| AdditionalFields |
по строкам |
Дополнительные сведения, представленные с помощью пар "ключ-значение", предоставляемых источником, который не сопоставляется с ASim. |
| _BilledSize |
real |
Размер записи в байтах |
| DstAppId |
строка |
Идентификатор приложения назначения, который сообщается устройством отчетов. |
| DstAppName |
строка |
Введите имя приложения назначения. |
| DstAppType |
строка |
Тип приложения назначения. |
| DstBytes |
длинный |
Число байтов, отправленных от места назначения к источнику для соединения или сеанса. Если событие агрегировано, DstBytes — это сумма по всем агрегированным сеансам. |
| DstDescription |
строка |
Описательный текст, связанный с назначением. |
| DstDeviceType |
строка |
Тип устройства назначения. |
| DstDomain |
строка |
Домен устройства назначения. |
| DstDomainType |
строка |
Тип DstDomain. |
| DstDvcId |
строка |
Идентификатор ресурса устройства назначения. |
| DstDvcIdType |
строка |
Тип DstDvcId. |
| DstFQDN |
строка |
Имя узла устройства назначения, включая сведения о домене, если они доступны. |
| DstGeoCity |
строка |
Город, связанный с IP-адресом назначения. |
| DstGeoCountry |
строка |
Страна, связанная с IP-адресом назначения. |
| DstGeoLatitude |
real |
Широта географической координаты, связанная с IP-адресом назначения. |
| DstGeoLongitude |
real |
Долгота географической координаты, связанная с IP-адресом назначения. |
| DstGeoRegion |
строка |
Регион или штат в стране, связанной с IP-адресом назначения. |
| DstHostname |
строка |
Имя узла устройства назначения, включая сведения о домене. |
| DstInterfaceGuid |
строка |
Идентификатор GUID сетевого интерфейса, используемого на устройстве назначения. |
| DstInterfaceName |
строка |
Сетевой интерфейс, используемый устройством назначения для подключения или сеанса. |
| DstIpAddr |
строка |
IP-адрес подключения или назначения сеанса. |
| DstMacAddr |
строка |
MAC-адрес сетевого интерфейса, используемый устройством назначения для подключения или сеанса. |
| DstNatIpAddr |
строка |
DstNatIpAddr представляет любой из следующих вариантов: исходный адрес конечного устройства, если был использован сетевой адрес или IP-адрес, используемый промежуточным устройством для связи с источником. |
| DstNatPortNumber |
INT |
Если сообщение передается промежуточным устройством NAT, то это будет порт, используемый устройством NAT для связи с источником. |
| DstOriginalUserType |
строка |
Начальный тип пользователя назначения, если он указан источником. |
| DstPackets |
длинный |
Число пакетов, отправленных от места назначения к источнику для соединения или сеанса. Значение пакета определяется устройством составления отчетов. Если событие агрегировано, DstPackets — это сумма по всем агрегированным сеансам. |
| DstPortNumber |
INT |
Порт назначения. |
| DstSubscriptionId |
строка |
Идентификатор подписки на облачную платформу, к которой принадлежит устройство назначения. DstSubscriptionId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| DstUserId |
строка |
Считываемое компьютером буквенно-цифровое, уникальное представление пользователя назначения. |
| DstUserIdType |
строка |
Тип идентификатора, который хранится в поле DstUserId. |
| DstUsername |
строка |
Имя пользователя назначения, включая сведения о домене, если они доступны. Используйте простую форму, только если сведения о домене недоступны. |
| DstUsernameType |
строка |
Указывает тип имени пользователя, хранимого в поле DstUsername. |
| DstUserType |
строка |
Тип пользователя назначения. |
| DstVlanId |
строка |
Идентификатор виртуальной ЛС, относящийся к устройству назначения. |
| DstZone |
строка |
Зона сети назначения, определенная на устройстве составления отчетов. |
| Dvc |
строка |
Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии. |
| DvcAction |
строка |
Действие, выполняемое в сетевом сеансе. |
| DvcDescription |
строка |
Текст описания, связанный с устройством. Например: основной контроллер домена. |
| DvcDomain |
строка |
Домен устройства, сообщающего о событии. |
| DvcDomainType |
строка |
Тип DvcDomain. Возможные значения включают "Windows" и "полное доменное имя". |
| DvcFQDN |
строка |
Имя узла устройства, на котором произошло событие или которое сообщило о событии. |
| DvcHostname |
строка |
Имя узла устройства, сообщающее о событии. |
| DvcId |
строка |
