| AdditionalFields |
dinámico |
Cuando ninguna de las columnas respectivas del esquema coincide, se pueden almacenar campos adicionales en un contenedor JSON. |
| _BilledSize |
real |
Tamaño del registro en bytes |
| CloudAppId |
string |
Identificador de la aplicación de destino en una aplicación HTTP, tal y como se identifica en un proxy. Este valor suele ser específico del proxy utilizado. |
| CloudAppName |
string |
Nombre de la aplicación de destino en una aplicación HTTP, tal y como se identifica en un proxy. |
| CloudAppOperation |
string |
Operación realizada por el usuario en el contexto de la aplicación de destino en una aplicación HTTP, tal y como se identifica en un proxy. Este valor suele ser específico del proxy utilizado. |
| CloudAppRiskLevel |
string |
Nivel de riesgo asociado con una aplicación HTTP, tal y como se identifica en un proxy. Este valor suele ser específico del proxy utilizado. |
| DstBytes |
long |
Número de bytes enviados desde el destino hasta el origen en la conexión o la sesión. |
| DstDomainHostname |
string |
Dominio del host de destino. |
| DstDvcDomain |
string |
Dominio del dispositivo de destino. |
| DstDvcFqdn |
string |
Nombre de dominio completo del host donde se creó el registro. |
| DstDvcHostname |
string |
Nombre del dispositivo de destino. |
| DstDvcIpAddr |
string |
Dirección IP de destino de un dispositivo que no está directamente asociado al paquete de red. |
| DstDvcMacAddr |
string |
Dirección MAC de destino de un dispositivo que no está directamente asociado con el paquete de red. |
| DstGeoCity |
string |
Ciudad asociada con la dirección IP de destino. |
| DstGeoCountry |
string |
País asociado con la dirección IP de origen. |
| DstGeoLatitude |
real |
Latitud de la coordenada geográfica asociada con la dirección IP de destino. |
| DstGeoLongitude |
real |
Longitud de la coordenada geográfica asociada con la dirección IP de destino. |
| DstGeoRegion |
string |
Región dentro de un país asociado a la dirección IP de destino. |
| DstInterfaceGuid |
string |
GUID de la interfaz de red que se usó para la solicitud de autenticación. |
| DstInterfaceName |
string |
Interfaz de red que usa el dispositivo de destino en la conexión o la sesión. |
| DstIpAddr |
string |
Dirección IP de destino de la conexión o de la sesión. |
| DstMacAddr |
string |
Dirección MAC de la interfaz de red en la que finaliza la conexión o sesión. |
| DstNatIpAddr |
string |
Si la notifica un dispositivo NAT intermediario, como un firewall, la dirección IP que usa el dispositivo NAT para la comunicación con el origen. |
| DstNatPortNumber |
int |
Si la notifica un dispositivo NAT intermediario, como un firewall, el puerto que usa el dispositivo NAT para la comunicación con el origen. |
| DstPackets |
long |
Número de paquetes enviados del destino al origen en la conexión o la sesión. El dispositivo de informes define el significado de un paquete. |
| DstPortNumber |
int |
Puerto de la dirección IP. |
| DstResourceId |
string |
Identificador de recurso del dispositivo de destino. |
| DstUserAadId |
string |
Identificador de objeto de cuenta de Azure AD del usuario al final de la sesión de destino. |
| DstUserDomain |
string |
El nombre de dominio o equipo de la cuenta en el destino de la sesión. |
| DstUserName |
string |
Nombre de usuario de la identidad asociada al destino de la sesión. |
| DstUserSid |
string |
Identificador de usuario de la identidad asociada al destino de la sesión. Normalmente, la identidad que se usa para autenticar un servidor. |
| DstUserUpn |
string |
UpN de la identidad asociada al destino de la sesión. |
| DstZone |
string |
Zona de red del destino definida en el dispositivo de informes. |
| DvcAction |
string |
Si lo notifica un dispositivo intermediario, como un firewall, la acción realizada por el dispositivo. |
| DvcHostname |
string |
Nombre del dispositivo que genera el mensaje. |
| DvcInboundInterface |
string |
Si lo notifica un dispositivo intermediario, como un firewall, la interfaz de red que usa este para la conexión con el dispositivo de origen. |
| DvcIpAddr |
string |
Dirección IP del dispositivo que genera el registro. |
| DvcMacAddr |
string |
Dirección MAC de la interfaz de red del dispositivo de informes desde el que se envió el evento. |
| DvcOutboundInterface |
string |
Si lo notifica un dispositivo intermediario, como un firewall, la interfaz de red que usa este para la conexión con el dispositivo de destino. |
| EventCount |
int |
Número de eventos agregados, si procede. |
| EventEndTime |
datetime |
Hora a la que finalizó el evento. |
