Advanced Security Information Model (ASIM) ファイル イベント正規化スキーマのリファレンス (パブリック プレビュー)
ファイル イベント正規化スキーマは、ファイルまたはドキュメントの作成、変更、削除などのファイル アクティビティを記述するために使用されます。 このようなイベントは、オペレーティング システム、Azure Files などのファイル ストレージ システム、Microsoft SharePoint などのドキュメント管理システムによって報告されます。
Microsoft Sentinel での正規化の詳細については、正規化と Advanced Security Information Model (ASIM) に関するページを参照してください。
重要
現在、ファイル イベント正規化スキーマはプレビュー段階です。 この機能は、サービス レベル アグリーメントなしで提供されており、運用環境のワークロード用には推奨されていません。
Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
パーサー
ファイル アクティビティ パーサーのデプロイと使用
ASIM ファイル アクティビティ パーサーを Microsoft Sentinel GitHub リポジトリからデプロイします。 すべてのファイル アクティビティ ソースでクエリを実行するには、クエリのテーブル名として統一パーサー imFileEvent を使用します。
ASIM パーサーの使用方法の詳細については、ASIM パーサーの概要に関する各ページを参照してください。 Microsoft Sentinel が提供する ファイル アクティビティ パーサーの一覧については、ASIM パーサーの一覧を参照してください
独自の正規化されたパーサーを追加する
ファイル イベント情報モデルにカスタム パーサーを実装するときは、imFileEvent<vendor><Product の構文を使用して KQL 関数に名前を付けます。
ファイル アクティビティ統一パーサーにカスタム パーサーを追加する方法については、ASIM パーサーの管理に関する記事を参照してください。
正規化されたコンテンツ
正規化されたファイル アクティビティ イベントを使用する分析ルールの完全な一覧については、「ファイル アクティビティのセキュリティ コンテンツ」を参照してください。
スキーマの概要
ファイル イベント情報モデルは、OSSEM プロセス エンティティ スキーマに対応しています。
ファイル イベント スキーマでは、ファイル アクティビティの中心である次のエンティティを参照します。
- Actor。 ファイル アクティビティを開始したユーザー
- ActingProcess。 ファイル アクティビティを開始するためにアクターによって使用されるプロセス
- TargetFile。 操作が実行されたファイル
- ソース ファイル (SrcFile) 。 操作前のファイル情報を格納します。
これらのエンティティ間の関係は、次のように示すと最もわかりやすくなります。アクターが実行プロセスを使用してファイル操作を実行し、ソース ファイルをターゲット ファイルに変更します。
例: JohnDoe (アクター) が Windows File Explorer (実行プロセス) を使用して new.doc (ソース ファイル) の名前を old.doc (ターゲット ファイル) に変更する。
スキーマの詳細
共通フィールド
重要
すべてのスキーマに共通するフィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。
ファイル イベント スキーマに関する特定のガイドラインがあるフィールド
次の一覧には、File アクティビティ イベントに関する具体的なガイドラインが含まれたフィールドを示しています。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| EventType | Mandatory | Enumerated | レコードによって報告される操作を記述します。 サポートされている値は - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | オプション | Enumerated | EventType で報告される操作の詳細について説明します。 イベントの種類ごとにサポートされる値は次のとおりです。 - FileCreated - Upload, Checkin - FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed - Download、 Preview、 Checkout、 Extended- FileDeleted - Recycled、 Versions、 Site |
| EventSchema | Mandatory | String | ここに記載されているスキーマの名前は FileEvent です。 |
| EventSchemaVersion | Mandatory | String | スキーマのバージョン。 ここに記載されているスキーマのバージョンは 0.2.1 です |
| Dvc フィールド | - | - | File アクティビティ ベントの場合、デバイス ィールドは、ファイル アクティビティが発生したシステムを参照します。 |
重要
EventSchema フィールドは現在任意ですが、2022 年 9 月 1 日に必須になります。
すべての共通フィールド
