| Dodatkowe pola |
dynamiczna |
Dodatkowe informacje reprezentowane przy użyciu par klucz/wartość udostępniane przez źródło, które nie są mapowane na kartę ASim. |
| _BilledSize |
rzeczywiste |
Rozmiar rekordu w bajtach |
| Identyfikator DstAppId |
string |
Identyfikator aplikacji docelowej zgłoszonej przez urządzenie raportowania. |
| DstAppName |
string |
Nazwa aplikacji docelowej. |
| DstAppType |
string |
Typ aplikacji docelowej. |
| Bajty DstBytes |
długi |
Liczba bajtów wysłanych z miejsca docelowego do źródła dla połączenia lub sesji. Jeśli zdarzenie jest agregowane, DstBytes jest sumą wszystkich zagregowanych sesji. |
| DstDescription |
string |
Tekst opisowy skojarzony z miejscem docelowym. |
| DstDeviceType |
string |
Typ urządzenia docelowego. |
| DstDomain |
string |
Domena urządzenia docelowego. |
| DstDomainType |
string |
Typ DstDomain. |
| DstDvcId |
string |
Identyfikator urządzenia docelowego. |
| DstDvcIdType |
string |
Typ DstDvcId. |
| Nazwa DstFQDN |
string |
Nazwa hosta urządzenia docelowego, w tym informacje o domenie, gdy są dostępne. |
| DstGeoCity |
string |
Miasto skojarzone z docelowym adresem IP. |
| DstGeoCountry |
string |
Kraj skojarzony z docelowym adresem IP. |
| DstGeoLatitude |
rzeczywiste |
Szerokość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. |
| DstGeoLongitude |
rzeczywiste |
Długość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. |
| DstGeoRegion |
string |
Region lub stan w kraju skojarzonym z docelowym adresem IP. |
| Nazwa hosta Dst |
string |
Nazwa hosta urządzenia docelowego z wyłączeniem informacji o domenie. |
| DstInterfaceGuid |
string |
Identyfikator GUID interfejsu sieciowego używanego na urządzeniu docelowym. |
| DstInterfaceName |
string |
Interfejs sieciowy używany na potrzeby połączenia lub sesji przez urządzenie docelowe. |
| DstIpAddr |
string |
Adres IP miejsca docelowego połączenia lub sesji. |
| DstMacAddr |
string |
Adres MAC interfejsu sieciowego używanego do połączenia lub sesji przez urządzenie docelowe. |
| DstNatIpAddr |
string |
DstNatIpAddr reprezentuje jeden z: oryginalny adres urządzenia docelowego, jeśli użyto tłumaczenia adresu sieciowego lub adres IP używany przez urządzenie pośredniczące do komunikacji ze źródłem. |
| DstNatPortNumber |
int |
Jeśli jest zgłaszane przez pośredniczące urządzenie NAT, port używany przez urządzenie NAT do komunikacji ze źródłem. |
| DstOriginalUserType |
string |
Oryginalny typ użytkownika docelowego, jeśli jest podany przez źródło. |
| Zestawy DstPackets |
długi |
Liczba pakietów wysyłanych z miejsca docelowego do źródła połączenia lub sesji. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest agregowane, DstPackets jest sumą wszystkich zagregowanych sesji. |
| DstPortNumber |
int |
Docelowy port IP. |
| Identyfikator DstSubscriptionId |
string |
Identyfikator subskrypcji platformy w chmurze, do którego należy urządzenie docelowe. DstSubscriptionId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| DstUserId |
string |
Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika docelowego. |
| DstUserIdType |
string |
Typ identyfikatora przechowywanego w polu DstUserId. |
| Nazwa użytkownika Dst |
string |
Nazwa użytkownika docelowego, w tym informacje o domenie, gdy są dostępne. Użyj prostego formularza tylko wtedy, gdy informacje o domenie nie są dostępne. |
| DstUsernameType |
string |
Określa typ nazwy użytkownika przechowywanej w polu DstUsername. |
| DstUserType |
string |
Typ użytkownika docelowego. |
| DstVlanId |
string |
Identyfikator sieci VLAN powiązany z urządzeniem docelowym. |
| Strefa Dst |
string |
Strefa sieciowa miejsca docelowego zgodnie z definicją urządzenia raportowania. |
| Dvc |
string |
Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
| DvcAction |
string |
Akcja podjęta w sesji sieciowej. |
| DvcDescription |
string |
Tekst opisowy skojarzony z urządzeniem. Na przykład: Podstawowy kontroler domeny. |
| DvcDomain |
string |
Domena urządzenia zgłasza zdarzenie. |
| DvcDomainType |
string |
Typ DvcDomain. Możliwe wartości to "Windows" i "FQDN". |
| DvcFQDN |
string |
Nazwa hosta urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
| DvcHostname |
string |
Nazwa hosta urządzenia zgłasza zdarzenie. |
| DvcId |
string |
Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
| DvcIdType |
string |
Typ DvcId. |
| DvcInboundInterface |
string |
Jeśli jest zgłaszane przez urządzenie pośredniczące, interfejs sieciowy używany przez urządzenie NAT na potrzeby połączenia z urządzeniem źródłowym. |
| DvcInterface |
string |
Interfejs sieciowy, na którym zostały przechwycone dane. To pole jest zwykle istotne dla działania związanego z siecią, które jest przechwytywane przez urządzenie pośrednie lub naciśnij. |
| DvcIpAddr |
string |
Adres IP urządzenia zgłasza zdarzenie. |
| DvcMacAddr |
string |
Adres MAC urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. Przykład: 00:1B:44:11:3A:B7 |
| DvcOriginalAction |
string |
Oryginalna wersja DvcAction dostarczana przez urządzenie raportowania. |
| DvcOs |
string |
System operacyjny uruchomiony na urządzeniu zgłasza zdarzenie. |
| DvcOsVersion |
string |
Wersja systemu operacyjnego na urządzeniu zgłasza zdarzenie. |
| DvcOutboundInterface |
string |
Jeśli jest zgłaszane przez urządzenie pośredniczące, interfejs sieciowy używany przez urządzenie NAT na potrzeby połączenia z urządzeniem docelowym. |
| DvcSubscriptionId |
string |
Identyfikator subskrypcji platformy w chmurze, do którego należy urządzenie. DvcSubscriptionId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| DvcZone |
string |
Sieć, w której wystąpiło zdarzenie lub które zgłosiło zdarzenie. Strefa jest definiowana przez urządzenie raportowania. |
| EventCount |
int |
Ta wartość jest używana, gdy źródło obsługuje agregację, a pojedynczy rekord może reprezentować wiele zdarzeń. |
| EventEndTime |
datetime |
Godzina zakończenia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania ostatniego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated. |
| EventMessage |
string |
Ogólny komunikat lub opis. |
| EventOriginalResultDetails |
string |
Oryginalne szczegóły wyniku dostarczone przez źródło. Ta wartość służy do uzyskiwania wartości EventResultDetails, która powinna zawierać tylko jedną z wartości udokumentowanych dla każdego schematu. |
| EventOriginalSeverity |
string |
Oryginalna ważność podana przez urządzenie raportowania. Ta wartość służy do uzyskiwania wartości EventSeverity. |
| EventOriginalSubType |
string |
Oryginalny podtyp zdarzenia lub identyfikator, jeśli został podany przez źródło. Na przykład to pole będzie używane do przechowywania oryginalnego typu logowania systemu Windows. Ta wartość służy do tworzenia klasy EventSubType, która powinna zawierać tylko jedną z wartości udokumentowanych dla każdego schematu. |
