| Campi aggiuntivi |
dynamic |
Quando nessuna colonna corrispondente nello schema corrisponde, i campi aggiuntivi possono essere archiviati in un contenitore JSON. |
| _BilledSize |
real |
Dimensioni del record in byte |
| CloudAppId |
string |
ID dell'applicazione di destinazione per un'applicazione HTTP identificata da un proxy. Questo valore è in genere specifico del proxy usato. |
| CloudAppName |
string |
Nome dell'applicazione di destinazione per un'applicazione HTTP identificata da un proxy. |
| CloudAppOperation |
string |
Operazione eseguita dall'utente nel contesto dell'applicazione di destinazione per un'applicazione HTTP identificata da un proxy. Questo valore è in genere specifico del proxy usato. |
| CloudAppRiskLevel |
string |
Livello di rischio associato a un'applicazione HTTP identificato da un proxy. Questo valore è in genere specifico del proxy usato. |
| DstBytes |
long |
Numero di byte inviati dalla destinazione all'origine per la connessione o la sessione. |
| DstDomainHostname |
string |
Dominio dell'host di destinazione. |
| DstDvcDomain |
string |
Dominio del dispositivo di destinazione. |
| DstDvcFqdn |
string |
Nome di dominio completo dell'host in cui è stato creato il log. |
| DstDvcHostname |
string |
Nome del dispositivo di destinazione. |
| DstDvcIpAddr |
string |
Indirizzo IP di destinazione di un dispositivo non direttamente associato al pacchetto di rete. |
| DstDvcMacAddr |
string |
Indirizzo MAC di destinazione di un dispositivo non direttamente associato al pacchetto di rete. |
| DstGeoCity |
string |
Città associata all'indirizzo IP di destinazione. |
| DstGeoCountry |
string |
Paese associato all'indirizzo IP di origine. |
| DstGeoLatitude |
real |
Latitudine della coordinata geografica associata all'indirizzo IP di destinazione. |
| DstGeoLongitude |
real |
Longitudine della coordinata geografica associata all'indirizzo IP di destinazione |
| DstGeoRegion |
string |
Area all'interno di un paese associato all'indirizzo IP di destinazione. |
| DstInterfaceGuid |
string |
GUID dell'interfaccia di rete usata per la richiesta di autenticazione. |
| DstInterfaceName |
string |
Interfaccia di rete usata per la connessione o la sessione dal dispositivo di destinazione. |
| DstIpAddr |
string |
Indirizzo IP della connessione o della destinazione della sessione. |
| DstMacAddr |
string |
Indirizzo MAC dell'interfaccia di rete in cui è terminata la connessione o la sessione. |
| DstNatIpAddr |
string |
Se segnalato da un dispositivo NAT intermedio, ad esempio un firewall, l'indirizzo IP usato dal dispositivo NAT per la comunicazione con l'origine. |
| DstNatPortNumber |
int |
Se segnalato da un dispositivo NAT intermedio, ad esempio un firewall, la porta usata dal dispositivo NAT per la comunicazione con l'origine. |
| DstPackets |
long |
Numero di pacchetti inviati dalla destinazione all'origine per la connessione o la sessione. Il significato di un pacchetto è definito dal dispositivo di report. |
| DstPortNumber |
int |
Porta IP di destinazione. |
| DstResourceId |
string |
ID risorsa del dispositivo di destinazione. |
| DstUserAadId |
string |
ID oggetto dell'account Azure AD dell'utente alla fine della sessione di destinazione. |
| DstUserDomain |
string |
Nome di dominio o computer dell'account nella destinazione della sessione. |
| DstUserName |
string |
Nome utente dell'identità associata alla destinazione della sessione. |
| DstUserSid |
string |
ID utente dell'identità associata alla destinazione della sessione. In genere, l'identità usata per autenticare un server. |
| DstUserUpn |
string |
UPN dell'identità associata alla destinazione della sessione. |
| DstZone |
string |
Zona di rete della destinazione, come definito dal dispositivo di report. |
| DvcAction |
string |
Se segnalato da un dispositivo intermedio, ad esempio un firewall, l'azione eseguita dal dispositivo. |
| DvcHostname |
string |
Nome del dispositivo che genera il messaggio. |
| DvcInboundInterface |
string |
Se segnalato da un dispositivo intermedio, ad esempio un firewall, l'interfaccia di rete usata da essa per la connessione al dispositivo di origine. |
| DvcIpAddr |
string |
Indirizzo IP del dispositivo che genera il record. |
| DvcMacAddr |
string |
Indirizzo MAC dell'interfaccia di rete del dispositivo di report da cui è stato inviato l'evento. |
| DvcOutboundInterface |
string |
Se segnalato da un dispositivo intermedio, ad esempio un firewall, l'interfaccia di rete usata da essa per la connessione al dispositivo di destinazione. |
| EventCount |
int |
Numero di eventi aggregati, se applicabile. |
