| Campos Adicionais |
dynamic |
Informações adicionais, representadas usando pares chave/valor fornecidos pela fonte que não são mapeados para ASim. |
| _BilledSize |
real |
O tamanho do registo em bytes |
| DstAppId |
string |
A ID do aplicativo de destino, conforme relatado pelo dispositivo de relatório. |
| DstAppName |
string |
O nome do aplicativo de destino. |
| DstAppType |
string |
O tipo do aplicativo de destino. |
| DstBytes |
long |
O número de bytes enviados do destino para a origem da conexão ou sessão. Se o evento for agregado, DstBytes será a soma de todas as sessões agregadas. |
| DstDescrição |
string |
Um texto descritivo associado ao destino. |
| DstDeviceType |
string |
O tipo do dispositivo de destino. |
| DstDomínio |
string |
O domínio do dispositivo de destino. |
| DstDomainType |
string |
O tipo de DstDomain. |
| DstDvcId |
string |
A ID do dispositivo de destino. |
| DstDvcIdType |
string |
O tipo de DstDvcId. |
| DstFQDN |
string |
O nome de host do dispositivo de destino, incluindo informações de domínio, quando disponíveis. |
| DstGeoCity |
string |
A cidade associada ao endereço IP de destino. |
| DstGeoCountry |
string |
O país associado ao endereço IP de destino. |
| DstGeoLatitude |
real |
A latitude da coordenada geográfica associada ao endereço IP de destino. |
| DstGeoLongitude |
real |
A longitude da coordenada geográfica associada ao endereço IP de destino. |
| DstGeoRegion |
string |
A região, ou estado, dentro de um país associado ao endereço IP de destino. |
| DstHostname |
string |
O nome de host do dispositivo de destino, excluindo informações de domínio. |
| DstInterfaceGuid |
string |
O GUID da interface de rede usada no dispositivo de destino. |
| DstInterfaceName |
string |
A interface de rede usada para a conexão ou sessão pelo dispositivo de destino. |
| DstIpAddr |
string |
O endereço IP da conexão ou do destino da sessão. |
| DstMacAddr |
string |
O endereço MAC da interface de rede usada para a conexão ou sessão pelo dispositivo de destino. |
| DstNatIpAddr |
string |
O DstNatIpAddr representa um dos seguintes: O endereço original do dispositivo de destino se a conversão de endereços de rede foi usada ou o endereço IP usado pelo dispositivo intermediário para comunicação com a fonte. |
| DstNatPortNumber |
número inteiro |
Se relatado por um dispositivo NAT intermediário, a porta usada pelo dispositivo NAT para comunicação com a fonte. |
| DstOriginalUserType |
string |
O tipo de usuário de destino original, se fornecido pela origem. |
| DstPackets |
long |
O número de pacotes enviados do destino para a origem da conexão ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. Se o evento for agregado, DstPackets será a soma de todas as sessões agregadas. |
| DstPortNumber |
número inteiro |
A porta IP de destino. |
| DstSubscriptionId |
string |
O ID de assinatura da plataforma de nuvem ao qual o dispositivo de destino pertence. O DstSubscriptionId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
| DstUserId |
string |
Uma representação única, alfanumérica e legível por máquina do utilizador de destino. |
| DstUserIdType |
string |
O tipo do ID armazenado no campo DstUserId. |
| DstUsername |
string |
O nome de usuário de destino, incluindo informações de domínio, quando disponíveis. Use o formulário simples somente se as informações do domínio não estiverem disponíveis. |
| DstUsernameType |
string |
Especifica o tipo do nome de usuário armazenado no campo DstUsername. |
| DstUserType |
string |
O tipo de usuário de destino. |
| DstVlanId |
string |
O ID DE VLAN relacionado ao dispositivo de destino. |
| DstZona |
string |
A zona de rede do destino, conforme definido pelo dispositivo de relatório. |
| DVC |
string |
Um identificador exclusivo do dispositivo no qual o evento ocorreu ou que o comunicou. |
| DvcAction |
string |
A ação executada na sessão de rede. |
| DvcDescrição |
string |
Um texto descritivo associado ao dispositivo. Por exemplo: Controlador de Domínio Primário. |
| DvcDomínio |
string |
O domínio do dispositivo que relata o evento. |
| DvcDomainType |
string |
O tipo de DvcDomain. Os valores possíveis incluem 'Windows' e 'FQDN'. |
| DvcFQDN |
string |
O nome do host do dispositivo no qual o evento ocorreu ou que relatou o evento. |
| DvcNome do host |
string |
O nome do host do dispositivo que relata o evento. |
| DvcId |
string |
