| AdditionalFields |
dynamic |
스키마에서 일치하는 열이 없으면 JSON 모음에 추가 필드를 저장할 수 있습니다. |
| _BilledSize |
real |
레코드 크기(바이트) |
| CloudAppId |
string |
프록시로 식별되는 HTTP 애플리케이션에 대한 대상 애플리케이션의 ID입니다. 이 값은 일반적으로 사용되는 프록시와 관련이 있습니다. |
| CloudAppName |
string |
프록시로 식별되는 HTTP 애플리케이션의 대상 애플리케이션 이름 |
| CloudAppOperation |
string |
프록시로 식별된 HTTP 애플리케이션에 대한 대상 애플리케이션의 컨텍스트에서 사용자가 수행한 작업입니다. 이 값은 일반적으로 사용되는 프록시와 관련이 있습니다. |
| CloudAppRiskLevel |
string |
프록시로 식별되는 HTTP 애플리케이션과 연결된 위험 수준입니다. 이 값은 일반적으로 사용되는 프록시와 관련이 있습니다. |
| DstBytes |
long |
연결 또는 세션의 대상에서 원본으로 보낸 바이트 수 |
| DstDomainHostname |
string |
대상 호스트의 도메인입니다. |
| DstDvcDomain |
string |
대상 디바이스의 도메인입니다. |
| DstDvcFqdn |
string |
로그를 만든 호스트의 정규화된 도메인 이름입니다. |
| DstDvcHostname |
string |
대상 디바이스의 디바이스 이름입니다. |
| DstDvcIpAddr |
string |
네트워크 패킷과 직접 연결되지 않은 디바이스의 대상 IP 주소입니다. |
| DstDvcMacAddr |
string |
네트워크 패킷과 직접 연결되지 않은 디바이스의 대상 MAC 주소입니다. |
| DstGeoCity |
string |
대상 IP 주소와 연결된 도시입니다. |
| DstGeoCountry |
string |
원본 IP 주소와 연결된 국가입니다. |
| DstGeoLatitude |
real |
대상 IP 주소와 연결된 지리적 좌표의 위도입니다. |
| DstGeoLongitude |
real |
대상 IP 주소와 연결된 지리적 좌표의 경도 |
| DstGeoRegion |
string |
대상 IP 주소와 연결된 국가 내의 지역입니다. |
| DstInterfaceGuid |
string |
인증 요청에 사용된 네트워크 인터페이스의 GUID입니다. |
| DstInterfaceName |
string |
대상 디바이스의 연결 또는 세션에 사용되는 네트워크 인터페이스 |
| DstIpAddr |
string |
연결 또는 세션 대상의 IP 주소입니다. |
| DstMacAddr |
string |
연결 또는 세션이 종료된 네트워크 인터페이스의 MAC 주소입니다. |
| DstNatIpAddr |
string |
방화벽과 같은 중간 NAT 디바이스에서 보고하는 경우 NAT 디바이스에서 원본과의 통신에 사용하는 IP 주소입니다. |
| DstNatPortNumber |
int |
방화벽과 같은 중간 NAT 디바이스에서 보고하는 경우 NAT 디바이스에서 원본과의 통신에 사용하는 포트입니다. |
| DstPackets |
long |
연결 또는 세션에 대한 대상에서 원본으로 전송된 패킷 수입니다. 패킷의 의미는 보고 디바이스에 의해 정의됩니다. |
| DstPortNumber |
int |
대상 IP 포트입니다. |
| DstResourceId |
string |
대상 디바이스의 리소스 ID입니다. |
| DstUserAadId |
string |
세션의 대상 끝에 있는 사용자의 Azure AD 계정 개체 ID입니다. |
| DstUserDomain |
string |
세션 대상에 있는 계정의 도메인 또는 컴퓨터 이름입니다. |
| DstUserName |
string |
세션의 대상과 연결된 ID의 사용자 이름입니다. |
| DstUserSid |
string |
세션의 대상과 연결된 ID의 사용자 ID입니다. 일반적으로 서버를 인증하는 데 사용되는 ID입니다. |
| DstUserUpn |
string |
세션의 대상과 연결된 ID의 UPN입니다. |
| DstZone |
string |
