| AdditionalFields |
dynamisch |
Aanvullende informatie, vertegenwoordigd met sleutel-/waardeparen die worden geleverd door de bron die niet worden toegewezen aan ASim. |
| _BilledSize |
werkelijk |
De recordgrootte in bytes |
| DstAppId |
tekenreeks |
De id van de doeltoepassing, zoals gerapporteerd door het rapportageapparaat. |
| DstAppName |
tekenreeks |
De naam van de doeltoepassing. |
| DstAppType |
tekenreeks |
Het type van de doeltoepassing. |
| DstBytes |
long |
Het aantal bytes dat van de bestemming naar de bron is verzonden voor de verbinding of sessie. Als de gebeurtenis wordt geaggregeerd, is DstBytes de som van alle geaggregeerde sessies. |
| DstDescription |
tekenreeks |
Een beschrijvende tekst die aan de bestemming is gekoppeld. |
| DstDeviceType |
tekenreeks |
Het type van het doelapparaat. |
| DstDomain |
tekenreeks |
Het domein van het doelapparaat. |
| DstDomainType |
tekenreeks |
Het type DstDomain. |
| DstDvcId |
tekenreeks |
De id van het doelapparaat. |
| DstDvcIdType |
tekenreeks |
Het type DstDvcId. |
| DstFQDN |
tekenreeks |
De hostnaam van het doelapparaat, inclusief domeingegevens, indien beschikbaar. |
| DstGeoCity |
tekenreeks |
De plaats die is gekoppeld aan het doel-IP-adres. |
| DstGeoCountry |
tekenreeks |
Het land dat is gekoppeld aan het doel-IP-adres. |
| DstGeoL dankbaarheid |
werkelijk |
De breedtegraad van de geografische coördinaat die is gekoppeld aan het doel-IP-adres. |
| DstGeoLongitude |
werkelijk |
De lengtegraad van de geografische coördinaat die is gekoppeld aan het doel-IP-adres. |
| DstGeoRegion |
tekenreeks |
De regio of staat binnen een land dat is gekoppeld aan het doel-IP-adres. |
| DstHostname |
tekenreeks |
De hostnaam van het doelapparaat, met uitzondering van domeingegevens. |
| DstInterfaceGuid |
tekenreeks |
De GUID van de netwerkinterface die wordt gebruikt op het doelapparaat. |
| DstInterfaceName |
tekenreeks |
De netwerkinterface die wordt gebruikt voor de verbinding of sessie door het doelapparaat. |
| DstIpAddr |
tekenreeks |
Het IP-adres van de verbinding of sessiebestemming. |
| DstMacAddr |
tekenreeks |
Het MAC-adres van de netwerkinterface die wordt gebruikt voor de verbinding of sessie door het doelapparaat. |
| DstNatIpAddr |
tekenreeks |
De DstNatIpAddr vertegenwoordigt een van de volgende opties: het oorspronkelijke adres van het doelapparaat als netwerkadresomzetting is gebruikt of het IP-adres dat door het tussenliggende apparaat wordt gebruikt voor communicatie met de bron. |
| DstNatPortNumber |
int |
Als dit wordt gerapporteerd door een tussenliggend NAT-apparaat, wordt de poort die door het NAT-apparaat wordt gebruikt voor communicatie met de bron. |
| DstOriginalUserType |
tekenreeks |
Het oorspronkelijke doelgebruikerstype, indien opgegeven door de bron. |
| DstPackets |
long |
Het aantal pakketten dat van de bestemming naar de bron wordt verzonden voor de verbinding of sessie. De betekenis van een pakket wordt gedefinieerd door het rapportageapparaat. Als de gebeurtenis wordt geaggregeerd, is DstPackets de som van alle geaggregeerde sessies. |
| DstPortNumber |
int |
De doel-IP-poort. |
| DstSubscriptionId |
tekenreeks |
De abonnements-id van het cloudplatform waartoe het doelapparaat behoort. DstSubscriptionId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
