Dodatkowe pola |
dynamiczna |
Dodatkowe informacje reprezentowane przy użyciu par klucz/wartość udostępniane przez źródło, które nie są mapowane na kartę ASim. |
_BilledSize |
rzeczywiste |
Rozmiar rekordu w bajtach |
Identyfikator DstAppId |
string |
Identyfikator aplikacji docelowej zgłoszonej przez urządzenie raportowania. |
DstAppName |
string |
Nazwa aplikacji docelowej. |
DstAppType |
string |
Typ aplikacji docelowej. |
Bajty DstBytes |
długi |
Liczba bajtów wysłanych z miejsca docelowego do źródła dla połączenia lub sesji. Jeśli zdarzenie jest agregowane, DstBytes jest sumą wszystkich zagregowanych sesji. |
DstDeviceType |
string |
Typ urządzenia docelowego. |
DstDomain |
string |
Domena urządzenia docelowego. |
DstDomainType |
string |
Typ DstDomain. |
DstDvcId |
string |
Identyfikator urządzenia docelowego. |
DstDvcIdType |
string |
Typ DstDvcId. |
DstDvcScope |
string |
Zakres platformy w chmurze, do którego należy urządzenie docelowe. DvcScope mapuje subskrypcję na platformę Azure i na konto na platformie AWS. |
DstDvcScopeId |
string |
Identyfikator zakresu platformy w chmurze, do którego należy urządzenie docelowe. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
Nazwa DstFQDN |
string |
Nazwa hosta urządzenia docelowego, w tym informacje o domenie, gdy są dostępne. |
DstGeoCity |
string |
Miasto skojarzone z docelowym adresem IP. |
DstGeoCountry |
string |
Kraj skojarzony z docelowym adresem IP. |
DstGeoLatitude |
rzeczywiste |
Szerokość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. |
DstGeoLongitude |
rzeczywiste |
Długość geograficzna współrzędnej geograficznej skojarzonej z docelowym adresem IP. |
DstGeoRegion |
string |
Region lub stan w kraju skojarzonym z docelowym adresem IP. |
Nazwa hosta Dst |
string |
Nazwa hosta urządzenia docelowego z wyłączeniem informacji o domenie. |
DstIpAddr |
string |
Adres IP miejsca docelowego połączenia lub sesji. |
DstMacAddr |
string |
Adres MAC interfejsu sieciowego używanego do połączenia lub sesji przez urządzenie docelowe. |
DstNatIpAddr |
string |
DstNatIpAddr reprezentuje jeden z: oryginalny adres urządzenia docelowego, jeśli użyto tłumaczenia adresu sieciowego lub adres IP używany przez urządzenie pośredniczące do komunikacji ze źródłem. |
DstNatPortNumber |
int |
Jeśli jest zgłaszane przez pośredniczące urządzenie NAT, port używany przez urządzenie NAT do komunikacji ze źródłem. |
DstOriginalUserType |
string |
Oryginalny typ użytkownika docelowego, jeśli jest podany przez źródło. |
Zestawy DstPackets |
długi |
Liczba pakietów wysyłanych z miejsca docelowego do źródła połączenia lub sesji. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest agregowane, DstPackets jest sumą wszystkich zagregowanych sesji. |
DstPortNumber |
int |
Docelowy port IP. |
DstUserId |
string |
Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika docelowego. |
DstUserIdType |
string |
Typ identyfikatora przechowywanego w polu DstUserId. |
Nazwa użytkownika Dst |
string |
Nazwa użytkownika docelowego, w tym informacje o domenie, gdy są dostępne. Użyj prostego formularza tylko wtedy, gdy informacje o domenie nie są dostępne. |
DstUsernameType |
string |
Określa typ nazwy użytkownika przechowywanej w polu DstUsername. |
DstUserType |
string |
Typ użytkownika docelowego. |
Dvc |
string |
Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcAction |
string |
Akcja podjęta w sesji internetowej. |
DvcDomain |
string |
Domena urządzenia zgłasza zdarzenie. |
DvcDomainType |
string |
Typ DvcDomain. Możliwe wartości to "Windows" i "FQDN". |
DvcFQDN |
string |
Nazwa hosta urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcHostname |
string |
Nazwa hosta urządzenia zgłasza zdarzenie. |
DvcId |
string |
Unikatowy identyfikator urządzenia, na którym wystąpiło zdarzenie lub które zgłosiło zdarzenie. |
DvcIdType |
string |
Typ DvcId. |
DvcIpAddr |
string |
Adres IP urządzenia zgłasza zdarzenie. |
DvcOriginalAction |
string |
Oryginalna wersja DvcAction dostarczana przez urządzenie raportowania. |
