| AdditionalFields |
dynamisk |
Ytterligare information som representeras med hjälp av nyckel/värde-par som tillhandahålls av källan som inte mappas till ASim. |
| _BilledSize |
real |
Poststorleken i byte |
| DnsFlags |
sträng |
DNS-begärandeflaggor, som tillhandahålls av rapporteringsenheten. Strukturen för DNS-flaggornas information kan variera mellan olika rapporteringsenheter. |
| DnsFlagsAuthenticated |
bool |
Flaggan DNS-autentiserad svar, som är relaterad till DNSSEC, anger i ett svar att alla data som ingår i svars- och utfärdaravsnitten i svaret har verifierats av servern enligt serverns principer. Se RFC 3655 Avsnitt 6.1 för mer information. |
| DnsFlagsAuthoritative |
bool |
Flaggan DNS-auktoritativt svar anger om svaret från servern var auktoritativt. |
| DnsFlagsCheckingDisabled |
bool |
DNS CD-flaggan, som är relaterad till DNSSEC, anger i en fråga att icke-verifierade data är godtagbara för systemet som skickar frågan. |
| DnsFlagsRecursionAvailable |
bool |
DNS RA-flaggan anger i ett svar att servern stöder rekursiva frågor. |
| DnsFlagsRecursionDesired |
bool |
Flaggan FÖR DNS-rekursion anger i en begäran att klienten vill att servern ska använda rekursiva frågor. |
| DnsFlagsTruncated |
bool |
DNS TC-flaggan anger att ett svar trunkerades eftersom det överskred den maximala svarsstorleken. |
| DnsFlagsZ |
bool |
DNS Z-flaggan är en inaktuell DNS-flagga som kan rapporteras av äldre DNS-system. |
| DnsNetworkDuration |
heltal |
Hur lång tid, i millisekunder, för slutförande av DNS-begäran. |
| DnsQuery |
sträng |
Den domän som måste lösas. |
| DnsQueryClass |
heltal |
DNS-klass-ID:t enligt definitionen av IANA (Internet Assigned Numbers Authority). |
| DnsQueryClassName |
sträng |
DNS-klassnamnet enligt definitionen i IANA (Internet Assigned Numbers Authority). |
| DnsQueryType |
heltal |
DNS-resursens posttypkoder som definieras av IANA (Internet Assigned Numbers Authority). |
| DnsQueryTypeName |
sträng |
Namnet på DNS-resurspostens posttyp som definierats av IANA (Internet Assigned Numbers Authority). |
| DnsResponseCode |
heltal |
Den numeriska DNS-svarskoden som definieras av IANA (Internet Assigned Numbers Authority). |
| DnsResponseIpCity |
sträng |
Den ort som är associerad med svars-IP-adressen. |
| DnsResponseIpCountry |
sträng |
Det land som är associerat med svars-IP-adressen. |
| DnsResponseIpLatitude |
real |
Latitud för den geografiska koordinat som är associerad med svars-IP-adressen. |
| DnsResponseIpLongitude |
real |
Longitud för den geografiska koordinat som är associerad med svars-IP-adressen. |
| DnsResponseIpRegion |
sträng |
Den region, eller delstat, inom ett land som är associerat med källans IP-adress. |
| DnsResponseName |
sträng |
Innehållet i svaret, som ingår i posten. Strukturen för DNS-svarsdata kan variera mellan olika rapporteringsenheter. |
| DnsSessionId |
sträng |
DNS-sessionsidentifieraren enligt rapporteringsenhetens rapport. |
| Dst |
sträng |
En unik identifierare för servern som tog emot DNS-begäran. |
| DstDescription |
sträng |
En beskrivande text som är associerad med målet. |
| DstDeviceType |
sträng |
Typ av målenhet. |
| DstDomain |
sträng |
Målenhetens domän. |
| DstDomainType |
sträng |
Typ av DstDomain. |
| DstDvcId |
sträng |
Målenhetens ID. |
| DstDvcIdType |
sträng |
Typ av DstDvcId. |
| DstDvcScope |
sträng |
Molnplattformsomfånget som målenheten tillhör. DvcScope mappar till en prenumeration på Azure och till ett konto på AWS. |
| DstDvcScopeId |
sträng |
Molnplattformens omfångs-ID som målenheten tillhör. DvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DstFQDN |
sträng |
Värdnamnet för målenheten, inklusive domäninformation när det är tillgängligt. |
