ASIM(고급 보안 정보 모델) 파일 이벤트 정규화 스키마 참조(퍼블릭 미리 보기)
파일 이벤트 정규화 스키마는 파일 또는 문서 만들기, 수정 또는 삭제와 같은 파일 작업을 설명하는 데 사용됩니다. 이러한 이벤트는 운영 체제, Azure Files와 같은 파일 스토리지 시스템 및 Microsoft SharePoint와 같은 문서 관리 시스템에서 보고됩니다.
Microsoft Sentinel의 정규화에 대한 자세한 내용은 정규화 및 ASIM(고급 보안 정보 모델)을 참조하세요.
Important
파일 이벤트 정규화 스키마는 현재 미리 보기로 제공됩니다. 이 기능은 서비스 수준 계약 없이 제공되며 프로덕션 워크로드에는 권장되지 않습니다.
Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
파서
파일 작업 파서 배포 및 사용
Microsoft Sentinel GitHub 리포지토리에서 ASIM 파일 작업 파서를 배포합니다. 모든 파일 활동 원본에서 쿼리하려면 통합 파서 imFileEvent 를 쿼리의 테이블 이름으로 사용합니다.
ASIM 파서 사용에 대한 자세한 내용은 ASIM 파서 개요를 참조하세요. Microsoft Sentinel이 즉시 제공하는 파일 작업 파서 목록은 ASIM 파서 목록을 참조하세요.
사용자 고유의 정규화된 파서 추가
파일 이벤트 정보 모델에 대한 사용자 지정 파서를 구현하는 경우 다음 구문을 imFileEvent<vendor><Product사용하여 KQL 함수의 이름을 지정합니다.
사용자 지정 파서를 파일 작업 통합 파서에 추가하는 방법을 알아보려면 ASIM 파서 관리 문서를 참조하세요.
정규화된 콘텐츠
정규화된 파일 활동 이벤트를 사용하는 분석 규칙의 전체 목록은 파일 활동 보안 콘텐츠를 참조 하세요.
스키마 개요
파일 이벤트 정보 모델은 OSSEM 프로세스 엔터티 스키마에 맞춰집니다.
파일 이벤트 스키마는 파일 활동의 중심인 다음 엔터티를 참조합니다.
- 행위자. 파일 작업을 시작한 사용자
- ActingProcess. 행위자가 파일 작업을 시작하는 데 사용하는 프로세스
- TargetFile. 작업이 수행된 파일입니다.
- 원본 파일(SrcFile). 작업 전에 파일 정보를 저장합니다.
이러한 엔터티 간의 관계는 다음과 같이 가장 잘 설명됩니다. 행위 자가 작업 프로세스를 사용하여 파일 작업을 수행하여 원본 파일을 대상 파일로 수정합니다.
예: (행위자)는 (작업 프로세스)를 사용하여 Windows File Explorer 이름을 바꿉니다 new.doc (원본 파일)를 old.doc (대상 파일).JohnDoe
스키마 세부 정보
공용 필드
Important
모든 스키마에 공통적인 필드는 ASIM 공통 필드 문서에 자세히 설명되어 있습니다.
파일 이벤트 스키마에 대한 특정 지침이 있는 필드
다음 목록에는 파일 활동 이벤트에 대한 특정 지침이 있는 필드가 나와 있습니다.
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| EventType | 필수 | Enumerated | 레코드에서 보고하는 작업을 설명합니다. 지원되는 값은 , - FileAccessed- FileCreated- FileModified- FileDeleted- FileRenamed- FileCopied- FileMoved- FolderCreated- FolderDeleted- FolderMoved- FolderModified- FileCreatedOrModified |
| EventSubType | 선택 사항 | Enumerated | EventType에 보고된 작업에 대한 세부 정보를 설명합니다. 이벤트 유형당 지원되는 값은 다음과 같습니다. - FileCreated - Upload, Checkin - FileModified - Checkin- FileCreatedOrModified - Checkin - FileAccessed - Download, Preview, CheckoutExtended - FileDeleted - Recycled, , VersionsSite |
| EventSchema | 필수 | 문자열 | 여기에 설명된 스키마의 이름은 FileEvent입니다. |
| EventSchemaVersion | 필수 | 문자열 | 스키마의 버전입니다. 여기에 설명된 스키마의 버전은 0.2.1입니다 |
| Dvc 필드 | - | - | 파일 활동 이벤트의 경우 디바이스 필드는 파일 활동이 발생한 시스템을 참조합니다. |
Important
EventSchema 필드는 현재 선택 사항이지만 2022년 9월 1일부터 필수 사항이 됩니다.