表に示すフィールドは、すべての ASIM スキーマに共通です。 このドキュメントのスキーマ固有のガイドラインはすべて、フィールドの一般的なガイドラインに優先します。 たとえば、フィールドは一般的には省略可能ですが、特定のスキーマでは必須です。 各フィールドの詳細については、ASIM 共通フィールドに関する記事を参照してください。
| クラス | Fields |
|---|---|
| Mandatory | - EventCount - EventStartTime - EventEndTime - EventType - EventResult - EventProduct - EventVendor - EventSchema - EventSchemaVersion - Dvc |
| 推奨 | - EventResultDetails - EventSeverity - EventUid - DvcIpAddr - DvcHostname - DvcDomain - DvcDomainType - DvcFQDN - DvcId - DvcIdType - DvcAction |
| オプション | - EventMessage - EventSubType - EventOriginalUid - EventOriginalType - EventOriginalSubType - EventOriginalResultDetails - EventOriginalSeverity - EventProductVersion - EventReportUrl - EventOwner - DvcZone - DvcMacAddr - DvcOs - DvcOsVersion - DvcOriginalAction - DvcInterface - AdditionalFields - DvcDescription - DvcScopeId - DvcScope |
ターゲット ファイル フィールド
次のフィールドは、ファイル操作のターゲット ファイルに関する情報を表します。 操作に 1 つのファイルが含まれている場合 (たとえば、FileCreate) は、ターゲット ファイル フィールドで表されます。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| TargetFileCreationTime | オプション | 日付/時刻 | ターゲット ファイルが作成された時刻。 |
| TargetFileDirectory | オプション | String | ターゲット ファイルのフォルダーまたは場所。 このフィールドは、最終要素のない TargetFilePath フィールドに類似しています。 注: 値がログ ソースにある場合は、パーサーによってこの値が提供されることがあり、フル パスから抽出される必要はありません。 |
| TargetFileExtension | オプション | String | ターゲット ファイルの拡張子。 注: 値がログ ソースにある場合は、パーサーによってこの値が提供されることがあり、フル パスから抽出される必要はありません。 |
| TargetFileMimeType | オプション | Enumerated | ターゲット ファイルの MIME タイプまたはメディア タイプ。 許可されている値の一覧は、IANA メディア タイプ リポジトリで確認できます。 |
| TargetFileName | 推奨 | String | パスまたは場所のないターゲット ファイルの名前。ただし、該当する場合は拡張子が付きます。 このフィールドは、TargetFilePath フィールドの最終要素に類似しています。 |
| FileName | エイリアス | TargetFileName フィールドのエイリアス。 | |
| TargetFilePath | Mandatory | String | フォルダーまたは場所、ファイル名、拡張子が含まれる、ターゲット ファイルの正規化されたフル パス。 詳細については、「パス構造」を参照してください。 注: レコードにフォルダーや場所の情報が含まれていない場合は、ここにのみファイル名を格納してください。 例: C:\Windows\System32\notepad.exe |
| TargetFilePathType | Mandatory | Enumerated | TargetFilePath の型。 詳細については、「パス構造」を参照してください。 |
| FilePath | エイリアス | TargetFilePath フィールドの別名。 | |
| TargetFileMD5 | オプション | MD5 | ターゲット ファイルの MD5 ハッシュ。 例: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | 省略可能 | SHA1 | ターゲット ファイルの SHA-1 ハッシュ。 例: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | 省略可能 | SHA256 | ターゲット ファイルの SHA-256 ハッシュ。 例: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | 省略可能 | SHA512 | ソース ファイルの SHA-512 ハッシュ。 |
| ハッシュ | エイリアス | 利用可能な最善のターゲット ファイルのハッシュの別名。 | |
| HashType | 推奨 | String | HASH エイリアスフィールドに格納されるハッシュの種類、許可される値はMD5、 SHA、 SHA256、 SHA512、 IMPHASHです。 Hash が設定されている場合は必須です。 |
