事件
NetworkSessions
網路連線或會話,例如防火牆、Wire Data、NSG、Netflow、Proxy 系統和Web安全性網關所記錄的連線。
| 屬性 | 值 |
|---|---|
| 資源類型 | - |
| 類別 | 安全性 |
| 方案 | SecurityInsights |
| 基本記錄 | No |
| 擷取時間轉換 | No |
| 範例查詢 | 是 |
| 資料行 | 類型 | 描述 |
|---|---|---|
| AdditionalFields | dynamic | 當架構相符項目中沒有個別的數據行時,其他欄位可以儲存在 JSON 包中。 |
| _BilledSize | real | 以位元組為單位的記錄大小 |
| CloudAppId | 字串 | 由 Proxy 識別之 HTTP 應用程式的目的地應用程式識別碼。 此值通常專屬於所使用的 Proxy。 |
| CloudAppName | 字串 | 由 Proxy 識別之 HTTP 應用程式的目的地應用程式名稱。 |
| CloudAppOperation | 字串 | 使用者在 HTTP 應用程式目的地應用程式內容中執行的作業,如 Proxy 所識別。 此值通常專屬於所使用的 Proxy。 |
| CloudAppRiskLevel | 字串 | 與 PROXY 所識別之 HTTP 應用程式相關聯的風險層級。 此值通常專屬於所使用的 Proxy。 |
| DstBytes | long | 從目的地傳送到連線或會話來源的位元元組數目。 |
| DstDomainHostname | 字串 | 目的地主機的網域。 |
| DstDvcDomain | 字串 | 目的地裝置的網域。 |
| DstDvcFqdn | 字串 | 建立記錄檔之主機的完整功能變數名稱。 |
| DstDvcHostname | 字串 | 目的地裝置的裝置名稱。 |
| DstDvcIpAddr | 字串 | 未與網路封包直接關聯的裝置目的地 IP 位址。 |
| DstDvcMacAddr | 字串 | 未與網路封包直接關聯的裝置目的地 MAC 位址。 |
| DstGeoCity | 字串 | 與目的地IP位址相關聯的城市。 |
| DstGeoCountry | 字串 | 與來源IP位址相關聯的國家/地區。 |
| DstGeoLatitude | real | 與目的地IP位址相關聯的地理座標緯度。 |
| DstGeoLongitude | real | 與目的地IP位址相關聯的地理座標經度 |
| DstGeoRegion | 字串 | 與目的地IP位址相關聯的國家/地區內區域。 |
| DstInterfaceGuid | 字串 | 用於驗證要求的網路介面 GUID。 |
| DstInterfaceName | 字串 | 目的地裝置用於連線或會話的網路介面。 |
| DstIpAddr | 字串 | 線上或會話目的地的IP位址。 |
| DstMacAddr | 字串 | 連接或會話終止之網路介面的 MAC 位址。 |
| DstNatIpAddr | 字串 | 如果由中繼 NAT 裝置回報,例如防火牆,NAT 裝置用來與來源通訊的 IP 位址。 |
| DstNatPortNumber | int | 如果由中繼 NAT 裝置回報,例如防火牆,NAT 裝置用來與來源通訊的埠。 |
| DstPackets | long | 從目的地傳送至連線或會話來源的封包數目。 封包的意義是由報告裝置所定義。 |
| DstPortNumber | int | 目的地 IP 連接埠。 |
| DstResourceId | 字串 | 目的地裝置的資源標識碼。 |
| DstUserAadId | 字串 | 會話結尾的使用者 Azure AD 帳戶對象識別碼。 |
| DstUserDomain | 字串 | 會話目的地之帳戶的網域或計算機名稱。 |
| DstUserName | 字串 | 與會話目的地相關聯的身分識別用戶名稱。 |
| DstUserSid | 字串 | 與會話目的地相關聯的身分識別使用者標識碼。 一般而言,用來驗證伺服器的身分識別。 |
| DstUserUpn | 字串 | 與會話目的地相關聯的身分識別UPN。 |
| DstZone | 字串 | 目的地的網路區域,如報告裝置所定義。 |
| DvcAction | 字串 | 如果由中繼裝置回報,例如防火牆,則裝置所採取的動作。 |
| DvcHostname | 字串 | 產生訊息之裝置的裝置名稱。 |
| DvcInboundInterface | 字串 | 如果由防火牆等中繼裝置回報,則為來源裝置連線所使用的網路介面。 |
| DvcIpAddr | 字串 | 產生記錄之裝置的IP位址。 |
| DvcMacAddr | 字串 | 傳送事件之報告裝置網路介面的 MAC 位址。 |
| DvcOutboundInterface | 字串 | 如果由防火牆等中繼裝置回報,則其用來連線至目的地裝置的網路介面。 |
| EventCount | int | 如果適用,匯總的事件數目。 |
| EventEndTime | Datetime | 事件結束的時間。 |
| EventMessage | 字串 | 包含或從記錄產生的一般訊息或描述。 |
| EventOriginalUid | 字串 | 來自報告裝置的記錄標識碼。 |
