| ActingProcessCommandLine |
string |
Wiersz polecenia używany do uruchamiania działającego procesu. |
| ActingProcessGuid |
string |
Wygenerowany unikatowy identyfikator (GUID) działającego procesu. |
| ActingProcessId |
string |
Identyfikator procesu (PID) działającego procesu. |
| ActingProcessName |
string |
Nazwa działającego procesu. |
| ActorOriginalUserType |
string |
Oryginalny typ użytkownika aktora podany przez urządzenie raportowania. |
| AktorZakres |
string |
Zakres, taki jak dzierżawa usługi Azure AD, w którym zdefiniowano element ActorUserId i ActorUsername. |
| AktorScopeId |
string |
Identyfikator zakresu, taki jak identyfikator katalogu usługi Azure AD, w którym zdefiniowano element ActorUserId i ActorUsername. |
| ActorsSessionId |
string |
Unikatowy identyfikator sesji logowania aktora. |
| AktorUserAadId |
string |
Identyfikator usługi Azure Active Directory aktora. |
| AktorUserId |
string |
Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja aktora. |
| AktorUserIdType |
string |
Typ identyfikatora przechowywanego w polu ActorUserId. |
| AktorUsername |
string |
Nazwa użytkownika aktora, w tym informacje o domenie, gdy są dostępne. |
| AktorUsernameType |
string |
Określa typ nazwy użytkownika przechowywanej w polu ActorUsername. |
| AktorUserSid |
string |
Identyfikator użytkownika systemu Windows (SID) aktora. |
| AktorUserType |
string |
Typ aktora. |
| Dodatkowe pola |
dynamiczna |
Dodatkowe informacje reprezentowane przy użyciu par klucz/wartość udostępniane przez źródło, które nie są mapowane na kartę ASim. |
| _BilledSize |
rzeczywiste |
Rozmiar rekordu w bajtach |
| DvcAction |
string |
Akcja podjęta w sesji internetowej. |
| DvcDescription |
string |
Tekst opisowy skojarzony z urządzeniem. |
| DvcDomain |
string |
Domena urządzenia zgłasza zdarzenie. |
| DvcDomainType |
string |
Typ DvcDomain. Prawidłowe wartości to "Windows" i "FQDN". |
| DvcFQDN |
string |
Nazwa hosta urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
| DvcHostname |
string |
Nazwa hosta urządzenia zgłasza zdarzenie. |
| DvcId |
string |
Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
| DvcIdType |
string |
Typ DvcId. |
| DvcInterface |
string |
Oryginalna wersja DvcAction dostarczana przez urządzenie raportowania. |
| DvcIpAddr |
string |
Adres IP urządzenia zgłasza zdarzenie. |
| DvcMacAddr |
string |
Adres MAC urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
| DvcOriginalAction |
string |
Oryginalna wersja DvcAction dostarczana przez urządzenie raportowania. |
| DvcOs |
string |
System operacyjny uruchomiony na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
| DvcOsVersion |
string |
Wersja systemu operacyjnego na urządzeniu, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
| DvcScope |
string |
Zakres platformy w chmurze, do którego należy urządzenie. DvcScope mapuje nazwę subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| DvcScopeId |
string |
Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| DvcZone |
string |
Sieć, w której wystąpiło zdarzenie lub które zgłosiło zdarzenie, w zależności od schematu. |
| EventCount |
int |
Ta wartość jest używana, gdy źródło obsługuje agregację, a pojedynczy rekord może reprezentować wiele zdarzeń. |
| EventEndTime |
datetime |
Godzina zakończenia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania ostatniego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated. |
| EventMessage |
string |
Ogólny komunikat lub opis. |
| EventOriginalResultDetails |
string |
Oryginalne szczegóły wyniku dostarczone przez źródło. Ta wartość służy do uzyskiwania wartości EventResultDetails, która powinna zawierać tylko jedną z wartości udokumentowanych dla każdego schematu. |
| EventOriginalSeverity |
string |
Oryginalna ważność podana przez urządzenie raportowania. Ta wartość służy do uzyskiwania wartości EventSeverity. |
| EventOriginalSubType |
string |
Oryginalny podtyp zdarzenia lub identyfikator, jeśli został podany przez źródło. Na przykład to pole będzie używane do przechowywania oryginalnego typu logowania systemu Windows. Ta wartość służy do tworzenia klasy EventSubType, która powinna zawierać tylko jedną z wartości udokumentowanych dla każdego schematu. |
