VMConnection
Datenverkehr für eingehende und ausgehende Verbindungen zu und von überwachten Computern.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| Kategorien | Virtual Machines |
| Lösungen | AzureResources, InfrastructureInsights, ServiceMap, VMInsights |
| Standardprotokoll | No |
| Erfassungszeittransformation | No |
| Beispielabfragen | - |
Spalten
| Spalte | Type | Beschreibung |
|---|---|---|
| AgentId | Zeichenfolge | Eindeutige Agent-GUID für die Agentberichtsdaten auf dem Server. |
| _BilledSize | real | Die Datensatzgröße in Bytes. |
| BytesReceived | long | Gesamtzahl der Bytes, die während des Berichtszeitraums empfangen wurden |
| BytesSent | long | Gesamtzahl der Bytes, die während des Berichtszeitraums gesendet wurden |
| Computer | Zeichenfolge | Name des Servers aus der ServiceMapComputer_CL Tabelle. |
| Zuverlässigkeit | Zeichenfolge | Werte sind 0 - 100. |
| ConnectionId | Zeichenfolge | Eindeutige ID für den Verbindungsdatensatz. |
| Beschreibung | string | Beschreibung der beobachteten Bedrohung. |
| DestinationIp | Zeichenfolge | IP-Adresse des Ziels |
| DestinationPort | int | Portnummer des Ziels |
| Direction | Zeichenfolge | Richtung des Verbindungswerts ist eingehend oder ausgehend |
| FirstReportedDateTime | Zeichenfolge | Die Uhrzeit, zu der der Anbieter den Indikator zum ersten Mal gemeldet hat. |
| IndicatorThreatType | Zeichenfolge | Bedrohungsindikator erkannt. Mögliche Werte sind Botnet C2 CryptoMining Darknet DDos MaliciousUrl Malware Phishing Proxy PUA Watchlist. |
| IsActive | Zeichenfolge | Die Uhrzeit, zu der der Indikator zum letzten Mal von Interflow beobachtet wurde. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| LastReportedDateTime | Zeichenfolge | Gibt an, dass die Indikatoren deaktiviert sind, mit dem Wert true oder false. |
| LinksEstablished | long | Die Anzahl der physischen Netzwerkverbindungen, die während des Berichtszeitfensters eingerichtet wurden. |
| LinksFailed | long | Die Anzahl der physischen Netzwerkverbindungen, die während des Berichtszeitfensters fehlgeschlagen sind. Diese Informationen sind derzeit nur für ausgehende Verbindungen verfügbar. |
| LinksLive | long | Die Anzahl der physischen Netzwerkverbindungen, die am Ende des Berichtszeitfensters geöffnet waren. |
| LinksTerminated | long | Die Anzahl der physischen Netzwerkverbindungen, die während des Berichtszeitfensters beendet wurden. |
| Computer | Zeichenfolge | FQDN des Computers. |
| MaliciousIp | Zeichenfolge | Remote-IP-Adresse. |
| Prozess | Zeichenfolge | Identität von Prozessen oder Gruppen von Prozessen, die die Verbindung initiieren oder akzeptieren. |
| ProcessName | Zeichenfolge | Eindeutiger Bezeichner für den Prozess in der ServiceMapProcess_CL Tabelle. |
| Protokoll | Zeichenfolge | Für die Verbindung verwendetes Protokoll. Nur möglicher Wert ist TCP. |
| RemoteClassification | Zeichenfolge | Eine Klassifizierung des Remoteendpunkts basierend auf seinen IP- und DNS-Namen und dem entsprechenden Azure-Dienst. |
| RemoteCountry | Zeichenfolge | Name des Landes oder der Region, in dem RemoteIp gehostet wird. |
| RemoteDnsCanonicalNames | Zeichenfolge | Ein JSON-Array mit kanonischen Namen, die vom DNS-Server zurückgegeben wurden. Wenn Sie beispielsweise den Datenverkehrs-Manager verwenden, stellen Sie eine Frage zum foo.trafficmanage.net aus und erhalten einen kanonischen Namen als something.myservice.com zusammen mit einer IP-Adresse. |
| RemoteDnsQuestions | Zeichenfolge | Ein JSON-Array von DNS-Fragen (Nachschlagevorgänge), die auf dem Computer ausgeführt und in das im Eintrag aufgeführte RemoteIp aufgelöst wurden. |
| RemoteIp | Zeichenfolge | Die IP-Adresse des Remote-Endes einer Verbindung ist in der RemoteIp-Eigenschaft enthalten. Bei eingehenden Verbindungen ist RemoteIp identisch mit SourceIp, während es für ausgehende Verbindungen mit DestinationIp identisch ist. |
| RemoteLatitude | real | Geolocation-Breitengrad. Ein Beispiel wäre 47,68. |
| RemoteLongitude | real | Geolocation-Längengrad. Ein Beispiel wäre -122.12. |
| _ResourceId | Zeichenfolge | Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist. |
| Antworten | long | Die Anzahl der während des Berichtszeitfensters beobachteten Antworten. |
| ResponseTimeMax | long | Größte Antwortzeit, die während des Berichtszeitfensters in Millisekunden beobachtet wurde. Wenn kein Wert angegeben ist, ist die Eigenschaft leer. |
| ResponseTimeMin | long | Kleinste Antwortzeit, die während des Berichtszeitfensters in Millisekunden beobachtet wurde. Wenn kein Wert angegeben ist, ist die Eigenschaft leer. |
| ResponseTimeSum | long | Summe aller Während des Berichtszeitfensters in Millisekunden beobachteten Antwortzeiten. Wenn kein Wert angegeben ist, ist die Eigenschaft leer. |
| Severity | int | Mögliche Werte sind 0 - 5, wobei 5 am schwerwiegendsten ist und 0 überhaupt nicht schwerwiegend ist. Der Standardwert ist 3. |
| SourceIp | Zeichenfolge | IP-Adresse der Quelle |
| SourceSystem | Zeichenfolge | Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| _SubscriptionId | Zeichenfolge | Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist. |
| TimeGenerated | datetime | Datum und Uhrzeit, zu der der Datensatz erstellt wurde. |
| TLPLevel | Zeichenfolge | Traffic Light Protocol (TLP)-Ebene. Mögliche Werte sind Weißgrün Amber Rot. |
| type | Zeichenfolge | Der Name der Tabelle. |