你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
MDCFileIntegrityMonitoringEvents
查看 Windows 和 Linux 文件以及软件注册表项的更改。 此表中的事件由 Microsoft Defender for Endpoint (MDE) 收集。
表属性
| Attribute | 值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | LogManagement |
| 基本日志 | 是 |
| 引入时间转换 | 否 |
| 示例查询 | - |
列
| 列 | 类型 | 描述 |
|---|---|---|
| AADTenantID | string | 在其中创建、重命名、修改或删除受监视实体的订阅的 AAD 租户 ID。 |
| AzureResourceId | string | 其受监视实体已创建、重命名、修改或删除的资源的 Azure 资源 ID。 |
| _BilledSize | real | 记录大小(字节) |
| ChangeType | string | 实体上发生的更改类型。 对于“File”实体,必须是“Created”、“Modified”、“Renamed”或“Deleted”。 对于“Registry”实体,必须是“RegistryKeyCreated”、“RegistryKeyDeleted”、“RegistryValueSet”、“RegistryValueDeleted”、“RegistryKeyRenamed”。 |
| CloudIdentifier | string | 资源的云标识符。 |
| CloudProvider | string | 资源的云提供商。 |
| CloudResourceType | string | 云资源的类型。 |
| Computer | string | 在其中创建、重命名、修改或删除受监视实体的计算机的名称。 |
| FileMd5 | string | 与“文件”受监视实体类型相关。 保存已修改、创建或删除的文件的 MD5。 |
| FileName | string | 与“文件”受监视实体类型相关。 保存创建、重命名、修改或删除的文件的名称。 |
| 文件路径 | string | 与“文件”受监视实体类型相关。 保存已创建、重命名、修改或删除的文件的路径。 |
| FileSha1 | string | 与“文件”受监视实体类型相关。 保存修改、创建或删除的文件的 SHA1。 |
| FileSha256 | string | 与“文件”受监视实体类型相关。 保存修改、创建或删除的文件的 SHA256。 |
| FileSize | long | 与“文件”受监视实体类型相关。 保存已创建、重命名、修改或删除的文件的当前大小(以字节为单位)。 |
| FileType | string | 与“文件”受监视实体类型相关。 保存创建、重命名、修改或删除的文件的类型。 可能值的示例:Zip、PDF、Xar 等。 |
| InitiatingProcessAccountDomainName | string | 保留导致受监视实体事件的启动进程的帐户域名。 |
| InitiatingProcessAccountName | string | 保留导致受监视实体事件的启动进程的帐户名称。 |
| InitiatingProcessAccountSid | string | 保留导致受监视实体事件的启动进程的帐户 SID。 |
| InitiatingProcessCreationTime | datetime | 保留导致受监视实体事件的启动进程的创建时间。 |
| InitiatingProcessFirstSeen | datetime | 保存导致受监视实体事件的启动过程的第一次看到时间。 |
| InitiatingProcessId | long | 保存导致受监视实体事件的启动进程的进程 ID。 |
| InitiatingProcessImageFileName | string | 保存导致受监视实体事件的启动进程的映像文件名。 |
| InitiatingProcessImageFilePath | string | 保存导致受监视实体事件的启动进程的映像文件路径。 |
| InitiatingProcessImageFileType | string | 保存导致受监视实体事件的启动进程的映像文件类型。 |
| InitiatingProcessName | string | 保留导致受监视实体事件的启动进程的名称。 |
| InitiatingProcessSessionId | long | 保存导致受监视实体事件的启动进程的会话 ID。 |
| InitiatingProcessSource | string | 保留导致受监视实体事件的启动进程的源。 |
| InitProcImageCreationTimeUtc | datetime | 保留导致受监视实体事件的启动进程的映像创建映像的时间。 |
| InitProcImageFileSizeInBytes | long | 保存导致受监视实体事件的启动进程的映像文件大小(以字节为单位)。 |
| InitProcImageLastAccessTimeUtc | datetime | 保存导致受监视实体事件的启动进程的映像的上次访问时间。 |
