| AdditionalFields |
по строкам |
Дополнительные сведения, представленные с помощью пар "ключ-значение", предоставляемых источником, который не сопоставляется с ASim. |
| _BilledSize |
real |
Размер записи в байтах |
| DnsFlags |
строка |
Флаги DNS-запроса, предоставляемые устройством отчетов. Структура сведений о флагах DNS может отличаться между различными устройствами отчетов. |
| DnsFlagsAuthenticated |
bool |
Флаг ответа с проверкой подлинности DNS, связанный с DNSSEC, указывает в ответе, что все данные, включенные в разделы ответа и центра ответа, были проверены сервером в соответствии с политиками этого сервера. Дополнительные сведения см.в разделе 6.1 RFC 3655. |
| DnsFlagsAuthoritative |
bool |
Флаг достоверного ответа DNS указывает, является ли ответ от сервера авторитетным. |
| DnsFlagsCheckingDisabled |
bool |
Флаг DNS CD, связанный с DNSSEC, указывает в запросе, что не проверенные данные приемлемы для системы отправки запроса. |
| DnsFlagsRecursionAvailable |
bool |
Флаг DNS RA указывает на ответ, который сервер поддерживает рекурсивные запросы. |
| DnsFlagsRecursionDesired |
bool |
Требуемый флаг рекурсии DNS указывает на запрос, который клиент хотел бы использовать рекурсивные запросы. |
| DnsFlagsTruncated |
bool |
Флаг DNS TC указывает, что ответ усечен по мере превышен максимального размера ответа. |
| DnsFlagsZ |
bool |
Флаг DNS Z является устаревшим флагом DNS, который может быть сообщен старыми системами DNS. |
| DnsNetworkDuration |
INT |
Время в миллисекундах, необходимое для завершения запроса DNS. |
| DnsQuery |
строка |
Домен, который требуется разрешить. |
| DnsQueryClass |
INT |
Идентификатор класса DNS, определенный центром назначения номеров Интернета (IANA). |
| DnsQueryClassName |
строка |
Dns-имя класса, определенное центром назначения номеров Интернета (IANA). |
| DnsQueryType |
INT |
Коды типов записей ресурсов DNS, определенные центром назначения номеров Интернета (IANA). |
| DnsQueryTypeName |
строка |
Имя типа записи ресурса DNS, определенное центром назначения номеров Интернета (IANA). |
| DnsResponseCode |
INT |
Код числовых ответов DNS, определенный центром назначения номеров Интернета (IANA). |
| DnsResponseIpCity |
строка |
Город, связанный с IP-адресом ответа. |
| DnsResponseIpCountry |
строка |
Страна, связанная с IP-адресом ответа. |
| DnsResponseIpLatitude |
real |
Широта географической координаты, связанной с IP-адресом ответа. |
| DnsResponseIpLongitude |
real |
Долгота географической координаты, связанной с IP-адресом ответа. |
| DnsResponseIpRegion |
строка |
Регион или штат в пределах страны, связанный с исходным IP-адресом. |
| DnsResponseName |
строка |
Содержимое ответа в том виде, в котором оно включено в запись. Структура данных ответа DNS может отличаться между различными устройствами отчетов. |
| DnsSessionId |
строка |
Идентификатор сеанса DNS, сообщаемый устройством составления отчетов. |
| Dst |
строка |
Уникальный идентификатор сервера, получившего DNS-запрос. |
| DstDescription |
строка |
Описательный текст, связанный с назначением. |
| DstDeviceType |
строка |
Тип устройства назначения. |
| DstDomain |
строка |
Домен устройства назначения. |
| DstDomainType |
строка |
Тип DstDomain. |
| DstDvcId |
строка |
Идентификатор ресурса устройства назначения. |
| DstDvcIdType |
строка |
Тип DstDvcId. |
| DstDvcScope |
строка |
Область облачной платформы, к которой принадлежит целевое устройство. DvcScope сопоставляется с подпиской в Azure и учетной записью в AWS. |
| DstDvcScopeId |
строка |
Идентификатор области облачной платформы, к которому принадлежит целевое устройство. DvcScopeId сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
| DstFQDN |
строка |