| DstGeoCity |
sträng |
Den ort som är associerad med mål-IP-adressen. |
| DstGeoCountry |
sträng |
Det land som är associerat med mål-IP-adressen. |
| DstGeoLatitude |
real |
Latitud för den geografiska koordinat som är associerad med målets IP-adress. |
| DstGeoLongitude |
real |
Longitud för den geografiska koordinat som är associerad med målets IP-adress. |
| DstGeoRegion |
sträng |
Den region, eller delstat, inom ett land som är associerat med mål-IP-adressen. |
| DstHostname |
sträng |
Målenhetens värdnamn, exklusive domäninformation. |
| DstIpAddr |
sträng |
IP-adressen för servern som tar emot DNS-begäran. För en vanlig DNS-begäran skulle det här värdet vanligtvis vara rapporteringsenheten och i de flesta fall anges till 127.0.0.1. |
| DstOriginalRiskLevel |
sträng |
Den risknivå som är associerad med målenheten enligt rapporteringsenhetens rapporter. |
| DstPortNumber |
heltal |
Målportnummer. |
| DstRiskLevel |
heltal |
Den risknivå som är associerad med målenheten. |
| Dvc |
sträng |
En unik identifierare för enheten som rapporterar händelsen. Identifieraren kan vara antingen en IP-adress, ett värdnamn eller ett enhets-ID. |
| DvcAction |
sträng |
Den åtgärd som vidtagits av rapporteringsenheten på begäran, till exempel att blockera den. |
| DvcDescription |
sträng |
En beskrivande text som är associerad med enheten. Till exempel: Primär domänkontrollant. |
| DvcDomain |
sträng |
Domänen för enheten som rapporterar händelsen. |
| DvcDomainType |
sträng |
Typ av DvcDomain. Möjliga värden är "Windows" och "FQDN". |
| DvcFQDN |
sträng |
Det fullständigt kvalificerade värdnamnet, inklusive domäninformation, för enheten som rapporterar händelsen. |
| DvcHostname |
sträng |
Värdnamnet för enheten som rapporterar händelsen. |
| DvcId |
sträng |
Det unika ID:t för enheten som rapporterar händelsen. |
| DvcIdType |
sträng |
Typ av DvcId. |
| DvcInterface |
sträng |
Nätverksgränssnittet som data har avbildats på. Det här fältet är vanligtvis relevant för nätverksrelaterad aktivitet som samlas in av en mellanliggande enhet eller en tryckenhet. |
| DvcIpAddr |
sträng |
IP-adressen för enheten som rapporterar händelsen. |
| DvcMacAddr |
sträng |
MAC-adressen för enheten som rapporterar händelsen. |
| DvcOriginalAction |
sträng |
Den ursprungliga DvcAction som tillhandahålls av rapporteringsenheten. |
| DvcOs |
sträng |
Operativsystemet som körs på enheten som rapporterar händelsen. |
| DvcOsVersion |
sträng |
Versionen av operativsystemet på enheten som rapporterar händelsen. |
| DvcScope |
sträng |
Molnplattformsomfånget som enheten tillhör. DvcScope mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DvcScopeId |
sträng |
Molnplattformens omfångs-ID som enheten tillhör. DvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DvcZone |
sträng |
Nätverkssegmentet för enheten som rapporterar händelsen. |
| EventCount |
heltal |
Antalet händelser som beskrivs av posten. Det här värdet används när källan stöder aggregering och en enskild post kan representera flera händelser. |
| EventEndTime |
datetime |
Tidpunkt då händelsen avslutades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den senaste händelsen genererades. Om det inte tillhandahålls av källposten, alias det här fältet fältet TimeGenerated. |
| EventMessage |
sträng |
Ett allmänt meddelande eller en beskrivning. |
| EventOriginalSeverity |
sträng |
Den ursprungliga allvarlighetsgraden som tillhandahålls av rapporteringsenheten. Det här värdet används för att härleda EventSeverity. |
| EventOriginalType |
sträng |
Den ursprungliga händelsetypen eller ID:t, till exempel det ursprungliga Windows-händelse-ID:t. |
| EventOriginalUid |
sträng |
