Prawidłowe numery portów to 0–65535. |
| SourceProcessId | int | Identyfikator procesu źródłowego skojarzonego ze zdarzeniem. |
| SourceProcessName | string | Nazwa procesu źródłowego zdarzenia. |
| Nazwa usługi źródłowej | string | Usługa odpowiedzialna za generowanie zdarzenia. |
| SourceSystem | string | Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows— bezpośredniego połączenia lub programu Operations Manager — Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| SourceTranslatedAddress | string | Identyfikuje przetłumaczone źródło, do którego odnosi się zdarzenie w sieci IP. |
| SourceTranslatedPort | int | Port źródłowy po translacji, taki jak zapora. Prawidłowe numery portów to 0–65535. |
| Identyfikator użytkownika źródłowego | string | Identyfikuje użytkownika źródłowego według identyfikatora. |
| SourceUserName | string | Identyfikuje użytkownika źródłowego według nazwy. Adresy e-mail są również mapowane na pola UserName. Nadawca jest kandydatem do umieszczenia w tym polu. |
| SourceUserPrivileges | string | Uprawnienia użytkownika źródłowego. Prawidłowe wartości to: Administrator, Użytkownik, Gość. |
| StartTime | datetime | Czas rozpoczęcia działania, do którego odwołuje się zdarzenie. |
| _SubscriptionId | string | Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord |
| TenantId | string | Identyfikator obszaru roboczego usługi Log Analytics |
| ThreatConfidence | string | Pewność zagrożenia złośliwego koduIP zgodnie z naszym kanałem informacyjnym TI. |
| ThreatDescription | string | Opis zagrożenia złośliwego koduIP zgodnie z naszym kanałem informacyjnym TI. |
| Zależnie od zagrożeń | int | Ważność zagrożenia złośliwego koduIP zgodnie z naszym kanałem informacyjnym TI w momencie pozyskiwania rekordu. |
| TimeGenerated | datetime | Czas zbierania zdarzeń w formacie UTC. |
| Typ | string | Nazwa tabeli |