| Dodatkowe pola |
dynamiczna |
Jeśli żadna kolumna w schemacie nie jest zgodna, dodatkowe pola mogą być przechowywane w torbie JSON. |
| _BilledSize |
rzeczywiste |
Rozmiar rekordu w bajtach |
| CloudAppId |
string |
Identyfikator aplikacji docelowej dla aplikacji HTTP zidentyfikowanej przez serwer proxy. Ta wartość jest zwykle specyficzna dla używanego serwera proxy. |
| CloudAppName |
string |
Nazwa aplikacji docelowej dla aplikacji HTTP zidentyfikowanej przez serwer proxy. |
| CloudAppOperation |
string |
Operacja wykonywana przez użytkownika w kontekście aplikacji docelowej dla aplikacji HTTP zidentyfikowanej przez serwer proxy. Ta wartość jest zwykle specyficzna dla używanego serwera proxy. |
| CloudAppRiskLevel |
string |
Poziom ryzyka skojarzony z aplikacją HTTP zidentyfikowany przez serwer proxy. Ta wartość jest zwykle specyficzna dla używanego serwera proxy. |
| Bajty DstBytes |
długi |
Liczba bajtów wysłanych z miejsca docelowego do źródła dla połączenia lub sesji. |
| DstDomainHostname |
string |
Domena hosta docelowego. |
| DstDvcDomain |
string |
Domena urządzenia docelowego. |
| DstDvcFqdn |
string |
W pełni kwalifikowana nazwa domeny hosta, na którym został utworzony dziennik. |
| DstDvcHostname |
string |
Nazwa urządzenia docelowego. |
| DstDvcIpAddr |
string |
Docelowy adres IP urządzenia, który nie jest bezpośrednio skojarzony z pakietem sieciowym. |
| DstDvcMacAddr |
string |
Docelowy adres MAC urządzenia, który nie jest bezpośrednio skojarzony z pakietem sieciowym. |
| DstGeoCity |
string |
Miasto skojarzone z docelowym adresem IP. |
| DstGeoCountry |
string |
Kraj skojarzony ze źródłowym adresem IP. |
| DstGeoLatitude |
rzeczywiste |
Szerokość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. |
| DstGeoLongitude |
rzeczywiste |
Długość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP |
| DstGeoRegion |
string |
Region w kraju skojarzonym z docelowym adresem IP. |
| DstInterfaceGuid |
string |
Identyfikator GUID interfejsu sieciowego, który był używany do żądania uwierzytelniania. |
| DstInterfaceName |
string |
Interfejs sieciowy używany na potrzeby połączenia lub sesji przez urządzenie docelowe. |
| DstIpAddr |
string |
Adres IP miejsca docelowego połączenia lub sesji. |
| DstMacAddr |
string |
Adres MAC interfejsu sieciowego, w którym połączenie lub sesja została zakończona. |
| DstNatIpAddr |
string |
W przypadku zgłoszenia przez pośredniczące urządzenie NAT, takie jak zapora, adres IP używany przez urządzenie NAT do komunikacji ze źródłem. |
| DstNatPortNumber |
int |
W przypadku zgłoszenia przez pośredniczące urządzenie NAT, takie jak zapora, port używany przez urządzenie NAT do komunikacji ze źródłem. |
| Zestawy DstPackets |
długi |
Liczba pakietów wysyłanych z miejsca docelowego do źródła połączenia lub sesji. Znaczenie pakietu jest definiowane przez urządzenie raportowania. |
| DstPortNumber |
int |
Docelowy port IP. |
| Identyfikator DstResourceId |
string |
Identyfikator zasobu urządzenia docelowego. |
| DstUserAadId |
string |
Identyfikator obiektu konta usługi Azure AD użytkownika na końcu docelowej sesji. |
| DstUserDomain |
string |
Nazwa domeny lub komputera konta w miejscu docelowym sesji. |
| DstUserName |
string |
Nazwa użytkownika tożsamości skojarzonej z miejscem docelowym sesji. |
| DstUserSid |
string |
