| 附加欄位 |
動態 |
其他資訊,使用來源所提供的機碼/值組來表示,該值組不會對應至 ASim。 |
| _BilledSize (帳單大小) |
真實 |
以位元組為單位的記錄大小 |
| DNS 標誌 |
字串 |
DNS 要求旗標,由報告裝置提供。 DNS 旗標信息的結構可能會因不同的報告裝置而有所不同。 |
| DnsFlagsAuthenticated |
布爾 (bool) |
DNS 已驗證的答案旗標,與 DNSSEC 相關,會在回應中指出答案和權威段落中所包含的所有數據都已由伺服器根據該伺服器的政策進行驗證。 如需詳細資訊,請參閱 RFC 3655 第 6.1 節。 |
| DnsFlagsAuthoritative (域名系統權威標誌) |
布爾 (bool) |
DNS 授權回應旗標會指出來自伺服器的回應是否為授權。 |
| DnsFlagsCheckingDisabled |
布爾 (bool) |
DNS CD 旗標,與 DNSSEC 相關,指出在查詢中,傳送查詢的系統可以接受未驗證的數據。 |
| DNS 欄位 - 支援遞迴查詢 |
布爾 (bool) |
DNS RA 旗標會在回應中指出伺服器支援遞歸查詢。 |
| DNS旗標-期望遞迴 |
布爾 (bool) |
DNS 遞歸所需旗標會在要求中指出用戶端希望伺服器使用遞歸查詢。 |
| DnsFlags被截斷 |
布爾 (bool) |
DNS TC 旗標表示回應已截斷,因為它超過回應大小上限。 |
| DnsFlagsZ |
布爾 (bool) |
DNS Z 旗標是已被取代的 DNS 旗標,可能會由較舊的 DNS 系統報告。 |
| DNS網絡時長 |
整數 (int) |
DNS 要求完成的時間量,以毫秒為單位。 |
| DnsQuery |
字串 |
需要解析的網域。 |
| DnsQueryClass |
整數 (int) |
由因特網指派的數位授權單位 (IANA) 所定義的 DNS 類別識別碼。 |
| DnsQueryClassName |
字串 |
由因特網指派的數位授權單位 (IANA) 所定義的 DNS 類別名稱。 |
| DNS查詢類型 (DnsQueryType) |
整數 (int) |
因特網指派號碼授權單位 (IANA) 所定義的 DNS 資源記錄類型代碼。 |
| DnsQueryTypeName |
字串 |
因特網指派號碼授權單位 (IANA) 所定義的 DNS 資源記錄類型名稱。 |
| DNS回應代碼 |
整數 (int) |
由因特網指派的數位授權單位 (IANA) 所定義的 DNS 數值回應碼。 |
| DNS 回應 IP 城市 |
字串 |
與回應IP位址相關聯的城市。 |
| DNS回應IP國家 |
字串 |
與回應IP位址相關聯的國家/地區。 |
| DNS回應IP緯度 |
真實 |
與回應IP位址相關聯的地理座標緯度。 |
| DnsResponseIpLongitude |
真實 |
與回應IP位址相關聯的地理座標經度。 |
| DNS回應IP區域 |
字串 |
與來源 IP 位址相關聯的國家/地區內的區域或州。 |
| DnsResponseName |
字串 |
記錄中所包含的回應內容。 DNS 回應數據的結構可能會因不同的報告裝置而有所不同。 |
| DnsSessionId |
字串 |
報告裝置所報告的 DNS 會話標識碼。 |
| Dst |
字串 |
接收 DNS 要求之伺服器的唯一標識碼。 |
| DstDescription |
字串 |
與目的地相關聯的描述性文字。 |
| DstDeviceType |
字串 |
目的地裝置的類型。 |
| DstDomain |
字串 |
目的地裝置的網域。 |
| Dst域類型 |
字串 |
DstDomain 的類型。 |
| DstDvcId |
字串 |
目的地裝置的標識碼。 |
| DstDvcIdType |
字串 |
DstDvcId 的類型。 |
| DstDvcScope |
字串 |
目的地裝置所屬的雲端平台範圍。 DvcScope 對應至 Azure 上的訂用帳戶,以及 AWS 上的帳戶。 |
| DstDvcScopeId |
字串 |
目的地裝置所屬的雲端平台範圍識別碼。 DvcScopeId 對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| DstFQDN |