| TargetFileSize | オプション | Long | ターゲット ファイルのサイズ (バイト単位)。 |
ソース ファイル フィールド
次のフィールドでは、コピーなどのソースとターゲットの両方があるファイル操作のソース ファイルに関する情報を表します。 操作に 1 つのファイルが含まれている場合は、ターゲット ファイル フィールドで表されます。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| SrcFileCreationTime | 省略可能 | 日付/時刻 | ソース ファイルが作成された時刻。 |
| SrcFileDirectory | オプション | String | ソース ファイルのフォルダーまたは場所。 このフィールドは、最終要素のない SrcFilePath フィールドに類似しています。 注: 値がログ ソースにある場合は、パーサーによってこの値が提供されることがあり、フル パスから抽出される必要はありません。 |
| SrcFileExtension | オプション | String | ソース ファイルの拡張子。 注: 値がログ ソースにある場合は、パーサーによってこの値が提供されることがあり、フル パスから抽出される必要はありません。 |
| SrcFileMimeType | オプション | Enumerated | ソース ファイルの MIME タイプまたはメディア タイプ。 サポートされている値の一覧は、IANA メディア タイプ リポジトリで確認できます。 |
| SrcFileName | 推奨 | String | パスまたは場所のないソース ファイルの名前。ただし、該当する場合は拡張子が付きます。 このフィールドは、SrcFilePath フィールドの最終要素に類似しています。 |
| SrcFilePath | 推奨 | String | フォルダーまたは場所、ファイル名、拡張子が含まれる、ソース ファイルの正規化されたフル パス。 詳細については、「パス構造」を参照してください。 例: /etc/init.d/networking |
| SrcFilePathType | 推奨 | Enumerated | SrcFilePath の型。 詳細については、「パス構造」を参照してください。 |
| SrcFileMD5 | 省略可能 | MD5 | ソース ファイルの MD5 ハッシュ。 例: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | 省略可能 | SHA1 | ソース ファイルの SHA-1 ハッシュ。 例: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | オプション | SHA256 | ソース ファイルの SHA-256 ハッシュ。 例: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | 省略可能 | SHA512 | ソース ファイルの SHA-512 ハッシュ。 |
| SrcFileSize | オプション | Long | ソース ファイルのサイズ (バイト単位)。 |
アクターのフィールド
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| ActorUserId | 推奨 | String | コンピューターが判読できる、英数字で、アクターを一意に表現したもの。 さまざまな ID の種類に対してサポートされている形式については、User エンティティに関する記事を参照してください。 例: S-1-12 |
| ActorScope | オプション | String | ActorUserId と ActorUsername が定義されているスコープ (Microsoft Entra テナントなど)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScope」を参照してください。 |
| ActorScopeId | 省略可能 | String | ActorUserId と ActorUsername が定義されているスコープ ID (Microsoft Entra ディレクトリ ID など)。 使用できる値の詳細と一覧については、スキーマの概要に関する記事の「UserScopeId」を参照してください。 |
| ActorUserIdType | 条件付き | String | ActorUserId フィールドに格納されている ID の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「UserIdType」を参照してください。 |
| ActorUsername | Mandatory | String | アクターのユーザー名 (使用可能な場合はドメイン情報を含む)。 さまざまな ID の種類に対してサポートされている形式については、User エンティティに関する記事を参照してください。 シンプル形式は、ドメイン情報が利用できない場合にのみ使用します。 ユーザー名の種類は、ActorUsernameType フィールドに格納します。 他のユーザー名形式が使用可能な場合、それらをフィールド ActorUsername<UsernameType> に格納します。例: AlbertE |
| User | エイリアス | ActorUsername フィールドの別名。 例: CONTOSO\dadmin |
|
