WindowsEvent
Zdarzenia systemu Windows, które są zbierane i wysyłane przez agenta.
Atrybuty tabeli
Atrybut | Wartość |
---|---|
Typy zasobów | - |
Kategorie | Zabezpieczenia |
Rozwiązania | CustomizedWindowsEventsFiltering, InternalWindowsEvent, SecurityInsights, WEFInternalUat, WEF_10x, WEF_10xDSRE, WinLog, WindowsEventForwarding |
Dziennik podstawowy | Nie |
Przekształcanie w czasie pozyskiwania | Tak |
Przykładowe zapytania | Tak |
Kolumny
Kolumna | Typ | Opis |
---|---|---|
_BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
Kanał | ciąg | Kanał, do którego zarejestrowano zdarzenie. |
Computer (Komputer) | ciąg | Nazwa komputera, na którym wystąpiło zdarzenie. |
Korelacja | ciąg | Identyfikatory działań, których użytkownicy mogą używać do grupowania powiązanych zdarzeń. |
Eventdata | dynamiczna | Zawiera dane zdarzenia analizowane do typu dynamicznego. Jeśli analizowanie zakończy się niepowodzeniem, to to pole będzie zawierać wartość null, a pole RawEventData zostanie wypełnione. |
Identyfikator zdarzenia | int | Identyfikator używany przez dostawcę do identyfikowania zdarzenia. |
Eventlevel | int | Zawiera poziom ważności zdarzenia. |
EventLevelName | ciąg | Renderowany ciąg komunikatu poziomu określonego w zdarzeniu. |
EventOriginId | ciąg | Identyfikator maszyny wirtualnej uzyskany z usługi Azure Instance Metadata Service (IMDS). |
EventRecordId | ciąg | Numer rekordu przypisany do zdarzenia, gdy został zarejestrowany. |
_IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
Słowa kluczowe | ciąg | Maska bitowa słów kluczowych zdefiniowanych w zdarzeniu. |
ManagementGroupName | ciąg | Dodatkowe informacje na podstawie typu zasobu. |
Opcode | ciąg | Element opcode jest definiowany przez typ złożony SystemPropertiesType. |
Dostawca | ciąg | Typ właściwości systemu — identyfikuje dostawcę, który zarejestrował zdarzenie. |
RawEventData | ciąg | Nieprzetworzone dane XML zdarzeń podczas analizowania kończy się niepowodzeniem. Gdy analizowanie zakończy się pomyślnie, ma wartość null. |
_Resourceid | ciąg | Unikatowy identyfikator zasobu, z którego jest skojarzony rekord |
_Subscriptionid | ciąg | Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord |
Identyfikator SystemProcessId | int | Identyfikuje proces, który wygenerował zdarzenie. |
Identyfikator elementu SystemThreadId | int | Identyfikuje wątek, który wygenerował zdarzenie. |
Identyfikator użytkownika systemu | ciąg | Identyfikator użytkownika odpowiedzialnego za zdarzenie. |
Zadanie | int | Zadanie zdefiniowane w zdarzeniu. |
TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
TimeGenerated | datetime | Sygnatura czasowa wygenerowania zdarzenia na komputerze. |
Typ | ciąg | Nazwa tabeli |
Wersja | int | Zawiera numer wersji definicji zdarzenia. |
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla