| AdditionalFields |
dinámico |
Información adicional, representada mediante pares clave-valor proporcionados por el origen que no se asignan a ASim. |
| _BilledSize |
real |
Tamaño del registro en bytes |
| DstAppId |
string |
Identificador de la aplicación de destino, como se indica en el dispositivo de informes. |
| DstAppName |
string |
Nombre de la aplicación de destino. |
| DstAppType |
string |
Tipo de la aplicación de destino. |
| DstBytes |
long |
Número de bytes enviados desde el destino hasta el origen en la conexión o la sesión. Si el evento se agrega, DstBytes es la suma de todas las sesiones agregadas. |
| DstDeviceType |
string |
Tipo del dispositivo de destino. |
| DstDomain |
string |
Dominio del dispositivo de destino. |
| DstDomainType |
string |
Tipo de DstDomain. |
| DstDvcId |
string |
Identificador del dispositivo de destino. |
| DstDvcIdType |
string |
Tipo de DstDvcId. |
| DstDvcScope |
string |
Ámbito de la plataforma en la nube al que pertenece el dispositivo de destino. DvcScope se asigna a una suscripción en Azure y a una cuenta en AWS. |
| DstDvcScopeId |
string |
El identificador de ámbito de la plataforma en la nube al que pertenece el dispositivo de destino. DvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| DstFQDN |
string |
Nombre de host del dispositivo de destino, incluida la información de dominio cuando esté disponible. |
| DstGeoCity |
string |
Ciudad asociada con la dirección IP de destino. |
| DstGeoCountry |
string |
País asociado con la dirección IP de destino. |
| DstGeoLatitude |
real |
Latitud de la coordenada geográfica asociada con la dirección IP de destino. |
| DstGeoLongitude |
real |
Longitud de la coordenada geográfica asociada con la dirección IP de destino. |
| DstGeoRegion |
string |
Región, o provincia, de un país asociado con la dirección IP de destino. |
| DstHostname |
string |
Nombre de host del dispositivo de destino, excepto la información de dominio. |
| DstIpAddr |
string |
Dirección IP de destino de la conexión o de la sesión. |
| DstMacAddr |
string |
Dirección MAC de la interfaz de red que usa el dispositivo de destino para la conexión o la sesión. |
| DstNatIpAddr |
string |
DstNatIpAddr representa cualquiera de: la dirección original del dispositivo de destino si se usó la traducción de direcciones de red o la dirección IP usada por el dispositivo intermediario para la comunicación con el origen. |
| DstNatPortNumber |
int |
Si un dispositivo NAT intermediario lo notifica, es el puerto que usa el dispositivo NAT para la comunicación con el origen. |
| DstOriginalUserType |
string |
El tipo de usuario de destino original, si lo proporciona el origen. |
| DstPackets |
long |
Número de paquetes enviados del destino al origen en la conexión o la sesión. El dispositivo de informes define el significado de un paquete. Si el evento se agrega, DstPackets es la suma de todas las sesiones agregadas. |
| DstPortNumber |
int |
Puerto de la dirección IP. |
| DstUserId |
string |
Representación única, alfanumérica y legible por una máquina del usuario de destino. |
| DstUserIdType |
string |
Tipo del identificador almacenado en el campo DstUserId. |
| DstUsername |
string |
Nombre de usuario de destino, incluida la información de dominio cuando esté disponible. Use este formato simple solo si no hay disponible información de dominio. |
| DstUsernameType |
string |
Especifica el tipo del nombre de usuario almacenado en el campo DstUsername. |
| DstUserType |
string |
Tipo del usuario de destino. |
| Dvc |
string |
Identificador único del dispositivo en el que se produjo el evento o que informó del evento. |
| DvcAction |
string |
Acción realizada en la sesión web. |
| DvcDomain |
string |
Dominio del dispositivo que informa del evento. |
| DvcDomainType |
string |
Tipo de DvcDomain. Entre los valores posibles se incluyen "Windows" y "FQDN". |
| DvcFQDN |
string |
Nombre de host del dispositivo en el que se produjo el evento o que informó del evento. |
| DvcHostname |
string |
Nombre de host del dispositivo que informa del evento. |
| DvcId |
string |
Identificador único del dispositivo en el que se produjo el evento o que informó del evento. |
| DvcIdType |
string |
Tipo de DvcId. |
| DvcIpAddr |
string |
Dirección IP del dispositivo que informa del evento. |
| DvcOriginalAction |
string |
El valor original de DvcAction, como se proporciona en el dispositivo de informes. |
| EventCount |
int |
Este valor se usa cuando el origen admite agregación y un único registro puede representar varios eventos. |
| EventEndTime |
datetime |
Hora a la que finalizó el evento. Si el origen admite agregación y el registro representa varios eventos, la hora a la que se generó el último evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated. |
| EventMessage |
string |
Mensaje o descripción general. |
| EventOriginalResultDetails |
string |
Detalles del resultado original proporcionados por el origen. Este valor se usa para derivar EventResultDetails, que solo debe tener uno de los valores documentados para cada esquema. |
| EventOriginalSeverity |
string |
La gravedad del original, como se especifica en el dispositivo de informes. Este valor se usa para derivar EventSeverity. |
| EventOriginalSubType |
string |
El subtipo o identificador del evento original, si lo proporciona el origen. Por ejemplo, este campo se usará para almacenar el tipo de inicio de sesión de Windows original. Este valor se usa para derivar EventSubType, que solo debe tener uno de los valores documentados para cada esquema. |
| EventOriginalType |
string |
Tipo o Id. del evento original, si lo proporciona el origen. |
| EventOriginalUid |
string |
Id. único del registro original, si lo proporciona el origen. |
| EventOwner |
string |
Es el propietario del evento, que suele ser el departamento o subsidiario en el que se generó. |
| EventProduct |
string |
Producto que genera el evento. |
| EventProductVersion |
string |
Versión del producto que genera el evento. |
| EventReportUrl |
string |
Dirección URL proporcionada en el evento para un recurso que ofrece más información sobre el evento. |
| EventResult |
string |
Resultado del evento, representado por uno de los siguientes valores: Success, Partial, Failure, NA (Not Applicable). Los orígenes no pueden proporcionar directamente el valor, en cuyo caso se deriva de otros campos de evento, por ejemplo, el campo EventResultDetails. |
| EventResultDetails |
string |
El código de estado HTTP. |
| EventSchemaVersion |
string |
Versión del esquema. |
| EventSeverity |
string |
La gravedad del evento. Los valores válidos son: Informativo, Bajo, Medio o Alto. |
| EventStartTime |
datetime |
Hora a la que se inició el evento. Si el origen admite agregación y el registro representa varios eventos, la hora a la que se generó el primer evento. Si no lo proporciona el registro de origen, este campo es un alias del campo TimeGenerated. |
| EventSubType |
string |
Descripción adicional del tipo de evento, si procede. |
| EventType |
string |
Operación notificada por el registro. |
| EventVendor |
string |
Proveedor del producto que genera el evento. |
| FileContentType |
string |
Con cargas HTTP, el tipo de contenido del archivo cargado. |
| FileMD5 |
string |
Para cargas HTTP, el hash MD5 del archivo cargado. |
| FileName |
string |
En el caso de las cargas HTTP, el nombre del archivo cargado. |
| FileSHA1 |
string |
Para cargas HTTP, el hash SHA1 del archivo cargado. |
| FileSHA256 |
string |
Para cargas HTTP, el hash SHA256 del archivo cargado. |
| FileSHA512 |
string |
Para cargas HTTP, el hash SHA512 del archivo cargado. |
| FileSize |
int |
Con cargas HTTP, el tamaño en bytes del archivo cargado. |
| HttpContentFormat |
string |
Parte del formato de contenido de HttpContentType |
| HttpContentType |
string |
Encabezado de tipo de contenido de respuesta HTTP. |
| HttpHost |
string |
Servidor web virtual al que se ha dirigido la solicitud HTTP. |
| HttpReferrer |
string |
Encabezado de referencia HTTP. |
| HttpRequestMethod |
string |
Método HTTP. |
| HttpRequestTime |
int |
La cantidad de tiempo, en milisegundos, tardó en enviar la solicitud al servidor. |
| HttpRequestXff |
string |
Encabezado HTTP X-Forwarded-For. |
| HttpResponseTime |
int |