Имя узла устройства назначения, включая сведения о домене, если они доступны. |
| DstGeoCity |
строка |
Город, связанный с IP-адресом назначения. |
| DstGeoCountry |
строка |
Страна, связанная с IP-адресом назначения. |
| DstGeoLatitude |
real |
Широта географической координаты, связанная с IP-адресом назначения. |
| DstGeoLongitude |
real |
Долгота географической координаты, связанная с IP-адресом назначения. |
| DstGeoRegion |
строка |
Регион или штат в пределах страны, связанный с IP-адресом назначения. |
| DstHostname |
строка |
Имя узла устройства назначения, включая сведения о домене. |
| DstIpAddr |
строка |
IP-адрес сервера, получающего запрос DNS. Для обычного запроса DNS это значение как правило определяет передающее устройство и в большинстве случаев равно 127.0.0.1. |
| DstOriginalRiskLevel |
строка |
Уровень риска, связанный с конечным устройством, как сообщается устройством отчетов. |
| DstPortNumber |
INT |
Номер порта назначения. |
| DstRiskLevel |
INT |
Уровень риска, связанный с конечным устройством. |
| Dvc |
строка |
Уникальный идентификатор устройства, сообщающего о событии. Идентификатор может быть IP-адресом, именем узла или идентификатором устройства. |
| DvcAction |
строка |
Действие, выполняемое устройством отчетов по запросу, например блокировка. |
| DvcDescription |
строка |
Текст описания, связанный с устройством. Например: основной контроллер домена. |
| DvcDomain |
строка |
Домен устройства, сообщающего о событии. |
| DvcDomainType |
строка |
Тип DvcDomain. Возможные значения включают "Windows" и "полное доменное имя". |
| DvcFQDN |
строка |
Полное имя узла, включая сведения о домене, устройства, сообщающее о событии. |
| DvcHostname |
строка |
Имя узла устройства, сообщающее о событии. |
| DvcId |
строка |
Уникальный идентификатор устройства, сообщающего о событии. |
| DvcIdType |
строка |
Тип DvcId. |
| DvcInterface |
строка |
Сетевой интерфейс, в котором были фиксируются данные. Это поле обычно относится к сетевой активности, которая фиксируется промежуточным устройством или устройством TAP. |
| DvcIpAddr |
строка |
IP-адрес устройства, сообщающего о событии. |
| DvcMacAddr |
строка |
MAC-адрес устройства, сообщающего о событии. |
| DvcOriginalAction |
строка |
Исходное действие DvcAction, предоставленное передающим устройством. |
| DvcOs |
строка |
Операционная система, запущенная на устройстве, сообщает о событии. |
| DvcOsVersion |
строка |
Версия операционной системы на устройстве, сообщающая о событии. |
| DvcScope |
строка |
Область облачной платформы, к которой принадлежит устройство. DvcScope сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
| DvcScopeId |
строка |
Идентификатор области облачной платформы, к которому принадлежит устройство. DvcScopeId сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
| DvcZone |
строка |
Сетевой сегмент устройства, сообщающего о событии. |
| EventCount |
INT |
Количество событий, описываемых записью. Обычно это значение используется для источников, которые поддерживают агрегирование, то есть когда одна запись может сопоставляться с несколькими событиями. |
| EventEndTime |
datetime |
Время окончания события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации последнего события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| EventMessage |
строка |
Общее сообщение или описание. |
| EventOriginalSeverity |
строка |
Исходная степень серьезности, предоставленная передающим устройством. Это значение используется для получения EventSeverity. |
| EventOriginalType |
строка |
Исходный тип события или идентификатор, например исходный идентификатор события Windows. |
| EventOriginalUid |
строка |
Уникальный идентификатор исходной записи. |
| EventOwner |
строка |
