WindowsEvent
Zdarzenia systemu Windows, które są zbierane i wysyłane przez agenta.
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | - |
| Kategorie | Zabezpieczenia |
| Rozwiązania | CustomizedWindowsEventsFiltering, InternalWindowsEvent, SecurityInsights, WEFInternalUat, WEF_10x, WEF_10xDSRE, WinLog, WindowsEventForwarding |
| Dziennik podstawowy | Nie |
| Przekształcanie w czasie pozyskiwania | Tak |
| Przykładowe zapytania | Tak |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| _BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
| Kanał | ciąg | Kanał, do którego zarejestrowano zdarzenie. |
| Computer (Komputer) | ciąg | Nazwa komputera, na którym wystąpiło zdarzenie. |
| Korelacja | ciąg | Identyfikatory działań, których użytkownicy mogą używać do grupowania powiązanych zdarzeń. |
| Eventdata | dynamiczna | Zawiera dane zdarzenia analizowane do typu dynamicznego. Jeśli analizowanie zakończy się niepowodzeniem, to to pole będzie zawierać wartość null, a pole RawEventData zostanie wypełnione. |
| Identyfikator zdarzenia | int | Identyfikator używany przez dostawcę do identyfikowania zdarzenia. |
| Eventlevel | int | Zawiera poziom ważności zdarzenia. |
| EventLevelName | ciąg | Renderowany ciąg komunikatu poziomu określonego w zdarzeniu. |
| EventOriginId | ciąg | Identyfikator maszyny wirtualnej uzyskany z usługi Azure Instance Metadata Service (IMDS). |
| EventRecordId | ciąg | Numer rekordu przypisany do zdarzenia, gdy został zarejestrowany. |
| _IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| Słowa kluczowe | ciąg | Maska bitowa słów kluczowych zdefiniowanych w zdarzeniu. |
| ManagementGroupName | ciąg | Dodatkowe informacje na podstawie typu zasobu. |
| Opcode | ciąg | Element opcode jest definiowany przez typ złożony SystemPropertiesType. |
| Dostawca | ciąg | Typ właściwości systemu — identyfikuje dostawcę, który zarejestrował zdarzenie. |
| RawEventData | ciąg | Nieprzetworzone dane XML zdarzeń podczas analizowania kończy się niepowodzeniem. Gdy analizowanie zakończy się pomyślnie, ma wartość null. |
| _Resourceid | ciąg | Unikatowy identyfikator zasobu, z którego jest skojarzony rekord |
| _Subscriptionid | ciąg | Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord |
| Identyfikator SystemProcessId | int | Identyfikuje proces, który wygenerował zdarzenie. |
| Identyfikator elementu SystemThreadId | int | Identyfikuje wątek, który wygenerował zdarzenie. |
| Identyfikator użytkownika systemu | ciąg | Identyfikator użytkownika odpowiedzialnego za zdarzenie. |
| Zadanie | int | Zadanie zdefiniowane w zdarzeniu. |
| TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| TimeGenerated | datetime | Sygnatura czasowa wygenerowania zdarzenia na komputerze. |
| Typ | ciąg | Nazwa tabeli |
| Wersja | int | Zawiera numer wersji definicji zdarzenia. |
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla