AccountDomain |
string |
アカウントのドメイン。 |
AccountName |
string |
アカウントのユーザー名。 |
AccountSid |
string |
アカウントのセキュリティ識別子 (SID)。 |
ActionType |
string |
イベントをトリガーしたアクティビティの種類。 |
AdditionalFields |
動的 |
エンティティまたはイベントに関する追加情報。 |
AppGuardContainerId |
string |
ブラウザー アクティビティを分離するために Application Guard によって使用される仮想化コンテナーの識別子。 |
_BilledSize |
real |
レコード サイズ (バイト単位) |
CreatedProcessSessionId |
long |
作成されたプロセスの Windows セッション ID。 |
DeviceId |
string |
サービス内のデバイスの一意識別子。 |
DeviceName |
string |
デバイスの完全修飾ドメイン名 (FQDN)。 |
FileName |
string |
アカウントのドメイン。 |
FileOriginIP |
string |
ファイルのダウンロード先の IP アドレス。 |
FileOriginUrl |
string |
ファイルのダウンロード先の URL。 |
FileSize |
long |
ファイルのサイズ (バイト単位)。 |
FolderPath |
string |
アカウントのドメイン。 |
InitiatingProcessAccountDomain |
string |
イベントを担当するプロセスを実行したアカウントのドメイン。 |
InitiatingProcessAccountName |
string |
イベントを担当するプロセスを実行したアカウントのユーザー名。 |
InitiatingProcessAccountObjectId |
string |
イベントを担当するプロセスを実行したユーザー アカウントの Azure AD オブジェクト ID。 |
InitiatingProcessAccountSid |
string |
イベントを担当するプロセスを実行したアカウントのセキュリティ識別子 (SID)。 |
InitiatingProcessAccountUpn |
string |
イベントを担当するプロセスを実行したアカウントのユーザー プリンシパル名 (UPN)。 |
InitiatingProcessCommandLine |
string |
イベントを開始したプロセスを実行するために使用されるコマンド ライン。 |
InitiatingProcessCreationTime |
datetime |
イベントを開始したプロセスが開始された日時。 |
InitiatingProcessFileName |
string |
イベントを開始したプロセスの名前。 |
InitiatingProcessFileSize |
long |
イベントを担当するプロセスを実行したファイルのサイズ (バイト単位)。 |
InitiatingProcessFolderPath |
string |
イベントを開始したプロセス (イメージ ファイル) を含むフォルダー。 |
InitiatingProcessId |
long |
イベントを開始したプロセスのプロセス ID (PID)。 |
InitiatingProcessLogonId |
long |
イベントを開始したプロセスのログオン セッションの識別子。 この識別子は、再起動の間にのみ同じコンピューター上で一意です。 |
InitiatingProcessMD5 |
string |
イベントを開始したプロセス (イメージ ファイル) の MD5 ハッシュ。 |
InitiatingProcessParentCreationTime |
datetime |
イベントを担当するプロセスの親が開始された日時。 |
InitiatingProcessParentFileName |
string |
イベントを担当するプロセスを生成した親プロセスの名前。 |
InitiatingProcessParentId |
long |
イベントを担当するプロセスを生成した親プロセスのプロセス ID (PID)。 |
InitiatingProcessRemoteSessionDeviceName |
string |
開始プロセスの RDP セッションが開始されたリモート デバイスのデバイス名。 |
InitiatingProcessRemoteSessionIP |
string |
開始プロセスの RDP セッションが開始されたリモート デバイスの IP アドレス。 |
InitiatingProcessSessionId |
long |
開始プロセスの Windows セッション ID。 |
InitiatingProcessSHA1 |
string |
イベントを開始したプロセス (イメージ ファイル) の SHA-1 ハッシュ。 |
InitiatingProcessSHA256 |
string |
イベントを開始したプロセス (イメージ ファイル) の SHA-256 ハッシュ。 通常、このフィールドは設定されません。使用可能な場合は SHA1 列を使用します。 |
InitiatingProcessVersionInfoCompanyName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報の会社名。 |
