Freigeben über


CommonSecurityLog

Diese Tabelle dient zum Sammeln von Ereignissen im Common Event Format, die am häufigsten von verschiedenen Sicherheitsgeräten wie Check Point, Palo Alto und mehr gesendet werden.

Tabellenattribute

attribute Wert
Ressourcentypen microsoft.securityinsights/cef,
microsoft.compute/virtualmachines,
microsoft.conenctedvmwarevsphere/virtualmachines,
microsoft.azurestackhci/virtualmachines,
microsoft.scvmm/virtualmachines,
microsoft.compute/virtualmachinescalesets
Kategorien Sicherheit
Lösungen Sicherheit, SecurityInsights
Standardprotokoll No
Erfassungszeittransformation Ja
Beispielabfragen Ja

Spalten

Spalte Type Beschreibung
Aktivität Zeichenfolge Eine Zeichenfolge, die eine lesbare und verständliche Beschreibung des Ereignisses darstellt.
AdditionalExtensions Zeichenfolge Ein Platzhalter für zusätzliche Felder. Felder werden als Schlüsselwertpaare protokolliert.
ApplicationProtocol Zeichenfolge Das in der Anwendung verwendete Protokoll wie HTTP, HTTPS, SSHv2, Telnet, POP, IMPA, IMAPS usw.
_BilledSize real Die Datensatzgröße in Bytes.
CollectorHostName Zeichenfolge Der Hostname des Sammelcomputers, auf dem der Agent ausgeführt wird.
CommunicationDirection Zeichenfolge Alle Informationen zur Richtung der überwachten Kommunikation. Gültige Werte: 0 = Eingehend, 1 = ausgehend.
Computer Zeichenfolge Host aus Syslog.
DestinationDnsDomain Zeichenfolge Der DNS-Teil des vollqualifizierten Domänennamens (FQDN).
DestinationHostName Zeichenfolge Das Ziel, auf das sich das Ereignis in einem IP-Netzwerk bezieht. Das Format muss ein FQDN sein, der dem Zielknoten zugeordnet ist, wenn ein Knoten verfügbar ist. Beispiel: host.domain.com oder Host.
DestinationIP Zeichenfolge Die IpV4-Zieladresse, auf die sich das Ereignis in einem IP-Netzwerk bezieht.
DestinationMACAddress Zeichenfolge Die Ziel-MAC-Adresse (FQDN).
DestinationNTDomain Zeichenfolge Der Windows-Domänenname der Zieladresse.
DestinationPort int Zielport. Gültige Werte: 0 - 65535.
DestinationProcessId int Die ID des Zielprozesses, der dem Ereignis zugeordnet ist.
DestinationProcessName Zeichenfolge Der Name des Zielprozesses des Ereignisses, z. B. telnetd oder sshd.
DestinationServiceName Zeichenfolge Der Dienst, auf den das Ereignis ausgerichtet ist. Beispiel: sshd.
DestinationTranslatedAddress Zeichenfolge Identifiziert das übersetzte Ziel, auf das das Ereignis in einem IP-Netzwerk verweist, als IPv4-IP-Adresse.
DestinationTranslatedPort int Port nach Übersetzung, z. B. eine Firewall Gültige Portnummern: 0 - 65535.
DestinationUserID Zeichenfolge Identifiziert den Zielbenutzer nach ID. Beispiel: In Unix ist der Stammbenutzer in der Regel der Benutzer-ID 0 zugeordnet.
DestinationUserName Zeichenfolge Identifiziert den Zielbenutzer nach Namen.
DestinationUserPrivileges Zeichenfolge Definiert die Berechtigungen der Zielverwendung. Gültige Werte: Admninistrator, Benutzer, Gast.
DeviceAction Zeichenfolge Die im Ereignis angegebene Aktion.
DeviceAddress Zeichenfolge Die IPv4-Adresse des Geräts, das das Ereignis erzeugt.