Identyfikator użytkownika tożsamości skojarzonej z miejscem docelowym sesji. Zazwyczaj tożsamość używana do uwierzytelniania serwera. |
| DstUserUpn |
string |
Nazwa UPN tożsamości skojarzonej z miejscem docelowym sesji. |
| Strefa Dst |
string |
Strefa sieciowa miejsca docelowego zgodnie z definicją urządzenia raportowania. |
| DvcAction |
string |
W przypadku zgłoszenia przez urządzenie pośredniczące, takie jak zapora, akcja wykonywana przez urządzenie. |
| DvcHostname |
string |
Nazwa urządzenia generującego komunikat. |
| DvcInboundInterface |
string |
W przypadku zgłoszenia przez urządzenie pośredniczące, takie jak zapora, interfejs sieciowy używany przez niego do połączenia z urządzeniem źródłowym. |
| DvcIpAddr |
string |
Adres IP urządzenia generującego rekord. |
| DvcMacAddr |
string |
Adres MAC interfejsu sieciowego urządzenia raportowania, z którego wysłano zdarzenie. |
| DvcOutboundInterface |
string |
W przypadku zgłoszenia przez urządzenie pośredniczące, takie jak zapora, interfejs sieciowy używany przez niego do połączenia z urządzeniem docelowym. |
| EventCount |
int |
Liczba zdarzeń zagregowanych, jeśli ma to zastosowanie. |
| EventEndTime |
datetime |
Godzina zakończenia zdarzenia. |
| EventMessage |
string |
Ogólny komunikat lub opis, dołączony do lub wygenerowany na podstawie rekordu. |
| EventOriginalUid |
string |
Identyfikator rekordu z urządzenia raportowania. |
| EventProduct |
string |
Produkt generujący zdarzenie. |
| EventProductVersion |
string |
Wersja produktu generująca zdarzenie. |
| EventReportUrl |
string |
Link do pełnego raportu utworzonego przez urządzenie raportowania. |
| EventResourceId |
string |
Identyfikator zasobu urządzenia generującego komunikat. |
| EventResult |
string |
Wynik zgłoszony dla działania. Pusta wartość, jeśli nie ma zastosowania. |
| EventResultDetails |
string |
Przyczyna wyniku zgłoszonego w poleceniu EventResult |
| EventSchemaVersion |
string |
Wersja schematu usługi Azure Sentinel. |
| EventSeverity |
string |
Jeśli zgłoszone działanie ma wpływ na bezpieczeństwo, oznacza ważność wpływu. |
| EventStartTime |
datetime |
Czas, w którym określono zdarzenie. |
| EventSubType |
string |
Dodatkowy opis typu, jeśli ma to zastosowanie. |
| EventTimeIngested |
datetime |
Czas pozyskiwania zdarzenia do usługi Azure Sentinel. Zostanie dodany przez usługę Azure Sentinel. |
| EventType |
string |
Typ zbieranego zdarzenia. |
| Identyfikator zdarzenia |
string |
Unikatowy identyfikator używany przez usługę Sentinel do oznaczania wiersza. |
| EventVendor |
string |
Dostawca produktu generującego zdarzenie. |
| FileExtension |
string |
Typ pliku przesyłanego za pośrednictwem połączeń sieciowych dla protokołów, takich jak FTP i HTTP. |
| FileHashMd5 |
string |
Wartość skrótu MD5 pliku przesyłanego za pośrednictwem połączeń sieciowych dla protokołów. |
| FileHashSha1 |
string |
Wartość skrótu SHA1 pliku przesyłanego za pośrednictwem połączeń sieciowych dla protokołów. |
| FileHashSha256 |
string |
Wartość skrótu SHA256 pliku przesyłanego za pośrednictwem połączeń sieciowych dla protokołów. |
| FileHashSha512 |
string |
Wartość skrótu SHA512 pliku przesyłanego za pośrednictwem połączeń sieciowych dla protokołów. |
| FileMimeType |
string |
Typ MIME pliku przesyłanego za pośrednictwem połączeń sieciowych dla protokołów, takich jak FTP i HTTP. |
| FileName |
string |