Уникальный идентификатор устройства, на котором произошло событие или которое сообщило о событии. |
| DvcIdType |
строка |
Тип DvcId. |
| DvcInboundInterface |
строка |
Если сообщение передается промежуточным устройством, то это сетевой интерфейс, используемый устройством NAT для подключения к исходному устройству. |
| DvcInterface |
строка |
Сетевой интерфейс, в котором были фиксируются данные. Это поле обычно относится к сетевой активности, которая фиксируется промежуточным устройством или устройством TAP. |
| DvcIpAddr |
строка |
IP-адрес устройства, сообщающего о событии. |
| DvcMacAddr |
строка |
MAC-адрес устройства, на котором произошло событие или которое сообщило о событии. Пример: 00:1B:44:11:3A:B7 |
| DvcOriginalAction |
строка |
Исходное действие DvcAction, предоставленное передающим устройством. |
| DvcOs |
строка |
Операционная система, запущенная на устройстве, сообщает о событии. |
| DvcOsVersion |
строка |
Версия операционной системы на устройстве, сообщающая о событии. |
| DvcOutboundInterface |
строка |
Если сообщение передается промежуточным устройством, то это сетевой интерфейс, используемый устройством NAT для подключения к устройству назначения. |
| DvcSubscriptionId |
строка |
Идентификатор подписки на облачную платформу, к которой принадлежит устройство. DvcSubscriptionId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| DvcZone |
строка |
Сеть, в которой произошло событие или которое сообщило о событии. Зона определяется передающим устройством. |
| EventCount |
INT |
Обычно это значение используется для источников, которые поддерживают агрегирование, то есть когда одна запись может сопоставляться с несколькими событиями. |
| EventEndTime |
datetime |
Время окончания события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации последнего события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| EventMessage |
строка |
Общее сообщение или описание. |
| EventOriginalResultDetails |
строка |
Исходные сведения о результатах, предоставленные источником. Это значение используется для получения значения EventResultDetails, которое должно иметь только одно из значений, задокументированных для каждой схемы. |
| EventOriginalSeverity |
строка |
Исходная степень серьезности, предоставленная передающим устройством. Это значение используется для получения EventSeverity. |
| EventOriginalSubType |
строка |
Исходный идентификатор или подтип события, если предоставлен источником. Например, это поле будет использоваться для хранения исходного типа события входа Windows. Это значение используется для получения значения EventSubType, которое должно иметь только одно из значений, задокументированных для каждой схемы. |
| EventOriginalType |
строка |
Исходный идентификатор или тип события, если он указан источником. |
| EventOriginalUid |
строка |
Уникальный идентификатор исходной записи, если он указан источником. |
| EventProduct |
строка |
Продукт, создающий событие. |
| EventProductVersion |
строка |
Версия продукта, создающего событие. |
| EventReportUrl |
строка |
URL-адрес, предоставленный в событии для ресурса с дополнительной информацией об этом событии. |
| EventResult |
строка |
Результат события, представленный одним из следующих значений: Success, Partial, Failure, NA (Not Applicable). Значение может не предоставляться напрямую источниками, в этом случае оно является производным от других полей событий, например поля EventResultDetails. |
| EventResultDetails |
строка |
Причина или подробные сведения для результата, полученного в поле EventResult. |
| EventSchemaVersion |
строка |
Номер версии схемы. |
| EventSeverity |
строка |
Серьезность события. Допустимые значения: "Информационный", "Низкий", "Средний" или "Высокий". |
| EventStartTime |
datetime |
Время начала события. Если источник поддерживает агрегирование, а запись представляет несколько событий, это время генерации первого события. Если это поле не указано в исходной записи, оно является псевдонимом поля TimeGenerated. |
| EventSubType |
строка |
Дополнительное описание типа события, если применимо. |
| EventType |
строка |
Операция, сообщаемая записью. |
| EventVendor |
строка |
Поставщик продукта, создающего событие. |
| _IsBillable |
строка |
Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure. |
| NetworkApplicationProtocol |
строка |