DeviceCustomDate1 Zeichenfolge Eines von zwei Zeitstempelfeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere Felder in diesem Wörterbuch nicht gelten. Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld.
DeviceCustomDate1Label Zeichenfolge Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds.
DeviceCustomDate2 Zeichenfolge Eines von zwei Zeitstempelfeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere Felder in diesem Wörterbuch nicht gelten. Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld.
DeviceCustomDate2Label Zeichenfolge Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds.
DeviceCustomFloatingPoint1 real Eines von vier Gleitkommafeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere Felder in diesem Wörterbuch nicht gelten.
DeviceCustomFloatingPoint1Label Zeichenfolge Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds.
DeviceCustomFloatingPoint2 real Eines von vier Gleitkommafeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere Felder in diesem Wörterbuch nicht gelten.
DeviceCustomFloatingPoint2Label Zeichenfolge Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds.
DeviceCustomFloatingPoint3 real Eines von vier Gleitkommafeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere Felder in diesem Wörterbuch nicht gelten.
DeviceCustomFloatingPoint3Label Zeichenfolge Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds.
DeviceCustomFloatingPoint4 real Eines von vier Gleitkommafeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere Felder in diesem Wörterbuch nicht gelten.
DeviceCustomFloatingPoint4Label Zeichenfolge Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds.
DeviceCustomIPv6Address1 Zeichenfolge Eines von vier IPv6-Adressfeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere in diesem Wörterbuch nicht gelten.
DeviceCustomIPv6Address1Label Zeichenfolge Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds.
DeviceCustomIPv6Address2 Zeichenfolge Eines von vier IPv6-Adressfeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere in diesem Wörterbuch nicht gelten.
DeviceCustomIPv6Address2Label Zeichenfolge Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds.
DeviceCustomIPv6Address3 Zeichenfolge Eines von vier IPv6-Adressfeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere in diesem Wörterbuch nicht gelten.
DeviceCustomIPv6Address3Label Zeichenfolge Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds.
DeviceCustomIPv6Address4 Zeichenfolge Eines von vier IPv6-Adressfeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere in diesem Wörterbuch nicht gelten.
DeviceCustomIPv6Address4Label Zeichenfolge Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds.
DeviceCustomNumber1 int Bald wird ein veraltetes Feld angezeigt. Wird durch FieldDeviceCustomNumber1 ersetzt.
DeviceCustomNumber1Label Zeichenfolge Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds.
DeviceCustomNumber2 int Bald wird ein veraltetes Feld angezeigt. Wird durch FieldDeviceCustomNumber2 ersetzt.
DeviceCustomNumber2Label Zeichenfolge Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds.
DeviceCustomNumber3 int Bald wird ein veraltetes Feld angezeigt. Wird durch FieldDeviceCustomNumber3 ersetzt.
DeviceCustomNumber3Label Zeichenfolge Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds.
DeviceCustomString1 Zeichenfolge Eine von sechs Zeichenfolgen, die zum Zuordnen von Feldern verfügbar sind, die für andere in diesem Wörterbuch nicht gelten. Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld.
DeviceCustomString1Label Zeichenfolge Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds.
DeviceCustomString2 Zeichenfolge Eine von sechs Zeichenfolgen, die zum Zuordnen von Feldern verfügbar sind, die für andere in diesem Wörterbuch nicht gelten. Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld.
DeviceCustomString2Label Zeichenfolge Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds.
DeviceCustomString3 Zeichenfolge Eine von sechs Zeichenfolgen, die zum Zuordnen von Feldern verfügbar sind, die für andere in diesem Wörterbuch nicht gelten. Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld.
DeviceCustomString3Label Zeichenfolge Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds.
DeviceCustomString4 Zeichenfolge Eine von sechs Zeichenfolgen, die zum Zuordnen von Feldern verfügbar sind, die für andere in diesem Wörterbuch nicht gelten. Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld.
DeviceCustomString4Label Zeichenfolge Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds.
