| Další pole |
dynamic |
Další informace, reprezentované pomocí párů klíč/hodnota poskytnuté zdrojem, které se nemapují na ASim. |
| _BilledSize |
real |
Velikost záznamu v bajtech |
| DstAppId |
string |
ID cílové aplikace, jak je hlášeno zařízením pro generování sestav. |
| DstAppName |
string |
Název cílové aplikace. |
| DstAppType |
string |
Typ cílové aplikace. |
| DstBytes |
long |
Počet bajtů odeslaných z cíle do zdroje pro připojení nebo relaci. Pokud je událost agregovaná, DstBytes je součet u všech agregovaných relací. |
| DstDescription |
string |
Popisný text přidružený k cíli |
| DstDeviceType |
string |
Typ cílového zařízení. |
| DstDomain |
string |
Doména cílového zařízení. |
| DstDomainType |
string |
Typ DstDomain. |
| DstDvcId |
string |
ID cílového zařízení. |
| DstDvcIdType |
string |
Typ DstDvcId. |
| DstFQDN |
string |
Název hostitele cílového zařízení, včetně informací o doméně, pokud je k dispozici. |
| DstGeoCity |
string |
Město přidružené k cílové IP adrese. |
| DstGeoCountry |
string |
Země přidružená k cílové IP adrese. |
| DstGeoLatitude |
real |
Zeměpisná šířka zeměpisné souřadnice přidružené k cílové IP adrese. |
| DstGeoLongitude |
real |
Zeměpisná délka zeměpisné souřadnice přidružené k cílové IP adrese. |
| Oblast DstGeoRegion |
string |
Oblast nebo stát v rámci země přidružené k cílové IP adrese. |
| DstHostname |
string |
Název hostitele cílového zařízení s výjimkou informací o doméně. |
| DstInterfaceGuid |
string |
Identifikátor GUID síťového rozhraní použitého v cílovém zařízení. |
| DstInterfaceName |
string |
Síťové rozhraní používané pro připojení nebo relaci cílovým zařízením. |
| DstIpAddr |
string |
IP adresa cíle připojení nebo relace. |
| DstMacAddr |
string |
Adresa MAC síťového rozhraní používaného pro připojení nebo relaci cílovým zařízením. |
| DstNatIpAddr |
string |
DstNatIpAddr představuje jednu z těchto možností: Původní adresu cílového zařízení, pokud byl použit překlad síťových adres nebo IP adresa používaná zprostředkujícím zařízením pro komunikaci se zdrojem. |
| DstNatPortNumber |
int |
Pokud je nahlásil zprostředkující zařízení NAT, port používaný zařízením NAT ke komunikaci se zdrojem. |
| DstOriginalUserType |
string |
Původní typ cílového uživatele, pokud zdroj poskytuje. |
| Sady DstPackets |
long |
Počet paketů odeslaných z cíle do zdroje pro připojení nebo relaci. Význam paketu je definován zařízením pro generování sestav. Pokud je událost agregovaná, DstPackets je součet pro všechny agregované relace. |
| DstPortNumber |
int |
Cílový port IP adresy. |
| DstSubscriptionId |
string |
ID předplatného cloudové platformy, do které cílové zařízení patří. DstSubscriptionId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| DstUserId |
string |
Strojově čitelný alfanumerický, jedinečný reprezentace cílového uživatele. |
| DstUserIdType |
string |
Typ ID uloženého v poli DstUserId. |
| DstUsername |
string |
Cílové uživatelské jméno, včetně informací o doméně, pokud jsou k dispozici. Jednoduchý formulář použijte jenom v případě, že informace o doméně nejsou k dispozici. |
| DstUsernameType |
string |
Určuje typ uživatelského jména uloženého v poli DstUsername. |
| DstUserType |
string |
Typ cílového uživatele. |
| DstVlanId |
string |
