| AzureTenantId |
строка |
Идентификатор клиента AAD, к которому принадлежит эта таблица списка наблюдения. |
| _BilledSize |
real |
Размер записи в байтах |
| CorrelationId |
строка |
Идентификатор для коррелированных событий. |
| CreatedBy |
по строкам |
Объект JSON с пользователем, создавшим элемент списка отслеживания или списка наблюдения, включая идентификатор объекта, электронную почту и имя. |
| CreatedTimeUTC |
datetime |
Время (UTC) при первом создании элемента списка наблюдения или списка наблюдения. |
| DefaultDuration |
строка |
Объект JSON, описывающий длительность жизни по умолчанию, наследуемый каждым элементом списка наблюдения. Длительность по умолчанию имеет этот формат: P(n)Y(n)M(n)DT(n)H(n)M(n)S, где P, Y, M, DT, H, M и S являются инвариантными. Например, P3Y6M4DT12H30M9S представляет длительность трех лет, шесть месяцев, четыре дня, двенадцать часов, тридцать минут и девять секунд. |
| _DTItemId |
строка |
Уникальный идентификатор списка наблюдения или элемента списка наблюдения. Например, список наблюдения "RiskyUsers" может содержать элемент списка наблюдения "Name:John Doe; email:johndoe@contoso.com'. Элемент списка наблюдения имеет уникальный идентификатор и принадлежит списку наблюдения. Содержащий список наблюдения можно определить с помощью объекта WatchlistId. |
| _DTItemStatus |
строка |
Был создан, обновлен или удален пользователем элемент списка наблюдения или списка наблюдения. Например, список наблюдения "RiskyUsers" может содержать элемент списка наблюдения "Name:John Doe; email:johndoe@contoso.com'. Если добавлен список наблюдения, состояние будет создано. Если имя списка отслеживания обновляется с "RiskyUsers" до "RiskyEmployees", состояние будет "Обновлено". |
| _DTItemType |
строка |
Различает список наблюдения и элемент списка наблюдения. Например, список наблюдения "RiskyUsers" может содержать элемент списка наблюдения "Name:John Doe; email:johndoe@contoso.com'. Тип элемента "Контрольный список" будет принадлежать типу списка наблюдения, а содержащий список наблюдения можно определить с помощью "WatchlistId". |
| _DTTimestamp |
datetime |
Время (UTC) при создании события. |
| EntityMapping |
по строкам |
Объект JSON с сопоставлением сущностей Azure Sentinel с входными столбцами. |
| _IsBillable |
строка |
Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure. |
| LastUpdatedTimeUTC |
datetime |
Время (UTC) при последнем обновлении элемента списка наблюдения или списка наблюдения. |
| Примечания. |
строка |
Заметки, предоставленные пользователем. |
| Provider |
строка |
Поставщик входных данных списка контрольных данных. |
| SearchKey |
строка |
SearchKey используется для оптимизации производительности запросов при использовании списков наблюдения для соединений с другими данными. Например, включите столбец с IP-адресами в качестве указанного поля SearchKey, а затем используйте это поле для присоединения к другим таблицам событий по IP-адресу. |
| Исходный код |
строка |
Источник входных данных списка наблюдения. |
| SourceSystem |
строка |
Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
| Теги |
строка |
Массив JSON тегов, предоставляемых пользователем. |
| TenantId |
строка |
Идентификатор рабочей области Log Analytics |
| TimeGenerated |
datetime |
Метка времени (UTC) при создании события. |
| timeToLive |
datetime |
Время жизни для записи списка наблюдения, выраженное как дата и время дня (например, 2020-08-20T17:00:00.9618037Z). Исходное значение наследуется от длительности по умолчанию списка наблюдения. Если TimeToLive проходит, запись считается удаленной. Длительность записи может быть расширена в любое время, обновив значение TimeToLive. |
| Тип |
строка |
Имя таблицы. |
| ОбновленоBy |
по строкам |
Объект JSON с пользователем, который последний раз обновил список отслеживания или элемент списка наблюдения, включая идентификатор объекта, электронную почту и имя. |
| WatchlistAlias |
строка |
Уникальная строка, ссылающаяся на список наблюдения. |
| WatchlistCategory |
строка |
Категория "Список наблюдения", предоставляемая пользователем. |
| WatchlistId |
строка |
Имя ресурса списка контрольных списков Resource Manager. |
| WatchlistItem |
по строкам |
Объект JSON с парами "ключ-значение" из источника входного списка наблюдения. |
| WatchlistItemId |
строка |
Уникальный идентификатор элемента списка наблюдения. |
| WatchlistName |
строка |
Отображаемое имя списка наблюдения. |