DeviceCustomString5 Zeichenfolge Eine von sechs Zeichenfolgen, die zum Zuordnen von Feldern verfügbar sind, die für andere in diesem Wörterbuch nicht gelten. Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld.
DeviceCustomString5Label Zeichenfolge Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds.
DeviceCustomString6 Zeichenfolge Eine von sechs Zeichenfolgen, die zum Zuordnen von Feldern verfügbar sind, die für andere in diesem Wörterbuch nicht gelten. Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld.
DeviceCustomString6Label Zeichenfolge Alle benutzerdefinierten Felder weisen ein entsprechendes Bezeichnungsfeld auf. Jedes dieser Felder ist eine Zeichenfolge und beschreibt den Zweck des benutzerdefinierten Felds.
DeviceDnsDomain Zeichenfolge Der DNS-Domänenteil des vollqualifizierten Domänennamens (FQDN).
DeviceEventCategory Zeichenfolge Stellt die Kategorie dar, die vom Ursprungsgerät zugewiesen wird. Geräte verwenden häufig ein eigenes Kategorisierungsschema, um Ereignisse zu klassifizieren. Beispiel: '/Monitor/Disk/Read'.
DeviceEventClassID Zeichenfolge Eine Zeichenfolge oder ganze Zahl, die als eindeutiger Bezeichner pro Ereignistyp fungiert.
DeviceExternalID Zeichenfolge Ein Name, der das Gerät eindeutig identifiziert, das das Ereignis erzeugt.
DeviceFacility Zeichenfolge Die Facility, die das Ereignis erzeugt. Beispiel: Authentifizierung oder lokal1.
DeviceInboundInterface Zeichenfolge Die Schnittstelle für den Eingang des Pakets oder der Daten in das Gerät. Beispiel: Ethernet1/2.
DeviceMacAddress Zeichenfolge Die MAC-Adresse des Geräts, das das Ereignis erzeugt.
DeviceName Zeichenfolge Der dem Geräteknoten zugeordnete FQDN, wenn ein Knoten verfügbar ist. Beispiel: host.domain.com oder Host.
DeviceNtDomain Zeichenfolge Die Windows-Domäne der Geräteadresse.
DeviceOutboundInterface Zeichenfolge Die Schnittstelle für den Ausgang des Pakets oder der Daten aus dem Gerät.
DevicePayloadId Zeichenfolge Eindeutiger Bezeichner für die mit dem Ereignis verknüpften Nutzdaten.
DeviceProduct Zeichenfolge Zeichenfolge, die zusammen mit Geräteprodukt- und Versionsdefinitionen den Typ des Sendens eines Geräts eindeutig identifiziert.
DeviceTimeZone Zeichenfolge Zeitzone des Geräts, das das Ereignis generiert.
DeviceTranslatedAddress Zeichenfolge Identifiziert die übersetzte Geräteadresse, auf die sich das Ereignis bezieht, in einem IP-Netzwerk. Das Format ist eine IPv4-Adresse.
DeviceVendor Zeichenfolge Zeichenfolge, die zusammen mit Geräteprodukt- und Versionsdefinitionen den Typ des Sendens eines Geräts eindeutig identifiziert.
DeviceVersion Zeichenfolge Zeichenfolge, die zusammen mit Geräteprodukt- und Versionsdefinitionen den Typ des Sendens eines Geräts eindeutig identifiziert.
EndTime datetime Der Zeitpunkt, zu dem die mit dem Ereignis verbundene Aktivität endete.
EventCount int Ein dem Ereignis zugeordneter Zähler, der anzeigt, wie oft das gleiche Ereignis beobachtet wurde.
EventOutcome Zeichenfolge Zeigt das Ergebnis an, in der Regel als "Erfolg" oder "Fehler".
EventType int Der Ereignistyp. Wertwerte sind: 0: Basisereignis, 1: aggregiert, 2: Korrelationsereignis, 3: Action-Ereignis. Hinweis: Dieses Ereignis kann bei Basisereignissen ausgelassen werden.