| EventEndTime |
datetime |
Ora di fine dell'evento. |
| EventMessage |
string |
Messaggio o descrizione generale, incluso in o generato dal record. |
| EventOriginalUid |
string |
ID del record dal dispositivo di report. |
| EventProduct |
string |
Prodotto che genera l'evento. |
| EventProductVersion |
string |
Versione del prodotto che genera l'evento. |
| EventReportUrl |
string |
Collegamento al report completo creato dal dispositivo di report. |
| EventResourceId |
string |
ID risorsa del dispositivo che genera il messaggio. |
| EventResult |
string |
Risultato segnalato per l'attività. Valore vuoto se non applicabile. |
| EventResultDetails |
string |
Motivo del risultato segnalato in EventResult |
| EventSchemaVersion |
string |
Versione dello schema di Azure Sentinel. |
| EventSeverity |
string |
Se l'attività segnalata ha un impatto sulla sicurezza, indica la gravità dell'impatto. |
| EventStartTime |
datetime |
Ora in cui l'evento è stato dichiarato. |
| EventSubType |
string |
Descrizione aggiuntiva del tipo, se applicabile. |
| EventTimeIngested |
datetime |
Ora in cui l'evento è stato inserito in Azure Sentinel. Verrà aggiunto da Azure Sentinel. |
| EventType |
string |
Tipo di evento da raccogliere. |
| EventUid |
string |
Identificatore univoco usato da Sentinel per contrassegnare una riga. |
| EventVendor |
string |
Fornitore del prodotto che genera l'evento. |
| FileExtension |
string |
Tipo del file trasmesso tramite le connessioni di rete per protocolli come FTP e HTTP. |
| FileHashMd5 |
string |
Valore hash MD5 del file trasmesso tramite le connessioni di rete per i protocolli. |
| FileHashSha1 |
string |
Valore hash SHA1 del file trasmesso tramite le connessioni di rete per i protocolli. |
| FileHashSha256 |
string |
Valore hash SHA256 del file trasmesso tramite le connessioni di rete per i protocolli. |
| FileHashSha512 |
string |
Valore hash SHA512 del file trasmesso tramite le connessioni di rete per i protocolli. |
| FileMimeType |
string |
Tipo MIME del file trasmesso tramite le connessioni di rete per protocolli come FTP e HTTP. |
| FileName |
string |
Nome file trasmesso sulle connessioni di rete per protocolli come FTP e HTTP che forniscono le informazioni sul nome file. |
| FilePath |
string |
Percorso completo, incluso il nome file, del file. |
| FileSize |
int |
Dimensioni del file, in byte, del file trasmesso tramite le connessioni di rete per i protocolli. |
| HttpContentType |
string |
Intestazione del tipo di contenuto risposta HTTP per le sessioni di rete HTTP/HTTPS. |
| HttpReferrerOriginal |
string |
Intestazione del referrer HTTP per le sessioni di rete HTTP/HTTPS. |
| HttpRequestMethod |
string |
Metodo HTTP per le sessioni di rete HTTP/HTTPS. |
| HttpRequestTime |
int |
Quantità di tempo necessaria per inviare la richiesta al server, se applicabile. |
| HttpRequestXff |
string |
Intestazione HTTP X-Forwarded-For per le sessioni di rete HTTP/HTTPS. |
| HttpResponseTime |
int |
Quantità di tempo necessaria per ricevere una risposta nel server, se applicabile. |
| HttpStatusCode |
string |
Codice di stato HTTP per le sessioni di rete HTTP/HTTPS. |
| HttpUserAgentOriginal |
string |
Intestazione dell'agente utente HTTP per le sessioni di rete HTTP/HTTPS. |
| HttpVersion |
string |
Versione della richiesta HTTP per le connessioni di rete HTTP/HTTPS. |
| _IsBillable |
string |
Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable è false, l'inserimento dati non viene fatturato all'account Azure |
| NetworkApplicationProtocol |
string |
Protocollo del livello applicazione usato dalla connessione o dalla sessione. |
| NetworkBytes |
long |
Numero di byte inviati in entrambe le direzioni. Se esistono sia BytesReceived che BytesSent, BytesTotal deve essere uguale alla somma. |
| NetworkDirection |
string |
Direzione della connessione o della sessione, all'interno o all'esterno dell'organizzazione. |
| NetworkDuration |
int |
Quantità di tempo, in millisecondo, per il completamento della sessione di rete o della connessione. |
| NetworkIcmpCode |
int |
Per un messaggio ICMP, il valore numerico del tipo di messaggio ICMP (RFC 2780 o RFC 4443). |
| NetworkIcmpType |
string |
Per un messaggio ICMP, rappresentazione testuale del tipo di messaggio ICMP (RFC 2780 o RFC 4443). |
| NetworkPackets |
long |
Numero di pacchetti inviati in entrambe le direzioni. Se sono presenti sia PacketsReceived che PacketsSent, BytesTotal deve essere uguale alla somma. |
| NetworkProtocol |
string |
Protocollo IP utilizzato dalla connessione o dalla sessione. In genere, TCP, UDP o ICMP. |