| EventMessage |
string |
Mensaje o descripción general, ya sea incluido en o generado a partir del registro. |
| EventOriginalUid |
string |
Identificador de registro del dispositivo de informes. |
| EventProduct |
string |
Producto que genera el evento. |
| EventProductVersion |
string |
Versión del producto que genera el evento. |
| EventReportUrl |
string |
Vínculo al informe completo creado por el dispositivo de informes. |
| EventResourceId |
string |
Identificador de recurso del dispositivo que genera el mensaje. |
| EventResult |
string |
El resultado que se ha comunicado para la actividad. Valor vacío cuando no es aplicable. |
| EventResultDetails |
string |
Motivo del resultado notificado en EventResult |
| EventSchemaVersion |
string |
Versión del esquema de Azure Sentinel. |
| EventSeverity |
string |
Si la actividad notificada afecta a la seguridad, denota la gravedad del efecto. |
| EventStartTime |
datetime |
Hora en la que se indicó el evento. |
| EventSubType |
string |
Descripción adicional del tipo si procede. |
| EventTimeIngested |
datetime |
Hora a la que se ingirió el evento en Azure Sentinel. La agregará Azure Sentinel. |
| EventType |
string |
Tipo de evento que se recopila. |
| EventUid |
string |
Identificador único usado por Sentinel para marcar una fila. |
| EventVendor |
string |
Proveedor del producto que genera el evento. |
| FileExtension |
string |
Tipo de archivo transmitido a través de las conexiones de red para protocolos como FTP y HTTP. |
| FileHashMd5 |
string |
Valor de hash MD5 del archivo transmitido a través de las conexiones de red para los protocolos. |
| FileHashSha1 |
string |
Valor de hash SHA1 del archivo transmitido a través de las conexiones de red para los protocolos. |
| FileHashSha256 |
string |
Valor de hash SHA256 del archivo transmitido a través de las conexiones de red para los protocolos. |
| FileHashSha512 |
string |
Valor de hash SHA512 del archivo transmitido a través de las conexiones de red para los protocolos. |
| FileMimeType |
string |
Tipo MIME del archivo transmitido a través de las conexiones de red para protocolos como FTP y HTTP. |
| FileName |
string |
Nombre de archivo transmitido a través de las conexiones de red para protocolos como FTP y HTTP, que proporcionan la información del nombre de archivo. |
| FilePath |
string |
Ruta de acceso completa, incluido el nombre de archivo, del archivo. |
| FileSize |
int |
Tamaño, en bytes, del archivo transmitido a través de las conexiones de red para los protocolos. |
| HttpContentType |
string |
Encabezado de tipo de contenido de respuesta HTTP para las sesiones de red HTTP/HTTPS. |
| HttpReferrerOriginal |
string |
Encabezado de referencia HTTP para las sesiones de red HTTP/HTTPS. |
| HttpRequestMethod |
string |
Método HTTP para las sesiones de red HTTP/HTTPS. |
| HttpRequestTime |
int |
Cantidad de tiempo que se tardó en enviar la solicitud al servidor, si procede. |
| HttpRequestXff |
string |
Encabezado HTTP X-Forwarded-For para las sesiones de red HTTP/HTTPS. |
| HttpResponseTime |
int |
Cantidad de tiempo que se tardó en recibir una respuesta en el servidor, si procede. |
| HttpStatusCode |
string |
Código de estado HTTP para las sesiones de red HTTP/HTTPS. |
| HttpUserAgentOriginal |
string |
Encabezado de agente de usuario HTTP para las sesiones de red HTTP/HTTPS. |
| HttpVersion |
string |
Versión de la solicitud HTTP para las conexiones de red HTTP/HTTPS. |
| _IsBillable |
string |
Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure |
| NetworkApplicationProtocol |
string |
Protocolo de la capa de aplicación usado por la conexión o la sesión. |
| NetworkBytes |
long |
Número de bytes enviados en ambas direcciones. Si BytesReceived y BytesSent existen, BytesTotal debe ser igual a su suma. |
| NetworkDirection |
string |
Dirección de la conexión o la sesión, dentro o fuera de la organización. |
| NetworkDuration |
int |
Cantidad de tiempo, en milisegundos, para la finalización de la sesión de red o la conexión. |
| NetworkIcmpCode |
int |
En un mensaje ICMP, valor numérico del tipo de mensaje ICMP (RFC 2780 o RFC 4443). |
| NetworkIcmpType |
string |
En un mensaje ICMP, representación de texto del tipo de mensaje ICMP (RFC 2780 o RFC 4443). |
| NetworkPackets |
long |
Número de paquetes enviados en ambas direcciones. Si PacketsReceived y PacketsSent existen, BytesTotal debe ser igual a su suma. |
| NetworkProtocol |
string |
Protocolo IP utilizado por la conexión o la sesión. Normalmente, TCP, UDP o ICMP. |
| NetworkRuleName |
string |