字串 |
目的地裝置主機名,包括可用時的網域資訊。 |
| DstGeoCity |
字串 |
與目的地IP位址相關聯的城市。 |
| DstGeoCountry |
字串 |
與目的地IP位址相關聯的國家/地區。 |
| DstGeoLatitude |
真實 |
與目的地IP位址相關聯的地理座標緯度。 |
| DstGeoLongitude |
真實 |
與目的地IP位址相關聯的地理座標經度。 |
| DstGeoRegion |
字串 |
與目的地 IP 位址相關聯的國內地區或州。 |
| DstHostname |
字串 |
目的地裝置主機名,不包括網域資訊。 |
| DstIpAddr |
字串 |
接收 DNS 要求之伺服器的 IP 位址。 針對一般 DNS 要求,此值通常是報告裝置,而且在大部分情況下會設定為 127.0.0.1。 |
| DstOriginalRiskLevel |
字串 |
報告裝置所報告與目的地裝置相關聯的風險層級。 |
| DstPortNumber |
整數 (int) |
目的地埠號碼。 |
| DstRiskLevel |
整數 (int) |
與目的地裝置相關聯的風險層級。 |
| Dvc |
字串 |
報告事件之裝置的唯一標識符。 標識碼可以是IP位址、主機名或裝置標識碼。 |
| DvcAction |
字串 |
報告裝置針對要求採取的動作,例如封鎖它。 |
| DvcDescription |
字串 |
與裝置相關聯的描述性文字。 例如:主要域控制器。 |
| DvcDomain |
字串 |
報告事件的裝置網域。 |
| DvcDomainType |
字串 |
DvcDomain 的類型。 可能的值包括 「Windows」 和 「FQDN」。 |
| DvcFQDN |
字串 |
報告事件之裝置的完整主機名,包括網域資訊。 |
| Dvc主機名稱 |
字串 |
報告事件的裝置主機名。 |
| DvcId |
字串 |
報告事件之裝置的唯一標識符。 |
| DvcIdType |
字串 |
DvcId 的類型。 |
| DvcInterface |
字串 |
擷取資料的網路介面。 此欄位通常與中繼或點選裝置所擷取的網路相關活動相關聯。 |
| DvcIpAddr |
字串 |
報告事件的裝置IP位址。 |
| DvcMacAddr |
字串 |
報告事件的裝置 MAC 位址。 |
| DvcOriginalAction |
字串 |
報告裝置所提供的原始 DvcAction。 |
| DvcOs |
字串 |
在裝置上執行的作業系統報告事件。 |
| DvcOsVersion |
字串 |
裝置上回報事件的作業系統版本。 |
| DvcScope |
字串 |
裝置所屬的雲端平台範圍。 DvcScope 對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| DvcScope識別碼 |
字串 |
裝置所屬的雲端平台範圍識別碼。 DvcScopeId 對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| DvcZone |
字串 |
報告事件的裝置網路區段。 |
| 事件數量 |
整數 (int) |
記錄所描述的事件數目。 當來源支持匯總,而單一記錄可能代表多個事件時,就會使用此值。 |
| 事件結束時間 |
日期時間 |
事件結束的時間。 如果來源支援彙總,而記錄代表多個事件,則會產生最後一個事件的時間。 如果來源記錄未提供,此欄位會別名為 TimeGenerated 欄位。 |
| 事件訊息 |
字串 |
一般訊息或描述。 |
| EventOriginalSeverity |
字串 |
報告裝置所提供的原始嚴重性。 這個值是用來衍生 EventSeverity。 |
| 事件原始類型 |
字串 |
原始事件類型或標識碼,例如原始的 Windows 事件識別碼。 |
| EventOriginalUid(事件原始唯一識別碼) |
字串 |
原始記錄的唯一標識碼。 |
| 活動所有者 |
字串 |
事件的擁有者,通常是產生事件的部門或子公司。 |
| EventProduct |
字串 |
