次の方法で共有


CommonSecurityLog

この表は、一般的なイベント形式でイベントを収集するためのものであり、多くの場合、Check Point、Palo Alto などのさまざまなセキュリティ アプライアンスから送信されます。

テーブル属性

属性 Value
リソースの種類 microsoft.securityinsights/cef,
microsoft.compute/virtualmachines,
microsoft.conenctedvmwarevsphere/virtualmachines,
microsoft.azurestackhci/virtualmachines,
microsoft.scvmm/virtualmachines,
microsoft.compute/virtualmachinescalesets
Categories (カテゴリ) セキュリティ
ソリューション Security、SecurityInsights
基本的なログ いいえ
インジェスト時間変換 はい
サンプル クエリ はい

タイプ 説明
アクティビティ string 人間が判読でき、理解できるイベントの説明を表している文字列。
AdditionalExtensions string その他のフィールドのプレースホルダー。 フィールドはキーと値のペアとしてログに記録されます。
ApplicationProtocol string アプリケーションで使用される、HTTP、HTTPS、SSHv2、Telnet、POP、IMPA、IMAPS などのプロトコル。
_BilledSize real レコード サイズ (バイト単位)
CollectorHostName string エージェントを実行しているコレクター マシンのホスト名。
CommunicationDirection string 観察された通信が行われた方向に関する何らかの情報。 有効な値: 0 = 受信、1 = 送信。
Computer string ホスト(Syslog から)。
destinationDnsDomain string 完全修飾ドメイン名 (FQDN) の DNS 部分。
DestinationHostName string IP ネットワーク内でイベントによって参照されている発信元。 ノードを使用できる場合は、その形式を、送信先ノードに関連付けられている FQDN にする必要があります。 例: host.domain.com またはホスト。
DestinationIP string IP ネットワーク内でイベントによって参照されている送信先の IpV4 アドレス。
DestinationMACAddress string 宛先 MAC アドレス (FQDN)。
DestinationNTDomain string 宛先アドレスの Windows ドメイン名。
DestinationPort int 送信先ポート。 有効な値: 0 から 65535。
DestinationProcessId int イベントに関連付けられている送信先プロセスの ID。
DestinationProcessName string telnetd や sshd など、イベントの宛先プロセスの名前。
DestinationServiceName string イベントによりターゲットとされるサービス。 例: sshd。
DestinationTranslatedAddress string IP ネットワーク内でイベントによって参照されている、変換後の送信先を IPv4 IP アドレスとして識別します。
DestinationTranslatedPort int ファイアウォールの有効なポート番号など、変換後のポート: 0 から 65535。
DestinationUserID string ID で宛先ユーザーを識別します。 たとえば、Unix では、ルート ユーザーは通常、ユーザー ID 0 に関連付けられています。
DestinationUserName string 名前で宛先ユーザーを識別します。
DestinationUserPrivileges string 宛先で使用する特権を定義します。 有効な値: Admninistrator、User、Guest。
DeviceAction string イベントで触れられているアクション。
DeviceAddress string イベントを生成しているデバイスの IPv4 アドレス。
DeviceCustomDate1 string このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 2 つのタイムスタンプ フィールドのいずれか。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。
DeviceCustomDate1Label string すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。
DeviceCustomDate2 string このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 2 つのタイムスタンプ フィールドのいずれか。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。
DeviceCustomDate2Label string すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。
DeviceCustomFloatingPoint1 real このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 4 つの浮動小数点フィールドのいずれか。
DeviceCustomFloatingPoint1Label string すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。
DeviceCustomFloatingPoint2 real このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 4 つの浮動小数点フィールドのいずれか。
DeviceCustomFloatingPoint2Label string すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。
DeviceCustomFloatingPoint3 real このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 4 つの浮動小数点フィールドのいずれか。
DeviceCustomFloatingPoint3Label string すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。
DeviceCustomFloatingPoint4 real このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 4 つの浮動小数点フィールドのいずれか。
DeviceCustomFloatingPoint4Label string すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。
DeviceCustomIPv6Address1 string このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 4 つの IPv6 アドレス フィールドのいずれか。
DeviceCustomIPv6Address1Label string すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。
DeviceCustomIPv6Address2 string このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 4 つの IPv6 アドレス フィールドのいずれか。
DeviceCustomIPv6Address2Label string すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。
DeviceCustomIPv6Address3 string このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 4 つの IPv6 アドレス フィールドのいずれか。
DeviceCustomIPv6Address3Label string すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。
DeviceCustomIPv6Address4 string このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 4 つの IPv6 アドレス フィールドのいずれか。
DeviceCustomIPv6Address4Label string すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。
DeviceCustomNumber1 int 間もなく非推奨のフィールドになります。 FieldDeviceCustomNumber1 に置き換えられます。
DeviceCustomNumber1Label string すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。
DeviceCustomNumber2 int 間もなく非推奨のフィールドになります。 FieldDeviceCustomNumber2 に置き換えられます。
DeviceCustomNumber2Label string すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。
DeviceCustomNumber3 int 間もなく非推奨のフィールドになります。 FieldDeviceCustomNumber3 に置き換えられます。
DeviceCustomNumber3Label string すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。
DeviceCustomString1 string このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 6 つの文字列のうちの 1 つ。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。
DeviceCustomString1Label string すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。
DeviceCustomString2 string このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 6 つの文字列のうちの 1 つ。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。
DeviceCustomString2Label string すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。
DeviceCustomString3 string このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 6 つの文字列のうちの 1 つ。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。
DeviceCustomString3Label string すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。
DeviceCustomString4 string このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 6 つの文字列のうちの 1 つ。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。
DeviceCustomString4Label string すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。
DeviceCustomString5 string このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 6 つの文字列のうちの 1 つ。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。
DeviceCustomString5Label string すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。
DeviceCustomString6 string このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 6 つの文字列のうちの 1 つ。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。
DeviceCustomString6Label string すべてのユーザー設定フィールドには、対応するラベル フィールドがあります。 これらの各フィールドは文字列であり、ユーザー設定フィールドの目的について説明します。
DeviceDnsDomain string 完全修飾ドメイン名 (FQDN) の DNS ドメイン部分。
DeviceEventCategory string 発信元デバイスによって割り当てられたカテゴリを表します。 多くの場合、デバイスは独自の分類スキーマを使用してイベントを分類します。 例: '/Monitor/Disk/Read'。
DeviceEventClassID string イベントの種類ごとの一意の識別子として機能する文字列または整数。
DeviceExternalID string イベントを生成しているデバイスを一意に識別する名前。
DeviceFacility string イベントを生成している機能。 たとえば、認証または local1 などです。
DeviceInboundInterface string デバイスにパケットまたはデータが入力されたインターフェイス。 例: ethernet1/2。
DeviceMacAddress string イベントを生成しているデバイスの MAC アドレス。
DeviceName string ノードを使用できる場合は、デバイス ノードに関連付けられている FQDN。 例: host.domain.com またはホスト。
DeviceNtDomain string デバイス アドレスの Windows ドメイン。
DeviceOutboundInterface string デバイスにパケットまたはデータが残されたインターフェイス。
DevicePayloadId string イベントに関連付けられているペイロードの一意の識別子。
DeviceProduct string デバイス製品とバージョンの定義と共に、送信デバイスの種類を一意に識別する文字列。
DeviceTimeZone string イベントを生成するデバイスのタイムゾーン。
DeviceTranslatedAddress string IP ネットワーク内でイベントによって参照されている、変換後のデバイス アドレスを識別します。 形式は Ipv4 アドレスです。
DeviceVendor string デバイス製品とバージョンの定義と共に、送信デバイスの種類を一意に識別する文字列。
DeviceVersion string デバイス製品とバージョンの定義と共に、送信デバイスの種類を一意に識別する文字列。
EndTime datetime イベントに関連するアクティビティが終了した時刻。
EventCount int イベントに関連付けられているカウントで、同じイベントが観察された回数を示します。
EventOutcome string 結果 (通常は "success" または "failure") が表示されます。
EventType int イベントの種類。 値には、0: 基本イベント、1: 集計、2: 相関イベント、3: アクション イベントが含まれます。 注: 基本イベントについてはこのイベントを省略できます。
ExternalID int 間もなく非推奨のフィールドになります。 ExtID に置き換えられます。
ExtID string 元のデバイスによって使用される ID (レガシ ExternalID に代わる)。 一般に、これらの値は、イベントにそれぞれが関連付けられている、増加してゆく値です。
FieldDeviceCustomNumber1 long このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 3 つの数値フィールドのいずれか (従来の DeviceCustomNumber1 を置き換えます)。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。
FieldDeviceCustomNumber2 long このディクショナリ内の他のフィールドに適用されないフィールドをマップするために使用できる 3 つの数値フィールドのいずれか (従来の DeviceCustomNumber2 を置き換えます)。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。
FieldDeviceCustomNumber3 long このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 3 つの数値フィールドのいずれか (レガシ DeviceCustomNumber3 に置き換えられます)。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。
FileCreateTime string ファイルが作成された日時。
FileHash string ファイルのハッシュ。
FileID string ファイルに関連付けられている ID (inode など)。
FileModificationTime string ファイルが最後に変更された日時。
FileName string パスを含まないファイルの名前。
FilePath string ファイル名を含む、ファイルへの完全なパス。 例: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe または /usr/bin/zip。
FilePermission string ファイルのアクセス許可。 例: '2,1,1'。
FileSize int ファイルのサイズをバイト単位で指定します。
FileType string パイプやソケットなどのファイルの種類。
FlexDate1 string このディクショナリ内の他の定義されたタイムスタンプ フィールドには適用されないタイムスタンプをマップするために使用できるタイムスタンプ フィールド。 すべてのフレックス フィールドを控えめに使用し、可能な場合は、より具体的なディクショナリ指定フィールドをシークします。 これらのフィールドは通常、顧客用に予約されており、必要な場合を除き、ベンダーが設定しないでください。
FlexDate1Label string ラベル フィールドは文字列であり、flex フィールドの目的を記述します。
FlexNumber1 int このディクショナリ内の他のフィールドには適用されない Int データをマップするために使用できる数値フィールド。
FlexNumber1Label string FlexNumber1 の値を表すラベル
FlexNumber2 int このディクショナリ内の他のフィールドには適用されない Int データをマップするために使用できる数値フィールド。
FlexNumber2Label string FlexNumber2 の値を表すラベル
FlexString1 string このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 4 つの浮動小数点フィールドのいずれか。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 これらのフィールドは通常、顧客用に予約されており、必要な場合を除き、ベンダーが設定しないでください。
FlexString1Label string ラベル フィールドは文字列であり、flex フィールドの目的を記述します。
FlexString2 string このディクショナリ内の他のフィールドには適用されないフィールドをマップするために使用できる 4 つの浮動小数点フィールドのいずれか。 慎重に使用し、可能な場合は、より具体的な辞書指定フィールドをシークします。 これらのフィールドは通常、顧客用に予約されており、必要な場合を除き、ベンダーが設定しないでください。
FlexString2Label string ラベル フィールドは文字列であり、flex フィールドの目的を記述します。
IndicatorThreatType string TI フィードに従った MaliciousIP の脅威の種類。
_IsBillable string データ インジェストが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません
LogSeverity string イベントの重要度を記述する文字列または整数。 有効な文字列値: Unknown、Low、Medium、High、Very-High の有効な整数値は、0 から 3 = Low、4-6 = Medium、7-8 = High、9-10 = Very-High です。