| EventProduct | 字串 | 產生事件的產品。 |
| EventProductVersion | 字串 | 產生事件的產品版本。 |
| EventReportUrl | 字串 | 報告裝置所建立之完整報表的連結。 |
| EventResourceId | 字串 | 產生訊息之裝置的資源標識碼。 |
| EventResult | 字串 | 活動回報的結果。 不適用時為空白值。 |
| EventResultDetails | 字串 | EventResult 中回報結果的原因 |
| EventSchemaVersion | 字串 | Azure Sentinel 架構版本。 |
| EventSeverity | 字串 | 如果回報的活動有安全性影響,表示影響嚴重性。 |
| EventStartTime | Datetime | 事件所指出的時間。 |
| EventSubType | 字串 | 如果適用,則為類型的其他描述。 |
| EventTimeIngested | Datetime | 事件擷取至 Azure Sentinel 的時間。 Azure Sentinel 將會新增。 |
| EventType | 字串 | 正在收集的事件類型。 |
| EventUid | 字串 | Sentinel 用來標記數據列的唯一標識符。 |
| EventVendor | 字串 | 產生事件的產品的廠商。 |
| FileExtension | 字串 | 透過網路連線傳輸的檔類型,適用於 FTP 和 HTTP 等通訊協定。 |
| FileHashMd5 | 字串 | 透過通訊協議網路連線傳輸之檔案的 MD5 哈希值。 |
| FileHashSha1 | 字串 | 透過通訊協議網路連線傳輸之檔案的SHA1哈希值。 |
| FileHashSha256 | 字串 | 透過通訊協議網路連線傳輸之檔案的SHA256哈希值。 |
| FileHashSha512 | 字串 | 透過通訊協議網路連線傳輸之檔案的SHA512哈希值。 |
| FileMimeType | 字串 | 透過網路連線傳輸之檔案的 MIME 類型,適用於 FTP 和 HTTP 等通訊協定。 |
| FileName | 字串 | 透過網路連線傳輸的檔名,例如 FTP 和 HTTP,可提供檔名資訊。 |
| FilePath | 字串 | 檔案的完整路徑,包括檔名。 |
| FileSize | int | 透過通訊協定網路連線傳輸的檔案大小,以位元組為單位。 |
| HttpContentType | 字串 | HTTP/HTTPS 網路會話的 HTTP 回應內容類型標頭。 |
| HttpReferrerOriginal | 字串 | HTTP/HTTPS 網路會話的 HTTP 查閱者標頭。 |
| HttpRequestMethod | 字串 | HTTP/HTTPS 網路會話的 HTTP 方法。 |
| HttpRequestTime | int | 如果適用,將要求傳送至伺服器所花費的時間量。 |
| HttpRequestXff | 字串 | HTTP/HTTPS 網络會話的 HTTP X-Forwarded-For 標頭。 |
| HttpResponseTime | int | 如果適用,在伺服器中接收回應所花費的時間量。 |
| HttpStatusCode | 字串 | HTTP/HTTPS 網路工作階段的 HTTP 狀態代碼。 |
| HttpUserAgentOriginal | 字串 | HTTP/HTTPS 網路會話的 HTTP 使用者代理程式標頭。 |
| HttpVersion | 字串 | HTTP/HTTPS 網路連線的 HTTP 要求版本。 |
| _IsBillable | 字串 | 指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
| NetworkApplicationProtocol | 字串 | 連接或會話所使用的應用層通訊協定。 |
| NetworkBytes | long | 雙向傳送的位元組數目。 如果 BytesReceived 和 BytesSent 都存在,BytesTotal 應該等於其總和。 |
| NetworkDirection | 字串 | 聯機或會話進出組織的方向。 |
| NetworkDuration | int | 完成網路會話或連線的時間量,以毫秒為單位。 |
| NetworkIcmpCode | int | 針對ICMP訊息,ICMP訊息類型數值 (RFC 2780 或 RFC 4443)。 |
| NetworkIcmpType | 字串 | 針對ICMP訊息,ICMP訊息類型文字表示法 (RFC 2780 或 RFC 4443)。 |
| NetworkPackets | long | 雙向傳送的封包數目。 如果 PacketsReceived 和 PacketsSent 都存在,BytesTotal 應該等於其總和。 |
| NetworkProtocol | 字串 | 連接或會話所使用的IP通訊協定。 一般而言,TCP、UDP 或 ICMP。 |
| NetworkRuleName | 字串 | 由 DeviceAction 決定的規則名稱或識別碼。 |
| NetworkRuleNumber | int | 相符的規則編號。 |
| NetworkSessionId | 字串 | 報告裝置所報告的會話標識碼。 |