Владелец события, который обычно является отделом или дочерней компанией, в которой она была создана. |
| EventProduct |
строка |
Продукт, создающий событие. |
| EventProductVersion |
строка |
Версия продукта, создающего событие. |
| EventReportUrl |
строка |
URL-адрес ресурса, предоставляющего дополнительные сведения о событии. |
| EventResult |
строка |
Результат события, представленный одним из следующих значений: Success, Partial, Failure, NA (Not Applicable). Значение может не предоставляться напрямую источниками, в этом случае оно является производным от других полей событий, например поля EventResultDetails. |
| EventResultDetails |
строка |
Код ответа DNS, определенный центром назначения номеров Интернета (IANA). |
| EventSchemaVersion |
строка |
Номер версии схемы. |
| EventSeverity |
строка |
Серьезность события. Допустимые значения: "Информационный", "Низкий", "Средний" или "Высокий". |
| EventStartTime |
datetime |
Время начала события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации первого события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| EventSubType |
строка |
Либо запрос (request), либо ответ (response). |
| EventType |
строка |
Указывает на операцию, о которой сообщает эта запись. Для событий действий DNS это значение представляет собой dns-код opcode, определенный центром назначения номеров Интернета (IANA). |
| EventVendor |
строка |
Поставщик продукта, создающего событие. |
| _IsBillable |
строка |
Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure. |
| NetworkProtocol |
строка |
Транспортный протокол, используемый событием разрешения в сети. Значение может быть UDP или TCP. |
| NetworkProtocolVersion |
строка |
Версия сетевого протокола. Обычно используется для различения IPv4 и Ipv6. |
| _ResourceId |
строка |
Уникальный идентификатор ресурса, с которым связана запись. |
| RuleName |
строка |
Имя или идентификатор правила, связанные с результатами проверки. |
| RuleNumber |
INT |
Число правил, связанных с результатами проверки. |
| SourceSystem |
строка |
Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
| Src |
строка |
Уникальный идентификатор исходного устройства. |
| SrcDescription |
строка |
Число правил, связанных с результатами проверки. |
| SrcDeviceType |
строка |
Тип исходного устройства. |
| SrcDomain |
строка |
Домен исходного устройства. |
| SrcDomainType |
строка |
Тип SrcDomain. |
| SrcDvcId |
строка |
Идентификатор исходного устройства. |
| SrcDvcIdType |
строка |
Тип SrcDvcId. |
| SrcDvcScope |
строка |
Область облачной платформы, к которой принадлежит исходное устройство. DvcScope сопоставляется с подпиской в Azure и учетной записью в AWS. |
| SrcDvcScopeId |
строка |
Идентификатор области облачной платформы, к которому принадлежит исходное устройство. DvcScopeId сопоставляет идентификатор подписки в Azure и идентификатор учетной записи в AWS. |
| SrcFQDN |
строка |
Имя узла исходного устройства, включая сведения о домене. |
| SrcGeoCity |
строка |
Город, связанный с исходным IP-адресом. |
| SrcGeoCountry |
строка |
Страна, связанная с исходным IP-адресом. |
| SrcGeoLatitude |
real |
Географическая широта, связанная с исходным IP-адресом. |
| SrcGeoLongitude |
real |
Географическая долгота, связанная с исходным IP-адресом. |
| SrcGeoRegion |
строка |
Регион или штат в пределах страны, связанный с исходным IP-адресом. |
| SrcHostname |
строка |
Имя узла исходного устройства, включая сведения о домене. |
| SrcIpAddr |
строка |
IP-адрес клиента, отправляющего запрос DNS. Для рекурсивного DNS-запроса это значение обычно будет устройством отчетов, а в большинстве случаев — 127.0.0.1. |
| SrcOriginalRiskLevel |
строка |
Уровень риска, связанный с исходным устройством, как сообщается устройством отчетов. |