Ett unikt ID för den ursprungliga posten. |
| EventOwner |
sträng |
Ägaren till händelsen, som vanligtvis är den avdelning eller det dotterbolag där den genererades. |
| EventProduct |
sträng |
Produkten som genererar händelsen. |
| EventProductVersion |
sträng |
Den version av produkten som genererar händelsen. |
| EventReportUrl |
sträng |
En URL till en resurs som innehåller ytterligare information om händelsen. |
| EventResult |
sträng |
Resultatet av händelsen, som representeras av något av följande värden: Success, Partial, Failure, NA (Not Applicable). Värdet kanske inte anges direkt av källorna, i vilket fall det härleds från andra händelsefält, till exempel fältet EventResultDetails. |
| EventResultDetails |
sträng |
DNS-svarskoden enligt definitionen i IANA (Internet Assigned Numbers Authority). |
| EventSchemaVersion |
sträng |
Versionen av schemat. |
| EventSeverity |
sträng |
Händelsens allvarlighetsgrad. Giltiga värden är: Information, Låg, Medel eller Hög. |
| EventStartTime |
datetime |
Tidpunkt då händelsen startades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den första händelsen genererades. Om det inte tillhandahålls av källposten, alias det här fältet fältet TimeGenerated. |
| EventSubType |
sträng |
Antingen begäran eller svar. |
| EventType |
sträng |
Anger den åtgärd som rapporterats av posten. För DNS-aktivitetshändelser är det här värdet DNS-opcode enligt definitionen av IANA (Internet Assigned Numbers Authority). |
| EventVendor |
sträng |
Leverantören av produkten som genererar händelsen. |
| _IsBillable |
sträng |
Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto |
| NetworkProtocol |
sträng |
Transportprotokollet som används av nätverksmatchningshändelsen. Värdet kan vara UDP eller TCP. |
| NetworkProtocolVersion |
sträng |
Versionen av nätverksprotokollet. Används vanligtvis för att skilja mellan IPv4 och Ipv6. |
| _ResourceId |
sträng |
En unik identifierare för resursen som posten är associerad med |
| RuleName |
sträng |
Namnet eller ID:t för regeln som associeras med inspektionsresultatet. |
| RuleNumber |
heltal |
Antalet regler som är associerade med inspektionsresultatet. |
| SourceSystem |
sträng |
Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| Src |
sträng |
En unik identifierare för källenheten. |
| SrcDescription |
sträng |
Antalet regler som är associerade med inspektionsresultatet. |
| SrcDeviceType |
sträng |
Typ av källenhet. |
| SrcDomain |
sträng |
Källenhetens domän. |
| SrcDomainType |
sträng |
Typen av SrcDomain. |
| SrcDvcId |
sträng |
Källenhetens ID. |
| SrcDvcIdType |
sträng |
Typen av SrcDvcId. |
| SrcDvcScope |
sträng |
Molnplattformsomfånget som källenheten tillhör. DvcScope mappar till en prenumeration på Azure och till ett konto på AWS. |
| SrcDvcScopeId |
sträng |
Molnplattformens omfångs-ID som källenheten tillhör. DvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcFQDN |
sträng |
Källenhetens värdnamn, inklusive domäninformation. |
| SrcGeoCity |
sträng |
Den ort som är associerad med källans IP-adress. |
| SrcGeoCountry |
sträng |
Det land som är associerat med källans IP-adress. |
| SrcGeoLatitude |
real |
Latitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoLongitude |
real |
Longitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoRegion |
sträng |
Den region, eller delstat, inom ett land som är associerat med källans IP-adress. |
| SrcHostname |
sträng |
Källenhetens värdnamn, exklusive domäninformation. |
| SrcIpAddr |
sträng |
IP-adressen för klienten som skickar DNS-begäran. För en rekursiv DNS-begäran skulle det här värdet vanligtvis vara rapporteringsenheten, och i de flesta fall anges det till 127.0.0.1. |