ExternalID int Bald wird ein veraltetes Feld angezeigt. Wird durch ExtID ersetzt.
ExtID Zeichenfolge Eine ID, die vom ursprünglichen Gerät verwendet wird (ersetzt legacy ExternalID). In der Regel handelt es sich um steigende Werte, die jeweils einem Ereignis zugeordnet sind.
FieldDeviceCustomNumber1 long Eines von drei Zahlenfeldern, die zum Zuordnen von Feldern verfügbar sind, die nicht für andere Felder in diesem Wörterbuch gelten (ersetzt legacy DeviceCustomNumber1). Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld.
FieldDeviceCustomNumber2 long Eines von drei Zahlenfeldern, die zum Zuordnen von Feldern verfügbar sind, die nicht für andere Felder in diesem Wörterbuch gelten (ersetzt legacy DeviceCustomNumber2). Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld.
FieldDeviceCustomNumber3 long Eines von drei Zahlenfeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere Felder in diesem Wörterbuch nicht gelten (ersetzt legacy DeviceCustomNumber3). Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld.
FileCreateTime Zeichenfolge Zeitpunkt, zu dem die Datei erstellt wurde.
Dateihash Zeichenfolge Hash einer Datei.
FileID Zeichenfolge Eine ID, die einer Datei zugeordnet ist, z. B. INode.
FileModificationTime Zeichenfolge Zeitpunkt der letzten Dateiänderung.
FileName Zeichenfolge Der Dateiname ohne Pfad.
FilePath Zeichenfolge Vollständiger Pfad der Datei einschließlich des Dateinamens. Beispiel: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe oder /usr/bin/zip.
FilePermission Zeichenfolge Die Berechtigungen der Datei. Beispiel: "2,1,1".
FileSize int Die Größe der Datei in Bytes.
FileType Zeichenfolge Dateityp wie Pipe, Socket usw.
FlexDate1 Zeichenfolge Ein Zeitstempelfeld, das zum Zuordnen eines Zeitstempels verfügbar ist, der nicht für ein anderes definiertes Zeitstempelfeld in diesem Wörterbuch gilt. Verwenden Sie alle flex-Felder sparsam, und suchen Sie nach Möglichkeit ein spezifisches, wörterbuchbezogenes Feld. Diese Felder sind in der Regel für die Kundennutzung reserviert und sollten nicht von Lieferanten festgelegt werden, es sei denn, dies ist erforderlich.
FlexDate1Label Zeichenfolge Das Bezeichnungsfeld ist eine Zeichenfolge und beschreibt den Zweck des Flexfelds.
FlexNumber1 int Zahlenfelder, die zum Zuordnen von Int-Daten verfügbar sind, die nicht für ein anderes Feld in diesem Wörterbuch gelten.
FlexNumber1Label Zeichenfolge Die Beschriftung, die den Wert in FlexNumber1 beschreibt
FlexNumber2 int Zahlenfelder, die zum Zuordnen von Int-Daten verfügbar sind, die nicht für ein anderes Feld in diesem Wörterbuch gelten.
FlexNumber2Label Zeichenfolge Die Beschriftung, die den Wert in FlexNumber2 beschreibt
FlexString1 Zeichenfolge Eines von vier Gleitkommafeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere Felder in diesem Wörterbuch nicht gelten. Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld. Diese Felder sind in der Regel für die Kundennutzung reserviert und sollten nicht von Lieferanten festgelegt werden, es sei denn, dies ist erforderlich.
FlexString1Label Zeichenfolge Das Bezeichnungsfeld ist eine Zeichenfolge und beschreibt den Zweck des Flexfelds.
FlexString2 Zeichenfolge Eines von vier Gleitkommafeldern, die zum Zuordnen von Feldern verfügbar sind, die für andere Felder in diesem Wörterbuch nicht gelten. Verwenden Sie sparsam und suchen Sie nach einem spezifischeren, nach Möglichkeit bereitgestellten Wörterbuchfeld. Diese Felder sind in der Regel für die Kundennutzung reserviert und sollten nicht von Lieferanten festgelegt werden, es sei denn, dies ist erforderlich.