모든 공통 필드
테이블에 표시되는 필드는 모든 ASIM 스키마에 공통적으로 적용됩니다. 이 문서의 스키마 관련 지침은 필드에 대한 일반 지침을 재정의합니다. 예를 들어 필드가 일반적으로 선택 사항이지만 특정 스키마에서는 필수 사항일 수 있습니다. 각 필드에 대한 자세한 내용은 ASIM 공통 필드 문서를 참조하세요.
대상 파일 필드
다음 필드는 파일 작업의 대상 파일에 대한 정보를 나타냅니다. 예를 들어 작업에 단일 파일이 FileCreate 포함된 경우 대상 파일 필드로 표시됩니다.
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| TargetFileCreationTime | 선택 사항 | 날짜/시간 | 대상 파일을 만든 시간입니다. |
| TargetFileDirectory | 선택 사항 | 문자열 | 대상 파일 폴더 또는 위치입니다. 이 필드는 최종 요소가 없는 TargetFilePath 필드와 유사해야 합니다. 참고: 로그 원본에서 값을 사용할 수 있고 전체 경로에서 추출할 필요가 없는 경우 파서에서 이 값을 제공할 수 있습니다. |
| TargetFileExtension | 선택 사항 | 문자열 | 대상 파일 확장명입니다. 참고: 로그 원본에서 값을 사용할 수 있고 전체 경로에서 추출할 필요가 없는 경우 파서에서 이 값을 제공할 수 있습니다. |
| TargetFileMimeType | 선택 사항 | Enumerated | 대상 파일의 Mime 또는 Media 형식입니다. 허용되는 값은 IANA 미디어 형식 리포지토리에 나열됩니다. |
| TargetFileName | 권장 | 문자열 | 경로 또는 위치가 없는 대상 파일의 이름이지만 관련된 경우 확장명을 사용합니다. 이 필드는 TargetFilePath 필드의 최종 요소와 비슷합니다. |
| FileName | Alias | TargetFileName 필드의 별칭입니다. | |
| TargetFilePath | 필수 | 문자열 | 폴더 또는 위치, 파일 이름 및 확장명을 포함하여 대상 파일의 정규화된 전체 경로입니다. 자세한 내용은 경로 구조를 참조 하세요. 참고: 레코드에 폴더 또는 위치 정보가 포함되지 않은 경우 여기에만 파일 이름을 저장합니다. 예: C:\Windows\System32\notepad.exe |
| TargetFilePathType | 필수 | Enumerated | TargetFilePath의 형식입니다. 자세한 내용은 경로 구조를 참조 하세요. |
| FilePath | Alias | TargetFilePath 필드의 별칭입니다. | |
| TargetFileMD5 | 선택 사항 | MD5 | 대상 파일의 MD5 해시입니다. 예: 75a599802f1fa166cdadb360960b1dd0 |
| TargetFileSHA1 | 선택 사항 | SHA1 | 대상 파일의 SHA-1 해시입니다. 예시: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| TargetFileSHA256 | 선택 사항 | SHA256 | 대상 파일의 SHA-256 해시입니다. 예시: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| TargetFileSHA512 | 선택 사항 | SHA512 | 원본 파일의 SHA-512 해시입니다. |
| 해시 | Alias | 사용 가능한 최상의 대상 파일 해시에 대한 별칭입니다. | |
| HashType | 권장 | 문자열 | HASH 별칭 필드에 저장된 해시 형식으로 허용되는 값은 MD5, SHA, SHA256, SHA512 및 IMPHASH입니다. 필수(채워진 경우 Hash )입니다. |
| TargetFileSize | 선택 사항 | Long | 대상 파일의 크기(바이트)입니다. |
원본 파일 필드
다음 필드는 원본과 대상(예: 복사)이 있는 파일 작업의 원본 파일에 대한 정보를 나타냅니다. 작업에 단일 파일이 포함된 경우 대상 파일 필드로 표시됩니다.