Протокол на уровне приложения, используемый соединением или сеансом. |
| NetworkBytes |
длинный |
Число байтов, отправленных в обоих направлениях. Если BytesReceived и BytesSent существуют, значение BytesTotal должно быть равно их сумме. Если событие агрегировано, NetworkBytes — это сумма по всем агрегированным сеансам. |
| NetworkConnectionHistory |
строка |
Флаги TCP и другие возможные сведения о заголовке IP. |
| NetworkDirection |
строка |
Направление подключения или сеанса. |
| NetworkDuration |
INT |
Время в миллисекундах, необходимое для завершения сетевого сеанса или подключения. |
| NetworkIcmpCode |
INT |
Для сообщения ICMP введите числовое значение типа сообщения ICMP, как описано в RFC 2780 для сетевых подключений IPv4 или в RFC 4443 для сетевых подключений IPv6. |
| NetworkIcmpType |
строка |
Для сообщения ICMP введите текстовое представление типа сообщения ICMP, как описано в RFC 2780 для сетевых подключений IPv4 или в RFC 4443 для сетевых подключений IPv6. |
| NetworkPackets |
длинный |
Число пакетов, отправленных в обоих направлениях. Если PacketsReceived и PacketsSent существуют, значение BytesTotal должно быть равно их сумме. Значение пакета определяется устройством составления отчетов. Если событие агрегировано, NetworkPackets — это сумма по всем агрегированным сеансам. |
| NetworkProtocol |
строка |
IP-протокол, используемый подключением или сеансом, как указано в назначении протокола IANA, который обычно является TCP, UDP или ICMP. |
| NetworkProtocolVersion |
строка |
Версия NetworkProtocol. |
| NetworkRuleName |
строка |
Имя или идентификатор правила, по которому было принято решение об DvcAction. |
| NetworkRuleNumber |
INT |
Номер правила, по которому было принято решение об DvcAction. |
| NetworkSessionId |
строка |
Идентификатор сеанса, сообщаемый устройством составления отчетов. |
| _ResourceId |
строка |
Уникальный идентификатор ресурса, с которым связана запись. |
| SourceSystem |
строка |
Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
| SrcAppId |
строка |
Идентификатор исходного приложения, который сообщается передающим устройством. |
| SrcAppName |
строка |
Имя исходного приложения. |
| SrcAppType |
строка |
Тип исходного приложения. |
| SrcBytes |
длинный |
Число байтов, отправленных от источника к месту назначения для соединения или сеанса. Если событие агрегировано, SrcBytes — это сумма по всем агрегированным сеансам. |
| SrcDescription |
строка |
Описательный текст, связанный с источником. |
| SrcDeviceType |
строка |
Тип исходного устройства. |
| SrcDomain |
строка |
Домен исходного устройства. |
| SrcDomainType |
строка |
Тип SrcDomain. |
| SrcDvcId |
строка |
Идентификатор исходного устройства. |
| SrcDvcIdType |
строка |
Тип SrcDvcId. |
| SrcFQDN |
строка |
Имя узла исходного устройства, включая сведения о домене, если они доступны. |
| SrcGeoCity |
строка |
Город, связанный с исходным IP-адресом. |
| SrcGeoCountry |
строка |
Страна, связанная с исходным IP-адресом. |
| SrcGeoLatitude |
real |
Географическая широта, связанная с исходным IP-адресом. |
| SrcGeoLongitude |
real |
Географическая долгота, связанная с исходным IP-адресом. |
| SrcGeoRegion |
строка |
Регион в стране, связанный с исходным IP-адресом. |
| SrcHostname |
строка |
Имя узла исходного устройства, включая сведения о домене. Если имя устройства недоступно, может хранить соответствующий IP-адрес. |
| SrcInterfaceGuid |
строка |
GUID сетевого интерфейса, используемого на исходном устройстве. |
| SrcInterfaceName |
строка |
Сетевой интерфейс, используемый исходным устройством для подключения или сеанса. |
| SrcIpAddr |
строка |
IP-адрес, с которого поступило соединение или сеанс. |
| SrcMacAddr |
строка |
MAC-адрес сетевого интерфейса, из которого создано подключение или сеанс. |
| SrcNatIpAddr |
строка |
SrcNatIpAddr представляет любой из следующих вариантов: исходный адрес исходного устройства, если использовался перевод сетевых адресов или IP-адрес, используемый промежуточным устройством для связи с назначением. |
| SrcNatPortNumber |
INT |
Если сообщение передается промежуточным устройством NAT, то это будет порт, используемый устройством NAT для связи с пунктом назначения. |
| SrcOriginalUserType |
строка |
Исходный тип пользователя назначения, если он предоставляется устройством отчетов. |
| SrcPackets |