A ID exclusiva do dispositivo no qual o evento ocorreu ou que relatou o evento. |
| DvcIdType |
string |
O tipo de DvcId. |
| DvcInboundInterface |
string |
Se relatado por um dispositivo intermediário, a interface de rede usada pelo dispositivo NAT para a conexão com o dispositivo de origem. |
| DvcInterface |
string |
A interface de rede na qual os dados foram capturados. Este campo é normalmente relevante para a atividade relacionada com a rede que é capturada por um dispositivo intermediário ou toque. |
| DvcIpAddr |
string |
O endereço IP do dispositivo que relata o evento. |
| DvcMacAddr |
string |
O endereço MAC do dispositivo no qual o evento ocorreu ou que relatou o evento. Exemplo: 00:1B:44:11:3A:B7 |
| DvcOriginalAction |
string |
O DvcAction original, conforme fornecido pelo dispositivo de relatório. |
| DvcOs |
string |
O sistema operacional em execução no dispositivo que relata o evento. |
| DvcOsVersion |
string |
A versão do sistema operacional no dispositivo que relata o evento. |
| DvcOutboundInterface |
string |
Se relatado por um dispositivo intermediário, a interface de rede usada pelo dispositivo NAT para a conexão com o dispositivo de destino. |
| DvcSubscriptionId |
string |
O ID de assinatura da plataforma de nuvem ao qual o dispositivo pertence. O DvcSubscriptionId é mapeado para uma ID de assinatura no Azure e para uma ID de conta na AWS. |
| DvcZona |
string |
A rede na qual o evento ocorreu ou que relatou o evento. A zona é definida pelo dispositivo de relatório. |
| EventCount |
número inteiro |
Esse valor é usado quando a fonte oferece suporte à agregação e um único registro pode representar vários eventos. |
| EventEndTime |
datetime |
A hora em que o evento terminou. Se a origem oferecer suporte à agregação e o registro representar vários eventos, a hora em que o último evento foi gerado. Se não for fornecido pelo registro de origem, esse campo aliasará o campo TimeGerado. |
| EventMessage |
string |
Uma mensagem ou descrição geral. |
| EventOriginalResultDetails |
string |
Os detalhes do resultado original fornecidos pela fonte. Esse valor é usado para derivar EventResultDetails, que deve ter apenas um dos valores documentados para cada esquema. |
| EventOriginalSeverity |
string |
A gravidade original, conforme fornecido pelo dispositivo de relatório. Esse valor é usado para derivar EventSeverity. |
| EventOriginalSubType |
string |
O subtipo ou ID do evento original, se fornecido pela fonte. Por exemplo, este campo será usado para armazenar o tipo de logon original do Windows. Esse valor é usado para derivar EventSubType, que deve ter apenas um dos valores documentados para cada esquema. |
| EventOriginalType |
string |
O tipo de evento ou ID original, se fornecido pela fonte. |
| EventOriginalUid |
string |
Um ID exclusivo do registro original, se fornecido pela fonte. |
| EventoProduto |
string |
O produto gerador do evento. |
| EventProductVersion |
string |
A versão do produto que gera o evento. |
| EventReportUrl |
string |
Uma URL fornecida no evento para um recurso que fornece mais informações sobre o evento. |
| EventResult |
string |
O resultado do evento, representado por um dos seguintes valores: Sucesso, Parcial, Fracasso, NA (Não Aplicável). O valor não pode ser fornecido diretamente pelas fontes, caso em que é derivado de outros campos de evento, por exemplo, o campo EventResultDetails. |
| EventResultDetails |
string |
Motivo ou detalhes do resultado relatado no campo EventResult. |
| EventSchemaVersion |
string |
A versão do esquema. |
| EventSeverity |
string |
A gravidade do evento. Os valores válidos são: Informativo, Baixo, Médio ou Alto. |
| EventStartTime |
datetime |
A hora em que o evento começou. Se a origem oferecer suporte à agregação e o registro representar vários eventos, a hora em que o primeiro evento foi gerado. Se não for fornecido pelo registro de origem, esse campo aliasará o campo TimeGerado. |
| SubTipo de Evento |
string |
Descrição adicional do tipo de evento, se aplicável. |
| EventType |
string |
A operação relatada pelos autos. |
| EventVendor |
string |
O fornecedor do produto que gera o evento. |
| _IsBillable |
string |
Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingerido, a não é cobrada na sua conta do Azure |
| NetworkApplicationProtocol |
string |
O protocolo da camada de aplicativo usado pela conexão ou sessão. |
| NetworkBytes |
long |