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| SrcFileCreationTime | 선택 사항 | 날짜/시간 | 원본 파일을 만든 시간입니다. |
| SrcFileDirectory | 선택 사항 | 문자열 | 원본 파일 폴더 또는 위치입니다. 이 필드는 최종 요소가 없는 SrcFilePath 필드와 비슷합니다. 참고: 값을 로그 원본에서 사용할 수 있고 전체 경로에서 추출할 필요가 없는 경우 파서는 이 값을 제공할 수 있습니다. |
| SrcFileExtension | 선택 사항 | 문자열 | 원본 파일 확장명입니다. 참고: 파서는 이 값을 로그 원본에서 사용할 수 있으며 전체 경로에서 추출할 필요가 없습니다. |
| SrcFileMimeType | 선택 사항 | Enumerated | 원본 파일의 Mime 또는 미디어 형식입니다. 지원되는 값은 IANA 미디어 형식 리포지토리에 나열되어 있습니다. |
| SrcFileName | 권장 | 문자열 | 경로 또는 위치가 없지만 관련된 경우 확장명을 가진 원본 파일의 이름입니다. 이 필드는 SrcFilePath 필드의 마지막 요소와 유사해야 합니다. |
| SrcFilePath | 권장 | 문자열 | 폴더 또는 위치, 파일 이름 및 확장명을 포함한 원본 파일의 정규화된 전체 경로입니다. 자세한 내용은 경로 구조를 참조 하세요. 예: /etc/init.d/networking |
| SrcFilePathType | 권장 | Enumerated | SrcFilePath의 형식입니다. 자세한 내용은 경로 구조를 참조 하세요. |
| SrcFileMD5 | 선택 사항 | MD5 | 원본 파일의 MD5 해시입니다. 예: 75a599802f1fa166cdadb360960b1dd0 |
| SrcFileSHA1 | 선택 사항 | SHA1 | 원본 파일의 SHA-1 해시입니다. 예시: d55c5a4df19b46db8c54c801c4665d3338acdab0 |
| SrcFileSHA256 | 선택 사항 | SHA256 | 소스 파일의 SHA-256 해시입니다. 예시: e81bb824c4a09a811af17deae22f22dd2e1ec8cbb00b22629d2899f7c68da274 |
| SrcFileSHA512 | 선택 사항 | SHA512 | 원본 파일의 SHA-512 해시입니다. |
| SrcFileSize | 선택 사항 | Long | 소스 파일의 크기(바이트)입니다. |
작업자 필드
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| ActorUserId | 권장 | 문자열 | 컴퓨터에서 읽을 수 있는 영숫자, 행위자의 고유한 표현입니다. 다양한 ID 형식에 지원되는 형식은 사용자 항목을 참조하세요. 예: S-1-12 |
| ActorScope | 선택 사항 | 문자열 | ActorUserId 및 ActorUsername이 정의된 Microsoft Entra 테넌트와 같은 범위입니다. 또는 허용되는 값에 대한 자세한 내용과 목록은 스키마 개요 문서의 UserScope를 참조하세요. |
| ActorScopeId | 선택 사항 | 문자열 | ActorUserId 및 ActorUsername이 정의된 Microsoft Entra 디렉터리 ID와 같은 범위 ID입니다. 또는 허용된 값에 대한 자세한 내용과 목록은 스키마 개요 문서의 UserScopeId를 참조하세요. |
| ActorUserIdType | 조건부 | 문자열 | ActorUserId 필드에 저장된 ID의 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서의 UserIdType을 참조하세요. |
| ActorUsername | 필수 | 문자열 | 사용 가능한 경우 도메인 정보를 포함한 작업자의 사용자 이름입니다. 다양한 ID 형식에 지원되는 형식은 사용자 항목을 참조하세요. 도메인 정보를 사용할 수 없는 경우에만 단순 양식을 사용합니다. ActorUsernameType 필드에 사용자 이름 형식을 저장합니다. 다른 사용자 이름 형식을 사용할 수 있는 경우 ActorUsername<UsernameType> 필드에 저장합니다.예: AlbertE |
| 사용자 | Alias | ActorUsername 필드의 별칭입니다. 예: CONTOSO\dadmin |
|
| ActorUsernameType | 조건부 | Enumerated | ActorUsername 필드에 저장된 사용자 이름의 형식을 지정합니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서의 UsernameType을 참조하세요. 예: Windows |
| ActorSessionId | 선택 사항 | 문자열 | 작업자 로그인 세션의 고유 ID. 예: 999참고: 유형은 다양한 시스템을 지원하기 위해 문자열로 정의되지만 Windows에서는 이 값이 숫자여야 합니다. Windows 머신을 사용하고 다른 형식을 사용하는 경우에는 값을 변환해야 합니다. 예를 들어 16진수 값을 사용한 경우 10진수 값으로 변환합니다. |