| SrcOriginalRiskLevel |
sträng |
Den risknivå som är associerad med källenheten enligt rapporteringsenhetens rapporter. |
| SrcOriginalUserType |
sträng |
Den ursprungliga källanvändartypen, som tillhandahålls av källan. |
| SrcPortNumber |
heltal |
Källporten för DNS-frågan. |
| SrcProcessGuid |
sträng |
En genererad unik identifierare (GUID) för den process som initierade DNS-begäran. |
| SrcProcessId |
sträng |
Process-ID (PID) för den process som initierade DNS-begäran. |
| SrcProcessName |
sträng |
Namnet på den process som initierade DNS-begäran. |
| SrcRiskLevel |
heltal |
Den risknivå som är associerad med källenheten. |
| SrcUserId |
sträng |
En maskinläsbar, alfanumerisk, unik representation av källanvändaren. |
| SrcUserIdType |
sträng |
Typen av ID som lagras i fältet SrcUserId. |
| SrcUsername |
sträng |
Användarnamnet Källa, inklusive domäninformation när det är tillgängligt. |
| SrcUsernameType |
sträng |
Typ av användarnamn som lagras i fältet SrcUsername. |
| SrcUserScope |
sträng |
Omfånget, till exempel Azure AD-klientorganisation, där SrcUserId och SrcUsername definieras. |
| SrcUserScopeId |
sträng |
ID:t för omfånget, till exempel Azure AD-klientorganisation, där SrcUserId och SrcUsername definieras. |
| SrcUserSessionId |
sträng |
Det unika ID:t för källanvändarens inloggningssession. |
| SrcUserType |
sträng |
Typ av källanvändare. |
| _SubscriptionId |
sträng |
En unik identifierare för prenumerationen som posten är associerad med |
| TenantId |
sträng |
Log Analytics-arbetsytans ID |
| ThreatCategory |
sträng |
Om en DNS-händelsekälla även tillhandahåller DNS-säkerhet kan den även utvärdera DNS-händelsen. Den kan till exempel söka efter IP-adressen eller domänen i en databas för hotinformation och tilldela domänen eller IP-adressen med en hotkategori. |
| ThreatConfidence |
heltal |
Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatField |
sträng |
Fältet som ett hot identifierades för. Värdet är antingen SrcIpAddr, DstIpAddr, Domain eller DnsResponseName. |
| ThreatFirstReportedTime |
sträng |
Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatFirstReportedTime_d |
datetime |
Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatId |
sträng |
ID:t för det hot eller den skadliga kod som identifierades i webbsessionen. |
| ThreatIpAddr |
sträng |
En IP-adress som ett hot identifierades för. Fältet ThreatField innehåller namnet på fältet ThreatIpAddr representerar. Om ett hot identifieras i fältet Domän bör det här fältet vara tomt. |
| ThreatIsActive |
bool |
Sant ID som det identifierade hotet betraktas som ett aktivt hot. |
| ThreatLastReportedTime |
sträng |
Senast IP-adressen eller domänen identifierades som ett hot. |
| ThreatLastReportedTime_d |
datetime |
Senast IP-adressen eller domänen identifierades som ett hot. |
| ThreatName |
sträng |
Namnet på det identifierade hotet enligt rapporteringsenhetens rapporter. |
| ThreatOriginalConfidence |
sträng |
Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| ThreatOriginalRiskLevel |
heltal |
Den ursprungliga risknivån som är associerad med det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| ThreatOriginalRiskLevel_s |
sträng |
Risknivån som är associerad med det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatRiskLevel |
heltal |
Risknivån som är associerad med det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| TimeGenerated |
datetime |
Tidsstämpeln (UTC) som återspeglar den tid då händelsen genererades. |
| TransactionIdHex |
sträng |
DNS-unikt hextransaktions-ID. |
| Typ |
sträng |
Namnet på tabellen |
| UrlCategory |
sträng |
En DNS-händelsekälla kan också slå upp kategorin för de begärda domänerna. |