CommonSecurityLog
下表適用於收集通用事件格式的事件,最常從不同的安全性設備傳送,例如 Check Point、Palo Alto 等等。
數據表屬性
屬性 | 值 |
---|---|
資源類型 | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
類別 | 安全性 |
方案 | Security、SecurityInsights |
基本記錄檔 | No |
擷取時間轉換 | Yes |
範例查詢 | 是 |
資料行
資料行 | 類型 | 描述 |
---|---|---|
活動 | 字串 | 字串,代表人類看得懂且可理解的事件描述。 |
AdditionalExtensions | 字串 | 其他欄位元的佔位元。 欄位會記錄為機碼/值組。 |
ApplicationProtocol | 字串 | 應用程式中使用的通訊協定,例如 HTTP、HTTPS、SSHv2、Telnet、POP、IMPA、IMAPS 等等。 |
_BilledSize | real | 以位元組為單位的記錄大小 |
CollectorHostName | 字串 | 執行代理程式的收集器機器主機名。 |
CommunicationDirection | 字串 | 所觀察到通訊已採用的方向的任何相關資訊。 有效值:0 = 輸入,1 = 輸出。 |
電腦 | 字串 | 主機,從 Syslog。 |
DestinationDnsDomain | 字串 | 完整功能變數名稱的 DNS 部分 (FQDN) 。 |
DestinationHostName | 字串 | 事件在 IP 網路中參考的目的地。 當節點可用時,格式應該是與目的地節點相關聯的 FQDN。 例如:host.domain.com 或主機。 |
DestinationIP | 字串 | 事件在 IP 網路中參考的目的地 IpV4 位址。 |
DestinationMACAddress | 字串 | 目的地 MAC 位址 (FQDN) 。 |
DestinationNTDomain | 字串 | 目的地位址的 Windows 網域名稱。 |
DestinationPort | int | 目的地連接埠。 有效值:0 - 65535。 |
DestinationProcessId | int | 事件相關聯目的地程序的識別碼。 |
DestinationProcessName | 字串 | 事件目的地進程的名稱,例如 telnetd 或 sshd。 |
DestinationServiceName | 字串 | 事件的目標服務。 例如:sshd。 |
DestinationTranslatedAddress | 字串 | 識別事件在 IP 網路中參考的已轉譯目的地,格式為 IPv4 IP 位址。 |
DestinationTranslatedPort | int | 轉譯後埠,例如防火牆有效埠號碼:0 - 65535。 |
DestinationUserID | 字串 | 依識別碼識別目的地使用者。 例如:在 Unix 中,根使用者通常會與使用者標識碼 0 相關聯。 |
DestinationUserName | 字串 | 依名稱識別目的地使用者。 |
DestinationUserPrivileges | 字串 | 定義目的地使用權限。 有效值:Admninistrator、User、Guest。 |
DeviceAction | 字串 | 事件中提及的動作。 |
DeviceAddress | 字串 | 產生事件的裝置具有的 IPv4 位址。 |
DeviceCustomDate1 | 字串 | 這兩個時間戳欄位的其中一個,可用來對應此字典中任何其他的欄位。 請謹慎使用,並盡可能尋找更明確的字典提供欄位。 |
DeviceCustomDate1Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
DeviceCustomDate2 | 字串 | 這兩個時間戳欄位的其中一個,可用來對應此字典中任何其他的欄位。 請謹慎使用,並盡可能尋找更明確的字典提供欄位。 |
DeviceCustomDate2Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
DeviceCustomFloatingPoint1 | real | 這四個浮點欄位的其中一個,可用於對應此字典中其他任何不適用的欄位。 |
DeviceCustomFloatingPoint1Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
DeviceCustomFloatingPoint2 | real | 這四個浮點欄位的其中一個,可用於對應此字典中其他任何不適用的欄位。 |
DeviceCustomFloatingPoint2Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
DeviceCustomFloatingPoint3 | real | 這四個浮點欄位的其中一個,可用於對應此字典中其他任何不適用的欄位。 |
DeviceCustomFloatingPoint3Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
DeviceCustomFloatingPoint4 | real | 這四個浮點欄位的其中一個,可用於對應此字典中其他任何不適用的欄位。 |
DeviceCustomFloatingPoint4Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
DeviceCustomIPv6Address1 | 字串 | 這四個 IPv6 位址欄位的其中一個,可用來對應此字典中任何其他不適用的欄位。 |