| ActorUserType | 선택 사항 | UserType | 행위자의 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서에서 UserType을 참조하세요. 참고: 다른 용어를 사용하여 원본 레코드에 값을 제공할 수 있으며 이러한 값으로 정규화되어야 합니다. ActorOriginalUserType 필드에 원래 값을 저장합니다. |
| ActorOriginalUserType | 선택 사항 | 문자열 | 보고 디바이스에서 제공한 경우 원래 대상 사용자 유형입니다. |
작업 수행 프로세스 필드
원본 시스템 관련 필드
다음 필드는 일반적으로 네트워크를 통해 전송되는 경우 파일 작업을 시작하는 시스템에 대한 정보를 나타냅니다.
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| SrcIpAddr | 권장 | IP 주소 | 원격 시스템에서 작업을 시작하면 이 시스템의 IP 주소입니다. 예: 185.175.35.214 |
| IpAddr | Alias | SrcIpAddr에 대한 별칭 | |
| Src | Alias | SrcIpAddr에 대한 별칭 | |
| SrcPortNumber | 선택 사항 | 정수 | 원격 시스템에서 작업을 시작하면 연결이 시작된 포트 번호입니다. 예: 2335 |
| SrcHostname | 권장 | Hostname | 도메인 정보를 제외한 원본 디바이스 호스트 이름입니다. 사용 가능한 디바이스 이름이 없으면 이 필드에 관련 IP 주소를 저장합니다. 예: DESKTOP-1282V4D |
| SrcDomain | 권장 | 문자열 | 원본 디바이스의 도메인입니다. 예: Contoso |
| SrcDomainType | 조건부 | DomainType | SrcDomain 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서의 DomainType을 참조하세요. SrcDomain을 사용하는 경우 필수입니다. |
| SrcFQDN | 선택 사항 | 문자열 | 사용 가능한 경우 도메인 정보를 포함하는 원본 디바이스 호스트 이름입니다. 참고: 이 필드는 기존 FQDN 형식과 Windows 도메인\호스트 이름 형식을 모두 지원합니다. SrcDomainType 필드는 사용된 형식을 반영합니다. 예: Contoso\DESKTOP-1282V4D |
| SrcDescription | 선택 사항 | 문자열 | 디바이스와 관련된 설명 텍스트입니다. 예: Primary Domain Controller |
| SrcDvcId | 선택 사항 | 문자열 | 원본 디바이스의 ID입니다. 여러 ID를 사용할 수 있는 경우 가장 중요한 ID를 사용하고 나머지는 SrcDvc<DvcIdType> 필드에 저장합니다.예: ac7e9755-8eae-4ffc-8a02-50ed7a2216c3 |
| SrcDvcScopeId | 선택 사항 | 문자열 | 디바이스가 속한 클라우드 플랫폼 범위 ID입니다. SrcDvcScopeId 는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| SrcDvcScope | 선택 사항 | 문자열 | 디바이스가 속한 클라우드 플랫폼 범위입니다. SrcDvcScope는 Azure의 구독 ID 및 AWS의 계정 ID에 매핑됩니다. |
| SrcDvcIdType | 조건부 | DvcIdType | SrcDvcId 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서에서 DvcIdType을 참조하세요. 참고: 이 필드는 SrcDvcId가 사용되는 경우 필수입니다. |
| SrcDeviceType | 선택 사항 | DeviceType | 원본 디바이스의 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서에서 DeviceType을 참조하세요. |
| SrcSubscriptionId | 선택 사항 | 문자열 | 원본 디바이스가 속한 클라우드 플랫폼 구독 ID입니다. SrcSubscriptionId는 Azure의 구독 ID와 AWS의 계정 ID에 매핑됩니다. |
| SrcGeoCountry | 선택 사항 | 국가 | 원본 IP 주소와 연결된 국가/지역입니다. 예: USA |
| SrcGeoRegion | 선택 사항 | 지역 | 원본 IP 주소와 연결된 지역입니다. 예: Vermont |
| SrcGeoCity | 선택 사항 | City | 원본 IP 주소와 연결된 도시입니다. 예: Burlington |
| SrcGeoLatitude | 선택 사항 | 위도 | 원본 IP 주소와 연결된 지리적 좌표의 위도입니다. 예: 44.475833 |
| SrcGeoLongitude | 선택 사항 | 경도 | 원본 IP 주소와 연결된 지리적 좌표의 경도입니다. 예: 73.211944 |
네트워크 관련 필드
다음 필드는 파일 작업이 네트워크를 통해 수행된 경우 네트워크 세션에 대한 정보를 나타냅니다.
