你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
AWS 平台防火墙流日志(从 Sentinel 的连接器引入)支持实时分析和关联其他安全数据源,例如检测警报、防火墙事件网络流量日志等。
数据表属性
| 特征 | 价值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全 |
| 解决方案 | SecurityInsights |
| 基本日志 | 是的 |
| 引入时转换 | 否 |
| 示例查询 | - |
列
| 列 | 类型 | DESCRIPTION |
|---|---|---|
| Ack | 布尔 | 指示是否在 TCP 数据包中设置 ACK 标志(true/false)。 |
| AppProto | 字符串 | 检测到应用程序层协议(例如 HTTP、HTTPS、DNS)。 |
| 可用性区域 | 字符串 | 防火墙实例所在的 AWS 可用性区域。 |
| _BilledSize(账单大小) | real | 记录大小(字节) |
| DestIp | 字符串 | 数据包的目标 IP 地址。 |
| DestPort | 字符串 | 数据包发送到的目标端口。 |
| Ecn | 布尔 | 指示是否在 TCP 数据包中设置 ECN 标志(true/false)。 |
| 事件时间戳 | 字符串 | 事件发生时的纪元时间戳。 |
| 事件类型 | 字符串 | 记录的事件类型(例如流、警报、删除、传递)。 |
| 鳍 | 布尔 | 指示 FIN 标志是否在 TCP 数据包中设置(true/false)。 |
| FirewallName | 字符串 | 生成日志的 AWS 网络防火墙实例的名称。 |
| FlowId | 字符串 | 与此事件相关的网络流的唯一标识符。 |
| _IsBillable | 字符串 | 指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| NetFlowAge | 字符串 | 网络流的持续时间(以秒为单位)。 |
| NetFlowBytes | 字符串 | 在网络流中传输的总字节数。 |
| NetFlowEnd | datetime | 网络流结束时的时间戳。 |
| NetFlowMaxttl | 字符串 | 网络流中观察到的最大生存时间(TTL)。 |
| NetFlowMinttl | 字符串 | 网络流中观察到的最小生存时间(TTL)。 |
| NetFlowPkts | 字符串 | 网络流中的数据包数。 |
| NetFlowStart | datetime | 网络流启动时的时间戳。 |
| 协议 | 字符串 | 使用的协议(例如 TCP、UDP、ICMP)。 |
| Psh | 布尔 | 指示是否在 TCP 数据包中设置 PSH 标志(true/false)。 |
| Rst | 布尔 | 指示是否在 TCP 数据包中设置 RST 标志(true/false)。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| SrcIp | 字符串 | 触发事件的数据包的源 IP 地址。 |
| SrcPort | 字符串 | 数据包源自的源端口。 |
| Syn | 布尔 | 指示是否在 TCP 数据包中设置 SYN 标志(true/false)。 |
| TCPFlags | 字符串 | 数据包中观察到的 TCP 标志 |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | 日期/时间 | 在 AWS 网络防火墙中创建日志条目时的时间戳。 |
| 时间戳 | 日期/时间 | 捕获事件的确切时间戳。 |
| 类型 | 字符串 | 表的名称 |