Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Nätverksanslutningar eller sessioner som de som loggas av brandväggar, Wire Data, NSG, Netflow, proxysystem och webbsäkerhetsgatewayer.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | SecurityInsights |
| Grundläggande logg | Ja |
| Transformering vid inmatningstid | Nej |
| Exempelfrågor | Ja |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| YtterligareFält | dynamisk | När ingen kolumn i schemat matchar kan ytterligare fält lagras i en JSON-påse. |
| _Fakturastorlek | verklig | Poststorleken i byte |
| CloudAppId | sträng | ID:t för målprogrammet för ett HTTP-program som identifierats av en proxy. Det här värdet är vanligtvis specifikt för den proxy som används. |
| CloudAppName | sträng | Namnet på målprogrammet för ett HTTP-program som identifieras av en proxy. |
| Molnapplikationsoperation | sträng | Åtgärden som användaren utförde i kontexten för målprogrammet för ett HTTP-program som identifierats av en proxyserver. Det här värdet är vanligtvis specifikt för den proxy som används. |
| MolnAppRiskNivå | sträng | Den risknivå som är associerad med ett HTTP-program som identifieras av en proxy. Det här värdet är vanligtvis specifikt för den proxy som används. |
| DstBytes | lång | Antalet byte som skickas från målet till källan för anslutningen eller sessionen. |
| DstDomainHostname | sträng | Målvärdens domän. |
| DstDvcDomain | sträng | Målenhetens domän. |
| DstDvcFqdn | sträng | Det fullständigt kvalificerade domännamnet för värden där loggen skapades. |
| DstDvcHostname | sträng | Enhetsnamn för målenheten. |
| DstDvcIpAddr | sträng | Mål-IP-adressen för en enhet som inte är direkt associerad med nätverkspaketet. |
| DstDvcMacAddr | sträng | Mac-måladressen för en enhet som inte är direkt associerad med nätverkspaketet. |
| DstGeoCity | sträng | Den ort som är associerad med mål-IP-adressen. |
| DstGeoCountry | sträng | Det land som är associerat med källans IP-adress. |
| DstGeoLatitude | verklig | Latitud för den geografiska koordinat som är associerad med målets IP-adress. |
| DstGeoLongitude | verklig | Longitud för den geografiska koordinat som är associerad med målets IP-adress |
| DstGeoRegion | sträng | Regionen inom ett land som är associerat med mål-IP-adressen. |
| DstInterfaceGuid | sträng | GUID för nätverksgränssnittet som användes för autentiseringsbegäran. |
| DstInterfaceName | sträng | Nätverksgränssnittet som används för anslutningen eller sessionen av målenheten. |
| DstIpAddr | sträng | IP-adressen för anslutningen eller sessionsmålet. |
| DstMac-adress | sträng | MAC-adressen för nätverksgränssnittet där anslutningen eller sessionen avslutades. |
| DstNatIpAddr | sträng | Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används IP-adressen av NAT-enheten för kommunikation med källan. |
| DstNatPortNummer | Int | Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används porten av NAT-enheten för kommunikation med källan. |
| DstPackets | lång | Antalet paket som skickas från målet till källan för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. |
| DstPortNummer | Int | Målets IP-port. |
| DstResourceId | sträng | Målenhetens resurs-ID. |
| DstUserAadId | sträng | Objekt-ID:t för Azure AD-kontot för användaren i slutet av sessionen. |
| DstUserDomain | sträng | Domän- eller datornamnet för kontot för sessionen. |
| DstUserName | sträng | Användarnamnet för den identitet som associeras med sessionens destination. |
| DstUserSid | sträng | Användar-ID för den identitet som är associerad med sessionens mål. Vanligtvis är det identitet som används för att autentisera en server. |
| DstUserUpn | sträng | UPN för den identitet som är associerad med destinationen för sessionen. |
| DstZone | sträng | Målets nätverkszon, enligt definitionen av rapporteringsenheten. |
| DvcAction | sträng | Om den rapporteras av en mellanliggande enhet, till exempel en brandvägg, vidtas åtgärden av enheten. |
| DvcHostname | sträng | Enhetsnamnet på enheten som genererar meddelandet. |
| DvcInboundInterface | sträng | Om det rapporteras av en mellanliggande enhet, till exempel en brandvägg, är nätverksgränssnittet som används av den för anslutningen till källenhet. |
| DvcIpAddr | sträng | IP-adressen för den enhet som genererar posten. |
| DvcMacAddr | sträng | MAC-adressen för nätverksgränssnittet för rapporteringsenheten som händelsen skickades från. |