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| HttpUserAgent | 선택 사항 | 문자열 | HTTP 또는 HTTPS를 사용하여 원격 시스템에서 작업을 시작하면 사용자 에이전트가 사용됩니다. 예시: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135Safari/537.36 Edge/12.246 |
| NetworkApplicationProtocol | 선택 사항 | 문자열 | 원격 시스템에서 작업을 시작할 때 이 값은 OSI 모델에 사용되는 애플리케이션 계층 프로토콜입니다. 이 필드는 열거되지 않고 모든 값이 허용되지만, 바람직한 값은 다음과 같습니다. HTTPHTTPSSMBFTPSSH 예: SMB |
대상 애플리케이션 필드
다음 필드는 사용자를 대신하여 파일 작업을 수행하는 대상 애플리케이션에 대한 정보를 나타냅니다. 대상 애플리케이션은 일반적으로 네트워크 이상의 파일 작업(예: Saas(Software as a Service) 애플리케이션 사용)과 관련이 있습니다.
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| TargetAppName | 선택 사항 | 문자열 | 대상 애플리케이션의 이름입니다. 예: Facebook |
| 애플리케이션 | Alias | TargetAppName에 대한 별칭입니다. | |
| TargetAppId | 선택 사항 | 문자열 | 보고 디바이스에서 보고한 대상 애플리케이션의 ID입니다. |
| TargetAppType | 선택 사항 | AppType | 대상 애플리케이션의 형식입니다. 허용되는 값 목록 및 추가 정보는 스키마 개요 문서에서 AppType을 참조하세요. TargetAppName 또는 TargetAppId를 사용하는 경우 이 필드는 필수입니다. |
| TargetUrl | 선택 사항 | 문자열 | HTTP 또는 HTTPS를 사용하여 작업을 시작하는 경우 사용되는 URL입니다. 예: https://onedrive.live.com/?authkey=... |
| Url | Alias | TargetUrl에 대한 별칭 |
검사 필드
다음 필드는 이러한 바이러스 백신 시스템과 같은 보안 시스템에서 수행하는 검사를 나타내는 데 사용됩니다. 식별된 스레드는 일반적으로 활동 자체가 아니라 작업이 수행된 파일과 연결됩니다.