DeviceCustomIPv6Address1Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
DeviceCustomIPv6Address2 | 字串 | 這四個 IPv6 位址欄位的其中一個,可用來對應此字典中任何其他不適用的欄位。 |
DeviceCustomIPv6Address2Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
DeviceCustomIPv6Address3 | 字串 | 這四個 IPv6 位址欄位的其中一個,可用來對應此字典中任何其他不適用的欄位。 |
DeviceCustomIPv6Address3Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
DeviceCustomIPv6Address4 | 字串 | 這四個 IPv6 位址欄位的其中一個,可用來對應此字典中任何其他不適用的欄位。 |
DeviceCustomIPv6Address4Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
DeviceCustomNumber1 | int | 即將成為已被取代的欄位。 將會由 FieldDeviceCustomNumber1 取代。 |
DeviceCustomNumber1Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
DeviceCustomNumber2 | int | 即將成為已被取代的欄位。 將會由 FieldDeviceCustomNumber2 取代。 |
DeviceCustomNumber2Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
DeviceCustomNumber3 | int | 即將成為已被取代的欄位。 將會由 FieldDeviceCustomNumber3 取代。 |
DeviceCustomNumber3Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
DeviceCustomString1 | 字串 | 有六個字串的其中一個可用來對應此字典中任何其他欄位的欄位。 請謹慎使用,並盡可能尋找更明確的字典提供欄位。 |
DeviceCustomString1Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
DeviceCustomString2 | 字串 | 有六個字串的其中一個可用來對應此字典中任何其他欄位的欄位。 請謹慎使用,並盡可能尋找更明確的字典提供欄位。 |
DeviceCustomString2Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
DeviceCustomString3 | 字串 | 有六個字串的其中一個可用來對應此字典中任何其他欄位的欄位。 請謹慎使用,並盡可能尋找更明確的字典提供欄位。 |
DeviceCustomString3Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
DeviceCustomString4 | 字串 | 有六個字串的其中一個可用來對應此字典中任何其他欄位的欄位。 請謹慎使用,並盡可能尋找更明確的字典提供欄位。 |
DeviceCustomString4Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
DeviceCustomString5 | 字串 | 有六個字串的其中一個可用來對應此字典中任何其他欄位的欄位。 請謹慎使用,並盡可能尋找更明確的字典提供欄位。 |
DeviceCustomString5Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
DeviceCustomString6 | 字串 | 有六個字串的其中一個可用來對應此字典中任何其他欄位的欄位。 請謹慎使用,並盡可能尋找更明確的字典提供欄位。 |
DeviceCustomString6Label | 字串 | 所有自定義欄位都有對應的標籤欄位。 每個欄位都是字串,並描述自定義欄位的用途。 |
DeviceDnsDomain | 字串 | 完整功能變數名稱的 DNS 網域部分 (FQDN) 。 |
DeviceEventCategory | 字串 | 表示原始裝置指派的類別。 裝置通常會使用自己的分類架構來分類事件。 範例:『Monitor/Disk/Read』。 |
DeviceEventClassID | 字串 | 字串或整數,作為各事件類型的唯一識別碼。 |
DeviceExternalID | 字串 | 名稱,唯一識別產生事件的裝置。 |
DeviceFacility | 字串 | 產生事件的設施。 例如:驗證或local1。 |
DeviceInboundInterface | 字串 | 封包或資料進入裝置的介面。 例如:乙太網路1/2。 |
DeviceMacAddress | 字串 | 產生事件的裝置具有的 MAC 位址。 |
DeviceName | 字串 | 當節點可用時,與裝置節點相關聯的 FQDN。 例如:host.domain.com 或主機。 |
DeviceNtDomain | 字串 | 裝置位址的 Windows 網域。 |
DeviceOutboundInterface | 字串 | 封包或資料離開裝置的介面。 |
DevicePayloadId | 字串 | 事件相關聯承載的唯一識別碼。 |
DeviceProduct | 字串 | 與裝置產品和版本定義一起的字串,可唯一識別傳送裝置的類型。 |
DeviceTimeZone | 字串 | 產生事件的裝置時區。 |