FlexString2Label Zeichenfolge Das Bezeichnungsfeld ist eine Zeichenfolge und beschreibt den Zweck des Flexfelds.
IndicatorThreatType Zeichenfolge Der Bedrohungstyp des MaliciousIP gemäß unserem TI-Feed.
_IsBillable Zeichenfolge Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt.
LogSeverity Zeichenfolge Eine Zeichenfolge oder ganze Zahl, die die Wichtigkeit des Ereignisses beschreibt. Gültige Zeichenfolgenwerte: Unknown , Low, Medium, High, Very-High Valid integer values: 0-3 = Low, 4-6 = Medium, 7-8 = High, 9-10 = Very-High.
MaliciousIP Zeichenfolge Wenn eine der IP-Adressen in der Nachricht mit dem aktuellen TI-Feed korreliert wurde, wird es hier angezeigt.
MaliciousIPCountry Zeichenfolge Das Land der BöswilligenIP gemäß den GEO-Informationen zum Zeitpunkt der Aufnahme des Datensatzes.
MaliciousIPLatitude real Der Breitengrad des MaliciousIP gemäß den GEO-Informationen zum Zeitpunkt der Aufnahme des Datensatzes.
MaliciousIPLongitude real Der Längengrad des MaliciousIP gemäß den GEO-Informationen zum Zeitpunkt der Aufnahme des Datensatzes.
`Message` Zeichenfolge Eine Meldung, die weitere Details zum Ereignis enthält.
OldFileCreateTime Zeichenfolge Zeitpunkt, zu dem die alte Datei erstellt wurde.
OldFileHash Zeichenfolge Hash der alten Datei.
OldFileID Zeichenfolge Eine ID, die der alten Datei zugeordnet ist, z. B. INode.
OldFileModificationTime Zeichenfolge Zeitpunkt der letzten Änderung der alten Datei.
OldFileName Zeichenfolge Name der alten Datei.
OldFilePath Zeichenfolge Vollständiger Pfad der alten Datei einschließlich des Dateinamens. Beispiel: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe oder /usr/bin/zip.
OldFilePermission Zeichenfolge Berechtigungen der alten Datei. Beispiel: "2,1,1".
OldFileSize int Die Größe der alten Datei in Byte.
OldFileType Zeichenfolge Dateityp der alten Datei wie Pipe, Socket usw.
OriginalLogSeverity Zeichenfolge Eine nicht zugeordnete Version von LogSeverity. Beispiel: Warnung/Kritisch/Info anstelle des normilisierten Low/Medium/High im LogSeverity-Feld
ProcessID int Definiert die ID des Prozesses auf dem Gerät, das das Ereignis erzeugt.
ProcessName Zeichenfolge Dem Ereignis zugeordneter Prozessname. Beispiel: In UNIX generiert der Prozess den Syslog-Eintrag.
Protokoll Zeichenfolge Transportprotokoll, das das verwendete Layer-4-Protokoll identifiziert. Mögliche Werte sind Protokollnamen, z. B. TCP oder UDP.
Ursache Zeichenfolge Der Grund für die Generierung eines Überwachungsereignisses. Beispiel: "Ungültiges Kennwort" oder "unbekannter Benutzer". Dies kann auch ein Fehler- oder Rückgabecode sein. Beispiel: '0x1234'.
ReceiptTime Zeichenfolge Der Zeitpunkt, zu dem das mit der Aktivität verbundene Ereignis empfangen wurde. Anders als das Feld "Timegenerated", bei dem das Ereignis auf dem Protokollsammlercomputer empfangen wurde.
ReceivedBytes long Anzahl der eingehend übertragenen Bytes.
RemoteIP Zeichenfolge Die remote-IP-Adresse, die von dem Richtungswert des Ereignisses abgeleitet ist, falls möglich.