| SrcOriginalUserType |
строка |
Исходный тип пользователя источника, как указано источником. |
| SrcPortNumber |
INT |
Исходный порт для запроса DNS. |
| SrcProcessGuid |
строка |
Созданный уникальный идентификатор (GUID) процесса, который инициировал DNS-запрос. |
| SrcProcessId |
строка |
Идентификатор процесса (PID), который инициировал DNS-запрос. |
| SrcProcessName |
строка |
Имя процесса, инициирующего DNS-запрос. |
| SrcRiskLevel |
INT |
Уровень риска, связанный с исходным устройством. |
| SrcUserId |
строка |
Считываемое компьютером буквенно-цифровое, уникальное представление исходного пользователя. |
| SrcUserIdType |
строка |
Тип идентификатора, который хранится в поле SrcUserId. |
| SrcUsername |
строка |
Имя пользователя Source, включая сведения о домене, если они доступны. |
| SrcUsernameType |
строка |
Тип имени пользователя, хранящегося в поле SrcUsername. |
| SrcUserScope |
строка |
Область, например клиент Azure AD, в которой определены SrcUserId и SrcUsername. |
| SrcUserScopeId |
строка |
Идентификатор области, например клиента Azure AD, в которой определены SrcUserId и SrcUsername. |
| SrcUserSessionId |
строка |
Уникальный идентификатор сеанса входа исходного пользователя. |
| SrcUserType |
строка |
Тип исходного пользователя. |
| _SubscriptionId |
строка |
Уникальный идентификатор подписки, с которой связана запись |
| TenantId |
строка |
Идентификатор рабочей области Log Analytics |
| ThreatCategory |
строка |
Если источник событий DNS также предоставляет сведения о безопасности для DNS, может вычисляться событие DNS. Например, может выполняться поиск IP-адреса или домена в базе данных аналитики угроз, а также назначаться категория угрозы для домена или IP-адреса. |
| ThreatConfidence |
INT |
Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| ThreatField |
строка |
Поле, для которого была обнаружена угроза. Это значение — SrcIpAddr, DstIpAddr, Domain или DnsResponseName. |
| ThreatFirstReportedTime |
строка |
Время первого обнаружения угрозы для этого IP-адреса или домена. |
| ThreatFirstReportedTime_d |
datetime |
Время первого обнаружения угрозы для этого IP-адреса или домена. |
| ThreatId |
строка |
Идентификатор угрозы или вредоносных программ, определенных в веб-сеансе. |
| ThreatIpAddr |
строка |
IP-адрес, для которого была обнаружена угроза. Поле ThreatField содержит имя поля, которое представляет ThreatIpAddr. Если угроза определена в поле Domain, это поле должно быть пустым. |
| ThreatIsActive |
bool |
Истинный идентификатор обнаруженной угрозы считается активной угрозой. |
| ThreatLastReportedTime |
строка |
Время последнего обнаружения угрозы для этого IP-адреса или домена. |
| ThreatLastReportedTime_d |
datetime |
Время последнего обнаружения угрозы для этого IP-адреса или домена. |
| ThreatName |
строка |
Имя обнаруженной угрозы, полученное от устройства, сообщившего о ней. |
| ThreatOriginalConfidence |
строка |
Исходный уровень достоверности для обнаруженной угрозы, полученный от устройства, сообщившего о ней. |
| ThreatOriginalRiskLevel |
INT |
Исходный уровень риска для обнаруженной угрозы, полученный от устройства, сообщившего о ней. |
| ThreatOriginalRiskLevel_s |
строка |
Уровень риска, связанный с обнаруженной угрозой, нормализованный до диапазона значения от 0 до 100. |
| ThreatRiskLevel |
INT |
Уровень риска, связанный с обнаруженной угрозой, нормализованный до диапазона значения от 0 до 100. |
| TimeGenerated |
datetime |
Метка времени (UTC), отражающая время создания события. |
| TransactionIdHex |
строка |
Уникальный шестнадцатеричный идентификатор транзакции DNS. |
| Тип |
строка |
Имя таблицы. |
| UrlCategory |
строка |
Источник событий DNS также может искать категорию запрошенных доменов. |