DeviceTranslatedAddress | 字串 | 識別事件在 IP 網路中參考的已轉譯裝置位址。 格式為 Ipv4 位址。 |
DeviceVendor | 字串 | 與裝置產品和版本定義一起的字串,可唯一識別傳送裝置的類型。 |
DeviceVersion | 字串 | 與裝置產品和版本定義一起的字串,可唯一識別傳送裝置的類型。 |
EndTime | datetime | 與事件相關的活動結束時間。 |
EventCount | int | 與事件相關聯的計數,顯示觀察到相同事件的次數。 |
EventOutcome | 字串 | 顯示結果,通常是「成功」或「失敗」。 |
EventType | int | 事件類型。 值包括:0:基底事件、1:匯總、2:相互關聯事件、3:動作事件。 注意:基本事件可以省略此事件。 |
ExternalID | int | 即將成為已被取代的欄位。 將會由 ExtID 取代。 |
ExtID | 字串 | 原始裝置所使用的標識碼 (將會取代舊版 ExternalID) 。 這些值通常為遞增的值,各與一個事件相關聯。 |
FieldDeviceCustomNumber1 | long | 對應此字典中任何其他字段的其中一個數位字段, (將會取代舊版 DeviceCustomNumber1) 。 請謹慎使用,並盡可能尋找更明確的字典提供的欄位。 |
FieldDeviceCustomNumber2 | long | 對應此字典中任何其他字段的三個數位欄位之一, (將會取代舊版 DeviceCustomNumber2) 。 請謹慎使用,並盡可能尋找更明確的字典提供的欄位。 |
FieldDeviceCustomNumber3 | long | 此字典中沒有套用至任何其他欄位的三個數位欄位之一, (將會取代舊版 DeviceCustomNumber3) 。 請謹慎使用,並盡可能尋找更明確的字典提供的欄位。 |
FileCreateTime | 字串 | 建立檔案的時間。 |
FileHash | 字串 | 檔案的雜湊。 |
FileID | 字串 | 與檔案 (例如 inode) 相關聯的識別碼。 |
FileModificationTime | 字串 | 上次修改檔案的時間。 |
FileName | 字串 | 檔案的名稱,不含路徑。 |
FilePath | 字串 | 檔案的完整路徑,包括檔案名稱。 例如:C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 或 /usr/bin/zip。 |
FilePermission | 字串 | 檔案的權限。 例如:『2,1,1』。 |
FileSize | int | 以位元組為單位的檔案大小。 |
FileType | 字串 | 檔案類型,例如管道、通訊端等等。 |
FlexDate1 | 字串 | 時間戳欄位,可用來對應此字典中任何其他已定義時間戳欄位的時間戳。 請謹慎使用所有 flex 字段,並盡可能尋找更明確的字典提供字段。 這些欄位通常會保留給客戶使用,除非必要,否則不應由廠商設定。 |
FlexDate1Label | 字串 | 卷標欄位是字串,描述 flex 欄位的用途。 |
FlexNumber1 | int | 可用於對應此字典中任何其他欄位的 Int 資料可用的欄位數目。 |
FlexNumber1Label | 字串 | 描述 FlexNumber1 中值的標籤 |
FlexNumber2 | int | 可用於對應此字典中任何其他欄位的 Int 資料可用的欄位數目。 |
FlexNumber2Label | 字串 | 描述 FlexNumber2 中值的標籤 |
FlexString1 | 字串 | 有四個浮點欄位的其中一個,可用來對應此字典中任何其他不適用的欄位。 請謹慎使用,並盡可能尋找更明確的字典提供的欄位。 這些欄位通常會保留給客戶使用,除非必要,否則不應由廠商設定。 |
FlexString1Label | 字串 | 卷標欄位是字串,描述 flex 欄位的用途。 |
FlexString2 | 字串 | 有四個浮點欄位的其中一個,可用來對應此字典中任何其他不適用的欄位。 請謹慎使用,並盡可能尋找更明確的字典提供的欄位。 這些欄位通常會保留給客戶使用,除非必要,否則不應由廠商設定。 |
FlexString2Label | 字串 | 卷標欄位是字串,描述 flex 欄位的用途。 |
IndicatorThreatType | 字串 | 根據 TI 摘要的 MaliciousIP 威脅類型。 |
_IsBillable | 字串 | 指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
LogSeverity | 字串 | 描述事件重要性的字串或整數。 有效的字串值:未知、低、中、高、Very-High 有效整數值包括:0-3 = 低、4-6 = 中、7-8 = 高、9-10 = 極高。 |
MaliciousIP | 字串 | 如果訊息中的其中一個IP與目前的TI摘要相互關聯,我們將會在這裡顯示。 |
MaliciousIPCountry | 字串 | 根據記錄擷取時的 GEO 資訊,惡意IP 的國家/地區。 |
MaliciousIPLatitude | real | 根據記錄擷取時的 GEO 資訊,惡意 IP 的緯度。 |
MaliciousIPLongitude | real | 根據記錄擷取時的 GEO 資訊,惡意 IP 的經度。 |
訊息 | 字串 | 提供事件詳細資料的訊息。 |
OldFileCreateTime | 字串 | 建立舊檔案的時間。 |
OldFileHash | 字串 | 舊檔案的雜湊。 |
OldFileID | 字串 | 與舊檔案 (例如 inode) 相關聯的識別碼。 |
OldFileModificationTime | 字串 | 上次修改舊檔案的時間。 |
