| AccountDomain |
строка |
Домен учетной записи. |
| AccountName |
строка |
Имя пользователя учетной записи. |
| AccountSid |
строка |
Идентификатор безопасности учетной записи. |
| Тип действия |
строка |
Тип действия, активировав событие. |
| AdditionalFields |
по строкам |
Дополнительные сведения о сущности или событии. |
| AppGuardContainerId |
строка |
Идентификатор виртуализированного контейнера, используемого Application Guard для изоляции действий браузера. |
| _BilledSize |
real |
Размер записи в байтах |
| DeviceId |
строка |
Уникальный идентификатор устройства в службе. |
| DeviceName |
строка |
Полное доменное имя устройства. |
| FailureReason |
строка |
Сведения о том, почему записанное действие завершилось сбоем. |
| ИнициированиеProcessAccountDomain |
строка |
Домен учетной записи, выполняющей процесс, отвечающий за событие. |
| ИнициированиеProcessAccountName |
строка |
Имя пользователя учетной записи, которая выполнила процесс, отвечающий за событие. |
| ИнициированиеProcessAccountObjectId |
строка |
Идентификатор объекта Azure AD учетной записи пользователя, выполняющей процесс, отвечающий за событие. |
| ИнициированиеProcessAccountSid |
строка |
Идентификатор безопасности учетной записи, выполняющей процесс, отвечающий за событие. |
| ИнициированиеProcessAccountUpn |
строка |
Имя субъекта-пользователя (UPN) учетной записи, выполняющей процесс, отвечающий за событие. |
| ИнициированиеProcessCommandLine |
строка |
Командная строка, используемая для запуска процесса, инициирующего событие. |
| ИнициированиеProcessCreationTime |
datetime |
Дата и время запуска процесса, инициированного событием. |
| ИнициированиеProcessFileName |
строка |
Имя процесса, инициируемого событием. |
| ИнициированиеProcessFileSize |
длинный |
Размер в байтах процесса (файла изображения), инициированного событием. |
| ИнициированиеProcessFolderPath |
строка |
Папка, содержащая процесс (файл изображения), инициируемый событием. |
| ИнициированиеProcessId |
длинный |
Идентификатор процесса (PID) процесса, инициирующего событие. |
| ИнициированиеProcessIntegrityLevel |
строка |
Уровень целостности процесса, инициирующего событие. Windows назначает уровни целостности процессам на основе определенных характеристик, таких как если бы они были запущены из скачивания в Интернете. Эти уровни целостности влияют на разрешения для ресурсов. |
| ИнициированиеProcessMD5 |
строка |
Хэш MD5 процесса (файла изображения), инициированного событием. |
| ИнициированиеProcessParentCreationTime |
datetime |
Дата и время начала родительского процесса, ответственного за событие. |
| ИнициированиеProcessParentFileName |
строка |
Имя родительского процесса, который породил процесс, отвечающий за событие. |
| ИнициированиеProcessParentId |
длинный |
Идентификатор процесса (PID) родительского процесса, который вызвал процесс, ответственный за событие. |
| ИнициированиеProcessRemoteSessionDeviceName |
строка |
Имя устройства удаленного устройства, с которого был инициирован сеанс RDP инициируемого процесса. |
| ИнициированиеProcessRemoteSessionIP |
строка |
IP-адрес удаленного устройства, с которого был инициирован сеанс RDP инициируемого процесса. |
| ИнициированиеProcessSessionId |
длинный |
Идентификатор сеанса Windows для процесса инициации. |
| ИнициированиеProcessSHA1 |
строка |
Хэш SHA-1 процесса (файла изображения), инициированного событием. |
| ИнициированиеProcessSHA256 |
строка |
Хэш SHA-256 процесса (файла изображения), инициированного событием. Обычно это поле не заполняется. При наличии используйте столбец SHA1. |
| ИнициированиеProcessTokenElevation |
строка |
Тип токена, указывающий на наличие или отсутствие прав пользователя контроль доступа (UAC), примененного к процессу, инициируемого событием. |
| ИнициированиеProcessVersionInfoCompanyName |
строка |
Имя компании из сведений о версии процесса (файла образа), ответственного за событие. |
| ИнициированиеProcessVersionInfoFileDescription |
строка |
Описание из сведений о версии процесса (файла изображения), ответственного за событие. |
| ИнициированиеProcessVersionInfoInternalFileName |
строка |
Имя внутреннего файла из сведений о версии процесса (файла образа), ответственного за событие. |
| ИнициированиеProcessVersionInfoOriginalFileName |
строка |
Исходное имя файла из сведений о версии процесса (файла образа), ответственного за событие. |
| ИнициированиеProcessVersionInfoProductName |
строка |
Имя продукта из сведений о версии процесса (файла изображения), ответственного за событие. |
| ИнициированиеProcessVersionInfoProductVersion |
строка |
Версия продукта из сведений о версии процесса (файла образа), ответственного за событие. |
| _IsBillable |
строка |
Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure. |
| IsInitiatingProcessRemoteSession |
bool |
Указывает, был ли запущен процесс инициирования в сеансе протокола удаленного рабочего стола (RDP) (true) или локально (false). |
| IsLocalAdmin |
bool |
Логический индикатор того, является ли пользователь локальным администратором на компьютере. |
| Входной идентификатор |
длинный |
Идентификатор сеанса входа. Этот идентификатор уникален на одном компьютере только между перезапусками. |
| Вход в систему |
строка |
Тип сеанса входа, в частности интерактивный, удаленный интерактивный (RDP), сеть, пакет и служба. |
| MachineGroup |
строка |
Группа компьютеров. Эта группа используется с помощью управления доступом на основе ролей для определения доступа к компьютеру. |
| Протокол |
строка |
Протокол, используемый во время связи. |
| RemoteDeviceName |
строка |
Имя устройства, выполняющего удаленную операцию на затронутом компьютере. В зависимости от сообщаемого события это имя может быть полным доменным именем (FQDN), именем NetBIOS или именем узла без сведений о домене. |
| RemoteIP |
строка |
IP-адрес, к которому подключено подключение. |
| RemoteIPType |
строка |
Тип IP-адреса, например Public, Private, Reserved, Loopback, Teredo, FourToSixMapping и Broadcast. |
| RemotePort |
INT |
TCP-порт на удаленном устройстве, к которому подключено подключение. |
| ReportId |
длинный |
Идентификатор события на основе повторяющегося счетчика. Чтобы определить уникальные события, этот столбец должен использоваться в сочетании со столбцами ComputerName и EventTime. |
| SourceSystem |
строка |
Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
| TenantId |
строка |
Идентификатор рабочей области Log Analytics |
| TimeGenerated |
datetime |
Дата и время записи события агентом MDE в конечной точке. |
| Тип |
строка |
Имя таблицы. |