| DvcOutboundInterface | sträng | Om det rapporteras av en mellanliggande enhet, till exempel en brandvägg, är nätverksgränssnittet som används av den för anslutningen till målenheten. |
| Händelseräknare | Int | Antalet aggregerade händelser, om tillämpligt. |
| Eventsluttid | datum och tid | Tiden då händelsen avslutades. |
| Händelsemeddelande | sträng | Ett allmänt meddelande eller en beskrivning som antingen ingår i eller genereras från uppgiften. |
| EventOriginalUid | sträng | ID från rapporteringsenheten. |
| EventProduct | sträng | Produkten som genererar händelsen. |
| Evenemangsproduktversion | sträng | Den version av produkten som genererar händelsen. |
| HändelserapportURL | sträng | En länk till den fullständiga rapporten som skapats av rapporteringsenheten. |
| Evenemangsresurs-ID | sträng | Resurs-ID:t för enheten som genererar meddelandet. |
| Händelseresultat | sträng | Resultatet som rapporterats för aktiviteten. Tomt värde när det inte är tillämpligt. |
| Eventresultatdetaljer | sträng | Orsak till resultatet som rapporterats i EventResult |
| EventSchemaversion | sträng | Schemaversion för Azure Sentinel. |
| EventSeverity | sträng | Om den rapporterade aktiviteten har en säkerhetspåverkan anger du hur allvarlig effekten är. |
| Händelsens starttid | datum och tid | Den tid då händelsen angavs. |
| Händelseundertyp | sträng | Ytterligare beskrivning av typen om tillämpligt. |
| EventTidIngested | datum och tid | Den tid då händelsen matades in till Azure Sentinel. Kommer att läggas till av Azure Sentinel. |
| Händelsetyp | sträng | Typ av händelse som samlas in. |
| EventUid | sträng | Unik identifierare som används av Sentinel för att markera en rad. |
| EventVendor | sträng | Leverantören av produkten som genererar händelsen. |
| FileExtension | sträng | Typen av fil som överförs via nätverksanslutningarna för protokoll som FTP och HTTP. |
| FileHashMd5 | sträng | MD5-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. |
| FileHashSha1 | sträng | SHA1-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. |
| FileHashSha256 | sträng | SHA256-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. |
| FilhashSHA512 | sträng | SHA512-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. |
| FilMIME-typ | sträng | MIME-typen för filen som överförs via nätverksanslutningarna för protokoll som FTP och HTTP. |
| Filnamn | sträng | Filnamnet som överförs via nätverksanslutningarna för protokoll som FTP och HTTP som anger filnamnsinformationen. |
| FilePath | sträng | Den fullständiga sökvägen, inklusive filnamnet, för filen. |
| Filstorlek | Int | Filstorleken, i byte, för filen som överförs via nätverksanslutningarna för protokoll. |
| HttpInnehållstyp | sträng | Rubriken för innehållstyp i HTTP-svar för HTTP/HTTPS-nätverkssessioner. |
| HttpReferrerOriginal | sträng | HTTP-referenshuvudet för HTTP/HTTPS-nätverkssessioner. |
| HttpRequestMethod (metod för HTTP-förfrågningar) | sträng | HTTP-metoden för HTTP/HTTPS-nätverkssessioner. |
| HttpRequestTime | Int | Hur lång tid det tog att skicka begäran till servern, om tillämpligt. |
| HttpRequestXff | sträng | HTTP X-Forwarded-For-huvud för HTTP/HTTPS-nätverkssessioner. |
| HttpSvarstid | Int | Hur lång tid det tog att ta emot ett svar på servern, om tillämpligt. |
| HTTP-statuskod | sträng | HTTP-statuskoden för HTTP/HTTPS-nätverkssessioner. |
| HttpUserAgentOriginal | sträng | HTTP-användaragentens rubrik för HTTP/HTTPS-nätverkssessioner. |
| HTTP-version | sträng | HTTP-begärandeversionen för HTTP/HTTPS-nätverksanslutningar. |
| _ÄrDebiterbar | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto |
| Nätverksapplikationsprotokoll | sträng | Protokollet för programskiktet som används av anslutningen eller sessionen. |
| NetworkBytes | lång | Antal byte som skickats i båda riktningarna. Om både BytesReceived och BytesSent finns ska BytesTotal vara lika med summan. |
| NetworkDirection | sträng | Riktningen för anslutningen eller sessionen, till eller ut ur organisationen. |
| Nätverksvarighet | Int | Hur lång tid, i millisekunder, för slutförandet av nätverkssessionen eller anslutningen. |
| NetworkIcmpCode | Int | För ett ICMP-meddelande skriver ICMP-meddelande numeriskt värde (RFC 2780 eller RFC 4443). |
| NetworkIcmpType | sträng | För ett ICMP-meddelande, ICMP meddelandetypens textrepresentation (RFC 2780 eller RFC 4443). |
| Nätverkspaket | lång | Antal paket som skickas i båda riktningarna. Om både PacketsReceived och PacketsSent finns bör BytesTotal vara lika med summan. |
