WindowsEvent
События Windows, которые собираются и отправляются агентом.
Атрибуты таблицы
| attribute | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | CustomizedWindowsEventsFiltering, InternalWindowsEvent, SecurityInsights, WEFInternalUat, WEF_10x, WEF_10xDSRE, WinLog, WindowsEventForwarding |
| Базовый журнал | Нет |
| Преобразование во время приема | Да |
| Примеры запросов | Да |
Столбцы
| Столбец | Type | Описание |
|---|---|---|
| _BilledSize | real | Размер записи в байтах |
| Channel | строка | Канал, в котором было зарегистрировано событие. |
| Компьютер | строка | имя компьютера, на котором произошло событие. |
| Correlation | строка | Идентификаторы действий, которые потребители могут использовать для группировки связанных событий. |
| EventData | Динамический | Содержит данные события, проанализированные до динамического типа. Если синтаксический анализ завершается сбоем, это поле будет содержать значение NULL и поле RawEventData будет заполнено. |
| EventID | INT | Идентификатор, используемый поставщиком для идентификации события. |
| EventLevel | INT | Содержит уровень серьезности события. |
| EventLevelName | строка | Отрисоченная строка сообщения уровня, указанного в событии. |
| EventOriginId | строка | Идентификатор виртуальной машины, полученный из службы метаданных экземпляров Azure (IMDS). |
| EventRecordId | строка | Номер записи, присвоенный событию при его регистрации. |
| _IsBillable | строка | Указывает, взимается ли плата за прием данных. Если _IsBillable прием false не выставляется в вашей учетной записи Azure |
| Keywords | строка | Битовая маска ключевых слов, определенных в событии . |
| ManagementGroupName | строка | Дополнительные сведения в зависимости от типа ресурса. |
| Код операции | строка | Элемент opcode определяется сложным типом SystemPropertiesType. |
| Поставщик | строка | Тип свойств системы — определяет поставщика, который зарегистрировал событие. |
| RawEventData | строка | Необработанный XML-код события при сбое синтаксического анализа. При успешном синтаксическом анализе имеет значение NULL. |
| _ResourceId | строка | Уникальный идентификатор ресурса, с которым связана запись |
| _SubscriptionId | строка | Уникальный идентификатор подписки, с которой связана запись |
| SystemProcessId | INT | Указывает процесс, создавший событие. |
| SystemThreadId | INT | Указывает поток, создавший событие. |
| SystemUserId | строка | Идентификатор пользователя, ответственного за событие. |
| Задача | INT | Задача, определенная в событии . |
| TenantId | строка | Идентификатор рабочей области Log Analytics |
| TimeGenerated | DATETIME | Метка времени, когда событие было создано на компьютере. |
| Тип | строка | Имя таблицы. |
| Версия | INT | Содержит номер версии определения события. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по