產生事件的產品。 |
| 事件產品版本 |
字串 |
產生事件的產品版本。 |
| 事件報告網址 |
字串 |
資源 URL,提供關於事件的其他資訊。 |
| 事件結果 |
字串 |
事件的結果,以下列其中一個值表示:Success、Partial、Failure、NA (不適用)。 來源可能不會直接提供此值,在此情況下,它衍生自其他事件欄位,例如 EventResultDetails 字段。 |
| 事件結果詳情 |
字串 |
因特網指派號碼授權單位 (IANA) 所定義的 DNS 回應碼。 |
| EventSchemaVersion |
字串 |
結構描述的版本。 |
| EventSeverity |
字串 |
事件的嚴重性。 有效值為:資訊性、低、中或高。 |
| 活動開始時間 |
日期時間 |
事件開始的時間。 如果來源具有匯總功能,且記錄涉及多個事件,則記錄第一個事件生成的時間。 如果來源記錄未提供,此欄位會別名為 TimeGenerated 欄位。 |
| 事件子類型 |
字串 |
要求或回應。 |
| 事件類型 |
字串 |
表示記錄所報告的作業。 針對 DNS 活動事件,此值是因特網指派數位授權單位 (IANA) 所定義的 DNS 作業碼。 |
| EventVendor |
字串 |
產生事件的產品的廠商。 |
| _IsBillable // 是否可計費 |
字串 |
指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
| 網路協定 |
字串 |
網路解析事件所使用的傳輸通訊協定。 此值可以是UDP或TCP。 |
| 網路協議版本 |
字串 |
網路協定的版本。 通常用來區分 IPv4 和 Ipv6。 |
| _ResourceId (資源識別碼) |
字串 |
記錄相關資源的唯一識別碼 |
| 規則名稱 |
字串 |
與檢查結果相關聯的規則名稱或標識碼。 |
| 規則編號 |
整數 (int) |
與檢查結果相關聯的規則數目。 |
| SourceSystem |
字串 |
收集事件的代理程式類型。 例如,OpsManager 用於 Windows 代理程式,直接連線或 Operations Manager、Linux 用於所有 Linux 代理程式,或 Azure 用於 Azure 診斷 |
| Src |
字串 |
來源裝置的唯一標識碼。 |
| SrcDescription |
字串 |
與檢查結果相關聯的規則數目。 |
| SrcDeviceType |
字串 |
來源裝置的類型。 |
| SrcDomain |
字串 |
來源裝置的網域。 |
| SrcDomainType |
字串 |
SrcDomain 的類型。 |
| SrcDvcId |
字串 |
來源裝置的標識碼。 |
| SrcDvcIdType |
字串 |
SrcDvcId 的類型。 |
| SrcDvcScope |
字串 |
來源裝置所屬的雲端平台範圍。 DvcScope 對應至 Azure 上的訂用帳戶,以及 AWS 上的帳戶。 |
| SrcDvcScopeId |
字串 |
來源裝置所屬的雲端平臺範圍標識碼。 DvcScopeId 對應至 Azure 上的訂用帳戶識別碼,以及 AWS 上的帳戶識別碼。 |
| SrcFQDN |
字串 |
來源裝置主機名,包括網域資訊。 |
| SrcGeoCity |
字串 |
與來源IP位址相關聯的城市。 |
| SrcGeoCountry |
字串 |
與來源IP位址相關聯的國家/地區。 |
| SrcGeoLatitude |
真實 |
與來源IP位址相關聯的地理座標緯度。 |
| SrcGeoLongitude |
真實 |
與來源IP位址相關聯的地理座標經度。 |
| SrcGeoRegion |
字串 |
與來源 IP 位址相關聯的國家/地區內的區域或州。 |
| SrcHostname |
字串 |
來源裝置主機名,不包括網域資訊。 |
| SrcIpAddr |
字串 |
傳送 DNS 要求的用戶端 IP 位址。 對於遞歸 DNS 要求,此值通常是報告裝置,而且在大部分情況下,設定為 127.0.0.1。 |
| SrcOriginalRiskLevel (原始風險級別) |
字串 |
與來源裝置相關聯的風險層級 (如報告裝置所回報)。 |