Número de bytes enviados em ambas as direções. Se BytesReceived e BytesSent existirem, BytesTotal deve ser igual à sua soma. Se o evento for agregado, NetworkBytes será a soma de todas as sessões agregadas. |
| NetworkConnectionHistory |
string |
Sinalizadores TCP e outras informações potenciais de cabeçalho IP. |
| Direção de rede |
string |
A direção da conexão ou sessão. |
| NetworkDuration |
número inteiro |
A quantidade de tempo, em milissegundos, para a conclusão da sessão de rede ou conexão. |
| RedeIcmpCode |
número inteiro |
Para uma mensagem ICMP, o valor numérico do tipo de mensagem ICMP conforme descrito em RFC 2780 para conexões de rede IPv4 ou em RFC 4443 para conexões de rede IPv6. |
| NetworkIcmpType |
string |
Para uma mensagem ICMP, a representação de texto do tipo de mensagem ICMP, conforme descrito em RFC 2780 para conexões de rede IPv4 ou em RFC 4443 para conexões de rede IPv6. |
| Pacotes de rede |
long |
O número de pacotes enviados em ambas as direções. Se ambos PacketsReceived e PacketsSent existirem, BytesTotal deve ser igual à sua soma. O significado de um pacote é definido pelo dispositivo de relatório. Se o evento for agregado, NetworkPackets será a soma de todas as sessões agregadas. |
| Protocolo de rede |
string |
O protocolo IP usado pela conexão ou sessão, conforme listado na atribuição de protocolo IANA, que normalmente é TCP, UDP ou ICMP. |
| NetworkProtocolVersion |
string |
A versão do NetworkProtocol. |
| NetworkRuleName |
string |
O nome ou ID da regra pela qual o DvcAction foi decidido. |
| NetworkRuleNumber |
número inteiro |
O número da regra pela qual o DvcAction foi decidido. |
| NetworkSessionId |
string |
O identificador de sessão conforme relatado pelo dispositivo de relatório. |
| _ResourceId |
string |
Um identificador exclusivo para o recurso ao qual o registro está associado |
| SourceSystem |
string |
O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes Linux ou Azure para o Diagnóstico do Azure |
| SrcAppId |
string |
A ID do aplicativo de origem, conforme relatado pelo dispositivo de relatório. |
| SrcAppName |
string |
O nome do aplicativo de origem. |
| SrcAppType |
string |
O tipo do aplicativo de origem. |
| SrcBytes |
long |
O número de bytes enviados da origem para o destino da conexão ou sessão. Se o evento for agregado, SrcBytes será a soma de todas as sessões agregadas. |
| SrcDescrição |
string |
Um texto descritivo associado à fonte. |
| SrcDeviceType |
string |
O tipo do dispositivo de origem. |
| Domínio Src |
string |
O domínio do dispositivo de origem. |
| SrcDomainType |
string |
O tipo de SrcDomain. |
| SrcDvcId |
string |
A ID do dispositivo de origem. |
| SrcDvcIdType |
string |
O tipo de SrcDvcId. |
| SrcFQDN |
string |
O nome de host do dispositivo de origem, incluindo informações de domínio, quando disponíveis. |
| SrcGeoCity |
string |
A cidade associada ao endereço IP de origem. |
| SrcGeoCountry |
string |
O país associado ao endereço IP de origem. |
| SrcGeoLatitude |
real |
A latitude da coordenada geográfica associada ao endereço IP de origem. |
| SrcGeoLongitude |
real |
A longitude da coordenada geográfica associada ao endereço IP de origem. |
| SrcGeoRegion |
string |
A região dentro de um país associada ao endereço IP de origem. |
| SrcHostname |
string |
O nome de host do dispositivo de origem, excluindo informações de domínio. Se nenhum nome de dispositivo estiver disponível, pode armazenar o endereço IP relevante. |
| SrcInterfaceGuid |
string |
O GUID da interface de rede usada no dispositivo de origem. |
| SrcInterfaceName |
string |
A interface de rede usada para a conexão ou sessão pelo dispositivo de origem. |
| SrcIpAddr |
string |
O endereço IP do qual a conexão ou sessão se originou. |
| SrcMacAddr |
string |
O endereço MAC da interface de rede a partir da qual a conexão ou sessão se originou. |
| SrcNatIpAddr |
string |
O SrcNatIpAddr representa um dos seguintes: O endereço original do dispositivo de origem se a conversão de endereços de rede foi usada ou o endereço IP usado pelo dispositivo intermediário para comunicação com o destino. |
| SrcNatPortNumber |
número inteiro |
Se comunicado por um dispositivo NAT intermediário, a porta utilizada pelo dispositivo NAT para comunicação com o destino. |
| SrcOriginalUserType |
string |
O tipo de usuário de destino original, se fornecido pelo dispositivo de relatório. |
| SrcPackets |
long |