| EventOriginalType |
string |
Oryginalny typ zdarzenia lub identyfikator, jeśli jest podany przez źródło. |
| EventOriginalUid |
string |
Unikatowy identyfikator oryginalnego rekordu, jeśli jest dostarczany przez źródło. |
| Właściciel zdarzenia |
string |
Właściciel zdarzenia, który jest zwykle działem lub jednostką zależną, w której został wygenerowany. |
| EventProduct |
string |
Produkt generujący zdarzenie. |
| EventProductVersion |
string |
Wersja produktu generująca zdarzenie. |
| EventReportUrl |
string |
Adres URL podany w zdarzeniu dla zasobu, który zawiera więcej informacji o zdarzeniu. |
| EventResult |
string |
Wynik zdarzenia reprezentowany przez jedną z następujących wartości: Powodzenie, Częściowe, Niepowodzenie, NA (Nie dotyczy). Wartość nie może być dostarczana bezpośrednio przez źródła, w tym przypadku pochodzi ona z innych pól zdarzeń, na przykład pola EventResultDetails. |
| EventResultDetails |
string |
Kod stanu HTTP. |
| EventSchema |
string |
Schemat zdarzenia jest znormalizowany do. Każdy schemat dokumentuje jego nazwę schematu. |
| EventSchemaVersion |
string |
Wersja schematu. |
| EventSeverity |
string |
Ważność zdarzenia. Prawidłowe wartości to: Informational, Low, Medium lub High. |
| EventStartTime |
datetime |
Czas rozpoczęcia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania pierwszego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated. |
| EventSubType |
string |
Dodatkowy opis typu zdarzenia, jeśli ma to zastosowanie. |
| EventType |
string |
Operacja zgłoszona przez rekord. |
| EventVendor |
string |
Dostawca produktu generującego zdarzenie. |
| HashType |
string |
Typ skrótu przechowywanego w polu aliasu skrótu. |
| HttpUserAgent |
string |
Po zainicjowaniu operacji przy użyciu protokołu HTTP lub HTTPS nagłówek agenta użytkownika HTTP. |
| _IsBillable |
string |
Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| NetworkApplicationProtocol |
string |
Po zainicjowaniu operacji przez system zdalny protokół warstwy aplikacji używany przez połączenie lub sesję. |
| _ResourceId |
string |
Unikatowy identyfikator zasobu skojarzonego z rekordem |
| RuleName |
string |
Nazwa lub identyfikator reguły skojarzonej z wynikami inspekcji. |
| RuleNumber |
int |
Liczba reguł skojarzonych z wynikami inspekcji. |
| SourceSystem |
string |
Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows— bezpośredniego połączenia lub programu Operations Manager — Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| SrcDescription |
string |
Tekst opisowy skojarzony z urządzeniem. |
| SrcDeviceType |
string |
Typ urządzenia źródłowego. |
| SrcDomain |
string |
Domena urządzenia źródłowego. |
| SrcDomainType |
string |
Typ SrcDomain. |
| SrcDvcId |
string |
Identyfikator urządzenia źródłowego. |
| SrcDvcIdType |
string |
Typ SrcDvcId. |
| SrcDvcScope |
string |
Zakres platformy w chmurze, do którego należy urządzenie. |
| SrcDvcScopeId |
string |
Identyfikator zakresu platformy w chmurze, do którego należy urządzenie. |
| SrcFileCreationTime |
datetime |
Godzina utworzenia pliku źródłowego. |
| SrcFileDirectory |
string |
Folder lub lokalizacja pliku źródłowego. |
| SrcFileExtension |
string |
Rozszerzenie pliku źródłowego. |
| SrcFileMD5 |
string |
Skrót MD5 pliku źródłowego. |
| SrcFileMimeType |
string |
Typ mime lub nośnika pliku źródłowego. |
| SrcFileName |
string |
Nazwa pliku źródłowego, bez ścieżki lub lokalizacji, ale z rozszerzeniem, jeśli ma to zastosowanie. |
| SrcFilePath |
string |
Pełna, znormalizowana ścieżka pliku źródłowego, w tym folder lub lokalizacja, nazwa pliku i rozszerzenie. |
| SrcFilePathType |
string |
Typ SrcFilePath. |
| SrcFileSHA1 |
string |
Skrót SHA-1 pliku źródłowego. |
| SrcFileSHA256 |
string |
Skrót SHA-256 pliku źródłowego. |
| SrcFileSHA512 |
string |
Skrót SHA-512 pliku źródłowego. |
| SrcFileSize |
długi |
Rozmiar pliku źródłowego w bajtach. |
| SrcFQDN |
string |
Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, gdy są dostępne. |
| SrcGeoCity |
string |
Miasto skojarzone ze źródłowym adresem IP. |
| SrcGeoCountry |
string |
Kraj skojarzony ze źródłowym adresem IP. |
| SrcGeoLatitude |
rzeczywiste |
Szerokość geograficzna współrzędnych geograficznych skojarzonych z źródłowym adresem IP. |
| SrcGeoLongitude |
rzeczywiste |
Długość geograficzna współrzędnej geograficznej skojarzonej z źródłowym adresem IP. |
| SrcGeoRegion |
string |
Region w kraju skojarzonym z źródłowym adresem IP. |
| SrcHostname |
string |
Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. Jeśli żadna nazwa urządzenia nie jest dostępna, zapisz odpowiedni adres IP w tym polu. |
| SrcIpAddr |
string |
Gdy operacja jest inicjowana przez system zdalny, adres IP tego systemu. |
| SrcMacAddr |
string |
Adres MAC urządzenia źródłowego. |
| SrcOriginalRiskLevel |
string |
Poziom ryzyka skojarzony ze źródłem. Zgłoszone przez urządzenie raportowania lub wzbogacone. |
| SrcPortNumber |
int |
Po zainicjowaniu operacji przez system zdalny numer portu, z którego zainicjowano połączenie. |
| SrcRiskLevel |
int |
Poziom ryzyka skojarzony ze źródłem. |
| _SubscriptionId |
string |
Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord |
| TargetAppId |
string |
Identyfikator aplikacji docelowej zgłoszonej przez urządzenie raportowania. |
| TargetAppName |
string |
Nazwa aplikacji docelowej. |
| TargetAppType |
string |
Typ aplikacji docelowej. |
| TargetFileCreationTime |
datetime |
Godzina utworzenia pliku docelowego. |
| TargetFileDirectory |
string |
Docelowy folder pliku lub lokalizacja. |
| Rozszerzenie TargetFileExtension |
string |
Rozszerzenie pliku docelowego. |
| TargetFileMD5 |
string |
Skrót MD5 pliku docelowego. |
| TargetFileMimeType |
string |
Typ mime lub nośnika pliku docelowego. |
| TargetFileName |
string |
Nazwa pliku docelowego, bez ścieżki lub lokalizacji, ale z rozszerzeniem, jeśli ma to zastosowanie. |
| TargetFilePath |
string |
Pełna, znormalizowana ścieżka pliku docelowego, w tym folder lub lokalizacja, nazwa pliku i rozszerzenie. |
| TargetFilePathType |
string |
Typ elementu TargetFilePath. |
| TargetFileSHA1 |
string |
Skrót SHA-1 pliku docelowego. |
| TargetFileSHA256 |
string |
Skrót SHA-256 pliku docelowego. |
| TargetFileSHA512 |
string |
Skrót SHA-512 pliku źródłowego. |
| TargetFileSize |
długi |
Rozmiar pliku docelowego w bajtach. |
| TargetOriginalAppType |
string |
Typ aplikacji docelowej zgłoszony przez urządzenie raportowania. |
| TargetUrl |
string |
Gdy operacja jest inicjowana przy użyciu protokołu HTTP lub HTTPS, używany jest adres URL. |
| TenantId |
string |
Identyfikator obszaru roboczego usługi Log Analytics |
| ThreatCategory |
string |
Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku. |
| ThreatConfidence |
int |
Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100. |
| ThreatField |
string |
Pole, dla którego zidentyfikowano zagrożenie. Wartość to SrcFilePath lub DstFilePath. |
| ThreatFilePath |
string |
Ścieżka pliku, dla której zidentyfikowano zagrożenie. Pole ThreatField zawiera nazwę pola ThreatFilePath. |
| ThreatFirstReportedTime |
datetime |
Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
| ThreatId |
string |
Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku. |
| ThreatIsActive |
bool |
Prawdziwy identyfikator zidentyfikowanego zagrożenia jest uznawany za aktywne zagrożenie. |
| ThreatLastReportedTime |
datetime |
Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
| ThreatName |
string |
Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w działaniu pliku. |
| ThreatOriginalConfidence |
string |
Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgodnie z raportem urządzenia raportowania. |
| ThreatOriginalRiskLevel |
string |
Poziom ryzyka zgłoszony przez urządzenie raportowania. |
| ThreatRiskLevel |
int |
Poziom ryzyka skojarzony z zidentyfikowanym zagrożeniem. Poziom powinien być liczbą z zakresu od 0 do 100. |
| TimeGenerated |
datetime |
Znacznik czasu odzwierciedlający czas wygenerowania zdarzenia. |
| Typ |
string |
Nazwa tabeli |