EventCount |
int |
Ta wartość jest używana, gdy źródło obsługuje agregację, a pojedynczy rekord może reprezentować wiele zdarzeń. |
EventEndTime |
datetime |
Godzina zakończenia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania ostatniego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated. |
EventMessage |
string |
Ogólny komunikat lub opis. |
EventOriginalResultDetails |
string |
Oryginalne szczegóły wyniku dostarczone przez źródło. Ta wartość służy do uzyskiwania wartości EventResultDetails, która powinna zawierać tylko jedną z wartości udokumentowanych dla każdego schematu. |
EventOriginalSeverity |
string |
Oryginalna ważność podana przez urządzenie raportowania. Ta wartość służy do uzyskiwania wartości EventSeverity. |
EventOriginalSubType |
string |
Oryginalny podtyp zdarzenia lub identyfikator, jeśli został podany przez źródło. Na przykład to pole będzie używane do przechowywania oryginalnego typu logowania systemu Windows. Ta wartość służy do tworzenia klasy EventSubType, która powinna zawierać tylko jedną z wartości udokumentowanych dla każdego schematu. |
EventOriginalType |
string |
Oryginalny typ zdarzenia lub identyfikator, jeśli jest podany przez źródło. |
EventOriginalUid |
string |
Unikatowy identyfikator oryginalnego rekordu, jeśli jest dostarczany przez źródło. |
Właściciel zdarzenia |
string |
Właściciel zdarzenia, który jest zwykle działem lub jednostką zależną, w której został wygenerowany. |
EventProduct |
string |
Produkt generujący zdarzenie. |
EventProductVersion |
string |
Wersja produktu generująca zdarzenie. |
EventReportUrl |
string |
Adres URL podany w zdarzeniu dla zasobu, który zawiera więcej informacji o zdarzeniu. |
EventResult |
string |
Wynik zdarzenia reprezentowany przez jedną z następujących wartości: Powodzenie, Częściowe, Niepowodzenie, NA (Nie dotyczy). Wartość nie może być dostarczana bezpośrednio przez źródła, w tym przypadku pochodzi ona z innych pól zdarzeń, na przykład pola EventResultDetails. |
EventResultDetails |
string |
Kod stanu HTTP. |
EventSchemaVersion |
string |
Wersja schematu. |
EventSeverity |
string |
Ważność zdarzenia. Prawidłowe wartości to: Informational, Low, Medium lub High. |
EventStartTime |
datetime |
Czas rozpoczęcia zdarzenia. Jeśli źródło obsługuje agregację, a rekord reprezentuje wiele zdarzeń, czas wygenerowania pierwszego zdarzenia. Jeśli nie zostanie podany przez rekord źródłowy, to pole aliasuje pole TimeGenerated. |
EventSubType |
string |
Dodatkowy opis typu zdarzenia, jeśli ma to zastosowanie. |
EventType |
string |
Operacja zgłoszona przez rekord. |
EventVendor |
string |
Dostawca produktu generującego zdarzenie. |
FileContentType |
string |
W przypadku przekazywania HTTP typ zawartości przekazanego pliku. |
FileMD5 |
string |
W przypadku przekazywania HTTP skrót MD5 przekazanego pliku. |
FileName |
string |
W przypadku przekazywania HTTP nazwa przekazanego pliku. |
FileSHA1 |
string |
W przypadku przekazywania HTTP skrót SHA1 przekazanego pliku. |
FileSHA256 |
string |
W przypadku przekazywania HTTP skrót SHA256 przekazanego pliku. |
FileSHA512 |
string |
W przypadku przekazywania HTTP skrót SHA512 przekazanego pliku. |
Rozmiar pliku |
int |
W przypadku przekazywania HTTP rozmiar w bajtach przekazanego pliku. |
HttpContentFormat |
string |
Część formatu zawartości typu HttpContentType |
HttpContentType |
string |
Nagłówek typu zawartości odpowiedź HTTP. |
HttpHost |
string |
Wirtualny serwer internetowy, którego dotyczy żądanie HTTP. |
HttpReferrer |
string |
Nagłówek odwołania HTTP. |
HttpRequestMethod |
string |
Metoda HTTP. |
HttpRequestTime |
int |
Czas wysyłania żądania do serwera w milisekundach. |
HttpRequestXff |
string |
Nagłówek HTTP X-Forwarded-For. |
HttpResponseTime |
int |
Ilość czasu w milisekundach zajęła odebranie odpowiedzi na serwerze. |
HttpUserAgent |
string |
Nagłówek agenta użytkownika HTTP. |
HttpVersion |
string |
Wersja żądania HTTP. |
_IsBillable |
string |
Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