ID sítě VLAN související s cílovým zařízením. |
| DstZone |
string |
Zóna sítě cíle definovaná zařízením pro vytváření sestav. |
| Dvc |
string |
Jedinečný identifikátor zařízení, na kterém došlo k události nebo na které byla událost hlášena. |
| DvcAction |
string |
Akce proběhla v síťové relaci. |
| Popis dvcDescription |
string |
Popisný text přidružený k zařízení Příklad: Primární řadič domény. |
| DvcDomain |
string |
Doména zařízení hlásí událost. |
| DvcDomainType |
string |
Typ DvcDomain. Mezi možné hodnoty patří Windows a FQDN. |
| DvcFQDN |
string |
Název hostitele zařízení, na kterém došlo k události nebo na které byla událost hlášena. |
| DvcHostname |
string |
Název hostitele zařízení, které hlásí událost. |
| DvcId |
string |
Jedinečné ID zařízení, na kterém došlo k události nebo které událost nahlásila. |
| DvcIdType |
string |
Typ DvcId. |
| DvcInboundInterface |
string |
Pokud je hlášeno zprostředkujícím zařízením, síťové rozhraní používané zařízením NAT pro připojení ke zdrojovému zařízení. |
| DvcInterface |
string |
Síťové rozhraní, na kterém byla zaznamenána data. Toto pole je obvykle relevantní pro aktivitu související se sítí, která je zachycena zprostředkujícím zařízením nebo klepnutím. |
| DvcIpAddr |
string |
IP adresa zařízení, které hlásí událost. |
| DvcMacAddr |
string |
Adresa MAC zařízení, na kterém došlo k události nebo která událost nahlásila. Příklad: 00:1B:44:11:3A:B7 |
| DvcOriginalAction |
string |
Původní DvcAction, jak poskytuje zařízení pro generování sestav. |
| DvcOs |
string |
Operační systém spuštěný na zařízení hlásí událost. |
| DvcOsVersion |
string |
Verze operačního systému v zařízení hlásí událost. |
| DvcOutboundInterface |
string |
Pokud je hlášeno zprostředkujícím zařízením, síťové rozhraní používané zařízením NAT pro připojení k cílovému zařízení. |
| DvcSubscriptionId |
string |
ID předplatného cloudové platformy, do které zařízení patří. DvcSubscriptionId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| DvcZone |
string |
Síť, na které došlo k události nebo která ohlásila událost. Zóna je definovaná zařízením pro generování sestav. |
| EventCount |
int |
Tato hodnota se používá, když zdroj podporuje agregaci a jeden záznam může představovat více událostí. |
| EventEndTime |
datetime |
Čas, kdy událost skončila. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování poslední události. Pokud zdrojový záznam nezadá, toto pole aliasy pole TimeGenerated. |
| EventMessage |
string |
Obecná zpráva nebo popis |
| EventOriginalResultDetails |
string |
Původní podrobnosti o výsledku poskytnuté zdrojem. Tato hodnota se používá k odvození EventResultDetails, které by měly mít pouze jednu z hodnot dokumentovaných pro každé schéma. |
| UdálostOriginalSeverity |
string |
Původní závažnost poskytovaná zařízením pro generování sestav. Tato hodnota se používá k odvození hodnoty EventSeverity. |
| EventOriginalSubType |
string |
Původní podtyp nebo ID události, pokud zdroj poskytuje. Toto pole se například použije k uložení původního typu přihlášení systému Windows. Tato hodnota se používá k odvození třídy EventSubType, která by měla obsahovat pouze jednu z hodnot zdokumentovaných pro každé schéma. |
| EventOriginalType |
string |
Původní typ nebo ID události, pokud zdroj poskytuje. |