| ActorUsernameType | 条件付き | Enumerated | ActorUsername フィールドに格納されているユーザー名の種類を指定します。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「UsernameType」を参照してください。 例: Windows |
| ActorSessionId | オプション | String | Actor のログイン セッションの一意の ID。 例: 999注: さまざまなシステムに対応するために、型は "文字列" として定義されますが、Windows ではこの値は数値である必要があります。 Windows マシンを使用しており、かつ別の型を使用した場合は、必ず値を変換してください。 たとえば、16 進数の値を使用した場合は、10 進数の値に変換します。 |
| ActorUserType | オプション | UserType | アクターの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「UserType」を参照してください。 注: 値は、異なる用語を使用してソース レコードに提供されている場合があり、これらの値に正規化する必要があります。 元の値は、ActorOriginalUserType フィールドに格納します。 |
| ActorOriginalUserType | 省略可能 | String | レポート デバイスによって提供されている場合、元のターゲット ユーザーの種類。 |
プロセス フィールドの実行
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| ActingProcessCommandLine | 省略可能 | String | 実行プロセスを実行するために使用するコマンド ライン。 例: "choco.exe" -v |
| ActingProcessName | 省略可能 | string | 実行プロセスの名前。 この名前は通常、プロセスの仮想アドレス空間にマップされる初期コードとデータを定義するために使用される、イメージまたは実行可能ファイルから派生します。 例: C:\Windows\explorer.exe |
| Process | エイリアス | ActingProcessName の別名 | |
| ActingProcessId | 省略可能 | String | 実行プロセスのプロセス ID (PID)。 例: 48610176 注: さまざまなシステムに対応するために、型は "文字列" として定義されますが、Windows と Linux ではこの値は数値である必要があります。 Windows または Linux のマシンを使用しており、かつ別の型を使用した場合は、必ず値を変換してください。 たとえば、16 進数の値を使用した場合は、10 進数の値に変換します。 |
| ActingProcessGuid | 省略可能 | string | 実行プロセスの生成された一意識別子 (GUID)。 システム間でプロセスを識別できます。 例: EF3BD0BD-2B74-60C5-AF5C-010000001E00 |
ソース システム関連フィールド
次のフィールドでは、通常、ネットワーク経由で実行される場合に、ファイル アクティビティを開始するシステムに関する情報を表します。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| SrcIpAddr | 推奨 | IP アドレス | 操作がリモート システムによって開始されたときは、このシステムの IP アドレス。 例: 185.175.35.214 |
| IpAddr | エイリアス | SrcIpAddr の別名 | |
| Src | エイリアス | SrcIpAddr の別名 | |
| SrcPortNumber | オプション | Integer | 操作がリモート システムによって開始される場合、接続の開始元のポート番号。 例: 2335 |
| SrcHostname | 推奨 | Hostname (ホスト名) | ドメイン情報を除いた、ソース デバイスのホスト名。 デバイス名を使用できない場合は、関連する IP アドレスをこのフィールドに格納します。 例: DESKTOP-1282V4D |
| SrcDomain | 推奨 | String | ソース デバイスのドメイン。 例: Contoso |
| SrcDomainType | 条件付き | DomainType | SrcDomain の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DomainType」を参照してください。 SrcDomain が使用されている場合は必須です。 |
| SrcFQDN | オプション | String | ソース デバイスのホスト名 (使用可能な場合はドメイン情報を含む)。 注: このフィールドでは、従来の FQDN 形式と Windows のドメイン\ホスト名形式の両方がサポートされています。 SrcDomainType フィールドには、使用されている形式が反映されます。 例: Contoso\DESKTOP-1282V4D |
| SrcDescription | 省略可能 | String | デバイスに関連付けられる説明のテキスト。 (例: Primary Domain Controller)。 |