Nazwa pliku przesyłana za pośrednictwem połączeń sieciowych dla protokołów, takich jak FTP i HTTP, które zawierają informacje o nazwie pliku. |
| FilePath |
string |
Pełna ścieżka, w tym nazwa pliku, w tym nazwa pliku. |
| Rozmiar pliku |
int |
Rozmiar pliku w bajtach pliku przesyłanego za pośrednictwem połączeń sieciowych dla protokołów. |
| HttpContentType |
string |
Nagłówek typu zawartości odpowiedzi HTTP dla sesji sieciOWYCH HTTP/HTTPS. |
| HttpReferrerOriginal |
string |
Nagłówek odwołania HTTP dla sesji sieciowych HTTP/HTTPS. |
| HttpRequestMethod |
string |
Metoda HTTP dla sesji sieciOWYCH HTTP/HTTPS. |
| HttpRequestTime |
int |
Czas wysyłania żądania do serwera, jeśli ma to zastosowanie. |
| HttpRequestXff |
string |
Nagłówek HTTP X-Forwarded-For dla sesji sieci HTTP/HTTPS. |
| HttpResponseTime |
int |
Ilość czasu potrzebnego na odebranie odpowiedzi na serwerze, jeśli ma to zastosowanie. |
| HttpStatusCode |
string |
Kod stanu HTTP dla sesji sieciOWYCH HTTP/HTTPS. |
| HttpUserAgentOriginal |
string |
Nagłówek agenta użytkownika HTTP dla sesji sieciOWYCH HTTP/HTTPS. |
| HttpVersion |
string |
Wersja żądania HTTP dla połączeń sieciowych HTTP/HTTPS. |
| _IsBillable |
string |
Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| NetworkApplicationProtocol |
string |
Protokół warstwy aplikacji używany przez połączenie lub sesję. |
| Liczba bajtów sieci |
długi |
Liczba bajtów wysłanych w obu kierunkach. Jeśli istnieją oba bajtyReceived i BytesSent, BajtyTotal powinny być równe ich suma. |
| NetworkDirection |
string |
Kierunek połączenia lub sesji, do lub z organizacji. |
| NetworkDuration |
int |
Czas( w milisekundach) na zakończenie sesji sieciowej lub połączenia. |
| NetworkIcmpCode |
int |
W przypadku komunikatu ICMP komunikat ICMP wpisz wartość liczbową (RFC 2780 lub RFC 4443). |
| NetworkIcmpType |
string |
W przypadku wiadomości ICMP tekstowa reprezentacja typu komunikatu ICMP (RFC 2780 lub RFC 4443). |
| NetworkPackets |
długi |
Liczba pakietów wysyłanych w obu kierunkach. Jeśli istnieją zarówno pakietyReceived, jak i PacketsSent, wartość BytesTotal powinna być równa ich sumie. |
| NetworkProtocol |
string |
Protokół IP używany przez połączenie lub sesję. Zazwyczaj tcp, UDP lub ICMP. |
| NetworkRuleName |
string |
Nazwa lub identyfikator reguły, dla której została podjęta decyzja DeviceAction. |
| NetworkRuleNumber |
int |
Dopasowany numer reguły. |
| NetworkSessionId |
string |
Identyfikator sesji zgłoszony przez urządzenie raportowania. |
| SourceSystem |
string |
Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows— bezpośredniego połączenia lub programu Operations Manager — Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| SrcBytes |
długi |
Liczba bajtów wysłanych ze źródła do miejsca docelowego dla połączenia lub sesji. |
| SrcDvcDomain |
string |
Domena urządzenia, z którego zainicjowano sesję. |
| SrcDvcFqdn |
string |
W pełni kwalifikowana nazwa domeny hosta, na którym został utworzony dziennik. |
| SrcDvcHostname |
string |
Nazwa urządzenia źródłowego. |
| SrcDvcIpAddr |
string |
Źródłowy adres IP urządzenia nie jest bezpośrednio skojarzony z pakietem sieciowym (zbieranym przez dostawcę lub jawnie obliczanym). |
| SrcDvcMacAddr |
string |
Źródłowy adres MAC urządzenia, który nie jest bezpośrednio skojarzony z pakietem sieciowym. |
| SrcDvcModelName |
string |
Model urządzenia źródłowego. |
| SrcDvcModelNumber |
string |