| EventOriginalUid |
string |
Jedinečné ID původního záznamu, pokud zdroj poskytuje. |
| EventProduct |
string |
Produkt, který událost generuje. |
| EventProductVersion |
string |
Verze produktu generující událost. |
| EventReportUrl |
string |
Adresa URL zadaná v události pro prostředek, který poskytuje další informace o události. |
| EventResult |
string |
Výsledek události reprezentovaný jednou z následujících hodnot: Success, Partial, Failure, NA (Not Applicable). Hodnota nemusí být poskytována přímo zdroji, v takovém případě je odvozena z jiných polí událostí, například pole EventResultDetails. |
| EventResultDetails |
string |
Důvod nebo podrobnosti výsledku hlášeného v poli EventResult |
| EventSchemaVersion |
string |
Verze schématu. |
| EventSeverity |
string |
Závažnost události. Platné hodnoty jsou: Informační, Nízká, Střední nebo Vysoká. |
| EventStartTime |
datetime |
Čas, kdy událost začala. Pokud zdroj podporuje agregaci a záznam představuje více událostí, čas vygenerování první události. Pokud zdrojový záznam nezadá, toto pole aliasy pole TimeGenerated. |
| EventSubType |
string |
Další popis typu události, pokud je k dispozici. |
| Typ události |
string |
Operace hlášená záznamem. |
| EventVendor |
string |
Dodavatel produktu, který událost generuje. |
| _IsBillable |
string |
Určuje, jestli je ingestování dat fakturovatelné. Pokud se příjem dat _IsBillable false neúčtuje vašemu účtu Azure |
| NetworkApplicationProtocol |
string |
Protokol aplikační vrstvy používaný připojením nebo relací. |
| Síťovébyty |
long |
Počet bajtů odeslaných v obou směrech Pokud existují bajtyReceived i BytesSent, měly by se bajtyTotal rovnat jejich součtu. Pokud je událost agregovaná, hodnota NetworkBytes je součet nad všemi agregovanými relacemi. |
| NetworkConnectionHistory |
string |
Příznaky PROTOKOLU TCP a další potenciální informace hlavičky IP. |
| NetworkDirection |
string |
Směr připojení nebo relace. |
| Doba trvání sítě |
int |
Doba dokončení síťové relace nebo připojení v milisekundách. |
| NetworkIcmpCode |
int |
Pro zprávu ICMP zadejte číselnou hodnotu typu zprávy ICMP, jak je popsáno v dokumentu RFC 2780 pro síťová připojení IPv4 nebo v RFC 4443 pro síťová připojení IPv6. |
| NetworkIcmpType |
string |
U zprávy ICMP zadejte textovou reprezentaci typu zprávy ICMP, jak je popsáno v dokumentu RFC 2780 pro síťová připojení IPv4 nebo v RFC 4443 pro síťová připojení IPv6. |
| NetworkPackets |
long |
Počet paketů odeslaných v obou směrech. Pokud existují paketyReceived i PacketsSent, měly by se bajtyTotal rovnat jejich součtu. Význam paketu je definován zařízením pro generování sestav. Pokud je událost agregovaná, jedná se o součet všech agregovaných relací. |
| NetworkProtocol |
string |
Protokol IP používaný připojením nebo relací, jak je uvedeno v přiřazení protokolu IANA, což je obvykle TCP, UDP nebo ICMP. |
| NetworkProtocolVersion |
string |
Verze NetworkProtocol. |
| NetworkRuleName |
string |
Název nebo ID pravidla, podle kterého se o DvcAction rozhodl. |
| NetworkRuleNumber |
int |
Počet pravidel, podle kterého bylo DvcAction rozhodnuto. |
| NetworkSessionId |
string |
Identifikátor relace hlášený zařízením pro generování sestav. |
| _ResourceId |
string |