| SourceSystem | 字串 | 收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager、直接連線或 Operations Manager、適用於 Linux 的所有 Linux 代理程式,或適用於 Azure 的 Azure 診斷 |
| SrcBytes | long | 從來源傳送到連線或會話目的地的位元元組數目。 |
| SrcDvcDomain | 字串 | 起始會話的來源裝置網域。 |
| SrcDvcFqdn | 字串 | 建立記錄檔之主機的完整功能變數名稱。 |
| SrcDvcHostname | 字串 | 來源裝置的裝置名稱。 |
| SrcDvcIpAddr | 字串 | 裝置的來源IP位址未與網路封包直接關聯(由提供者收集或明確計算)。 |
| SrcDvcMacAddr | 字串 | 未與網路封包直接關聯的裝置來源 MAC 位址。 |
| SrcDvcModelName | 字串 | 來源裝置的模型。 |
| SrcDvcModelNumber | 字串 | 來源裝置的型號。 |
| SrcDvcOs | 字串 | 來源裝置的OS。 |
| SrcDvcType | 字串 | 來源裝置的類型。 |
| SrcGeoCity | 字串 | 與來源IP位址相關聯的城市。 |
| SrcGeoCountry | 字串 | 與來源IP位址相關聯的國家/地區。 |
| SrcGeoLatitude | real | 與來源IP位址相關聯的地理座標緯度。 |
| SrcGeoLongitude | real | 與來源IP位址相關聯的地理座標經度。 |
| SrcGeoRegion | 字串 | 與來源IP位址相關聯的國家/地區內區域。 |
| SrcInterfaceGuid | 字串 | 使用的網路介面 GUID。 |
| SrcInterfaceName | 字串 | 來源裝置用於連線或會話的網路介面。 |
| SrcIpAddr | 字串 | 線上或會話的來源IP位址。 |
| SrcMacAddr | 字串 | 聯機 od 工作階段的來源網路介面 MAC 位址。 |
| SrcNatIpAddr | 字串 | 如果由中繼 NAT 裝置回報,例如防火牆,NAT 裝置用來與目的地通訊的 IP 位址。 |
| SrcNatPortNumber | int | 如果由中繼 NAT 裝置回報,例如防火牆,NAT 裝置用來與目的地通訊的埠。 |
| SrcPackets | long | 從來源傳送至連線或會話目的地的封包數目。 封包的意義是由報告裝置所定義。 |
| SrcPortNumber | int | 線上來源 IP 連接埠。 可能與包含多個連線的會話無關。 |
| SrcResourceId | 字串 | 產生訊息之裝置的資源標識碼。 |
| SrcUserAadId | 字串 | 會話來源端使用者的 Azure AD 帳戶物件識別碼。 |
| SrcUserDomain | 字串 | 起始會話之帳戶的網域。 |
| SrcUserName | 字串 | 與會話來源相關聯的身分識別用戶名稱。 一般而言,使用者在用戶端上執行動作。 |
| SrcUserSid | 字串 | 與會話來源相關聯之身分識別的使用者標識碼。 一般而言,使用者在用戶端上執行動作。 |
| SrcUserUpn | 字串 | 起始會話之帳戶的UPN。 |
| SrcZone | 字串 | 來源的網路區域,如報告裝置所定義。 |
| TenantId | 字串 | Log Analytics 工作區識別碼 |
| ThreatCategory | 字串 | 安全性系統所識別的威脅類別,例如 IPS 的 Web 安全性閘道,且與此網路會話相關聯。 |
| ThreatId | 字串 | 安全性系統所識別的威脅標識碼,例如 IPS 的 Web 安全性閘道,且與此網路會話相關聯。 |
| ThreatName | 字串 | 識別的威脅或惡意代碼名稱。 |
| TimeGenerated | Datetime | 事件發生的時間,如報告來源所報告。 |
| 型別 | string | 資料表的名稱 |
| UrlCategory | 字串 | URL 定義的群組(或可能只是根據 URL 中的網域)與其相關(例如成人、新聞、廣告、停駐網域等)。 |
| UrlHostname | 字串 | HTTP/HTTPS 網路會話之 HTTP 要求URL的網域部分。 |
| UrlOriginal | 字串 | HTTP/HTTPS 網路會話的 HTTP 要求 URL。 |
其他資源
訓練
認證
Microsoft Certified: Azure Network Engineer Associate - Certifications
示範 Azure 網路基礎結構的設計、實作和維護、負載平衡流量、網路路由等等。
文件
-
Azure 監視器記錄參考 - NetworkAccessTraffic - Azure Monitor
Azure 監視器記錄中 NetworkAccessTraffic 數據表的參考。
-
Azure 監視器記錄參考 - DnsEvents - Azure Monitor
Azure 監視器記錄中的 DnsEvents 數據表參考。
-
本文會顯示Microsoft Sentinel 實體類型及其必要標識碼。