AWSVPCFlow
通过从 Sentinel 的连接器引入的 VPC 流日志,可以捕获传入和传出 AWS VPC 网络接口的 IP 流量。
表属性
Attribute | 值 |
---|---|
资源类型 | - |
类别 | 安全性 |
解决方案 | SecurityInsights |
基本日志 | 否 |
引入时间转换 | 是 |
示例查询 | 是 |
列
列 | 类型 | 说明 |
---|---|---|
AccountId | string | 为其记录流量的源网络接口的所有者的 AWS 帐户 ID。 如果网络接口是由 AWS 服务创建的(例如在创建 VPC 终结点或网络负载均衡器时),则此字段的记录可能会显示未知。 |
操作 | string | 与流量关联的操作。 |
AzId | 字符串 | 可用性区域的 ID。 |
_BilledSize | real | 记录大小(以字节为单位) |
字节 | long | 流期间传输的字节数。 |
DstAddr | 字符串 | 传出流量的目标地址。 |
DstPort | int | 流量的目标端口。 |
结束 | datetime | 在聚合间隔内收到流的最后一个数据包的时间。 |
FlowDirection | 字符串 | 与捕获流量的接口相关的流方向。 |
InstanceId | 字符串 | 与为其记录流量的网络接口关联的实例的 ID。 |
InterfaceId | 字符串 | 为其记录流量的网络接口的 ID。 |
_IsBillable | 字符串 | 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费 |
LogStatus | 字符串 | 流日志的日志记录状态。 |
数据包数 | int | 在流期间传输的数据包数。 |
PktDstAddr | 字符串 | 数据包级别 (流量的原始) 目标 IP 地址。 |
PktDstAwsService | 字符串 | 如果目标 IP 地址用于 AWS 服务,则为 PktDstAddr 字段的 IP 地址范围子集的名称。 |
PktSrcAddr | 字符串 | 数据包级别 (流量的原始) 源 IP 地址。 |
PktSrcAwsService | 字符串 | 如果源 IP 地址用于 AWS 服务,则为 PktSrcAddr 字段的 IP 地址范围子集的名称。 |
协议 | int | 流量的 IANA 协议编号。 |
区域 | 字符串 | 包含为其记录流量的网络接口的区域。 |
SourceSystem | 字符串 | 事件收集依据的代理类型。 例如,OpsManager 对于 Windows 代理,对于直接连接或 Operations Manager,Linux 对于所有 Linux 代理,或者Azure 对于 Azure 诊断 |
SrcAddr | 字符串 | 传入流量的源地址。 |
SrcPort | int | 流量的源端口。 |
SublocationId | 字符串 | 包含为其记录流量的网络接口的子位置的 ID。 |
SublocationType | 字符串 | sublocationId 字段中返回的子位置类型。 |
SubnetId | 字符串 | 子网的 ID。 |
TcpFlags | int | 以下 TCP 标志的位掩码值。 |
TenantId | 字符串 | Log Analytics 工作区 ID |
TimeGenerated | datetime | 生成事件时的时间戳 (UTC)。 此值与“开始”输入字段或 Azure Monitor 的数据到达时间相同,以防“开始”输入字段为空或缺失。 |
TrafficPath | 字符串 | 出口流量到达目标的路径。 |
TrafficType | 字符串 | 流量的类型。 可能的值为:IPv4、IPv6 和 EFA。 有关详细信息,请搜索“弹性结构适配器 (EFA) ”。 |
类型 | 字符串 | 表的名称 |
版本 | int | VPC 流日志版本。 |
VpcId | 字符串 | VPC 的 ID。 |
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