Numer modelu urządzenia źródłowego. |
| SrcDvcOs |
string |
System operacyjny urządzenia źródłowego. |
| SrcDvcType |
string |
Typ urządzenia źródłowego. |
| SrcGeoCity |
string |
Miasto skojarzone ze źródłowym adresem IP. |
| SrcGeoCountry |
string |
Kraj skojarzony ze źródłowym adresem IP. |
| SrcGeoLatitude |
rzeczywiste |
Szerokość geograficzna współrzędnych geograficznych skojarzonych z źródłowym adresem IP. |
| SrcGeoLongitude |
rzeczywiste |
Długość geograficzna współrzędnej geograficznej skojarzonej z źródłowym adresem IP. |
| SrcGeoRegion |
string |
Region w kraju skojarzonym z źródłowym adresem IP. |
| SrcInterfaceGuid |
string |
Identyfikator GUID używanego interfejsu sieciowego. |
| SrcInterfaceName |
string |
Interfejs sieciowy używany na potrzeby połączenia lub sesji przez urządzenie źródłowe. |
| SrcIpAddr |
string |
Adres IP, z którego pochodzi połączenie lub sesja. |
| SrcMacAddr |
string |
Adres MAC interfejsu sieciowego, z którego pochodzi sesja połączenia od. |
| SrcNatIpAddr |
string |
W przypadku zgłoszenia przez pośredniczące urządzenie NAT, takie jak zapora, adres IP używany przez urządzenie NAT do komunikacji z miejscem docelowym. |
| SrcNatPortNumber |
int |
Jeśli jest zgłaszane przez pośredniczące urządzenie NAT, takie jak zapora, port używany przez urządzenie NAT do komunikacji z miejscem docelowym. |
| Zestawy SrcPackets |
długi |
Liczba pakietów wysłanych ze źródła do miejsca docelowego dla połączenia lub sesji. Znaczenie pakietu jest definiowane przez urządzenie raportowania. |
| SrcPortNumber |
int |
Port IP, z którego pochodzi połączenie. Może nie być istotne dla sesji składającej się z wielu połączeń. |
| SrcResourceId |
string |
Identyfikator zasobu urządzenia generującego komunikat. |
| SrcUserAadId |
string |
Identyfikator obiektu konta usługi Azure AD użytkownika na końcu źródłowej sesji. |
| SrcUserDomain |
string |
Domena konta inicjującego sesję. |
| SrcUserName |
string |
Nazwa użytkownika tożsamości skojarzonej ze źródłem sesji. Zazwyczaj użytkownik wykonuje akcję na kliencie. |
| SrcUserSid |
string |
Identyfikator użytkownika tożsamości skojarzonej ze źródłem sesji. Zazwyczaj użytkownik wykonuje akcję na kliencie. |
| SrcUserUpn |
string |
Nazwa UPN konta inicjującego sesję. |
| SrcZone |
string |
Strefa sieciowa źródła zgodnie z definicją urządzenia raportowania. |
| TenantId |
string |
Identyfikator obszaru roboczego usługi Log Analytics |
| ThreatCategory |
string |
Kategoria zagrożenia zidentyfikowanego przez system zabezpieczeń, taki jak Web Security Gateway usługi IPS i jest skojarzona z tą sesją sieciową. |
| ThreatId |
string |
Identyfikator zagrożenia zidentyfikowanego przez system zabezpieczeń, taki jak Web Security Gateway usługi IPS i jest skojarzony z tą sesją sieciową. |
| ThreatName |
string |
Zidentyfikowana nazwa zagrożenia lub złośliwego oprogramowania. |
| TimeGenerated |
datetime |
Godzina wystąpienia zdarzenia zgłoszonego przez źródło raportowania. |
| Typ |
string |
Nazwa tabeli |
| UrlCategory |
string |
Zdefiniowane grupowanie adresu URL (lub może być po prostu oparte na domenie w adresie URL) związane z tym, co to jest (tj. osoba dorosła, wiadomości, reklama, zaparkowane domeny itp.). |
| UrlHostname |
string |
Część domeny adresu URL żądania HTTP dla sesji sieci HTTP/HTTPS. |
| UrlOriginal |
string |
Adres URL żądania HTTP dla sesji sieciowych HTTP/HTTPS. |