Jedinečný identifikátor prostředku, ke kterému je záznam přidružený |
| SourceSystem |
string |
Typ agenta, který událost shromáždil. Například OpsManager pro agenta Windows, přímé připojení nebo Operations Manager, Linux pro všechny agenty Linuxu nebo Azure pro diagnostiku Azure |
| SrcAppId |
string |
ID zdrojové aplikace, jak je hlášeno zařízením pro generování sestav. |
| SrcAppName |
string |
Název zdrojové aplikace. |
| SrcAppType |
string |
Typ zdrojové aplikace. |
| SrcBytes |
long |
Počet bajtů odeslaných ze zdroje do cíle pro připojení nebo relaci. Pokud je událost agregovaná, SrcBytes je součet nad všemi agregovanými relacemi. |
| SrcDescription |
string |
Popisný text přidružený ke zdroji |
| SrcDeviceType |
string |
Typ zdrojového zařízení. |
| SrcDomain |
string |
Doména zdrojového zařízení. |
| SrcDomainType |
string |
Typ SrcDomain. |
| SrcDvcId |
string |
ID zdrojového zařízení. |
| SrcDvcIdType |
string |
Typ SrcDvcId. |
| SrcFQDN |
string |
Název hostitele zdrojového zařízení, včetně informací o doméně, pokud je k dispozici. |
| SrcGeoCity |
string |
Město přidružené ke zdrojové IP adrese. |
| SrcGeoCountry |
string |
Země přidružená ke zdrojové IP adrese. |
| SrcGeoLatitude |
real |
Zeměpisná šířka zeměpisné souřadnice přidružené ke zdrojové IP adrese. |
| SrcGeoLongitude |
real |
Zeměpisná délka zeměpisné souřadnice přidružené ke zdrojové IP adrese. |
| SrcGeoRegion |
string |
Oblast v rámci země přidružené ke zdrojové IP adrese. |
| SrcHostname |
string |
Název hostitele zdrojového zařízení s výjimkou informací o doméně. Pokud není k dispozici žádný název zařízení, může se příslušná IP adresa uložit. |
| SrcInterfaceGuid |
string |
Identifikátor GUID síťového rozhraní použitého na zdrojovém zařízení. |
| SrcInterfaceName |
string |
Síťové rozhraní používané pro připojení nebo relaci zdrojovým zařízením. |
| SrcIpAddr |
string |
IP adresa, ze které pochází připojení nebo relace. |
| SrcMacAddr |
string |
Adresa MAC síťového rozhraní, ze kterého pochází připojení nebo relace. |
| SrcNatIpAddr |
string |
SrcNatIpAddr představuje jednu z těchto možností: původní adresu zdrojového zařízení, pokud byl použit překlad síťových adres, nebo IP adresu používanou zprostředkujícím zařízením pro komunikaci s cílem. |
| SrcNatPortNumber |
int |
Pokud je zařízení na základě překladu adres (NAT) hlášeno zprostředkujícím zařízením NAT, port používaný zařízením NAT pro komunikaci s cílem. |
| SrcOriginalUserType |
string |
Původní typ cílového uživatele, pokud ho poskytuje zařízení pro vytváření sestav. |
| Sady SrcPackets |
long |
Počet paketů odeslaných ze zdroje do cíle pro připojení nebo relaci. Význam paketu je definován zařízením pro generování sestav. Pokud je událost agregovaná, SrcPackets je součet nad všemi agregovanými relacemi. |
| SrcPortNumber |
int |
Port IP, ze kterého připojení pochází. Nemusí být relevantní pro relaci, která obsahuje více připojení. |
| SrcSubscriptionId |
string |
ID předplatného cloudové platformy, do které zdrojové zařízení patří. SrcSubscriptionId se mapuje na ID předplatného v Azure a na ID účtu v AWS. |
| SrcUserId |
string |
Strojově čitelná alfanumerická, jedinečná reprezentace zdrojového uživatele. |
| SrcUserIdType |
string |
Typ ID uloženého v poli SrcUserId. |
| SrcUsername |