| EventOriginalType |
string |
Oryginalny typ zdarzenia lub identyfikator, jeśli jest podany przez źródło. |
| EventOriginalUid |
string |
Unikatowy identyfikator oryginalnego rekordu, jeśli jest dostarczany przez źródło. |
| EventProduct |
string |
Produkt generujący zdarzenie. |
| EventProductVersion |
string |
Wersja produktu generująca zdarzenie. |
| EventReportUrl |
string |
Adres URL podany w zdarzeniu dla zasobu, który zawiera więcej informacji o zdarzeniu. |
| EventResult |
string |
Wynik zdarzenia reprezentowany przez jedną z następujących wartości: Powodzenie, Częściowe, Niepowodzenie, NA (Nie dotyczy). Wartość nie może być dostarczana bezpośrednio przez źródła, w tym przypadku pochodzi ona z innych pól zdarzeń, na przykład pola EventResultDetails. |
| EventResultDetails |
string |
Przyczyna lub szczegóły wyniku zgłoszonego w polu EventResult. |
| EventSchemaVersion |
string |
Wersja schematu. |
| EventSeverity |
string |
Ważność zdarzenia. Prawidłowe wartości to: Informational, Low, Medium lub High. |
| EventStartTime |
datetime |
Czas rozpoczęcia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania pierwszego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated. |
| EventSubType |
string |
Dodatkowy opis typu zdarzenia, jeśli ma to zastosowanie. |
| EventType |
string |
Operacja zgłoszona przez rekord. |
| EventVendor |
string |
Dostawca produktu generującego zdarzenie. |
| _IsBillable |
string |
Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| NetworkApplicationProtocol |
string |
Protokół warstwy aplikacji używany przez połączenie lub sesję. |
| Liczba bajtów sieci |
długi |
Liczba bajtów wysłanych w obu kierunkach. Jeśli istnieją oba bajtyReceived i BytesSent, BajtyTotal powinny być równe ich suma. Jeśli zdarzenie jest agregowane, wartość NetworkBytes jest sumą wszystkich zagregowanych sesji. |
| NetworkConnectionHistory |
string |
Flagi TCP i inne potencjalne informacje nagłówka IP. |
| NetworkDirection |
string |
Kierunek połączenia lub sesji. |
| NetworkDuration |
int |
Czas( w milisekundach) na zakończenie sesji sieciowej lub połączenia. |
| NetworkIcmpCode |
int |
W przypadku komunikatu ICMP komunikat ICMP wpisz wartość liczbową zgodnie z opisem w specyfikacji RFC 2780 dla połączeń sieciowych IPv4 lub W specyfikacji RFC 4443 dla połączeń sieciowych IPv6. |
| NetworkIcmpType |
string |
W przypadku komunikatu ICMP reprezentacja tekstowa typu komunikatu ICMP, zgodnie z opisem w artykule RFC 2780 dla połączeń sieciowych IPv4 lub W specyfikacji RFC 4443 dla połączeń sieciowych IPv6. |
| NetworkPackets |
długi |
Liczba pakietów wysłanych w obu kierunkach. Jeśli istnieją zarówno pakietyReceived, jak i PacketsSent, wartość BytesTotal powinna być równa ich sumie. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest agregowane, networkPackets jest sumą wszystkich zagregowanych sesji. |
| NetworkProtocol |
string |
Protokół IP używany przez połączenie lub sesję wymieniony w przypisaniu protokołu IANA, który jest zazwyczaj TCP, UDP lub ICMP. |
| NetworkProtocolVersion |
string |
Wersja networkProtocol. |
| NetworkRuleName |
string |
Nazwa lub identyfikator reguły, za pomocą której podjęto decyzję DvcAction. |
| NetworkRuleNumber |
int |
Liczba reguł, za pomocą których podjęto decyzję DvcAction. |
| NetworkSessionId |
string |
Identyfikator sesji zgłoszony przez urządzenie raportowania. |
| _ResourceId |
string |