MaliciousIP string メッセージ内の IP の 1 つが現在の TI フィードと関連付けられていた場合は、ここに表示されます。
MaliciousIPCountry string レコード インジェスト時の GEO 情報に従った MaliciousIP の国。
MaliciousIPLatitude real レコード インジェスト時の GEO 情報に従った MaliciousIP の緯度。
MaliciousIPLongitude real レコード インジェスト時の GEO 情報に従った MaliciousIP の経度。
メッセージ string イベントに関する詳細情報を示すメッセージ。
OldFileCreateTime string 古いファイルが作成された日時。
OldFileHash string 古いファイルのハッシュ。
OldFileID string 古いファイルに関連付けられている、inode などの ID。
OldFileModificationTime string 古いファイルが最後に変更された日時。
OldFileName string 古いファイルの名前。
OldFilePath string ファイル名を含む、古いファイルへの完全なパス。 例: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe または /usr/bin/zip。
OldFilePermission string 古いファイルのアクセス許可。 例: '2,1,1'。
OldFileSize int 古いファイルのサイズ (バイト単位)。
OldFileType string パイプやソケットなど、古いファイルのファイルの種類。
OriginalLogSeverity string マップされていないバージョンの LogSeverity。 例: LogSeverity フィールドの正規化された Low/Medium/High ではなく、警告/クリティカル/情報
ProcessID int イベントを生成しているデバイス上のプロセスの ID を定義します。
ProcessName string イベントに関連付けられているプロセス名。 たとえば、UNIX では、syslog エントリを生成するプロセスです。
Protocol string 使用されているレイヤー 4 プロトコルを識別するトランスポート プロトコル。 使用可能な値には、TCP や UDP などのプロトコル名が含まれます。
理由 string 監査イベントが生成された理由。 たとえば、"無効なパスワード" や "不明なユーザー" などです。 これは、エラーまたはリターン コードである場合もあります。 例: '0x1234'。
ReceiptTime string アクティビティに関連するイベントが受信された時刻。 "Timegenerated" フィールドとは異なります。これは、イベントがログ コレクター コンピューターで受信されたときです。
ReceivedBytes long 内側へ転送されたバイト数。
RemoteIP string 可能であれば、イベントの方向の値から派生したリモート IP アドレス。
リモート ポート string 可能であれば、イベントの方向の値から派生したリモート ポート。
ReportReferenceLink string TI フィードのレポートへのリンク。
RequestClientApplication string 要求に関連付けられているユーザー エージェント。
RequestContext string HTTP 参照元など、要求送信元のコンテンツについて説明します。
RequestCookies string 要求に関連付けられている Cookie。
RequestMethod string URL にアクセスするために使用されるメソッド。 有効な値には、POST、GET などのメソッドが含まれます。
RequestURL string HTTP 要求のためにアクセスされる URL (プロトコルを含む)。 例: http://www/secure.com.
_ResourceId string レコードが関連付けられているリソースの一意識別子
SentBytes long 外側へ転送されたバイト数。
SimplifiedDeviceAction string マップされたバージョンの DeviceAction (Denyed > Deny など)。
SourceDnsDomain string 完全な FQDN の DNS ドメインの部分。
SourceHostName string IP ネットワーク内でイベントによって参照されている発信元を識別します。 ノードを使用できる場合は、形式を、ソース ノードに関連付けられている完全修飾ドメイン名 (DQDN) にする必要があります。 たとえば、ホストまたは host.domain.com。
SourceIP string IP ネットワーク内でイベントによって参照されている、IPv4 アドレスとしての発信元。
SourceMACAddress string 発信元 MAC アドレス。
SourceNTDomain string 発信元アドレスの Windows ドメイン名。
SourcePort int 発信元ポート番号。 有効なポート番号は 0 から 65535 です。
SourceProcessId int イベントに関連付けられている発信元プロセスの ID。
SourceProcessName string イベントの発信元プロセスの名前。
SourceServiceName string イベントの生成を担っているサービス。
SourceSystem string イベント収集元のエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です
SourceTranslatedAddress string IP ネットワーク内でイベントによって参照されている、変換後の発信元を識別します。
SourceTranslatedPort int 変換後の、ファイアウォールなどの発信元ポート。 有効なポート番号は 0 から 65535 です。
SourceUserID string ID で発信元ユーザーを識別します。
SourceUserName string 名前で発信元ユーザーを識別します。 電子メール アドレスは、UserName フィールドにもマップされます。 送信者は、このフィールドに入力する候補です。
SourceUserPrivileges string 発信元ユーザーの特権。 有効な値は、管理者、ユーザー、ゲストです。
StartTime datetime イベントによって参照されているアクティビティが開始された時刻。
_SubscriptionId string レコードが関連付けられているサブスクリプションの一意識別子
TenantId string Log Analytics ワークスペース ID
ThreatConfidence string TI フィードに従った MaliciousIP の脅威の信頼度。
ThreatDescription string TI フィードに従った MaliciousIP の脅威の説明。
ThreatSeverity int レコード インジェスト時の TI フィードに従った MaliciousIP の脅威の重大度。
TimeGenerated datetime イベント収集時刻 (UTC)。
種類 string テーブルの名前