보고 디바이스에 정의된 대상의 네트워크 영역 |
| DvcAction |
string |
방화벽과 같은 중간 디바이스에서 보고하는 경우 디바이스에서 수행한 작업입니다. |
| DvcHostname |
string |
메시지를 생성하는 디바이스의 디바이스 이름입니다. |
| DvcInboundInterface |
string |
방화벽과 같은 중간 디바이스에서 보고하는 경우 원본 디바이스에 대한 연결에 사용되는 네트워크 인터페이스입니다. |
| DvcIpAddr |
string |
레코드를 생성하는 디바이스의 IP 주소입니다. |
| DvcMacAddr |
string |
이벤트가 전송된 보고 디바이스의 네트워크 인터페이스의 MAC 주소입니다. |
| DvcOutboundInterface |
string |
방화벽과 같은 중간 디바이스에서 보고하는 경우 대상 디바이스에 대한 연결에 사용되는 네트워크 인터페이스입니다. |
| EventCount |
int |
집계된 이벤트 수(해당하는 경우) |
| EventEndTime |
날짜/시간 |
이벤트가 종료된 시간입니다. |
| EventMessage |
string |
레코드에 포함되거나 레코드에서 생성된 일반 메시지 또는 설명입니다. |
| EventOriginalUid |
string |
보고 디바이스의 레코드 ID입니다. |
| EventProduct |
string |
이벤트를 생성하는 제품 |
| EventProductVersion |
string |
이벤트를 생성하는 제품의 버전입니다. |
| EventReportUrl |
string |
보고 디바이스에서 만든 전체 보고서에 대한 링크입니다. |
| EventResourceId |
string |
메시지를 생성하는 디바이스의 리소스 ID입니다. |
| EventResult |
string |
작업에 대해 보고된 결과로 해당 사항이 없는 경우 빈 값입니다. |
| EventResultDetails |
string |
EventResult에 보고된 결과 이유 |
| EventSchemaVersion |
string |
Azure Sentinel 스키마 버전입니다. |
| EventSeverity |
string |
보고된 활동에 보안 영향이 있는 경우 영향의 심각도를 나타냅니다. |
| EventStartTime |
날짜/시간 |
이벤트가 명시한 시간입니다. |
| EventSubType |
string |
해당하는 경우 형식에 대한 추가 설명입니다. |
| EventTimeIngested |
날짜/시간 |
이벤트가 Azure Sentinel로 수집된 시간으로 Azure Sentinel에서 추가됩니다. |
| EventType |
string |
수집되는 이벤트의 유형입니다. |
| EventUid |
string |
Sentinel에서 행을 표시하는 데 사용하는 고유 식별자입니다. |
| EventVendor |
string |
이벤트를 생성하는 제품의 공급업체입니다. |
| FileExtension |
string |
FTP 및 HTTP와 같은 프로토콜의 네트워크 연결을 통해 전송되는 파일의 유형 |
| FileHashMd5 |
string |
프로토콜에 대한 네트워크 연결을 통해 전송되는 파일의 MD5 해시 값입니다. |
| FileHashSha1 |
string |
프로토콜에 대한 네트워크 연결을 통해 전송되는 파일의 SHA1 해시 값입니다. |
| FileHashSha256 |
string |
프로토콜에 대한 네트워크 연결을 통해 전송되는 파일의 SHA256 해시 값입니다. |
| FileHashSha512 |
string |
프로토콜에 대한 네트워크 연결을 통해 전송되는 파일의 SHA512 해시 값입니다. |
| FileMimeType |
string |
FTP 및 HTTP와 같은 프로토콜에 대한 네트워크 연결을 통해 전송되는 파일의 MIME 형식입니다. |
| FileName |
string |
파일 이름 정보를 제공하는 FTP 및 HTTP와 같은 프로토콜에 대한 네트워크 연결을 통해 전송되는 파일 이름 |
| FilePath |
string |
파일의 전체 경로(파일 이름 포함)입니다. |
| FileSize |
int |