длинный |
Число пакетов, отправленных от источника к месту назначения для соединения или сеанса. Значение пакета определяется устройством составления отчетов. Если событие агрегировано, SrcPackets — это сумма по всем агрегированным сеансам. |
| SrcPortNumber |
INT |
Порт IP-адреса, с которого было создано подключение. Может не иметь отношения к сеансу, включающему несколько подключений. |
| SrcSubscriptionId |
строка |
Идентификатор подписки на облачную платформу, к которой принадлежит исходное устройство. SrcSubscriptionId сопоставляется с идентификатором подписки в Azure и идентификатором учетной записи в AWS. |
| SrcUserId |
строка |
Считываемое компьютером буквенно-цифровое, уникальное представление исходного пользователя. |
| SrcUserIdType |
строка |
Тип идентификатора, который хранится в поле SrcUserId. |
| SrcUsername |
строка |
Имя исходного пользователя, включая сведения о домене, если они доступны. |
| SrcUsernameType |
строка |
Указывает тип имени пользователя, хранимого в поле SrcUsername. |
| SrcUserType |
строка |
Тип исходного пользователя. |
| SrcVlanId |
строка |
Идентификатор виртуальной ЛС, относящийся к исходному устройству. |
| SrcZone |
строка |
Зона сети источника, определенная на устройстве составления отчетов. |
| _SubscriptionId |
строка |
Уникальный идентификатор подписки, с которой связана запись |
| TcpFlagsAck |
bool |
Сообщается флаг TCP ACK. Флаг подтверждения используется для подтверждения успешного получения пакета. Как видно на приведенной выше схеме, получатель отправляет ACK, а также SYN во втором шаге трехстороннего подтверждения, чтобы сообщить отправителю, что он получил свой первоначальный пакет. |
| TcpFlagsFin |
bool |
Сообщается флаг TCP FIN. Готовый флаг означает, что данных от отправителя больше нет. Поэтому он используется в последнем пакете, отправленном отправителем. |
| TcpFlagsPsh |
bool |
Сообщается флаг TCP PSH. Флаг push-отправки несколько похож на флаг URG и сообщает получателю обработать эти пакеты по мере их получения вместо буферизации. |
| TcpFlagsRst |
bool |
Сообщается флаг TCP RST. Флаг сброса отправляется от получателя к отправителю, когда пакет отправляется на конкретный узел, который этого не ожидал. |
| TcpFlagsSyn |
bool |
Сообщается флаг TCP SYN. Флаг синхронизации используется в качестве первого шага при создании трехстороннего подтверждения между двумя узлами. Этот флаг должен быть установлен только для первого пакета как от отправителя, так и от получателя. |
| TcpFlagsUrg |
bool |
Сообщается флаг TCP URG. Срочный флаг используется для уведомления получателя о необходимости обработки срочных пакетов перед обработкой всех остальных пакетов. Получатель будет уведомлен, когда будут получены все известные срочные данные. Дополнительные сведения см. на странице RFC 6093. |
| TenantId |
строка |
Идентификатор рабочей области Log Analytics |
| ThreatCategory |
строка |
Категория угрозы или вредоносной программы, определенной в сетевом сеансе. |
| ThreatConfidence |
INT |
Уровень достоверности для обнаруженной угрозы, нормализованный до диапазона значений от 0 до 100. |
| ThreatField |
строка |
Поле, для которого была обнаружена угроза. Это значение — SrcIpAddr, DstIpAddr, Domain или DnsResponseName. |
| ThreatFirstReportedTime |
datetime |
Время первого обнаружения угрозы для этого IP-адреса или домена. |
| ThreatId |
строка |
Идентификатор угрозы или вредоносной программы, определенной в сетевом сеансе. |
| ThreatIpAddr |
строка |
IP-адрес, для которого была обнаружена угроза. Поле ThreatField содержит имя поля, которое представляет ThreatIpAddr. |
| ThreatIsActive |
bool |
Истинный идентификатор обнаруженной угрозы считается активной угрозой. |
| ThreatLastReportedTime |
datetime |
Время последнего обнаружения угрозы для этого IP-адреса или домена. |
| ThreatName |
строка |
Имя угрозы или вредоносной программы, определенной в сетевом сеансе. |
| ThreatOriginalConfidence |
строка |
Исходный уровень достоверности для обнаруженной угрозы, полученный от устройства, сообщившего о ней. |
| ThreatOriginalRiskLevel |
строка |
Уровень риска, сообщаемый устройством отчетов. |
| ThreatRiskLevel |
INT |
Связанный с сеансом уровень риска. Уровень — от 0 до 100. |
| TimeGenerated |
datetime |
Метка времени (UTC), отражающая время создания события. |
| Тип |
строка |
Имя таблицы. |