| AccountDomain |
Zeichenfolge |
Domäne des Kontos. |
| AccountName |
Zeichenfolge |
Benutzername des Kontos. |
| AccountSid |
Zeichenfolge |
Sicherheits-ID (SID) des Kontos. |
| ActionType |
Zeichenfolge |
Typ der Aktivität, die das Ereignis ausgelöst hat. |
| AdditionalFields |
dynamisch |
Zusätzliche Informationen zur Entität oder zum Ereignis. |
| AppGuardContainerId |
Zeichenfolge |
Bezeichner für den virtualisierten Container, der von Application Guard verwendet wird, um Browseraktivitäten zu isolieren. |
| _BilledSize |
real |
Die Datensatzgröße in Bytes. |
| CreatedProcessSessionId |
long |
Windows-Sitzungs-ID des erstellten Prozesses. |
| DeviceId |
Zeichenfolge |
Eindeutiger Bezeichner für das Gerät im Dienst. |
| DeviceName |
Zeichenfolge |
Vollqualifizierter Domänenname (FQDN) des Geräts. |
| FileName |
Zeichenfolge |
Domäne des Kontos. |
| FileOriginIP |
Zeichenfolge |
IP-Adresse, von der die Datei heruntergeladen wurde. |
| FileOriginUrl |
Zeichenfolge |
URL, von der die Datei heruntergeladen wurde. |
| FileSize |
long |
Die Länge der Datei in Bytes. |
| FolderPath |
Zeichenfolge |
Domäne des Kontos. |
| InitiatingProcessAccountDomain |
Zeichenfolge |
Domäne des Kontos, das den für das Ereignis zuständigen Prozess ausgeführt hat. |
| Initiieren vonProcessAccountName |
Zeichenfolge |
Benutzername des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| Initiieren vonProcessAccountObjectId |
Zeichenfolge |
Azure AD-Objekt-ID des Benutzerkontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| Initiieren vonProcessAccountSid |
Zeichenfolge |
Sicherheits-ID (SID) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| Initiieren vonProcessAccountUpn |
Zeichenfolge |
Benutzerprinzipalname (UPN) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| InitiatingProcessCommandLine |
Zeichenfolge |
Befehlszeile zum Ausführen des Prozesses, der das Ereignis initiiert hat. |
| Initiieren vonProcessCreationTime |
datetime |
Datum und Uhrzeit, zu dem der Prozess gestartet wurde, der das Ereignis initiiert hat. |
| InitiatingProcessFileName |
Zeichenfolge |
Name des Prozesses, der das Ereignis initiiert hat. |
| Initiieren vonProcessFileSize |
long |
Größe in Byte der Datei, die den für das Ereignis verantwortlichen Prozess ausgeführt hat. |
| InitiatingProcessFolderPath |
Zeichenfolge |
Ordner mit dem Prozess (Bilddatei), der das Ereignis initiiert hat. |
| InitiatingProcessId |
long |
Prozess-ID (PID) des Prozesses, der das Ereignis initiiert hat. |
| InitiatingProcessLogonId |
long |
Bezeichner für eine Anmeldesitzung des Prozesses, der das Ereignis initiiert hat. Dieser Bezeichner ist nur auf demselben Computer zwischen Neustarts eindeutig. |
| InitiatingProcessMD5 |
Zeichenfolge |
MD5-Hash des Prozesses (Bilddatei), der das Ereignis initiiert hat. |
| Initiieren vonProcessParentCreationTime |
datetime |
Datum und Uhrzeit, zu dem das übergeordnete Element des Prozesses, der für das Ereignis verantwortlich ist, gestartet wurde. |
| InitiatingProcessParentFileName |
Zeichenfolge |
Name des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess durchsucht hat. |
| Initiieren vonProcessParentId |
long |
Prozess-ID (PID) des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess durchsucht hat. |
| InitiatingProcessRemoteSessionDeviceName |
Zeichenfolge |
Gerätename des Remotegeräts, von dem die RDP-Sitzung des Initiierenden Prozesses initiiert wurde. |
| Initiieren vonProcessRemoteSessionIP |
Zeichenfolge |
IP-Adresse des Remotegeräts, von dem die RDP-Sitzung des Initiierenden Prozesses initiiert wurde. |
| Initiieren vonProcessSessionId |
long |
Windows-Sitzungs-ID des initiierenden Prozesses. |
| Initiieren vonProcessSHA1 |
Zeichenfolge |
SHA-1-Hash des Prozesses (Bilddatei), der das Ereignis initiiert hat. |
| InitiatingProcessSHA256 |
Zeichenfolge |
SHA-256-Hash des Prozesses (Bilddatei), der das Ereignis initiiert hat. Dieses Feld wird in der Regel nicht aufgefüllt – verwenden Sie die SHA1-Spalte, wenn verfügbar. |
| InitiatingProcessVersionInfoCompanyName |
Zeichenfolge |
Firmenname aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitiatingProcessVersionInfoFileDescription |
Zeichenfolge |
Beschreibung aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitiatingProcessVersionInfoInternalFileName |
Zeichenfolge |
Interner Dateiname aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitiatingProcessVersionInfoOriginalFileName |
Zeichenfolge |
Der ursprüngliche Dateiname aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitiatingProcessVersionInfoProductName |
Zeichenfolge |
Produktname aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist. |
| InitiatingProcessVersionInfoProductVersion |
Zeichenfolge |
Produktversion aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist. |
| _IsBillable |
Zeichenfolge |
Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| IsInitiatingProcessRemoteSession |
bool |
Gibt an, ob der Initiierenvorgang unter einer RDP-Sitzung (Remotedesktopprotokoll) oder lokal (false) ausgeführt wurde. |
| IsProcessRemoteSession |
bool |
Gibt an, ob der erstellte Prozess unter einer RDP-Sitzung (Remotedesktopprotokoll) oder lokal (false) ausgeführt wurde. |
| LocalIP |
Zeichenfolge |
IP-Adresse, die dem lokalen Computer zugewiesen ist, der während der Kommunikation verwendet wird. |
| localPort |
int |
TCP-Port auf dem lokalen Computer, der während der Kommunikation verwendet wird. |
| LogonId |
long |
Bezeichner für eine Anmeldesitzung. Dieser Bezeichner ist nur auf demselben Computer zwischen Neustarts eindeutig. |
| MachineGroup |
Zeichenfolge |
Computergruppe des Computers. Diese Gruppe wird von der rollenbasierten Zugriffssteuerung verwendet, um den Zugriff auf den Computer zu bestimmen. |
| MD5 |
Zeichenfolge |
MD5-Hash der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| ProcessCommandLine |
Zeichenfolge |
Befehlszeile zum Erstellen des neuen Prozesses. |
| ProcessCreationTime |
datetime |
Datum und Uhrzeit der Erstellung des Prozesses. |
| ProcessId |
long |
Prozess-ID (PID) des neu erstellten Prozesses. |
| ProcessRemoteSessionDeviceName |
Zeichenfolge |
Gerätename des Remotegeräts, von dem die RDP-Sitzung des erstellten Prozesses initiiert wurde. |
| ProcessRemoteSessionIP |
Zeichenfolge |
IP-Adresse des Remotegeräts, von dem die RDP-Sitzung des erstellten Prozesses initiiert wurde. |
| ProcessTokenElevation |
Zeichenfolge |
Tokentyp, der angibt, dass die Rechteerweiterung der Benutzerzugriffssteuerung (User Access Control, UAC) auf den neu erstellten Prozess angewendet wird oder nicht vorhanden ist. |
| RegistryKey |
Zeichenfolge |
Registrierungsschlüssel, auf den die aufgezeichnete Aktion angewendet wurde. |
| RegistryValueData |
Zeichenfolge |
Daten des Registrierungswerts, auf den die aufgezeichnete Aktion angewendet wurde. |
| RegistryValueName |
Zeichenfolge |
Name des Registrierungswerts, auf den die aufgezeichnete Aktion angewendet wurde. |
| RemoteDeviceName |
Zeichenfolge |
Name des Geräts, das einen Remotevorgang auf dem betroffenen Computer ausgeführt hat. Je nach gemeldetem Ereignis kann dieser Name ein vollqualifizierter Domänenname (Fully Qualified Domain Name, FQDN), ein NetBIOS-Name oder ein Hostname ohne Domäneninformationen sein. |
| RemoteIP |
Zeichenfolge |
IP-Adresse, mit der eine Verbindung hergestellt wurde. |
| RemotePort |
int |
TCP-Port auf dem Remotegerät, mit dem eine Verbindung hergestellt wurde. |
| RemoteUrl |
Zeichenfolge |
URL oder vollqualifizierter Domänenname (FQDN), mit dem eine Verbindung hergestellt wurde. |
| ReportId |
long |
Ereignisbezeichner basierend auf einem wiederholten Leistungsindikator. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten ComputerName und EventTime verwendet werden. |
| SHA1 |
Zeichenfolge |
SHA-1-Hash der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| SHA256 |
Zeichenfolge |
SHA-256 der Datei, auf die die aufgezeichnete Aktion angewendet wurde. |
| SourceSystem |
Zeichenfolge |
Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| TenantId |
Zeichenfolge |
Die ID des Log Analytics-Arbeitsbereichs. |
| TimeGenerated |
datetime |
Datum und Uhrzeit der Aufzeichnung des Ereignisses durch den MDE-Agent auf dem Endpunkt. |
| type |
Zeichenfolge |
Der Name der Tabelle. |