O número de pacotes enviados da origem para o destino da conexão ou sessão. O significado de um pacote é definido pelo dispositivo de relatório. Se o evento for agregado, SrcPackets será a soma de todas as sessões agregadas. |
| SrcPortNumber |
número inteiro |
A porta IP da qual a conexão se originou. Pode não ser relevante para uma sessão que inclui várias conexões. |
| SrcSubscriptionId |
string |
O ID de assinatura da plataforma de nuvem ao qual o dispositivo de origem pertence. O SrcSubscriptionId é mapeado para um ID de assinatura no Azure e para um ID de conta na AWS. |
| SrcUserId |
string |
Uma representação única, alfanumérica e legível por máquina do utilizador de origem. |
| SrcUserIdType |
string |
O tipo de ID armazenado no campo SrcUserId. |
| SrcUsername |
string |
O nome de usuário de origem, incluindo informações de domínio, quando disponíveis. |
| SrcUsernameType |
string |
Especifica o tipo do nome de usuário armazenado no campo SrcUsername. |
| SrcUserType |
string |
O tipo do usuário de origem. |
| SrcVlanId |
string |
O ID DE VLAN relacionado ao dispositivo de origem. |
| SrcZona |
string |
A zona de rede da fonte, conforme definido pelo dispositivo de relatório. |
| _SubscriptionId |
string |
Um identificador exclusivo para a assinatura à qual o registro está associado |
| TcpFlagsAck |
booleano |
O sinalizador TCP ACK relatado. O sinalizador de confirmação é usado para confirmar o recebimento bem-sucedido de um pacote. Como podemos ver no diagrama acima, o recetor envia um ACK, bem como um SYN na segunda etapa do processo de handshake de três vias para dizer ao remetente que recebeu seu pacote inicial. |
| TcpFlagsFin |
booleano |
O sinalizador TCP FIN relatado. O sinalizador concluído significa que não há mais dados do remetente. Portanto, ele é usado no último pacote enviado pelo remetente. |
| TcpFlagsPsh |
booleano |
O sinalizador TCP PSH relatado. O sinalizador push é um pouco semelhante ao sinalizador URG e diz ao recetor para processar esses pacotes à medida que são recebidos, em vez de armazená-los em buffer. |
| TcpFlagsRst |
booleano |
O sinalizador TCP RST relatado. O sinalizador de redefinição é enviado do recetor para o remetente quando um pacote é enviado para um host específico que não estava esperando. |
| TcpFlagsSyn |
booleano |
O sinalizador TCP SYN relatado. O sinalizador de sincronização é usado como um primeiro passo para estabelecer um handshake de três vias entre dois hosts. Apenas o primeiro pacote do emissor e do recetor deve ter esse sinalizador definido. |
| TcpFlagsUrg |
booleano |
O sinalizador TCP URG relatado. O sinalizador de urgência é usado para notificar o recetor para processar os pacotes urgentes antes de processar todos os outros pacotes. O recetor será notificado quando todos os dados urgentes conhecidos tiverem sido recebidos. Consulte RFC 6093 para obter mais detalhes. |
| TenantId |
cadeia |
O ID do espaço de trabalho do Log Analytics |
| ThreatCategory |
string |
A categoria da ameaça ou malware identificado na sessão de rede. |
| ThreatConfidence |
número inteiro |
O nível de confiança da ameaça identificada, normalizado para um valor entre 0 e 100. |
| Campo de Ameaças |
string |
O campo para o qual foi identificada uma ameaça. O valor é SrcIpAddr, DstIpAddr, Domain ou DnsResponseName. |
| ThreatFirstReportedTime |
datetime |
A primeira vez que o endereço IP ou domínio foram identificados como uma ameaça. |
| ThreatId |
string |
O ID da ameaça ou malware identificado na sessão de rede. |
| ThreatIpAddr |
string |
Um endereço IP para o qual foi identificada uma ameaça. O campo ThreatField contém o nome do campo que ThreatIpAddr representa. |
| ThreatIsActive |
booleano |
True ID a ameaça identificada é considerada uma ameaça ativa. |
| ThreatLastReportedTime |
datetime |
A última vez que o endereço IP ou domínio foi identificado como uma ameaça. |
| Nome da Ameaça |
string |
O nome da ameaça ou malware identificado na sessão de rede. |
| ThreatOriginalConfidence |
string |
O nível de confiança original da ameaça identificada, conforme relatado pelo dispositivo de relatório. |
| ThreatOriginalRiskLevel |
string |
O nível de risco comunicado pelo dispositivo de notificação. |
| ThreatRiskLevel |
número inteiro |
O nível de risco associado à sessão. O nível é um número entre 0 a 100. |
| TimeGenerated |
datetime |
O carimbo de data/hora (UTC) que reflete a hora em que o evento foi gerado. |
| Type |
string |
O nome da tabela |