RemotePort Zeichenfolge Der Remoteport, der von dem Richtungswert des Ereignisses abgeleitet ist, falls möglich.
ReportReferenceLink Zeichenfolge Link zum Bericht des TI-Feeds.
RequestClientApplication Zeichenfolge Der Benutzer-Agent, der der Anforderung zugeordnet ist.
RequestContext Zeichenfolge Beschreibt den Inhalt, von dem die Anforderung stammt, z. B. den HTTP-Referrer.
RequestCookies Zeichenfolge Der Anforderung zugeordnete Cookies.
RequestMethod Zeichenfolge Die zum Zugreifen auf eine URL verwendete Methode. Gültige Werte umfassen Methoden wie POST, GET usw.
RequestURL Zeichenfolge Die URL, auf die für eine HTTP-Anforderung zugegriffen wird, einschließlich des Protokolls. Beispiel: http://www/secure.com.
_ResourceId Zeichenfolge Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist.
SentBytes long Anzahl der ausgehend übertragenen Bytes.
SimplifiedDeviceAction Zeichenfolge Eine zugeordnete Version von DeviceAction, z. B. Denied > Deny.
SourceDnsDomain Zeichenfolge Der DNS-Domänenteil des vollständigen FQDN.
SourceHostName Zeichenfolge Identifiziert die Quelle, auf die sich das Ereignis in einem IP-Netzwerk bezieht. Das Format muss ein vollqualifizierter Domänenname (DQDN) sein, der dem Quellknoten zugeordnet ist, wenn ein Knoten verfügbar ist. Beispiel: Host oder host.domain.com.
SourceIP Zeichenfolge Die Quelle, auf die ein Ereignis in einem IP-Netzwerk verweist, als IPv4-Adresse.
SourceMACAddress Zeichenfolge MAC-Adresse der Quelle.
SourceNTDomain Zeichenfolge Der Windows-Domänenname für die Quelladresse.
SourcePort int Die Quellportnummer. Gültige Portnummern sind 0 - 65535.
SourceProcessId int Die ID des Quellprozesses, der dem Ereignis zugeordnet ist.
SourceProcessName Zeichenfolge Der Name des Quellprozesses des Ereignisses.
SourceServiceName Zeichenfolge Der Dienst, der für das Generieren des Ereignisses verantwortlich ist.
SourceSystem Zeichenfolge Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose
SourceTranslatedAddress Zeichenfolge Identifiziert die übersetzte Quelle, auf die sich das Ereignis bezieht, in einem IP-Netzwerk.
SourceTranslatedPort int Quellport nach der Übersetzung, z. B. als Firewall. Gültige Portnummern sind 0 - 65535.
SourceUserID Zeichenfolge Identifiziert den Quellbenutzer anhand der ID.
SourceUserName Zeichenfolge Identifiziert den Quellbenutzer anhand des Namens. E-Mail-Adressen werden auch den Feldern "UserName" zugeordnet. Der Absender ist ein Kandidat, der in dieses Feld aufgenommen werden soll.
SourceUserPrivileges Zeichenfolge Die Berechtigungen des Quellbenutzers. Gültige Werte sind: Administrator, Benutzer, Gast.
StartTime datetime Der Zeitpunkt, zu dem die Aktivität, auf die das Ereignis verweist, gestartet wurde.
_SubscriptionId Zeichenfolge Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist.
TenantId Zeichenfolge Die ID des Log Analytics-Arbeitsbereichs.
ThreatConfidence Zeichenfolge Die Bedrohungszuversicht des MaliciousIP gemäß unserem TI-Feed.
ThreatDescription Zeichenfolge Die Bedrohungsbeschreibung des MaliciousIP gemäß unserem TI-Feed.
ThreatSeverity int Der Schweregrad der Bedrohung des MaliciousIP gemäß unserem TI-Feed zum Zeitpunkt der Aufzeichnungsaufnahme.
TimeGenerated datetime Ereignissammlungszeit in UTC.
type Zeichenfolge Der Name der Tabelle.