string |
Zdrojové uživatelské jméno, včetně informací o doméně, pokud jsou k dispozici. |
| SrcUsernameType |
string |
Určuje typ uživatelského jména uloženého v poli SrcUsername. |
| SrcUserType |
string |
Typ zdrojového uživatele. |
| SrcVlanId |
string |
ID sítě VLAN související se zdrojovým zařízením. |
| SrcZone |
string |
Zóna sítě zdroje definovaná zařízením pro vytváření sestav. |
| _SubscriptionId |
string |
Jedinečný identifikátor předplatného, ke kterému je záznam přidružený |
| TcpFlagsAck |
bool |
Nahlášený příznak TCP ACK. Příznak potvrzení slouží k potvrzení úspěšného přijetí paketu. Jak vidíme z výše uvedeného diagramu, příjemce odešle ACK a syn v druhém kroku procesu handshake, aby odesílateli řekl, že obdržel počáteční paket. |
| TcpFlagsFin |
bool |
Nahlášený příznak TCP FIN. Dokončený příznak znamená, že odesílatel neobsahuje žádná další data. Proto se používá v posledním paketu odeslaném od odesílatele. |
| TcpFlagsPsh |
bool |
Nahlášený příznak TCP PSH. Příznak push je trochu podobný příznaku URG a informuje příjemce, aby tyto pakety zpracovával, protože jsou přijímány, místo ukládání do vyrovnávací paměti. |
| TcpFlagsRst |
bool |
Nahlášený příznak TCP RST. Příznak resetování se odešle od příjemce odesílateli, když se paket odešle konkrétnímu hostiteli, který ho neočekával. |
| TcpFlagsSyn |
bool |
Nahlášený příznak TCP SYN. Příznak synchronizace se používá jako první krok při vytvoření třícestné metody handshake mezi dvěma hostiteli. Tento příznak by měl mít nastavený pouze první paket od odesílatele i příjemce. |
| TcpFlagsUrg |
bool |
Příznak TCP URG nahlášený. Příznak urgentní slouží k oznámení příjemci, aby před zpracováním všech ostatních paketů zpracovával naléhavé pakety. Příjemce bude upozorněn, jakmile budou přijata všechna známá urgentní data. Další podrobnosti najdete v dokumentu RFC 6093. |
| TenantId |
string |
ID pracovního prostoru služby Log Analytics |
| ThreatCategory |
string |
Kategorie hrozby nebo malwaru zjištěného v síťové relaci. |
| ThreatConfidence |
int |
Úroveň spolehlivosti zjištěné hrozby normalizovaná na hodnotu mezi 0 a 100. |
| ThreatField |
string |
Pole, pro které byla zjištěna hrozba. Hodnota je SrcIpAddr, DstIpAddr, Domain nebo DnsResponseName. |
| ThreatFirstReportedTime |
datetime |
Při prvním zjištění IP adresy nebo domény jako hrozby. |
| ThreatId |
string |
ID hrozby nebo malwaru zjištěného v síťové relaci. |
| ThreatIpAddr |
string |
IP adresa, pro kterou byla zjištěna hrozba. Pole ThreatField obsahuje název pole ThreatIpAddr představuje. |
| ThreatIsActive |
bool |
Skutečné ID zjištěné hrozby se považuje za aktivní hrozbu. |
| ThreatLastReportedTime |
datetime |
Čas posledního zjištění IP adresy nebo domény jako hrozby |
| ThreatName |
string |
Název hrozby nebo malwaru zjištěného v síťové relaci. |
| ThreatOriginalConfidence |
string |
Původní úroveň spolehlivosti zjištěné hrozby, jak je hlášeno zařízením pro hlášení. |
| ThreatOriginalRiskLevel |
string |
Úroveň rizika hlášená zařízením pro generování sestav. |
| ThreatRiskLevel |
int |
Úroveň rizika přidružená k relaci. Úroveň je číslo od 0 do 100. |
| TimeGenerated |
datetime |
Časové razítko (UTC) odráží čas, ve kterém byla událost vygenerována. |
| Typ |
string |
Název tabulky |