VPC 流量記錄 (從 Sentinel 的連接器中擷取) 可讓您擷取往返 AWS VPC 網路介面的 IP 流量。
數據表屬性
| Attribute |
Value |
|
資源類型 |
- |
|
Categories |
安全性 |
|
Solutions |
SecurityInsights |
|
基本記錄 |
Yes |
|
資料引入時進行的轉換 |
Yes |
|
範例查詢 |
Yes |
Columns
| Column |
類型 |
Description |
| AccountId |
字串 |
記錄流量的來源網路介面擁有者的 AWS 帳戶標識碼。 如果網路介面是由 AWS 服務建立的 (例如,在建立 VPC 端點或網路負載平衡器時),則記錄可能會針對此欄位顯示未知。 |
| Action |
字串 |
與流量相關聯的動作。 |
| AzId |
字串 |
可用性區域的標識碼。 |
| _BilledSize |
real |
以位元組為單位的記錄大小 |
| Bytes |
long |
在資料流期間傳輸的位元組數目。 |
| DstAddr |
字串 |
傳出流量的目的地位址。 |
| DstPort |
int |
流量的目的地連接埠。 |
| EcsClusterArn |
字串 |
Optional. 提供日誌條目的唯一標識碼可讓 Logging 在單一查詢結果中移除具有相同時間戳和 insertId 的重複條目。 |
| EcsClusterName |
字串 |
Optional. 提供日誌條目的唯一標識碼可讓 Logging 在單一查詢結果中移除具有相同時間戳和 insertId 的重複條目。 |
| EcsContainerId |
字串 |
Optional. 提供日誌條目的唯一標識碼可讓 Logging 在單一查詢結果中移除具有相同時間戳和 insertId 的重複條目。 |
| EcsContainerInstanceArn |
字串 |
Optional. 提供日誌條目的唯一標識碼可讓 Logging 在單一查詢結果中移除具有相同時間戳和 insertId 的重複條目。 |
| EcsContainerInstanceId |
字串 |
Optional. 提供日誌條目的唯一標識碼可讓 Logging 在單一查詢結果中移除具有相同時間戳和 insertId 的重複條目。 |
| EcsSecondContainerId |
字串 |
Optional. 提供日誌條目的唯一標識碼可讓 Logging 在單一查詢結果中移除具有相同時間戳和 insertId 的重複條目。 |
| EcsServiceName |
字串 |
Optional. 提供日誌條目的唯一標識碼可讓 Logging 在單一查詢結果中移除具有相同時間戳和 insertId 的重複條目。 |
| EcsTaskArn |
字串 |
Optional. 提供日誌條目的唯一標識碼可讓 Logging 在單一查詢結果中移除具有相同時間戳和 insertId 的重複條目。 |
| EcsTaskDefinitionArn |
字串 |
Optional. 提供日誌條目的唯一標識碼可讓 Logging 在單一查詢結果中移除具有相同時間戳和 insertId 的重複條目。 |
| EcsTaskId |
字串 |
Optional. 提供日誌條目的唯一標識碼可讓 Logging 在單一查詢結果中移除具有相同時間戳和 insertId 的重複條目。 |
| 結束 |
日期時間 |
在匯總間隔內收到最後一個流封包的時間。 |
| FlowDirection |
字串 |
與擷取流量的介面相關的流程方向。 |
| InstanceId |
字串 |
與記錄流量之網路介面相關聯的實例標識碼。 |
| InterfaceId |
字串 |
記錄流量之網路介面的標識碼。 |
| _IsBillable |
字串 |
指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
| LogStatus |
字串 |
流量日誌的記錄狀態。 |
| Packets |
int |
在流程期間傳輸的封包數目。 |
| PktDstAddr |
字串 |
流量的封包層級 (原始) 目的地 IP 位址。 |
| PktDstAwsService |
字串 |
如果目的地 IP 位址是 AWS 服務,PktDstAddr 欄位的 IP 位址範圍子集名稱。 |
| PktSrcAddr |
字串 |
流量的封包層級 (原始) 來源IP位址。 |
| PktSrcAwsService |
字串 |
如果來源 IP 位址屬於 AWS 服務,則 PktSrcAddr 欄位的 IP 位址範圍之子集名稱。 |
| Protocol |
int |
流量的 IANA 通訊協定編號。 |
| Region |
字串 |
區域,其中包含記錄流量的網路介面。 |
| SourceSystem |
字串 |
收集事件的代理程式類型。 例如,OpsManager 用於 Windows 代理程式,直接連線或 Operations Manager、Linux 用於所有 Linux 代理程式,或 Azure 用於 Azure 診斷 |
| SrcAddr |
字串 |
傳入流量的來源位址。 |
| SrcPort |
int |
流量的來源連接埠。 |
| Start |
日期時間 |
請求的遠端IP地址。 |
| SublocationId |
字串 |
包含記錄流量的網路介面的子位置的識別碼。 |
| SublocationType |
字串 |
sublocationId 字段中傳回的子位置類型。 |
| SubnetId |
字串 |
子網的標識碼。 |
| TcpFlags |
int |
下列 TCP 旗標的位元遮罩值。 |
| TenantId |
字串 |
Log Analytics 工作區識別碼 |
| TimeGenerated |
日期時間 |
產生事件時的時間戳 (UTC)。 如果 'start' 輸入字段是空的或遺失的,此值會與 Azure 監視器的數據抵達時間相同。 |
| TrafficPath |
字串 |
輸出流量到達目的地的路徑。 |
| TrafficType |
字串 |
流量的類型。 可能的值為:IPv4、IPv6 和 EFA。 如需詳細資訊,請搜尋 「彈性網狀架構配接器 (EFA)」。 |
| 類型 |
字串 |
資料表的名稱 |
| Version |
int |
VPC 流量記錄版本。 |
| VpcId |
字串 |
VPC 的識別碼。 |