WindowsEvent
代理收集和发送的 Windows 事件。
表属性
| Attribute | 值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | CustomizedWindowsEventsFiltering、InternalWindowsEvent、SecurityInsights、WEFInternalUat、WEF_10x、WEF_10xDSRE、WinLog、WindowsEventForwarding |
| 基本日志 | 否 |
| 引入时间转换 | 是 |
| 示例查询 | 是 |
列
| 列 | 类型 | 说明 |
|---|---|---|
| _BilledSize | real | 记录大小(以字节为单位) |
| 通道 | 字符串 | 事件记录到的通道。 |
| Computer | string | 发生该事件的计算机的名称。 |
| 关联 | 字符串 | 使用者可用于将相关事件组合在一起的活动标识符。 |
| EventData | dynamic | 包含分析为动态类型的事件数据。 如果分析失败,则此字段将包含 null,并且将填充 RawEventData 字段。 |
| EventID | int | 提供程序用于标识事件的标识符。 |
| EventLevel | int | 包含事件的严重性级别。 |
| EventLevelName | 字符串 | 事件中指定的级别的呈现消息字符串。 |
| EventOriginId | 字符串 | 从 Azure 实例元数据服务获取的 VM ID (IMDS) 。 |
| EventRecordId | 字符串 | 记录事件时分配给事件的记录编号。 |
| _IsBillable | 字符串 | 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费 |
| 关键字 | 字符串 | 事件中定义的关键字的位掩码。 |
| ManagementGroupName | 字符串 | 基于资源类型的其他信息。 |
| 操作码 | 字符串 | opcode 元素由 SystemPropertiesType 复杂类型定义。 |
| 提供程序 | 字符串 | 系统属性类型 - 标识记录事件的提供程序。 |
| RawEventData | 字符串 | 分析时的原始事件 XML 失败。 分析成功时为 null。 |
| _ResourceId | 字符串 | 与记录关联的资源的唯一标识符 |
| _SubscriptionId | 字符串 | 与记录关联的订阅的唯一标识符 |
| SystemProcessId | int | 标识生成事件的进程。 |
| SystemThreadId | int | 标识生成事件的线程。 |
| SystemUserId | 字符串 | 负责事件的用户的 ID。 |
| 任务 | int | 事件中定义的任务。 |
| TenantId | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | datetime | 在计算机上生成事件的时间戳。 |
| 类型 | 字符串 | 表的名称 |
| 版本 | int | 包含事件定义的版本号。 |
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