| DstUserId |
tekenreeks |
Een machineleesbare, alfanumerieke, unieke weergave van de doelgebruiker. |
| DstUserIdType |
tekenreeks |
Het type id dat is opgeslagen in het veld DstUserId. |
| DstUsername |
tekenreeks |
De doelgebruikersnaam, inclusief domeingegevens, indien beschikbaar. Gebruik het eenvoudige formulier alleen als domeingegevens niet beschikbaar zijn. |
| DstUsernameType |
tekenreeks |
Hiermee geeft u het type van de gebruikersnaam op die is opgeslagen in het veld DstUsername. |
| DstUserType |
tekenreeks |
Het type doelgebruiker. |
| DstVlanId |
tekenreeks |
De VLAN-id die is gerelateerd aan het doelapparaat. |
| DstZone |
tekenreeks |
De netwerkzone van de bestemming, zoals gedefinieerd door het rapportageapparaat. |
| Dvc |
tekenreeks |
Een unieke id van het apparaat waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd. |
| DvcAction |
tekenreeks |
De actie die is uitgevoerd op de netwerksessie. |
| DvcDescription |
tekenreeks |
Een beschrijvende tekst die aan het apparaat is gekoppeld. Bijvoorbeeld: primaire domeincontroller. |
| DvcDomain |
tekenreeks |
Het domein van het apparaat dat de gebeurtenis rapporteert. |
| DvcDomainType |
tekenreeks |
Het type DvcDomain. Mogelijke waarden zijn 'Windows' en 'FQDN'. |
| DvcFQDN |
tekenreeks |
De hostnaam van het apparaat waarop de gebeurtenis heeft plaatsgevonden of die de gebeurtenis heeft gerapporteerd. |
| DvcHostname |
tekenreeks |
De hostnaam van het apparaat dat de gebeurtenis rapporteert. |
| DvcId |
tekenreeks |
De unieke id van het apparaat waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd. |
| DvcIdType |
tekenreeks |
Het type DvcId. |
| DvcInboundInterface |
tekenreeks |
Als dit wordt gerapporteerd door een tussenliggend apparaat, wordt de netwerkinterface die door het NAT-apparaat wordt gebruikt voor de verbinding met het bronapparaat. |
| DvcInterface |
tekenreeks |
De netwerkinterface waarop gegevens zijn vastgelegd. Dit veld is doorgaans relevant voor netwerkactiviteit die wordt vastgelegd door een tussenliggend apparaat of tik op een apparaat. |
| DvcIpAddr |
tekenreeks |
Het IP-adres van het apparaat dat de gebeurtenis rapporteert. |
| DvcMacAddr |
tekenreeks |
Het MAC-adres van het apparaat waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd. Voorbeeld: 00:1B:44:11:3A:B7 |
| DvcOriginalAction |
tekenreeks |
De oorspronkelijke DvcAction zoals geleverd door het rapportageapparaat. |
| DvcOs |
tekenreeks |
Het besturingssysteem dat wordt uitgevoerd op het apparaat dat de gebeurtenis rapporteert. |
| DvcOsVersion |
tekenreeks |
De versie van het besturingssysteem op het apparaat die de gebeurtenis rapporteert. |
| DvcOutboundInterface |
tekenreeks |
Indien gerapporteerd door een tussenliggend apparaat, wordt de netwerkinterface die door het NAT-apparaat wordt gebruikt voor de verbinding met het doelapparaat. |
| DvcSubscriptionId |
tekenreeks |
De abonnements-id van het cloudplatform waartoe het apparaat behoort. DvcSubscriptionId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
| DvcZone |
tekenreeks |
Het netwerk waarop de gebeurtenis heeft plaatsgevonden of waarop de gebeurtenis is gerapporteerd. De zone wordt gedefinieerd door het rapportageapparaat. |
| EventCount |