NetworkApplicationProtocol |
string |
Protokół warstwy aplikacji używany przez połączenie lub sesję. |
Liczba bajtów sieci |
długi |
Liczba bajtów wysłanych w obu kierunkach. Jeśli istnieją oba bajtyReceived i BytesSent, BajtyTotal powinny być równe ich suma. Jeśli zdarzenie jest agregowane, wartość NetworkBytes jest sumą wszystkich zagregowanych sesji. |
NetworkConnectionHistory |
string |
Flagi TCP i inne potencjalne informacje nagłówka IP. |
NetworkDirection |
string |
Kierunek połączenia lub sesji. |
NetworkDuration |
int |
Czas( w milisekundach) na zakończenie sesji internetowej lub połączenia. |
NetworkIcmpCode |
int |
W przypadku komunikatu ICMP komunikat ICMP wpisz wartość liczbową zgodnie z opisem w specyfikacji RFC 2780 dla połączeń sieciowych IPv4 lub W specyfikacji RFC 4443 dla połączeń sieciowych IPv6. |
NetworkIcmpType |
string |
W przypadku komunikatu ICMP reprezentacja tekstowa typu komunikatu ICMP, zgodnie z opisem w artykule RFC 2780 dla połączeń sieciowych IPv4 lub W specyfikacji RFC 4443 dla połączeń sieciowych IPv6. |
NetworkPackets |
długi |
Liczba pakietów wysłanych w obu kierunkach. Jeśli istnieją zarówno pakietyReceived, jak i PacketsSent, wartość BytesTotal powinna być równa ich sumie. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest agregowane, networkPackets jest sumą wszystkich zagregowanych sesji. |
NetworkProtocol |
string |
Protokół IP używany przez połączenie lub sesję wymieniony w przypisaniu protokołu IANA, który jest zazwyczaj TCP, UDP lub ICMP. |
NetworkProtocolVersion |
string |
Wersja networkProtocol. |
NetworkSessionId |
string |
Identyfikator sesji zgłoszony przez urządzenie raportowania. |
_ResourceId |
string |
Unikatowy identyfikator zasobu skojarzonego z rekordem |
Reguła |
string |
NetworkRuleName lub NetworkRuleNumber |
RuleName |
string |
Nazwa lub identyfikator reguły, za pomocą której podjęto decyzję DvcAction. Przykład: AnyAnyDrop |
RuleNumber |
int |
Liczba reguł, za pomocą których podjęto decyzję DvcAction. Przykład: 23 |
SourceSystem |
string |
Typ agenta, przez który zdarzenie zostało zebrane. Na przykład OpsManager w przypadku agenta systemu Windows— bezpośredniego połączenia lub programu Operations Manager — Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
SrcAppId |
string |
Identyfikator aplikacji źródłowej zgłoszony przez urządzenie raportowania. |
SrcAppName |
string |
Nazwa aplikacji źródłowej. |
SrcAppType |
string |
Typ aplikacji źródłowej. |
SrcBytes |
długi |
Liczba bajtów wysłanych ze źródła do miejsca docelowego dla połączenia lub sesji. Jeśli zdarzenie jest agregowane, SrcBytes jest sumą wszystkich zagregowanych sesji. |
SrcDeviceType |
string |
Typ urządzenia źródłowego. |
SrcDomain |
string |
Domena urządzenia źródłowego. |
SrcDomainType |
string |
Typ SrcDomain. |
SrcDvcId |
string |
Identyfikator urządzenia źródłowego. |
SrcDvcIdType |
string |
Typ SrcDvcId. |
SrcDvcScope |
string |
Zakres platformy w chmurze, do którego należy urządzenie źródłowe. DvcScope mapuje subskrypcję na platformę Azure i na konto na platformie AWS. |
SrcDvcScopeId |
string |
Identyfikator zakresu platformy w chmurze, do którego należy urządzenie źródłowe. DvcScopeId mapuje identyfikator subskrypcji na platformę Azure i identyfikator konta na platformie AWS. |
SrcFQDN |
string |
Nazwa hosta urządzenia źródłowego, w tym informacje o domenie, gdy są dostępne. |
SrcGeoCity |
string |
Miasto skojarzone ze źródłowym adresem IP. |
SrcGeoCountry |
string |
Kraj skojarzony ze źródłowym adresem IP. |
SrcGeoLatitude |
rzeczywiste |
Szerokość geograficzna współrzędnych geograficznych skojarzonych z źródłowym adresem IP. |
SrcGeoLongitude |
rzeczywiste |
Długość geograficzna współrzędnej geograficznej skojarzonej z źródłowym adresem IP. |
SrcGeoRegion |
string |
Region w kraju skojarzonym z źródłowym adresem IP. |
SrcHostname |
string |
Nazwa hosta urządzenia źródłowego z wyłączeniem informacji o domenie. Jeśli żadna nazwa urządzenia nie jest dostępna, może przechowywać odpowiedni adres IP. |