Unikatowy identyfikator zasobu skojarzonego z rekordem |
| SourceSystem |
string |
Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows— bezpośredniego połączenia lub programu Operations Manager — Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| SrcAppId |
string |
Identyfikator aplikacji źródłowej zgłoszony przez urządzenie raportowania. |
| SrcAppName |
string |
Nazwa aplikacji źródłowej. |
| SrcAppType |
string |
Typ aplikacji źródłowej. |
| SrcBytes |
długi |
Liczba bajtów wysłanych ze źródła do miejsca docelowego dla połączenia lub sesji. Jeśli zdarzenie jest agregowane, SrcBytes jest sumą wszystkich zagregowanych sesji. |
| SrcDescription |
string |
Tekst opisowy skojarzony ze źródłem. |
| SrcDeviceType |
string |
Typ urządzenia źródłowego. |
| SrcDomain |
string |
Domena urządzenia źródłowego. |
| SrcDomainType |
string |
Typ SrcDomain. |
| SrcDvcId |
string |
Identyfikator urządzenia źródłowego. |
| SrcDvcIdType |
string |
Typ SrcDvcId. |
| SrcFQDN |
string |
Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, gdy są dostępne. |
| SrcGeoCity |
string |
Miasto skojarzone ze źródłowym adresem IP. |
| SrcGeoCountry |
string |
Kraj skojarzony ze źródłowym adresem IP. |
| SrcGeoLatitude |
rzeczywiste |
Szerokość geograficzna współrzędnych geograficznych skojarzonych z źródłowym adresem IP. |
| SrcGeoLongitude |
rzeczywiste |
Długość geograficzna współrzędnej geograficznej skojarzonej z źródłowym adresem IP. |
| SrcGeoRegion |
string |
Region w kraju skojarzonym z źródłowym adresem IP. |
| SrcHostname |
string |
Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. Jeśli żadna nazwa urządzenia nie jest dostępna, może przechowywać odpowiedni adres IP. |
| SrcInterfaceGuid |
string |
Identyfikator GUID interfejsu sieciowego używanego na urządzeniu źródłowym. |
| SrcInterfaceName |
string |
Interfejs sieciowy używany na potrzeby połączenia lub sesji przez urządzenie źródłowe. |
| SrcIpAddr |
string |
Adres IP, z którego pochodzi połączenie lub sesja. |
| SrcMacAddr |
string |
Adres MAC interfejsu sieciowego, z którego pochodzi połączenie lub sesja. |
| SrcNatIpAddr |
string |
SrcNatIpAddr reprezentuje jeden z: oryginalny adres urządzenia źródłowego, jeśli użyto tłumaczenia adresu sieciowego lub adres IP używany przez urządzenie pośredniczące do komunikacji z miejscem docelowym. |
| SrcNatPortNumber |
int |
Jeśli jest zgłaszane przez pośredniczące urządzenie NAT, port używany przez urządzenie NAT do komunikacji z miejscem docelowym. |
| SrcOriginalUserType |
string |
Oryginalny typ użytkownika docelowego, jeśli jest udostępniany przez urządzenie raportowania. |
| Zestawy SrcPackets |
długi |
Liczba pakietów wysłanych ze źródła do miejsca docelowego dla połączenia lub sesji. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest agregowane, SrcPackets jest sumą wszystkich zagregowanych sesji. |
| SrcPortNumber |
int |
Port IP, z którego pochodzi połączenie. Może nie być istotne dla sesji składającej się z wielu połączeń. |
| SrcSubscriptionId |
string |
Identyfikator subskrypcji platformy w chmurze, do którego należy urządzenie źródłowe. SrcSubscriptionId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
| SrcUserId |
string |
Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika źródłowego. |
| SrcUserIdType |
string |
Typ identyfikatora przechowywanego w polu SrcUserId. |
| SrcUsername |
string |