int |
Deze waarde wordt gebruikt wanneer de bron aggregatie ondersteunt en één record meerdere gebeurtenissen kan vertegenwoordigen. |
| EventEndTime |
datetime |
De tijd waarin de gebeurtenis is beëindigd. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, is het tijdstip waarop de laatste gebeurtenis is gegenereerd. Als dit niet is opgegeven door de bronrecord, wordt in dit veld het veld TimeGenerated opgevraagd. |
| EventMessage |
tekenreeks |
Een algemeen bericht of een algemene beschrijving. |
| EventOriginalResultDetails |
tekenreeks |
De oorspronkelijke resultaatdetails van de bron. Deze waarde wordt gebruikt om EventResultDetails af te leiden, die slechts één van de waarden moet bevatten die voor elk schema zijn gedocumenteerd. |
| EventOriginalSeverity |
tekenreeks |
De oorspronkelijke ernst zoals opgegeven door het rapportageapparaat. Deze waarde wordt gebruikt om EventSeverity af te leiden. |
| EventOriginalSubType |
tekenreeks |
Het oorspronkelijke gebeurtenissubtype of de oorspronkelijke gebeurtenis-id, indien opgegeven door de bron. Dit veld wordt bijvoorbeeld gebruikt voor het opslaan van het oorspronkelijke Windows-aanmeldingstype. Deze waarde wordt gebruikt om EventSubType af te leiden, die slechts één van de waarden moet bevatten die voor elk schema zijn gedocumenteerd. |
| EventOriginalType |
tekenreeks |
Het oorspronkelijke gebeurtenistype of de oorspronkelijke id, indien opgegeven door de bron. |
| EventOriginalUid |
tekenreeks |
Een unieke id van de oorspronkelijke record, indien opgegeven door de bron. |
| EventProduct |
tekenreeks |
Het product dat de gebeurtenis genereert. |
| EventProductVersion |
tekenreeks |
De versie van het product die de gebeurtenis genereert. |
| EventReportUrl |
tekenreeks |
Een URL in de gebeurtenis voor een resource die meer informatie over de gebeurtenis biedt. |
| EventResult |
tekenreeks |
Het resultaat van de gebeurtenis, vertegenwoordigd door een van de volgende waarden: Success, Partial, Failure, NA (Not Applicable). De waarde kan niet rechtstreeks worden opgegeven door de bronnen, in welk geval deze is afgeleid van andere gebeurtenisvelden, bijvoorbeeld het veld EventResultDetails. |
| EventResultDetails |
tekenreeks |
Reden of details voor het resultaat dat is gerapporteerd in het veld EventResult. |
| EventSchemaVersion |
tekenreeks |
De versie van het schema. |
| EventSeverity |
tekenreeks |
De ernst van de gebeurtenis. Geldige waarden zijn: Informatief, Laag, Gemiddeld of Hoog. |
| EventStartTime |
datetime |
De tijd waarin de gebeurtenis is gestart. Als de bron aggregatie ondersteunt en de record meerdere gebeurtenissen vertegenwoordigt, wordt het tijdstip waarop de eerste gebeurtenis is gegenereerd. Als dit niet is opgegeven door de bronrecord, wordt in dit veld het veld TimeGenerated opgevraagd. |
| EventSubType |
tekenreeks |
Aanvullende beschrijving van het gebeurtenistype, indien van toepassing. |
| EventType |
tekenreeks |
De bewerking die door de record is gerapporteerd. |
| EventVendor |
tekenreeks |
De leverancier van het product dat de gebeurtenis genereert. |
| _IsBillable |
tekenreeks |
Hiermee geeft u op of het opnemen van de gegevens factureerbaar is. Wanneer _IsBillable wordt false opgenomen, worden er geen kosten in rekening gebracht voor uw Azure-account |