SrcIpAddr |
string |
Adres IP, z którego pochodzi połączenie lub sesja. |
SrcMacAddr |
string |
Adres MAC interfejsu sieciowego, z którego pochodzi połączenie lub sesja. |
SrcNatIpAddr |
string |
SrcNatIpAddr reprezentuje jeden z: oryginalny adres urządzenia źródłowego, jeśli użyto tłumaczenia adresu sieciowego lub adres IP używany przez urządzenie pośredniczące do komunikacji z miejscem docelowym. |
SrcNatPortNumber |
int |
Jeśli jest zgłaszane przez pośredniczące urządzenie NAT, port używany przez urządzenie NAT do komunikacji z miejscem docelowym. |
SrcOriginalUserType |
string |
Oryginalny typ użytkownika docelowego, jeśli jest udostępniany przez urządzenie raportowania. |
Zestawy SrcPackets |
długi |
Liczba pakietów wysłanych ze źródła do miejsca docelowego dla połączenia lub sesji. Znaczenie pakietu jest definiowane przez urządzenie raportowania. Jeśli zdarzenie jest agregowane, SrcPackets jest sumą wszystkich zagregowanych sesji. |
SrcPortNumber |
int |
Port IP, z którego pochodzi połączenie. Może nie być istotne dla sesji składającej się z wielu połączeń. |
SrcProcessGuid |
string |
Wygenerowany unikatowy identyfikator (GUID) procesu źródłowego. |
SrcProcessId |
string |
Identyfikator procesu (PID) procesu źródłowego. |
SrcProcessName |
string |
Nazwa procesu źródłowego. |
SrcUserId |
string |
Czytelna dla maszyny, alfanumeryczna, unikatowa reprezentacja użytkownika źródłowego. |
SrcUserIdType |
string |
Typ identyfikatora przechowywanego w polu SrcUserId. |
SrcUsername |
string |
Źródłowa nazwa użytkownika, w tym informacje o domenie, gdy są dostępne. |
SrcUsernameType |
string |
Określa typ nazwy użytkownika przechowywanej w polu SrcUsername. |
SrcUserScope |
string |
Zakres, taki jak dzierżawa usługi Azure AD, w którym zdefiniowano wartości SrcUserId i SrcUsername. |
SrcUserScopeId |
string |
Identyfikator zakresu, taki jak dzierżawa usługi Azure AD, w którym zdefiniowano identyfikator SrcUserId i SrcUsername. |
SrcUserType |
string |
Typ użytkownika źródłowego. |
_SubscriptionId |
string |
Unikatowy identyfikator subskrypcji, z którą jest skojarzony rekord |
TenantId |
string |
Identyfikator obszaru roboczego usługi Log Analytics |
ThreatCategory |
string |
Kategoria zagrożenia lub złośliwego oprogramowania zidentyfikowanego w sesji internetowej. |
ThreatConfidence |
int |
Zidentyfikowany poziom ufności zagrożenia znormalizowany do wartości z zakresu od 0 do 100. |
ThreatField |
string |
Pole, dla którego zidentyfikowano zagrożenie. Wartość to SrcIpAddr, DstIpAddr, Domain lub DnsResponseName. |
ThreatFirstReportedTime |
datetime |
Po raz pierwszy adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
ThreatId |
string |
Identyfikator zagrożenia lub złośliwego oprogramowania zidentyfikowany w sesji internetowej. |
ThreatIpAddr |
string |
Adres IP, dla którego zidentyfikowano zagrożenie. Pole ThreatField zawiera nazwę pola ThreatIpAddr reprezentuje. |
ThreatIsActive |
bool |
Prawdziwy identyfikator zidentyfikowanego zagrożenia jest uznawany za aktywne zagrożenie. |
ThreatLastReportedTime |
datetime |
Ostatni raz adres IP lub domena zostały zidentyfikowane jako zagrożenie. |
ThreatName |
string |
Nazwa zagrożenia lub złośliwego oprogramowania zidentyfikowanego w sesji internetowej. |
ThreatOriginalConfidence |
string |
Oryginalny poziom ufności zidentyfikowanego zagrożenia, zgodnie z raportem urządzenia raportowania. |
ThreatOriginalRiskLevel |
string |
Poziom ryzyka zgłoszony przez urządzenie raportowania. |
ThreatRiskLevel |
int |
Poziom ryzyka skojarzony z sesją. Poziom jest liczbą z zakresu od 0 do 100. |
TimeGenerated |
datetime |
Znacznik czasu (UTC) odzwierciedla czas wygenerowania zdarzenia. |
Typ |
string |
Nazwa tabeli |
Url |
string |
Pełny adres URL żądania HTTP, w tym parametry. |
UrlCategory |
string |
Zdefiniowane grupowanie adresu URL lub części domeny adresu URL. |
UrlOriginal |
string |
Oryginalna wartość adresu URL, gdy adres URL został zmodyfikowany przez urządzenie raportowania i podano obie wartości. |