InitiatingProcessVersionInfoFileDescription |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの説明。 |
InitiatingProcessVersionInfoInternalFileName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの内部ファイル名。 |
InitiatingProcessVersionInfoOriginalFileName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報の元のファイル名。 |
InitiatingProcessVersionInfoProductName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報の製品名。 |
InitiatingProcessVersionInfoProductVersion |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの製品バージョン。 |
_IsBillable |
string |
データ インジェストが課金対象かどうかを指定します。 _IsBillable false インジェストが Azure アカウントに課金されない場合 |
IsInitiatingProcessRemoteSession |
[bool] |
開始プロセスがリモート デスクトップ プロトコル (RDP) セッション (true) またはローカル (false) で実行されたかどうかを示します。 |
IsProcessRemoteSession |
[bool] |
作成されたプロセスがリモート デスクトップ プロトコル (RDP) セッション (true) またはローカル (false) で実行されたかどうかを示します。 |
LocalIP |
string |
通信中に使用されるローカル コンピューターに割り当てられた IP アドレス。 |
LocalPort |
int |
通信中に使用されるローカル コンピューター上の TCP ポート。 |
LogonId |
long |
ログオン セッションの識別子。 この識別子は、再起動の間にのみ同じコンピューター上で一意です。 |
MachineGroup |
string |
マシンのマシン グループ。 このグループは、マシンへのアクセスを決定するためにロールベースのアクセス制御によって使用されます。 |
MD5 |
string |
記録されたアクションが適用されたファイルの MD5 ハッシュ。 |
ProcessCommandLine |
string |
新しいプロセスの作成に使用されるコマンド ライン。 |
ProcessCreationTime |
datetime |
プロセスが作成された日時。 |
ProcessId |
long |
新しく作成されたプロセスのプロセス ID (PID)。 |
ProcessRemoteSessionDeviceName |
string |
作成されたプロセスの RDP セッションが開始されたリモート デバイスのデバイス名。 |
ProcessRemoteSessionIP |
string |
作成されたプロセスの RDP セッションが開始されたリモート デバイスの IP アドレス。 |
ProcessTokenElevation |
string |
新しく作成されたプロセスに適用されるユーザー アクセス制御 (UAC) 特権の昇格の有無を示すトークンの種類。 |
RegistryKey |
string |
記録されたアクションが適用されたレジストリ キー。 |
RegistryValueData |
string |
記録されたアクションが適用されたレジストリ値のデータ。 |
RegistryValueName |
string |
記録されたアクションが適用されたレジストリ値の名前。 |
RemoteDeviceName |
string |
影響を受けるコンピューターでリモート操作を実行したデバイスの名前。 報告されるイベントに応じて、この名前は完全修飾ドメイン名 (FQDN)、NetBIOS 名、またはドメイン情報のないホスト名になります。 |
RemoteIP |
string |
接続先の IP アドレス。 |
リモート ポート |
int |
接続先のリモート デバイス上の TCP ポート。 |
RemoteUrl |
string |
接続先の URL または完全修飾ドメイン名 (FQDN)。 |
ReportId |
long |
繰り返しカウンターに基づくイベント識別子。 一意のイベントを識別するには、この列を ComputerName 列と EventTime 列と組み合わせて使用する必要があります。 |
SHA1 |
string |
記録されたアクションが適用されたファイルの SHA-1 ハッシュ。 |
SHA256 |
string |
記録されたアクションが適用されたファイルの SHA-256。 |
SourceSystem |
string |
イベントが収集されたエージェントの種類。 たとえば、Windows エージェントの OpsManager 、直接接続または Operations Manager、すべての Linux エージェントの Linux 、Azure Diagnostics の Azure などです。 |
TenantId |
string |
Log Analytics ワークスペース ID |
TimeGenerated |
datetime |
エンドポイント上の MDE エージェントによってイベントが記録された日時。 |
種類 |
string |
テーブルの名前 |