| InitProcImageLastWriteTimeUtc | datetime | 保存导致受监视实体事件的启动进程的映像的上次写入时间。 |
| InitProcImageLsHash | string | 保存导致受监视实体事件的启动进程的映像的映像 LS 哈希。 |
| InitProcImageMd5 | string | 保存导致受监视实体事件的启动进程的映像 MD5。 |
| InitProcImagePeTimestampUtc | datetime | 保存导致受监视实体事件的启动进程的映像的映像 PE 时间。 |
| InitProcImageSha1 | string | 保存导致受监视实体事件的启动进程的映像 SHA 1。 |
| InitProcImageSha256 | string | 保存导致受监视实体事件的启动进程的映像 SHA 256。 |
| InitProcVersionInfoCompanyName | string | 保存导致受监视实体事件的启动过程的版本信息公司名称。 |
| InitProcVersionInfoFileDescription | string | 保存导致受监视实体事件的启动进程的版本信息文件说明。 |
| InitProcVersionInfoInternalFileName | string | 保存导致受监视实体事件的启动进程的版本信息内部文件名。 |
| InitProcVersionInfoOriginalFileName | string | 保存导致受监视实体事件的启动进程的版本信息原始文件名称。 |
| InitProcVersionInfoProductName | string | 保存导致受监视实体事件的启动进程的版本信息产品名称。 |
| InitProcVersionInfoProductVersion | string | 保存导致受监视实体事件的启动进程的版本信息产品版本。 |
| _IsBillable | string | 指定引入数据是否计费。 _IsBillable false 引入时不向 Azure 帐户计费 |
| MonitoredEntityType | string | 已创建、重命名、修改或删除的受监视实体的类型。 可以是“文件”或“注册表”。 |
| NewValueData | string | 与“注册表”受监视的实体类型相关。 保存新的注册表值数据。 |
| NewValueName | string | 与“注册表”受监视的实体类型相关。 保留“新建注册表”值名称。 |
| NewValueType | string | 与“注册表”受监视的实体类型相关。 保留“新建注册表”值类型。 |
| OldValueData | string | 与“注册表”受监视的实体类型相关。 保存以前的注册表值数据。 |
| OldValueFullRegistryKey | string | 与“注册表”受监视的实体类型相关。 保留以前的完整注册表项。 |
| OldValueName | string | 与“注册表”受监视的实体类型相关。 保留以前的注册表值名称。 |
| OldValueType | string | 与“注册表”受监视的实体类型相关。 保留以前的注册表值类型。 |
| OriginalFileName | string | 与“文件”受监视的实体类型和“重命名”更改类型相关。 保存重命名之前重命名的文件的原始名称。 |
| OriginalFilePath | string | 与“文件”受监视的实体类型和“重命名”更改类型相关。 保存重命名之前重命名的文件的原始路径。 |
| RegistryHive | string | 与“注册表”受监视的实体类型相关。 保存操作系统和应用程序的分组配置设置。 |
| RegistryKey | string | 与“注册表”受监视的实体类型相关。 保留已创建的注册表的完整注册表项或重命名的注册表的新注册表项。 |
| RequestAccountDomain | string | 与“文件”受监视实体类型相关。 保留导致文件事件的用户的帐户的域。 |
| RequestAccountName | string | 与“文件”受监视实体类型相关。 保留导致文件事件的用户帐户的名称。 |
| RequestAccountSid | string | 与“文件”受监视实体类型相关。 保存导致文件事件的用户的帐户的 SID。 |
| RequestSource | string | 与“文件”受监视实体类型相关。 保留导致文件事件的用户的帐户的源。 例如 Local/SMB/NFS。 |
| RequestSourceIP | string | 与“文件”受监视实体类型相关。 保存导致文件事件的用户的帐户的源 IP。 对于远程文件,请求来自的 IP。 |
| RequestSourcePort | string | 与“文件”受监视实体类型相关。 保存导致文件事件的用户的帐户的源端口。 对于远程文件,请求来自的端口。 |
| SourceSystem | string | 事件收集的代理类型。 例如,对于 Windows 代理、OpsManager直接连接或 Operations Manager、Linux所有 Linux 代理或AzureAzure 诊断 |
| TenantId | string | Log Analytics 工作区 ID |
| TimeGenerated | datetime | 创建、重命名、修改或删除受监视实体的时间(UTC)。 |
| 类型 | 字符串 | 表的名称 |