| NetworkApplicationProtocol |
tekenreeks |
Het protocol van de toepassingslaag dat wordt gebruikt door de verbinding of sessie. |
| Netwerkbytes |
long |
Het aantal bytes dat in beide richtingen is verzonden. Als zowel BytesReceived als BytesSent bestaan, moet BytesTotal gelijk zijn aan de som. Als de gebeurtenis wordt geaggregeerd, is NetworkBytes de som van alle geaggregeerde sessies. |
| NetworkConnectionHistory |
tekenreeks |
TCP-vlaggen en andere informatie over mogelijke IP-headers. |
| NetworkDirection |
tekenreeks |
De richting van de verbinding of sessie. |
| NetworkDuration |
int |
De hoeveelheid tijd, in milliseconden, voor de voltooiing van de netwerksessie of -verbinding. |
| NetworkIcmpCode |
int |
Voor een ICMP-bericht typt het ICMP-bericht een numerieke waarde zoals beschreven in RFC 2780 voor IPv4-netwerkverbindingen of in RFC 4443 voor IPv6-netwerkverbindingen. |
| NetworkIcmpType |
tekenreeks |
Voor een ICMP-bericht wordt de tekstweergave van het ICMP-berichttype, zoals beschreven in RFC 2780 voor IPv4-netwerkverbindingen, of in RFC 4443 voor IPv6-netwerkverbindingen beschreven. |
| NetworkPackets |
long |
Het aantal pakketten dat in beide richtingen wordt verzonden. Als zowel PacketsReceived als PacketsSent bestaat, moet BytesTotal gelijk zijn aan de som. De betekenis van een pakket wordt gedefinieerd door het rapportageapparaat. Als de gebeurtenis wordt geaggregeerd, is NetworkPackets de som van alle geaggregeerde sessies. |
| NetworkProtocol |
tekenreeks |
Het IP-protocol dat wordt gebruikt door de verbinding of sessie zoals vermeld in de IANA-protocoltoewijzing. Dit is doorgaans TCP, UDP of ICMP. |
| NetworkProtocolVersion |
tekenreeks |
De versie van NetworkProtocol. |
| NetworkRuleName |
tekenreeks |
De naam of id van de regel waarop DvcAction is besloten. |
| NetworkRuleNumber |
int |
Het nummer van de regel waarop DvcAction is besloten. |
| NetworkSessionId |
tekenreeks |
De sessie-id zoals gerapporteerd door het rapportageapparaat. |
| _ResourceId |
tekenreeks |
Een unieke id voor de resource waaraan de record is gekoppeld |
| SourceSystem |
tekenreeks |
Het type agent dat de gebeurtenis heeft verzameld. Bijvoorbeeld OpsManager voor Windows-agent, direct verbinding maken of Operations Manager, Linux voor alle Linux-agents of Azure voor Azure Diagnostics |
| SrcAppId |
tekenreeks |
De id van de brontoepassing, zoals gerapporteerd door het rapportageapparaat. |
| SrcAppName |
tekenreeks |
De naam van de brontoepassing. |
| SrcAppType |
tekenreeks |
Het type brontoepassing. |
| SrcBytes |
long |
Het aantal bytes dat van de bron naar het doel is verzonden voor de verbinding of sessie. Als de gebeurtenis wordt geaggregeerd, is SrcBytes de som van alle geaggregeerde sessies. |
| SrcDescription |
tekenreeks |
Een beschrijvende tekst die aan de bron is gekoppeld. |
| SrcDeviceType |
tekenreeks |
Het type bronapparaat. |
| SrcDomain |
tekenreeks |
Het domein van het bronapparaat. |
| SrcDomainType |
tekenreeks |
Het type SrcDomain. |
| SrcDvcId |
tekenreeks |
De id van het bronapparaat. |
| SrcDvcIdType |
tekenreeks |
Het type SrcDvcId. |
| SrcFQDN |
tekenreeks |
De hostnaam van het bronapparaat, inclusief domeingegevens, indien beschikbaar. |