| NetworkRuleName |
string |
Nome o ID della regola su cui è stato deciso DeviceAction. |
| NetworkRuleNumber |
int |
Numero di regola corrispondente. |
| NetworkSessionId |
string |
Identificatore di sessione segnalato dal dispositivo di report. |
| SourceSystem |
string |
Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| SrcBytes |
long |
Numero di byte inviati dall'origine alla destinazione per la connessione o la sessione. |
| SrcDvcDomain |
string |
Dominio del dispositivo da cui è stata avviata la sessione. |
| SrcDvcFqdn |
string |
Nome di dominio completo dell'host in cui è stato creato il log. |
| SrcDvcHostname |
string |
Nome del dispositivo di origine. |
| SrcDvcIpAddr |
string |
L'indirizzo IP di origine di un dispositivo non direttamente associato al pacchetto di rete (raccolto da un provider o calcolato in modo esplicito). |
| SrcDvcMacAddr |
string |
Indirizzo MAC di origine di un dispositivo non direttamente associato al pacchetto di rete. |
| SrcDvcModelName |
string |
Modello del dispositivo di origine. |
| SrcDvcModelNumber |
string |
Numero di modello del dispositivo di origine. |
| SrcDvcOs |
string |
Sistema operativo del dispositivo di origine. |
| SrcDvcType |
string |
Tipo del dispositivo di origine. |
| SrcGeoCity |
string |
Città associata all'indirizzo IP di origine. |
| SrcGeoCountry |
string |
Paese associato all'indirizzo IP di origine. |
| SrcGeoLatitude |
real |
Latitudine della coordinata geografica associata all'indirizzo IP di origine. |
| SrcGeoLongitude |
real |
Longitudine della coordinata geografica associata all'indirizzo IP di origine. |
| SrcGeoRegion |
string |
Area all'interno di un paese associato all'indirizzo IP di origine. |
| SrcInterfaceGuid |
string |
GUID dell'interfaccia di rete usata. |
| SrcInterfaceName |
string |
Interfaccia di rete usata per la connessione o la sessione dal dispositivo di origine. |
| SrcIpAddr |
string |
Indirizzo IP da cui ha avuto origine la connessione o la sessione. |
| SrcMacAddr |
string |
Indirizzo MAC dell'interfaccia di rete da cui ha avuto origine la sessione di connessione od. |
| SrcNatIpAddr |
string |
Se segnalato da un dispositivo NAT intermedio, ad esempio un firewall, l'indirizzo IP usato dal dispositivo NAT per la comunicazione con la destinazione. |
| SrcNatPortNumber |
int |
Se segnalato da un dispositivo NAT intermedio, ad esempio un firewall, la porta usata dal dispositivo NAT per la comunicazione con la destinazione. |
| SrcPackets |
long |
Numero di pacchetti inviati dall'origine alla destinazione per la connessione o la sessione. Il significato di un pacchetto è definito dal dispositivo di report. |
| SrcPortNumber |
int |
Porta IP da cui ha avuto origine la connessione. Potrebbe non essere rilevante per una sessione che comprende più connessioni. |
| SrcResourceId |
string |
ID risorsa del dispositivo che genera il messaggio. |
| SrcUserAadId |
string |
ID oggetto dell'account Azure AD dell'utente alla fine della sessione di origine. |
| SrcUserDomain |
string |
Dominio per l'account che avvia la sessione. |
| SrcUserName |
string |
Nome utente dell'identità associata all'origine delle sessioni. In genere, l'utente esegue un'azione sul client. |
| SrcUserSid |
string |
ID utente dell'identità associata all'origine delle sessioni. In genere, l'utente esegue un'azione sul client. |
| SrcUserUpn |
string |
UPN dell'account che avvia la sessione. |
| SrcZone |
string |
Zona di rete dell'origine, come definito dal dispositivo di report. |
| TenantId |
string |
L'ID dell'area di lavoro Log Analytics |
| ThreatCategory |
string |
La categoria di una minaccia identificata da un sistema di sicurezza, ad esempio gateway di sicurezza Web di un IPS, è associata a questa sessione di rete. |
| ThreatId |
string |
L'ID di una minaccia identificata da un sistema di sicurezza, ad esempio il gateway di sicurezza Web di un IPS, ed è associato a questa sessione di rete. |
| ThreatName |
string |
Nome della minaccia o del malware identificato. |
| TimeGenerated |
datetime |
Ora in cui si è verificato l'evento, come segnalato dall'origine report. |
| Type |
string |
Nome della tabella |
| UrlCategory |
string |
Il raggruppamento definito di un URL (o può essere semplicemente basato sul dominio nell'URL) correlato a ciò che è (ad esempio, adulti, notizie, pubblicità, domini parcheggiati e così via). |
| UrlHostname |
string |
Parte del dominio di un URL di richiesta HTTP per le sessioni di rete HTTP/HTTPS. |
| UrlOriginal |
string |
URL della richiesta HTTP per le sessioni di rete HTTP/HTTPS. |