| nätverksprotokoll | sträng | IP-protokollet som används av anslutningen eller sessionen. Vanligtvis TCP, UDP eller ICMP. |
| Nätverksregelnamn | sträng | Namnet eller ID:t för den regel som användes för att besluta om DeviceAction. |
| Nätverksregelnummer | Int | Matchat regelnummer. |
| Nätverkssession-ID | sträng | Sessionsidentifieraren som rapporteras av rapporteringsenheten. |
| SourceSystem | sträng | Agenttypen som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| SrcBytes | lång | Antalet byte som skickas från källan till målet för anslutningen eller sessionen. |
| SrcDvcDomain | sträng | Domän för den enhet som sessionen initierades från. |
| SrcDvcFqdn | sträng | Det fullständigt kvalificerade domännamnet för värden där loggen skapades. |
| SrcDvcHostname | sträng | Källenhetens enhetsnamn. |
| SrcDvcIpAddr | sträng | Käll-IP-adressen för en enhet som inte är direkt associerad med nätverkspaketet (samlas in av en provider eller beräknas uttryckligen). |
| SrcDvcMacAddr | sträng | Mac-källadressen för en enhet som inte är direkt associerad med nätverkspaketet. |
| SrcDvcModelName | sträng | Källenhetens modell. |
| SrcDvcModellNummer | sträng | Källenhetens modellnummer. |
| SrcDvcOs | sträng | Källenhetens operativsystem. |
| SrcDvcType | sträng | Typ av källenhet. |
| SrcGeoCity | sträng | Den ort som är associerad med källans IP-adress. |
| SrcGeoCountry | sträng | Det land som är associerat med källans IP-adress. |
| SrcGeoLatitude | verklig | Latitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoLongitud | verklig | Longitud för den geografiska koordinat som är associerad med källans IP-adress. |
| KällaGeoRegion | sträng | Regionen i ett land som är associerat med källans IP-adress. |
| SrcInterfaceGuid | sträng | GUID för det nätverksgränssnitt som används. |
| SrcInterfaceName | sträng | Nätverksgränssnittet som används för anslutningen eller sessionen av källenheten. |
| SrcIpAddr | sträng | DEN IP-adress som anslutningen eller sessionen kommer från. |
| SrcMacAddr | sträng | MAC-adressen för nätverksgränssnittet som anslutningens od-session kommer från. |
| SrcNatIp-adress | sträng | Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används IP-adressen av NAT-enheten för kommunikation med målet. |
| SrcNatPortNummer | Int | Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används porten av NAT-enheten för kommunikation med målet. |
| SrcPackets | lång | Antalet paket som skickas från källan till målet för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. |
| SrcPortNumber | Int | DEN IP-port som anslutningen kommer från. Kanske inte är relevant för en session som består av flera anslutningar. |
| SrcResourceId | sträng | Resurs-ID:t för enheten som genererar meddelandet. |
| SrcUserAadId | sträng | Objekt-ID:t för Azure AD-kontot för användaren i slutet av sessionen. |
| SrcUserDomain | sträng | Domänen för kontot som initierar sessionen. |
| SrcUserName | sträng | Användarnamnet för den identitet som är associerad med sessionskällan. Vanligtvis utför användaren en åtgärd på klienten. |
| SrcUserSid | sträng | Användar-ID för den identitet som är associerad med sessionskällan. Vanligtvis utför användaren en åtgärd på klienten. |
| SrcUserUpn | sträng | UPN för kontot som initierar sessionen. |
| SrcZone | sträng | Källans nätverkszon enligt definitionen av rapporteringsenheten. |
| Hyresgäst-ID | sträng | Log Analytics-arbetsytans ID |
| Hotkategori | sträng | Kategorin för ett hot som identifieras av ett säkerhetssystem, till exempel Web Security Gateway för en IPS och som är associerad med den här nätverkssessionen. |
| ThreatId | sträng | ID:t för ett hot som identifieras av ett säkerhetssystem, till exempel Web Security Gateway för en IPS och som är associerat med den här nätverkssessionen. |
| Hotnamn | sträng | Namnet på det identifierade hotet eller den skadliga koden. |
| Tidpunkt för generering | datum och tid | Den tid då händelsen inträffade, enligt rapportkällans rapporteringskälla. |
| Typ | sträng | Namnet på tabellen |
| URL-kategori | sträng | Den definierade gruppering av en URL (eller kan bara baseras på domänen i URL:en) som är relaterad till vad den är (dvs. vuxen, nyheter, reklam, parkerade domäner osv.). |
| URL-värdnamn | sträng | Domändelen av en HTTP-begärande-URL för HTTP/HTTPS-nätverkssessioner. |
| UrlOriginal | sträng | HTTP-begärande-URL:en för HTTP/HTTPS-nätverkssessioner. |