| SrcGeoCity |
tekenreeks |
De plaats die is gekoppeld aan het bron-IP-adres. |
| SrcGeoCountry |
tekenreeks |
Het land dat is gekoppeld aan het bron-IP-adres. |
| SrcGeoL dankbaarheid |
werkelijk |
De breedtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. |
| SrcGeoLongitude |
werkelijk |
De lengtegraad van de geografische coördinaat die is gekoppeld aan het bron-IP-adres. |
| SrcGeoRegion |
tekenreeks |
De regio binnen een land dat is gekoppeld aan het bron-IP-adres. |
| SrcHostname |
tekenreeks |
De hostnaam van het bronapparaat, met uitzondering van domeingegevens. Als er geen apparaatnaam beschikbaar is, kan het relevante IP-adres worden opgeslagen. |
| SrcInterfaceGuid |
tekenreeks |
De GUID van de netwerkinterface die wordt gebruikt op het bronapparaat. |
| SrcInterfaceName |
tekenreeks |
De netwerkinterface die wordt gebruikt voor de verbinding of sessie door het bronapparaat. |
| SrcIpAddr |
tekenreeks |
Het IP-adres waaruit de verbinding of sessie afkomstig is. |
| SrcMacAddr |
tekenreeks |
Het MAC-adres van de netwerkinterface waaruit de verbinding of sessie afkomstig is. |
| SrcNatIpAddr |
tekenreeks |
De SrcNatIpAddr vertegenwoordigt een van de volgende: het oorspronkelijke adres van het bronapparaat als netwerkadresomzetting is gebruikt of het IP-adres dat door het intermediaire apparaat wordt gebruikt voor communicatie met de bestemming. |
| SrcNatPortNumber |
int |
Indien gerapporteerd door een tussenliggend NAT-apparaat, wordt de poort die door het NAT-apparaat wordt gebruikt voor communicatie met de bestemming. |
| SrcOriginalUserType |
tekenreeks |
Het oorspronkelijke gebruikerstype van de bestemming, indien opgegeven door het rapportageapparaat. |
| SrcPackets |
long |
Het aantal pakketten dat van de bron naar de bestemming voor de verbinding of sessie wordt verzonden. De betekenis van een pakket wordt gedefinieerd door het rapportageapparaat. Als de gebeurtenis wordt samengevoegd, is SrcPackets de som van alle geaggregeerde sessies. |
| SrcPortNumber |
int |
De IP-poort waaruit de verbinding afkomstig is. Mogelijk is dit niet relevant voor een sessie die uit meerdere verbindingen bestaat. |
| SrcSubscriptionId |
tekenreeks |
De abonnements-id van het cloudplatform waartoe het bronapparaat behoort. SrcSubscriptionId wordt toegewezen aan een abonnements-id in Azure en aan een account-id op AWS. |
| SrcUserId |
tekenreeks |
Een machineleesbare, alfanumerieke, unieke weergave van de brongebruiker. |
| SrcUserIdType |
tekenreeks |
Het type id dat is opgeslagen in het veld SrcUserId. |
| SrcUsername |
tekenreeks |
De gebruikersnaam van de bron, inclusief domeingegevens, indien beschikbaar. |
| SrcUsernameType |
tekenreeks |
Hiermee geeft u het type gebruikersnaam op dat is opgeslagen in het veld SrcUsername. |
| SrcUserType |
tekenreeks |
Het type brongebruiker. |
| SrcVlanId |
tekenreeks |
De VLAN-id die is gerelateerd aan het bronapparaat. |
| SrcZone |
tekenreeks |
De netwerkzone van de bron, zoals gedefinieerd door het rapportageapparaat. |
| _SubscriptionId |
tekenreeks |
Een unieke id voor het abonnement waaraan de record is gekoppeld |
| TcpFlagsAck |
bool |