Nombre o identificador de la regla en la que se decidió DeviceAction. |
| NetworkRuleNumber |
int |
Número de regla coincidente. |
| NetworkSessionId |
string |
Identificador de sesión notificado por el dispositivo de informes. |
| SourceSystem |
string |
Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| SrcBytes |
long |
Número de bytes enviados desde el origen hasta el destino en la conexión o la sesión. |
| SrcDvcDomain |
string |
Dominio del dispositivo desde el que se inició la sesión. |
| SrcDvcFqdn |
string |
Nombre de dominio completo del host donde se creó el registro. |
| SrcDvcHostname |
string |
Nombre del dispositivo de origen. |
| SrcDvcIpAddr |
string |
Dirección IP de origen de un dispositivo que no está asociada directamente con el paquete de red (recopilada por un proveedor o calculada explícitamente). |
| SrcDvcMacAddr |
string |
Dirección MAC de origen de un dispositivo que no está directamente asociada con el paquete de red. |
| SrcDvcModelName |
string |
Modelo del dispositivo de origen. |
| SrcDvcModelNumber |
string |
Número de modelo del dispositivo de origen. |
| SrcDvcOs |
string |
Sistema operativo del dispositivo de origen. |
| SrcDvcType |
string |
Tipo del dispositivo de origen. |
| SrcGeoCity |
string |
Ciudad asociada con la dirección IP de origen. |
| SrcGeoCountry |
string |
País asociado con la dirección IP de origen. |
| SrcGeoLatitude |
real |
Latitud de la coordenada geográfica asociada con la dirección IP de origen. |
| SrcGeoLongitude |
real |
Longitud de la coordenada geográfica asociada con la dirección IP de origen. |
| SrcGeoRegion |
string |
Región de un país asociado con la dirección IP de origen. |
| SrcInterfaceGuid |
string |
GUID de la interfaz de red usada. |
| SrcInterfaceName |
string |
Interfaz de red utilizada por el dispositivo de origen en la conexión o la sesión. |
| SrcIpAddr |
string |
Dirección IP desde la que se originó la conexión o la sesión. |
| SrcMacAddr |
string |
Dirección MAC de la interfaz de red desde la que se originó la conexión o la sesión. |
| SrcNatIpAddr |
string |
Si la notifica un dispositivo NAT intermediario, como un firewall, la dirección IP que usa el dispositivo NAT para la comunicación con el destino. |
| SrcNatPortNumber |
int |
Si lo notifica un dispositivo NAT intermediario, como un firewall, el puerto que usa el dispositivo NAT para la comunicación con el destino. |
| SrcPackets |
long |
Número de paquetes enviados del origen al destino en la conexión o la sesión. El dispositivo de informes define el significado de un paquete. |
| SrcPortNumber |
int |
Puerto IP desde el que se originó la conexión. Puede que no sea importante en sesiones que contengan varias conexiones. |
| SrcResourceId |
string |
Identificador de recurso del dispositivo que genera el mensaje. |
| SrcUserAadId |
string |
Identificador de objeto de cuenta de Azure AD del usuario al final de la sesión de origen. |
| SrcUserDomain |
string |
Dominio de la cuenta que inicia la sesión. |
| SrcUserName |
string |
Nombre de usuario de la identidad asociada con el origen de las sesiones. Normalmente, el usuario que realiza una acción en el cliente. |
| SrcUserSid |
string |
Identificador de usuario de la identidad asociada con el origen de las sesiones. Normalmente, el usuario que realiza una acción en el cliente. |
| SrcUserUpn |
string |
UPN de la cuenta que inicia la sesión. |
| SrcZone |
string |
Zona de red del origen definida en el dispositivo de informes. |
| TenantId |
string |
Id. del área de trabajo de Log Analytics |
| ThreatCategory |
string |
Categoría de una amenaza identificada por un sistema de seguridad, como la puerta de enlace de seguridad web de un IPS, y que está asociada con esta sesión de red. |
| ThreatId |
string |
Identificador de una amenaza identificada por un sistema de seguridad, como la puerta de enlace de seguridad web de un IPS, y que está asociado con esta sesión de red. |
| ThreatName |
string |
Nombre de la amenaza o malware identificado. |
| TimeGenerated |
datetime |
Hora en que se produjo el evento, tal y como lo notifica el origen de informes. |
| Tipo |
string |
Nombre de la tabla. |
| UrlCategory |
string |
La agrupación definida de una dirección URL (o podría basarse simplemente en el dominio de la dirección URL) relacionada con lo que es (es decir, adultos, noticias, publicidad, dominios estacionados, etc.). |
| UrlHostname |
string |
Parte del dominio de la dirección URL de una solicitud HTTP para las sesiones de red HTTP/HTTPS. |
| UrlOriginal |
string |
Dirección URL de la solicitud HTTP para las sesiones de red HTTP/HTTPS. |