| SrcDvcId | オプション | String | ソース デバイスの ID。 複数の ID が使用可能な場合は、最も重要なものを使用し、その他はフィールド SrcDvc<DvcIdType> に格納します。例: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 省略可能 | String | デバイスが属するクラウド プラットフォームのスコープ ID。 SrcDvcScopeId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| SrcDvcScope | 省略可能 | String | デバイスが属するクラウド プラットフォームのスコープ。 SrcDvcScope は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| SrcDvcIdType | 条件付き | DvcIdType | SrcDvcId の種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DvcIdType」を参照してください。 注: SrcDvcId が使用されている場合、このフィールドは必須です。 |
| SrcDeviceType | オプション | DeviceType | ソース デバイスの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「DeviceType」を参照してください。 |
| SrcSubscriptionId | オプション | String | ソース デバイスが属するクラウド プラットフォームのサブスクリプション ID。 SrcSubscriptionId は、Azure ではサブスクリプション ID に、AWS ではアカウント ID にマップされます。 |
| SrcGeoCountry | 省略可能 | 国 | 発信元 IP アドレスに関連付けられている国。 例: USA |
| SrcGeoRegion | 省略可能 | リージョン | 発信元 IP アドレスに関連付けられているリージョン。 例: Vermont |
| SrcGeoCity | オプション | City | 発信元 IP アドレスに関連付けられている都市。 例: Burlington |
| SrcGeoLatitude | 省略可能 | Latitude | 発信元 IP アドレスに関連付けられている地理的座標の緯度。 例: 44.475833 |
| SrcGeoLongitude | 省略可能 | Longitude | 発信元 IP アドレスに関連付けられている地理的座標の経度。 例: 73.211944 |
ネットワーク関連フィールド
次のフィールドでは、ファイル アクティビティがネットワーク経由で実行された場合のネットワーク セッションに関する情報を表します。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| HttpUserAgent | 省略可能 | String | HTTP または HTTPS を使用してリモート システムによって操作が開始されると、ユーザー エージェントが使用されます。 次に例を示します。 Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | オプション | String | 操作がリモート システムによって開始されると、この値は OSI モデルで使用されるアプリケーション層プロトコルになります。 このフィールドは列挙されず、あらゆる値が許容されます。推奨される値には、 HTTP、HTTPS、SMB、FTP、SSH などが挙げられます例: SMB |
ターゲット アプリケーション フィールド
次のフィールドでは、ユーザーに代わってファイル アクティビティを実行するターゲット アプリケーションに関する情報を表します。 ターゲット アプリケーションは、通常、Saas (サービスとしてのソフトウェア) アプリケーションを使用するなど、ネットワーク経由のファイル アクティビティに関連します。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| TargetAppName | 省略可能 | String | ターゲット アプリケーションの名前。 例: Facebook |
| Application | エイリアス | TargetAppName のエイリアス。 | |
| TargetAppId | オプション | String | レポート デバイスによって報告された、ターゲット アプリケーションの ID。 |
| TargetAppType | オプション | AppType | ターゲット アプリケーションの種類。 有効な値の一覧とその他の情報については、スキーマの概要に関する記事の「AppType」を参照してください。 TargetAppName または TargetAppId を使用する場合、このフィールドは必須です。 |
| TargetUrl | オプション | String | HTTP または HTTPS を使用して操作が開始されているときは、使用されている URL。 例: https://onedrive.live.com/?authkey=... |
| Url | エイリアス | TargetUrl のエイリアス。 |
検査のフィールド
次のフィールドは、ウイルス対策システムなどのセキュリティ システムによって実行される検査を表すために使用されます。 識別されたスレッドは、通常、アクティビティ自体ではなく、アクティビティが実行されたファイルに関連付けられます。
| フィールド | クラス | Type | 説明 |