| 필드 | 클래스 | Type | 설명 |
|---|---|---|---|
| RuleName | 선택 사항 | 문자열 | 검사 결과와 연결된 규칙의 이름 또는 ID입니다. |
| RuleNumber | 선택 사항 | 정수 | 검사 결과와 연결된 규칙의 수입니다. |
| 규칙 | 조건부 | 문자열 | kRuleName 값 또는 RuleNumber 값입니다. RuleNumber 값을 사용하는 경우 형식을 문자열로 변환해야 합니다. |
| ThreatId | 선택 사항 | 문자열 | 파일 활동에서 식별된 위협 또는 맬웨어의 ID입니다. |
| ThreatName | 선택 사항 | 문자열 | 파일 활동에서 식별된 위협 또는 맬웨어의 이름입니다. 예: EICAR Test File |
| ThreatCategory | 선택 사항 | 문자열 | 파일 활동에서 식별된 위협 또는 맬웨어의 범주입니다. 예: Trojan |
| ThreatRiskLevel | 선택 사항 | 정수 | 식별된 위협과 관련된 위험 수준입니다. 수준은 0에서 100 사이의 숫자여야 합니다. 참고: 이 척도로 정규화되어야 하는 다른 척도를 사용하여 값을 원본 레코드에 제공할 수 있습니다. 원래 값은 ThreatRiskLevelOriginal에 저장해야 합니다. |
| ThreatOriginalRiskLevel | 선택 사항 | 문자열 | 보고 디바이스에서 보고한 위험 수준입니다. |
| ThreatFilePath | 선택 사항 | 문자열 | 위협이 식별된 파일 경로입니다. ThreatField 필드에는 ThreatFilePath가 나타내는 필드의 이름이 포함됩니다. |
| ThreatField | 선택 사항 | Enumerated | 위협이 식별된 필드입니다. 값은 SrcFilePath 또는 DstFilePath입니다. |
| ThreatConfidence | 선택 사항 | 정수 | 식별된 위협의 신뢰 수준이며, 0~100의 값으로 정규화됩니다. |
| ThreatOriginalConfidence | 선택 사항 | 문자열 | 보고 디바이스에서 보고하는 식별된 위협의 원래 신뢰 수준입니다. |
| ThreatIsActive | 선택 사항 | Boolean | True이면 식별된 위협이 활성 위협으로 간주됩니다. |
| ThreatFirstReportedTime | 선택 사항 | 날짜/시간 | IP 주소 또는 도메인이 처음으로 위협으로 식별된 시간입니다. |
| ThreatLastReportedTime | 선택 사항 | 날짜/시간 | IP 주소 또는 도메인이 마지막으로 위협으로 식별된 시간입니다. |
경로 구조
경로는 다음 형식 중 하나와 일치하도록 정규화해야 합니다. 값이 정규화되는 형식은 해당 FilePathType 필드에 반영됩니다.
| Type | 예시 | 주의 |
|---|---|---|
| Windows 로컬 | C:\Windows\System32\notepad.exe |
Windows 경로 이름은 대/소문자를 구분하지 않으므로 이 형식은 값에서 대/소문자를 구분하지 않음을 의미합니다. |
| Windows 공유 | \\Documents\My Shapes\Favorites.vssx |
Windows 경로 이름은 대/소문자를 구분하지 않으므로 이 형식은 값에서 대/소문자를 구분하지 않음을 의미합니다. |
| 유닉스 | /etc/init.d/networking |
Unix 경로 이름은 대/소문자를 구분하므로 이 형식은 값이 대/소문자를 구분한다는 것을 의미합니다. - AWS S3에 이 형식을 사용합니다. 버킷 및 키 이름을 연결하여 경로를 만듭니다. - 이 형식을 Azure Blob 스토리지 개체 키에 사용합니다. |
| URL | https://1drv.ms/p/s!Av04S_*********we |
파일 경로를 URL로 사용할 수 있는 경우에 사용합니다. URL은 http 또는 https로 제한되지 않으며 FTP 값을 포함한 모든 값이 유효합니다. |
스키마 업데이트
다음은 스키마 버전 0.1.1의 변경 내용입니다.
EventSchema필드를 추가했습니다.
스키마 버전 0.2에는 다음과 같은 변경 내용이 있습니다.
- 검사 필드가 추가되었습니다.
- 필드
ActorScope, ,TargetUserScope,HashType,TargetAppName,TargetAppId,TargetAppType,SrcGeoCountrySrcGeoRegion,ActorSessionIdSrcGeoLatitudeSrcGeoLongitudeDvcScopeId, 및DvcScope.를 추가했습니다. - 별칭
Url,IpAddr'FileName' 및Src.
스키마 버전 0.2.1에는 다음과 같은 변경 내용이 있습니다.
- 에 별칭으로 추가
Application되었습니다TargetAppName. - 필드가 추가됨
ActorScopeId - 원본 디바이스 관련 필드가 추가되었습니다.
다음 단계
자세한 내용은 다음을 참조하세요.