OldFileName | 字串 | 舊檔案的名稱。 |
OldFilePath | 字串 | 舊檔案的完整路徑,包括檔案名稱。 例如:C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 或 /usr/bin/zip。 |
OldFilePermission | 字串 | 舊檔案的權限。 例如:『2,1,1』。 |
OldFileSize | int | 舊檔案的大小,以位元組為單位。 |
OldFileType | 字串 | 舊檔案的檔案類型,例如管道、通訊端等等。 |
OriginalLogSeverity | 字串 | LogSeverity 的非對應版本。 例如:LogSeverity 字段中的警告/重大/資訊,而不是標準化的低/中/高 |
ProcessID | int | 在產生事件的裝置上定義程序的識別碼。 |
ProcessName | 字串 | 與事件相關聯的程序名稱。 例如:在 UNIX 中,產生 syslog 專案的處理程式。 |
通訊協定 | 字串 | 傳輸通訊協定,識別所使用的第 4 層通訊協定。 可能的值包括通訊協定名稱,例如 TCP 或 UDP。 |
原因 | 字串 | 產生稽核事件的原因。 例如「密碼錯誤」或「未知的使用者」。 這可能是錯誤或傳回碼。 範例:『0x1234』。 |
ReceiptTime | 字串 | 收到活動相關事件的時間。 不同於 'Timegenerated' 字段,也就是記錄收集器計算機中收到事件的時間。 |
ReceivedBytes | long | 傳入的位元組數。 |
RemoteIP | 字串 | 可能的話,衍生自事件方向值的遠端IP位址。 |
遠端連接埠 | 字串 | 可能的話,衍生自事件方向值的遠端埠。 |
ReportReferenceLink | 字串 | TI 摘要的報告連結。 |
RequestClientApplication | 字串 | 與要求相關聯的使用者代理程式。 |
RequestContext | 字串 | 描述要求的起源內容,例如 HTTP 參考者。 |
RequestCookies | 字串 | 與要求相關的 Cookie。 |
RequestMethod | 字串 | 用來存取 URL 的方法。 有效值包括 POST、GET 等方法。 |
RequestURL | 字串 | 針對 HTTP 要求而存取的 URL,包括通訊協定。 例如:http://www/secure.com. |
_ResourceId | 字串 | 記錄相關資源的唯一識別碼。 |
SentBytes | long | 傳出的位元組數。 |
SimplifiedDeviceAction | 字串 | DeviceAction 的對應版本,例如拒絕 > 拒絕。 |
SourceDnsDomain | 字串 | 完整 FQDN 的 DNS 網域部分。 |
SourceHostName | 字串 | 識別事件在 IP 網路中參考的來源。 當節點可用時,格式應該是與來源節點相關聯的完整網域名稱 (FQDN)。 例如:主機或 host.domain.com。 |
SourceIP | 字串 | 事件在 IP 網路中參考的來源,格式為 IPv4 位址。 |
SourceMACAddress | 字串 | 來源 MAC 位址。 |
SourceNTDomain | 字串 | 來源位址的 Windows 網域名稱。 |
SourcePort | int | 來源連接埠號碼。 有效的埠號碼為 0 - 65535。 |
SourceProcessId | int | 事件相關聯來源程序的識別碼。 |
SourceProcessName | 字串 | 事件來源程序的名稱。 |
SourceServiceName | 字串 | 負責產生事件的服務。 |
SourceSystem | 字串 | 事件所收集的代理程序類型。 例如,OpsManager 針對 Windows 代理程式、直接連線或 Operations Manager、Linux 所有 Linux 代理程式,或Azure 針對 Azure 診斷 |
SourceTranslatedAddress | 字串 | 識別事件在 IP 網路中參考的已轉譯來源。 |
SourceTranslatedPort | int | 轉譯之後的來源連接埠,例如防火牆。 有效的埠號碼為 0 - 65535。 |
SourceUserID | 字串 | 依識別碼識別來源使用者。 |
SourceUserName | 字串 | 依名稱識別來源使用者。 Email 位址也會對應至UserName欄位。 傳送者是要放入此欄位的候選專案。 |
SourceUserPrivileges | 字串 | 來源使用者的權限。 有效值包括:Administrator、User、Guest。 |
StartTime | datetime | 事件參考的活動開始時間。 |
_SubscriptionId | 字串 | 與記錄相關的訂用帳戶唯一識別碼 |
TenantId | 字串 | Log Analytics 工作區標識符 |
ThreatConfidence | 字串 | 根據 TI 摘要,惡意 IP 的威脅信賴度。 |
ThreatDescription | 字串 | 根據 TI 摘要的 MaliciousIP 威脅描述。 |
ThreatSeverity | int | 根據記錄擷取時 TI 摘要的威脅嚴重性。 |
TimeGenerated | Datetime | UTC 的事件收集時間。 |
類型 | 字串 | 資料表的名稱 |
意見反應
https://aka.ms/ContentUserFeedback。
即將推出:在 2024 年,我們將隨著內容的意見反應機制逐步淘汰 GitHub 問題,並以新的意見反應系統來取代。 如需詳細資訊,請參閱提交並檢視相關的意見反應