|---|---|---|---|
| RuleName | 省略可能 | String | 検査結果に関連付けられたルールの名前または ID。 |
| RuleNumber | 省略可能 | Integer | 検査結果に関連付けられたルールの番号。 |
| Rule | 条件付き | String | kRuleName の値または RuleNumber の値のいずれか。 RuleNumber の値を使用する場合は、型を文字列に変換する必要があります。 |
| ThreatId | オプション | String | ファイル アクティビティで識別された脅威またはマルウェアの ID。 |
| ThreatName | オプション | String | ファイル アクティビティで識別された脅威またはマルウェアの名前。 例: EICAR Test File |
| ThreatCategory | 省略可能 | String | ファイル アクティビティで識別された脅威またはマルウェアのカテゴリ。 例: Trojan |
| ThreatRiskLevel | オプション | Integer | 識別された脅威に関連付けられているリスク レベル。 レベルは、0 から 100 の間の数値である必要があります。 注: 値は、異なるスケールを使用してソース レコードに提供される場合があり、このスケールに正規化する必要があります。 元の値は ThreatRiskLevelOriginal に格納する必要があります。 |
| ThreatOriginalRiskLevel | オプション | String | レポート デバイスによって報告されたリスク レベル。 |
| ThreatFilePath | オプション | String | 脅威が識別されたファイル パス。 ThreatField フィールドには、ThreatFilePath が表すフィールドの名前が含まれています。 |
| ThreatField | 省略可能 | Enumerated | 脅威が特定されたフィールド。 値は SrcFilePath または DstFilePath です。 |
| ThreatConfidence | 省略可能 | Integer | 識別された脅威の信頼レベル。0 から 100 の間の値に正規化されます。 |
| ThreatOriginalConfidence | 省略可能 | String | レポート デバイスによって報告される、特定された脅威の元の信頼レベル。 |
| ThreatIsActive | オプション | ブール型 | 特定された脅威がアクティブな脅威と見なされる場合は True。 |
| ThreatFirstReportedTime | オプション | DATETIME | IP アドレスまたはドメインが脅威として初めて識別された場合。 |
| ThreatLastReportedTime | オプション | DATETIME | 最後に IP アドレスまたはドメインが脅威として識別された時刻。 |
パス構造
パスは、次のいずれかの形式と一致するように正規化される必要があります。 値が正規化される形式は、それぞれの FilePathType フィールドに反映されます。
| Type | 例 | メモ |
|---|---|---|
| Windows ローカル | C:\Windows\System32\notepad.exe |
Windows のパス名は大文字と小文字が区別されないため、この型は値の大文字と小文字が区別されないことを示します。 |
| Windows 共有 | \\Documents\My Shapes\Favorites.vssx |
Windows のパス名は大文字と小文字が区別されないため、この型は値の大文字と小文字が区別されないことを示します。 |
| Unix | /etc/init.d/networking |
Unix のパス名は大文字と小文字が区別されるため、この型は値の大文字と小文字が区別されることを示します。 - AWS S3 には、この型を使用します。 バケット名とキー名を連結してパスを作成します。 - Azure Blob Storage のオブジェクト キーには、この型を使用します。 |
| URL | https://1drv.ms/p/s!Av04S_*********we |
ファイル パスが URL として利用できるときに使用します。 URL は http または https に限定されず、FTP 値を含むあらゆる値が有効です。 |
スキーマの更新
バージョン 0.1.1 のスキーマの変更点を次に示します。
- フィールド
EventSchemaが追加されました。
これらは、スキーマのバージョン 0.2 での変更点です。
- 検査フィールドが追加されました。
- フィールド
ActorScope、TargetUserScope、HashType、TargetAppName、TargetAppId、TargetAppType、SrcGeoCountry、SrcGeoRegion、SrcGeoLongitude、SrcGeoLatitude、ActorSessionId、DvcScopeId、DvcScopeが追加されました。 Url、IpAddr、'FileName'、Srcにエイリアスが追加されました。
これらは、スキーマのバージョン 0.2.1 での変更点です。
ApplicationがTargetAppNameの別名として追加されました。- フィールド
ActorScopeIdが追加されました。 - ソース デバイス関連フィールドが追加されました。
次のステップ
詳細については、次を参照してください。