WindowsEvent
代理收集和发送的 Windows 事件。
表属性
Attribute | 值 |
---|---|
资源类型 | - |
类别 | 安全性 |
解决方案 | CustomizedWindowsEventsFiltering、InternalWindowsEvent、SecurityInsights、WEFInternalUat、WEF_10x、WEF_10xDSRE、WinLog、WindowsEventForwarding |
基本日志 | 否 |
引入时间转换 | 是 |
示例查询 | 是 |
列
列 | 类型 | 说明 |
---|---|---|
_BilledSize | real | 记录大小(以字节为单位) |
通道 | 字符串 | 事件记录到的通道。 |
Computer | string | 发生该事件的计算机的名称。 |
关联 | 字符串 | 使用者可用于将相关事件组合在一起的活动标识符。 |
EventData | dynamic | 包含分析为动态类型的事件数据。 如果分析失败,则此字段将包含 null,并且将填充 RawEventData 字段。 |
EventID | int | 提供程序用于标识事件的标识符。 |
EventLevel | int | 包含事件的严重性级别。 |
EventLevelName | 字符串 | 事件中指定的级别的呈现消息字符串。 |
EventOriginId | 字符串 | 从 Azure 实例元数据服务获取的 VM ID (IMDS) 。 |
EventRecordId | 字符串 | 记录事件时分配给事件的记录编号。 |
_IsBillable | 字符串 | 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费 |
关键字 | 字符串 | 事件中定义的关键字的位掩码。 |
ManagementGroupName | 字符串 | 基于资源类型的其他信息。 |
操作码 | 字符串 | opcode 元素由 SystemPropertiesType 复杂类型定义。 |
提供程序 | 字符串 | 系统属性类型 - 标识记录事件的提供程序。 |
RawEventData | 字符串 | 分析时的原始事件 XML 失败。 分析成功时为 null。 |
_ResourceId | 字符串 | 与记录关联的资源的唯一标识符 |
_SubscriptionId | 字符串 | 与记录关联的订阅的唯一标识符 |
SystemProcessId | int | 标识生成事件的进程。 |
SystemThreadId | int | 标识生成事件的线程。 |
SystemUserId | 字符串 | 负责事件的用户的 ID。 |
任务 | int | 事件中定义的任务。 |
TenantId | 字符串 | Log Analytics 工作区 ID |
TimeGenerated | datetime | 在计算机上生成事件的时间戳。 |
类型 | 字符串 | 表的名称 |
版本 | int | 包含事件定义的版本号。 |
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