Źródłowa nazwa użytkownika, w tym informacje o domenie, gdy są dostępne. |
| SrcUsernameType |
string |
Określa typ nazwy użytkownika przechowywanej w polu SrcUsername. |
| SrcUserType |
string |
Typ użytkownika źródłowego. |
| SrcVlanId |
string |
Identyfikator sieci VLAN powiązany z urządzeniem źródłowym. |
| SrcZone |
string |
Strefa sieciowa źródła zgodnie z definicją urządzenia raportowania. |
| _SubscriptionId |
string |
Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord |
| TcpFlagsAck |
bool |
Zgłoszono flagę TCP ACK. Flaga potwierdzenia służy do potwierdzenia pomyślnego otrzymania pakietu. Jak widać na powyższym diagramie, odbiornik wysyła ACK, a także syn w drugim kroku trzykierunkowego procesu uzgadniania, aby poinformować nadawcę, że otrzymał swój początkowy pakiet. |
| TcpFlagsFin |
bool |
Zgłoszono flagę TCP FIN. Ukończona flaga oznacza, że nie ma więcej danych od nadawcy. W związku z tym jest on używany w ostatnim pakiecie wysyłanym z nadawcy. |
| TcpFlagsPsh |
bool |
Zgłoszona flaga TCP PSH. Flaga wypychania jest nieco podobna do flagi URIG i nakazuje odbiornikowi przetworzenie tych pakietów, ponieważ są one odbierane zamiast buforowania. |
| TcpFlagsRst |
bool |
Zgłoszono flagę RST protokołu TCP. Flaga resetowania jest wysyłana z odbiornika do nadawcy, gdy pakiet jest wysyłany do określonego hosta, który go nie spodziewał. |
| TcpFlagsSyn |
bool |
Zgłoszono flagę TCP SYN. Flaga synchronizacji jest używana jako pierwszy krok podczas ustanawiania trzykierunkowego uzgadniania między dwoma hostami. Ten flaga powinna zawierać tylko pierwszy pakiet zarówno od nadawcy, jak i odbiorcy. |
| TcpFlagsUrg |
bool |
Zgłoszono flagę TCP URG. Flaga pilna służy do powiadamiania odbiorcy o przetwarzaniu pilnych pakietów przed przetworzeniem wszystkich innych pakietów. Odbiorca zostanie powiadomiony o odebraniu wszystkich znanych pilnych danych. Aby uzyskać więcej informacji, zobacz RFC 6093. |
| TenantId |
string |
Identyfikator obszaru roboczego usługi Log Analytics |
| ThreatCategory |
string |
Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w sesji sieciowej. |
| ThreatConfidence |
int |
Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100. |
| ThreatField |
string |
Pole, dla którego zidentyfikowano zagrożenie. Wartość to SrcIpAddr, DstIpAddr, Domain lub DnsResponseName. |
| ThreatFirstReportedTime |
datetime |
Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
| ThreatId |
string |
Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowanego w sesji sieciowej. |
| ThreatIpAddr |
string |
Adres IP, dla którego zidentyfikowano zagrożenie. Pole ThreatField zawiera nazwę pola ThreatIpAddr reprezentuje. |
| ThreatIsActive |
bool |
Prawdziwy identyfikator zidentyfikowanego zagrożenia jest uznawany za aktywne zagrożenie. |
| ThreatLastReportedTime |
datetime |
Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
| ThreatName |
string |
Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w sesji sieciowej. |
| ThreatOriginalConfidence |
string |
Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgodnie z raportem urządzenia raportowania. |
| ThreatOriginalRiskLevel |
string |
Poziom ryzyka zgłoszony przez urządzenie raportowania. |
| ThreatRiskLevel |
int |
Poziom ryzyka skojarzony z sesją. Poziom jest liczbą z zakresu od 0 do 100. |
| TimeGenerated |
datetime |
Znacznik czasu (UTC) odzwierciedla czas wygenerowania zdarzenia. |
| Typ |
string |
Nazwa tabeli |