De TCP ACK-vlag gerapporteerd. De bevestigingsvlag wordt gebruikt om de geslaagde ontvangst van een pakket te bevestigen. Zoals we in het bovenstaande diagram kunnen zien, verzendt de ontvanger een ACK en een SYN in de tweede stap van het drierichtingshanddrukproces om de afzender te vertellen dat het oorspronkelijke pakket is ontvangen. |
| TcpFlagsFin |
bool |
De TCP FIN-vlag gerapporteerd. De voltooide vlag betekent dat er geen gegevens meer van de afzender zijn. Daarom wordt het gebruikt in het laatste pakket dat van de afzender is verzonden. |
| TcpFlagsPsh |
bool |
De TCP PSH-vlag gerapporteerd. De pushvlag is enigszins vergelijkbaar met de URG-vlag en vertelt de ontvanger dat deze pakketten moeten worden verwerkt wanneer ze worden ontvangen in plaats van ze te bufferen. |
| TcpFlagsRst |
bool |
De TCP RST-vlag gerapporteerd. De resetvlag wordt verzonden van de ontvanger naar de afzender wanneer een pakket wordt verzonden naar een bepaalde host die deze niet verwachtte. |
| TcpFlagsSyn |
bool |
De TCP SYN-vlag gerapporteerd. De synchronisatievlag wordt gebruikt als eerste stap bij het tot stand brengen van een drierichtingshanddruk tussen twee hosts. Alleen het eerste pakket van zowel de afzender als de ontvanger moet deze vlag hebben ingesteld. |
| TcpFlagsUrg |
bool |
De TCP URG-vlag gerapporteerd. De urgente vlag wordt gebruikt om de ontvanger op de hoogte te stellen van het verwerken van de urgente pakketten voordat alle andere pakketten worden verwerkt. De ontvanger ontvangt een melding wanneer alle bekende urgente gegevens zijn ontvangen. Zie RFC 6093 voor meer informatie. |
| TenantId |
tekenreeks |
De Log Analytics-werkruimte-id |
| ThreatCategory |
tekenreeks |
De categorie van de bedreiging of malware die is geïdentificeerd in de netwerksessie. |
| ThreatConfidence |
int |
Het betrouwbaarheidsniveau van de geïdentificeerde bedreiging, genormaliseerd tot een waarde tussen 0 en 100. |
| ThreatField |
tekenreeks |
Het veld waarvoor een bedreiging is geïdentificeerd. De waarde is SrcIpAddr, DstIpAddr, Domain of DnsResponseName. |
| ThreatFirstReportedTime |
datetime |
De eerste keer dat het IP-adres of domein als een bedreiging is geïdentificeerd. |
| ThreatId |
tekenreeks |
De id van de bedreiging of malware die is geïdentificeerd in de netwerksessie. |
| ThreatIpAddr |
tekenreeks |
Een IP-adres waarvoor een bedreiging is geïdentificeerd. Het veld ThreatField bevat de naam van het veld ThreatIpAddr. |
| ThreatIsActive |
bool |
De werkelijke id die door de bedreiging wordt geïdentificeerd, wordt beschouwd als een actieve bedreiging. |
| ThreatLastReportedTime |
datetime |
De laatste keer dat het IP-adres of domein is geïdentificeerd als een bedreiging. |
| ThreatName |
tekenreeks |
De naam van de bedreiging of malware die is geïdentificeerd in de netwerksessie. |
| ThreatOriginalConfidence |
tekenreeks |
Het oorspronkelijke betrouwbaarheidsniveau van de geïdentificeerde bedreiging, zoals gerapporteerd door het rapportageapparaat. |
| ThreatOriginalRiskLevel |
tekenreeks |
Het risiconiveau zoals gerapporteerd door het rapportageapparaat. |
| ThreatRiskLevel |
int |
Het risiconiveau dat aan de sessie is gekoppeld. Het niveau is een getal tussen 0 en 100. |
| TimeGenerated |
datetime |
De tijdstempel (UTC) die de tijd weergeeft waarin de gebeurtenis is gegenereerd. |
| Type |
tekenreeks |
De naam van de tabel |