La cantidad de tiempo, en milisegundos, tardó en recibir una respuesta en el servidor. |
| HttpUserAgent |
string |
Encabezado del agente de usuario HTTP. |
| HttpVersion |
string |
La versión de la solicitud HTTP. |
| _IsBillable |
string |
Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure |
| NetworkApplicationProtocol |
string |
Protocolo de la capa de aplicación usado por la conexión o la sesión. |
| NetworkBytes |
long |
Número de bytes enviados en ambas direcciones. Si BytesReceived y BytesSent existen, BytesTotal debe ser igual a su suma. Si el evento se agrega, NetworkBytes es la suma de todas las sesiones agregadas. |
| NetworkConnectionHistory |
string |
Marcas TCP y otra información de encabezado IP potencial. |
| NetworkDirection |
string |
Dirección de la conexión o sesión. |
| NetworkDuration |
int |
Cantidad de tiempo, en milisegundos, para la finalización de la sesión web o la conexión. |
| NetworkIcmpCode |
int |
En mensajes de ICMP, el valor numérico del tipo de mensaje, como se describe en RFC 2780 para las conexiones de red IPv4, o en RFC 4443 para las conexiones de red IPv6. |
| NetworkIcmpType |
string |
En mensajes de ICMP, la representación de texto del tipo de mensaje, como se describe en RFC 2780 para las conexiones de red IPv4, o en RFC 4443 para las conexiones de red IPv6. |
| NetworkPackets |
long |
Número de paquetes enviados en ambas direcciones. Si PacketsReceived y PacketsSent existen, BytesTotal debe ser igual a su suma. El dispositivo de informes define el significado de un paquete. Si se agrega el evento, NetworkPackets es la suma de todas las sesiones agregadas. |
| NetworkProtocol |
string |
El protocolo IP usado por la conexión o sesión como se muestra en la asignación de protocolo IANA, que suele ser TCP, UDP o ICMP. |
| NetworkProtocolVersion |
string |
Versión de NetworkProtocol. |
| NetworkSessionId |
string |
Identificador de sesión notificado por el dispositivo de informes. |
| _ResourceId |
string |
Identificador único del recurso al que está asociado el registro. |
| Regla |
string |
NetworkRuleName o NetworkRuleNumber |
| RuleName |
string |
Nombre o identificador de la regla sobre la que se decidió DvcAction. Ejemplo: AnyAnyDrop |
| RuleNumber |
int |
Número de la regla sobre la que se decidió DvcAction. Ejemplo: 23 |
| SourceSystem |
string |
Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| SrcAppId |
string |
Id. de la aplicación de origen, según notifica el dispositivo de informes. |
| SrcAppName |
string |
Nombre de la aplicación de origen. |
| SrcAppType |
string |
Tipo de la aplicación de origen. |
| SrcBytes |
long |
Número de bytes enviados desde el origen hasta el destino en la conexión o la sesión. Si el evento se agrega, SrcBytes es la suma de todas las sesiones agregadas. |
| SrcDeviceType |
string |
Tipo del dispositivo de origen. |
| SrcDomain |
string |
Dominio del dispositivo de origen. |
| SrcDomainType |
string |
Tipo de SrcDomain. |
| SrcDvcId |
string |
Identificador del dispositivo de origen. |
| SrcDvcIdType |
string |
Tipo de SrcDvcId. |
| SrcDvcScope |
string |
Ámbito de la plataforma en la nube al que pertenece el dispositivo de origen. DvcScope se asigna a una suscripción en Azure y a una cuenta en AWS. |
| SrcDvcScopeId |
string |
El identificador de ámbito de la plataforma en la nube al que pertenece el dispositivo de origen. DvcScopeId se asigna a un identificador de suscripción en Azure y a un identificador de cuenta en AWS. |
| SrcFQDN |
string |
Nombre de host del dispositivo de origen, incluida la información de dominio cuando está disponible. |
| SrcGeoCity |
string |
Ciudad asociada con la dirección IP de origen. |
| SrcGeoCountry |
string |
País asociado con la dirección IP de origen. |
| SrcGeoLatitude |
real |
Latitud de la coordenada geográfica asociada con la dirección IP de origen. |
| SrcGeoLongitude |
real |
Longitud de la coordenada geográfica asociada con la dirección IP de origen. |
| SrcGeoRegion |
string |
Región de un país asociado con la dirección IP de origen. |
| SrcHostname |
string |
Nombre de host del dispositivo de origen, excepto la información de dominio. Si no hay ningún nombre de dispositivo disponible, puede almacenar la dirección IP correspondiente. |