| SrcOriginalUserType |
字串 |
原始來源用戶類型,如來源所提供。 |
| 來源端口號碼 |
整數 (int) |
DNS 查詢的來源埠。 |
| SrcProcessGuid |
字串 |
起始 DNS 要求的流程所產生的唯一識別碼 (GUID)。 |
| SrcProcessId |
字串 |
起始 DNS 要求之進程的進程標識碼 (PID)。 |
| SrcProcessName |
字串 |
起始 DNS 要求之進程的名稱。 |
| SrcRiskLevel |
整數 (int) |
與來源裝置相關聯的風險層級。 |
| SrcUserId |
字串 |
機器可讀取、英數字元且唯一的來源使用者表示法。 |
| SrcUserIdType |
字串 |
儲存在 SrcUserId 欄位中的識別碼類型。 |
| SrcUsername |
字串 |
來源用戶名稱,包括可用時的網域資訊。 |
| SrcUsernameType |
字串 |
儲存在 SrcUsername 欄位中的使用者名稱類型。 |
| SrcUserScope |
字串 |
SrcUserId 和 SrcUsername 定義所在的範圍 (例如 Azure AD 租用戶)。 |
| SrcUserScopeId |
字串 |
SrcUserId 和 SrcUsername 定義所在範圍的識別碼 (例如 Azure AD 租用戶)。 |
| SrcUserSessionId |
字串 |
來源使用者登入會話的唯一識別碼。 |
| 來源使用者類型 (SrcUserType) |
字串 |
來源使用者的型別。 |
| _SubscriptionId(訂閱識別碼) |
字串 |
與記錄相關的訂用帳戶唯一識別碼 |
| 租戶識別碼 (TenantId) |
字串 |
Log Analytics 工作區識別碼 |
| 威脅類別 |
字串 |
如果 DNS 事件來源也提供 DNS 安全性,它也可能評估 DNS 事件。 例如,它可以搜尋威脅情報資料庫中的IP位址或網域,並使用威脅類別指派網域或IP位址。 |
| 威脅可信度 |
整數 (int) |
識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。 |
| 威脅領域 |
字串 |
已識別威脅的欄位。 此值為 SrcIpAddr、DstIpAddr、Domain 或 DnsResponseName。 |
| 威脅首次報告時間 |
字串 |
第一次將IP位址或網域識別為威脅。 |
| ThreatFirstReportedTime_d |
日期時間 |
第一次將IP位址或網域識別為威脅。 |
| 威脅識別碼 (ThreatId) |
字串 |
在 Web 工作階段中識別的威脅或惡意代碼識別碼。 |
| ThreatIpAddr |
字串 |
識別威脅的IP位址。 ThreatField 欄位包含 ThreatIpAddr 所代表的欄位名稱。 如果在 [定義域] 欄位中識別威脅,則此欄位應該是空的。 |
| 威脅正在進行 |
布爾 (bool) |
已識別威脅的 True ID 被視為作用中的威脅。 |
| 威脅最後報告時間 |
字串 |
上次 IP 位址或網域被視為威脅的時間。 |
| 威脅最後報告時間_d |
日期時間 |
上次 IP 位址或網域被視為威脅的時間。 |
| 威脅名稱 |
字串 |
已識別威脅的名稱,如報告裝置所回報。 |
| 威脅原始信心 |
字串 |
已識別威脅的原始信賴等級,如報告裝置中所回報。 |
| 原始威脅風險等級 |
整數 (int) |
已識別威脅相關聯的原始風險層級,如報告裝置所回報。 |
| 威脅原始風險等級_s |
字串 |
與所識別威脅相關聯的風險層級,標準化為介於 0 到 100 之間的值。 |
| 威脅風險等級 |
整數 (int) |
與所識別威脅相關聯的風險層級,標準化為介於 0 到 100 之間的值。 |
| TimeGenerated |
日期時間 |
時間戳 (UTC)會反映產生事件的時間。 |
| TransactionIdHex |
字串 |
DNS 唯一十六進位交易標識碼。 |
| 類型 |
字串 |
資料表的名稱 |
| 網址類別 |
字串 |
DNS 事件來源也可能查閱要求的網域類別。 |