Поделиться через


AWSVPCFlow

Журналы потоков VPC, которые передаются из соединителя Sentinel, позволяют записывать IP-трафик из сетевых интерфейсов AWS VPC и из них.

Атрибуты таблицы

Атрибут Значение
Типы ресурсов -
Категории Безопасность
Решения SecurityInsights
Базовый журнал No
Преобразование ingestion-time Да
Примеры запросов Да

Столбцы

Column Type Описание
accountId строка Идентификатор учетной записи AWS владельца исходного сетевого интерфейса, для которого записывается трафик. Если сетевой интерфейс создается службой AWS, например при создании конечной точки VPC или сетевой подсистемы балансировки нагрузки, запись может отображаться неизвестно для этого поля.
Действие строка Действие, связанное с трафиком.
AzId строка Идентификатор зоны доступности.
_BilledSize real Размер записи в байтах
Байт длинный Количество байтов, передаваемых во время потока.
DstAddr строка Адрес назначения для исходящего трафика.
DstPort INT Конечный порт трафика.
Завершить datetime Время получения последнего пакета потока в интервале агрегирования.
FlowDirection строка Направление потока относительно интерфейса, в котором фиксируется трафик.
InstanceId строка Идентификатор экземпляра, связанного с сетевым интерфейсом, для которого записывается трафик.
InterfaceId строка Идентификатор сетевого интерфейса, для которого записывается трафик.
_IsBillable строка Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure.
LogStatus строка Состояние ведения журнала потока.
Пакеты INT Количество пакетов, передаваемых во время потока.
PktDstAddr строка IP-адрес назначения уровня пакета (исходный) для трафика.
PktDstAwsService строка Имя подмножества диапазонов IP-адресов для поля PktDstAddr, если целевой IP-адрес предназначен для службы AWS.
PktSrcAddr строка Исходный IP-адрес исходного трафика на уровне пакета.
PktSrcAwsService строка Имя подмножества диапазонов IP-адресов для поля PktSrcAddr, если исходный IP-адрес предназначен для службы AWS.
Протокол INT Номер протокола IANA трафика.
Область/регион строка Регион, содержащий сетевой интерфейс, для которого записывается трафик.
SourceSystem строка Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure
SrcAddr строка Исходный адрес для входящего трафика.
SrcPort INT Исходный порт трафика.
SublocationId строка Идентификатор подлокации, содержащей сетевой интерфейс, для которого записывается трафик.
SublocationType строка Тип подлокации, возвращаемого в поле sublocationId.
SubnetId строка Идентификатор подсети.
TcpFlags INT Значение битовой маски для следующих флагов TCP.
TenantId строка Идентификатор рабочей области Log Analytics
TimeGenerated datetime Метка времени (UTC) при создании события. Это значение будет совпадать с полем ввода start или временем прибытия данных в Azure Monitor, если поле ввода "start" пусто или отсутствует.
TrafficPath строка Путь, исходящий трафик передается в место назначения.
Тип трафика строка Тип трафика. Возможные значения: IPv4, IPv6 и EFA. Дополнительные сведения см. в поле "Адаптер Elastic Fabric (EFA)".
Тип строка Имя таблицы.
Версия INT Версия журналов потоков VPC.
VpcId строка Идентификатор VPC.