프로토콜에 대한 네트워크 연결을 통해 전송되는 파일의 파일 크기(바이트)입니다. |
| HttpContentType |
string |
HTTP/HTTPS 네트워크 세션에 대한 HTTP 응답 콘텐츠 형식 헤더입니다. |
| HttpReferrerOriginal |
string |
HTTP/HTTPS 네트워크 세션에 대한 HTTP 참조자 헤더입니다. |
| HttpRequestMethod |
string |
HTTP/HTTPS 네트워크 세션에 대한 HTTP 메서드입니다. |
| HttpRequestTime |
int |
해당하는 경우 서버에 요청을 보내는 데 걸린 시간입니다. |
| HttpRequestXff |
string |
HTTP/HTTPS 네트워크 세션에 대한 HTTP X-Forwarded-For 헤더입니다. |
| HttpResponseTime |
int |
해당하는 경우 서버에서 응답을 받는 데 걸린 시간입니다. |
| HttpStatusCode |
string |
HTTP/HTTPS 네트워크 세션에 대한 HTTP 상태 코드입니다. |
| HttpUserAgentOriginal |
string |
HTTP/HTTPS 네트워크 세션에 대한 HTTP 사용자 에이전트 헤더입니다. |
| HttpVersion |
string |
HTTP/HTTPS 네트워크 연결에 대한 HTTP 요청 버전입니다. |
| _IsBillable |
string |
데이터 수집이 청구 가능한지 여부를 지정합니다. _IsBillable이 false인 경우 수집 비용은 Azure 계정에 청구되지 않습니다. |
| NetworkApplicationProtocol |
string |
연결 또는 세션에서 사용하는 애플리케이션 계층 프로토콜입니다. |
| NetworkBytes |
long |
양방향으로 전송된 바이트 수입니다. BytesReceived와 BytesSent가 모두 있는 경우 그 합계는 BytesTotal과 같아야 합니다. |
| NetworkDirection |
string |
조직 내 또는 외부의 연결 또는 세션 방향입니다. |
| NetworkDuration |
int |
네트워크 세션 또는 연결 완료 시간(밀리초)입니다. |
| NetworkIcmpCode |
int |
ICMP 메시지에서 ICMP 메시지 유형 숫자 값(RFC 2780 또는 RFC 4443) |
| NetworkIcmpType |
string |
ICMP 메시지의 경우 ICMP 메시지는 텍스트 표현(RFC 2780 또는 RFC 4443)을 입력합니다. |
| NetworkPackets |
long |
양방향으로 전송되는 패킷 수입니다. PacketsReceived와 PacketsSent가 모두 있는 경우 그 합계는 BytesTotal과 같아야 합니다. |
| NetworkProtocol |
string |
연결 또는 세션에서 사용하는 IP 프로토콜입니다. 일반적으로 TCP, UDP 또는 ICMP입니다. |
| NetworkRuleName |
string |
DeviceAction이 결정된 규칙의 이름 또는 ID입니다. |
| NetworkRuleNumber |
int |
일치하는 규칙 번호입니다. |
| NetworkSessionId |
string |
보고 디바이스에서 보고한 세션 식별자입니다. |
| SourceSystem |
string |
이벤트가 수집된 에이전트의 형식. 예를 들어, Windows 에이전트(직접 연결 또는 Operations Manager)의 경우 OpsManager, 모든 Linux 에이전트의 경우 Linux, Azure Diagnostics의 경우 Azure |
| SrcBytes |
long |
연결 또는 세션의 원본에서 대상으로 보낸 바이트 수 |
| SrcDvcDomain |
string |
세션이 시작된 디바이스의 도메인입니다. |
| SrcDvcFqdn |
string |
로그를 만든 호스트의 정규화된 도메인 이름입니다. |
| SrcDvcHostname |
string |
원본 디바이스의 디바이스 이름입니다. |
| SrcDvcIpAddr |
string |
네트워크 패킷과 직접 연결되지 않은 디바이스의 원본 IP 주소(공급자가 수집하거나 명시적으로 계산) |
| SrcDvcMacAddr |
string |