| SrcIpAddr |
string |
Dirección IP desde la que se originó la conexión o la sesión. |
| SrcMacAddr |
string |
Dirección MAC de la interfaz de red desde la que se originó la conexión o la sesión. |
| SrcNatIpAddr |
string |
SrcNatIpAddr representa cualquiera de: la dirección original del dispositivo de origen si se usó la traducción de direcciones de red o la dirección IP usada por el dispositivo intermediario para la comunicación con el destino. |
| SrcNatPortNumber |
int |
Si un dispositivo NAT intermediario lo notifica, es el puerto que usa el dispositivo NAT para la comunicación con el destino. |
| SrcOriginalUserType |
string |
Tipo de usuario de destino original, si lo proporciona el dispositivo de informes. |
| SrcPackets |
long |
Número de paquetes enviados del origen al destino en la conexión o la sesión. El dispositivo de informes define el significado de un paquete. Si se agrega el evento, SrcPackets es la suma de todas las sesiones agregadas. |
| SrcPortNumber |
int |
Puerto IP desde el que se originó la conexión. Es posible que no sea importante en sesiones que contengan varias conexiones. |
| SrcProcessGuid |
string |
Identificador único generado (GUID) del proceso de origen. |
| SrcProcessId |
string |
Identificador de proceso (PID) del proceso de origen. |
| SrcProcessName |
string |
Nombre del proceso de origen. |
| SrcUserId |
string |
Representación única, alfanumérica y legible por una máquina del usuario de origen. |
| SrcUserIdType |
string |
Tipo del identificador almacenado en el campo SrcUserId. |
| SrcUsername |
string |
Nombre de usuario, incluida la información del dominio, cuando esté disponible. |
| SrcUsernameType |
string |
Especifica el tipo de nombre de usuario almacenado en el campo SrcUsername. |
| SrcUserScope |
string |
Ámbito, como el inquilino de Azure AD, en el que se definen SrcUserId y SrcUsername. |
| SrcUserScopeId |
string |
Identificador del ámbito, como el inquilino de Azure AD, en el que se definen SrcUserId y SrcUsername. |
| SrcUserType |
string |
Tipo del usuario de origen. |
| _SubscriptionId |
string |
Identificador único de la suscripción a la que está asociado el registro. |
| TenantId |
string |
Id. del área de trabajo de Log Analytics |
| ThreatCategory |
string |
Categoría de la amenaza o malware identificado en la sesión web. |
| ThreatConfidence |
int |
Nivel de confianza de la amenaza identificada, normalizada en un valor comprendido entre 0 y 100. |
| ThreatField |
string |
Campo para el que se identificó una amenaza. El valor es SrcIpAddr, DstIpAddr, Domain o DnsResponseName. |
| ThreatFirstReportedTime |
datetime |
La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatId |
string |
Identificador de la amenaza o malware identificado en la sesión web. |
| ThreatIpAddr |
string |
Dirección IP para la que se identificó una amenaza. El campo ThreatField contiene el nombre del campo ThreatIpAddr que representa. |
| ThreatIsActive |
bool |
True ID: la amenaza identificada se considera una amenaza activa. |
| ThreatLastReportedTime |
datetime |
La primera vez que la dirección IP o el dominio se identificaron como una amenaza. |
| ThreatName |
string |
Nombre de la amenaza o malware identificado en la sesión web. |
| ThreatOriginalConfidence |
string |
El nivel de confianza original de la amenaza identificada, tal como lo notifica el dispositivo que informa. |
| ThreatOriginalRiskLevel |
string |
Nivel de riesgo indicado por el dispositivo de informes. |
| ThreatRiskLevel |
int |
Nivel de riesgo asociado con la sesión. El nivel es un número comprendido entre 0 y 100. |
| TimeGenerated |
datetime |
Marca de tiempo (UTC) que refleja la hora en la que se generó el evento. |
| Tipo |
string |
Nombre de la tabla. |
| Dirección URL |
string |
Dirección URL de solicitud HTTP completa, incluidos los parámetros. |
| UrlCategory |
string |
Agrupación definida de una dirección URL o la parte de dominio de esta. |
| UrlOriginal |
string |
Valor original de la dirección URL, cuando el dispositivo de informes ha modificado la dirección URL; se proporcionan ambos valores. |