네트워크 패킷과 직접 연결되지 않은 디바이스의 원본 MAC 주소 |
| SrcDvcModelName |
string |
원본 디바이스의 모델입니다. |
| SrcDvcModelNumber |
string |
원본 디바이스의 모델 번호입니다. |
| SrcDvcOs |
string |
원본 디바이스의 OS입니다. |
| SrcDvcType |
string |
원본 디바이스의 형식입니다. |
| SrcGeoCity |
string |
원본 IP 주소와 연결된 도시입니다. |
| SrcGeoCountry |
string |
원본 IP 주소와 연결된 국가입니다. |
| SrcGeoLatitude |
real |
원본 IP 주소와 연결된 지리적 좌표의 위도입니다. |
| SrcGeoLongitude |
real |
원본 IP 주소와 연결된 지리적 좌표의 경도입니다. |
| SrcGeoRegion |
string |
원본 IP 주소와 연결된 국가 내의 지역입니다. |
| SrcInterfaceGuid |
string |
사용되는 네트워크 인터페이스의 GUID입니다. |
| SrcInterfaceName |
string |
원본 디바이스에서 연결 또는 세션에 사용하는 네트워크 인터페이스 |
| SrcIpAddr |
string |
연결 또는 세션이 시작된 IP 주소입니다. |
| SrcMacAddr |
string |
연결 od 세션이 시작된 네트워크 인터페이스의 MAC 주소입니다. |
| SrcNatIpAddr |
string |
방화벽과 같은 중간 NAT 디바이스에서 보고하는 경우 NAT 디바이스에서 대상과의 통신에 사용하는 IP 주소입니다. |
| SrcNatPortNumber |
int |
방화벽과 같은 중간 NAT 디바이스에서 보고하는 경우 NAT 디바이스에서 대상과 통신하는 데 사용하는 포트 |
| SrcPackets |
long |
원본에서 연결 또는 세션의 대상으로 전송된 패킷 수입니다. 패킷의 의미는 보고 디바이스에 의해 정의됩니다. |
| SrcPortNumber |
int |
연결이 시작된 IP 포트입니다. 여러 연결을 구성하는 세션과 관련이 없을 수 있습니다. |
| SrcResourceId |
string |
메시지를 생성하는 디바이스의 리소스 ID입니다. |
| SrcUserAadId |
string |
세션의 원본 끝에 있는 사용자의 Azure AD 계정 개체 ID입니다. |
| SrcUserDomain |
string |
세션을 시작하는 계정의 도메인입니다. |
| SrcUserName |
string |
세션 원본과 연결된 ID의 사용자 이름. 일반적으로 사용자는 클라이언트에서 작업을 수행합니다. |
| SrcUserSid |
string |
세션 원본과 연결된 ID의 사용자 ID입니다. 일반적으로 사용자는 클라이언트에서 작업을 수행합니다. |
| SrcUserUpn |
string |
세션을 시작하는 계정의 UPN입니다. |
| SrcZone |
string |
보고 디바이스에서 정의한 원본 네트워크 영역 |
| TenantId |
string |
Log Analytics 작업 영역 ID |
| ThreatCategory |
string |
IPS의 웹 보안 게이트웨이와 같은 보안 시스템에서 식별되고 이 네트워크 세션과 연결된 위협의 범주입니다. |
| ThreatId |
string |
IPS의 웹 보안 게이트웨이와 같은 보안 시스템에서 식별되고 이 네트워크 세션과 연결된 위협의 ID입니다. |
| ThreatName |
string |
식별된 위협 또는 맬웨어의 이름입니다. |
| TimeGenerated |
날짜/시간 |
보고 원본에서 보고한 이벤트가 발생한 시간입니다. |
| Type |
string |
테이블의 이름입니다. |
| UrlCategory |
string |
정의된 URL 그룹화(또는 URL의 도메인을 기반으로 할 수 있음)는 성인, 뉴스, 광고, 주차된 도메인 등과 관련이 있습니다. |
| UrlHostname |
string |
HTTP/HTTPS 네트워크 세션에 대한 HTTP 요청 URL의 도메인 부분입니다. |
| UrlOriginal |
string |
HTTP/HTTPS 네트워크 세션에 대한 HTTP 요청 URL입니다. |