| AdditionalFields |
по строкам |
Если соответствующий столбец в схеме не совпадает, дополнительные поля могут храниться в контейнере JSON. |
| _BilledSize |
real |
Размер записи в байтах |
| CloudAppId |
строка |
Идентификатор целевого приложения для HTTP-приложения, определяемый прокси-сервером. Это значение обычно относится к используемому прокси-серверу. |
| CloudAppName |
строка |
Имя целевого приложения для HTTP-приложения, определяемое прокси-сервером. |
| CloudAppOperation |
строка |
Операция, выполненная пользователем в контексте целевого приложения для HTTP-приложения, определяемая прокси-сервером. Это значение обычно относится к используемому прокси-серверу. |
| CloudAppRiskLevel |
строка |
Уровень риска, связанный с HTTP-приложением, определяемый прокси-сервером. Это значение обычно относится к используемому прокси-серверу. |
| DstBytes |
длинный |
Число байтов, отправленных от места назначения к источнику для соединения или сеанса. |
| DstDomainHostname |
строка |
Домен конечного узла. |
| DstDvcDomain |
строка |
Домен устройства назначения. |
| DstDvcFqdn |
строка |
Полное доменное имя узла, в котором был создан журнал. |
| DstDvcHostname |
строка |
Имя устройства назначения. |
| DstDvcIpAddr |
строка |
Конечный IP-адрес устройства, который не связан напрямую с сетевым пакетом. |
| DstDvcMacAddr |
строка |
Конечный MAC-адрес устройства, который не связан непосредственно с сетевым пакетом. |
| DstGeoCity |
строка |
Город, связанный с IP-адресом назначения. |
| DstGeoCountry |
строка |
Страна, связанная с исходным IP-адресом. |
| DstGeoLatitude |
real |
Широта географической координаты, связанная с IP-адресом назначения. |
| DstGeoLongitude |
real |
Долгота географической координаты, связанная с IP-адресом назначения |
| DstGeoRegion |
строка |
Регион в пределах страны, связанной с IP-адресом назначения. |
| DstInterfaceGuid |
строка |
GUID сетевого интерфейса, который использовался для запроса проверки подлинности. |
| DstInterfaceName |
строка |
Сетевой интерфейс, используемый устройством назначения для подключения или сеанса. |
| DstIpAddr |
строка |
IP-адрес подключения или назначения сеанса. |
| DstMacAddr |
строка |
MAC-адрес сетевого интерфейса, по которому завершается подключение или сеанс. |
| DstNatIpAddr |
строка |
Если сообщение передается промежуточным устройством NAT, например брандмауэром, то это будет IP-адрес, используемый устройством NAT для связи с источником. |
| DstNatPortNumber |
INT |
Если сообщение передается промежуточным устройством NAT, например брандмауэром, то это будет порт, используемый устройством NAT для связи с источником. |
| DstPackets |
длинный |
Число пакетов, отправленных от места назначения к источнику для соединения или сеанса. Значение пакета определяется устройством составления отчетов. |
| DstPortNumber |
INT |
Порт назначения. |
| DstResourceId |
строка |
Идентификатор ресурса устройства назначения. |
| DstUserAadId |
строка |
Идентификатор объекта учетной записи Azure AD пользователя в конце сеанса. |
| DstUserDomain |
строка |
Домен или имя компьютера учетной записи в месте назначения сеанса. |
| DstUserName |
строка |
Имя пользователя удостоверения, связанного с назначением сеанса. |
| DstUserSid |
строка |
Идентификатор пользователя удостоверения, связанного с назначением сеанса. Как правило, этот идентификатор используется для проверки подлинности сервера. |
| DstUserUpn |
строка |
Имя участника-пользователя, связанное с назначением сеанса. |
| DstZone |
строка |
Зона сети назначения, определенная на устройстве составления отчетов. |
| DvcAction |
строка |
Если передается промежуточным устройством, например брандмауэром, то это действие, предпринимаемое устройством. |
| DvcHostname |
строка |
Имя устройства, создающего сообщение. |
| DvcInboundInterface |
строка |
Если сообщение передается промежуточным устройством, например брандмауэром, то это сетевой интерфейс, используемый им для подключения к исходному устройству. |
| DvcIpAddr |
строка |
IP-адрес устройства, создающего запись. |
| DvcMacAddr |
строка |
MAC-адрес сетевого интерфейса устройства составления отчетов, с которого было отправлено событие. |
| DvcOutboundInterface |
строка |
Если сообщение передается промежуточным устройством, например брандмауэром, то это сетевой интерфейс, используемый им для подключения к устройству назначения. |
| EventCount |
INT |
Число агрегированных событий, если применимо. |
| EventEndTime |
datetime |
Время окончания события. |
| EventMessage |
строка |
Общее сообщение или описание, включенное или созданное из записи. |
| EventOriginalUid |
строка |
Идентификатор записи с устройства составления отчетов. |
| EventProduct |
строка |
Продукт, создающий событие. |
| EventProductVersion |
строка |
Версия продукта, создающего событие. |
| EventReportUrl |
строка |
Ссылка на полный отчет, созданный устройством отчетов. |
| EventResourceId |
строка |
Идентификатор ресурса устройства, создающего сообщение. |
| EventResult |
строка |
Результат, сообщаемый для действия. Пустое значение, если неприменимо. |
| EventResultDetails |
строка |
Причина результата, сообщаемого в EventResult |
| EventSchemaVersion |
строка |
Версия схемы Azure Sentinel. |
| EventSeverity |
строка |
Если полученное действие воздействует на безопасность, говорит о серьезности такого воздействия. |
| EventStartTime |
datetime |
Время, в котором указано событие. |
| EventSubType |
строка |
Дополнительное описание типа, если применимо. |
| EventTimeIngested |
datetime |
Время приема события в Azure Sentinel. Будет добавлено со стороны Azure Sentinel. |
| EventType |
строка |
Тип собираемого события. |
| EventUid |
строка |
Уникальный идентификатор, используемый Sentinel для пометки строки. |
| EventVendor |
строка |
Поставщик продукта, создающего событие. |
| FileExtension |
строка |
Тип файла, передаваемого по сетевым подключениям для таких протоколов, как FTP и HTTP. |
| FileHashMd5 |
строка |
Значение хэша MD5 для файла, переданного по сетевым подключениям для протоколов. |
| FileHashSha1 |
строка |
Значение хэша SHA1 для файла, переданного по сетевым подключениям для протоколов. |
| FileHashSha256 |
строка |
Значение хэша SHA256 для файла, переданного по сетевым подключениям для протоколов. |
| FileHashSha512 |
строка |
Значение хэша SHA512 для файла, переданного по сетевым подключениям для протоколов. |
| FileMimeType |
строка |
Тип MIME файла, передаваемый по сетевым подключениям для таких протоколов, как FTP и HTTP. |
| FileName |
строка |
Имя файла, передаваемого по сетевым подключениям для таких протоколов, как FTP и HTTP, которые предоставляют сведения об имени файла. |
| FilePath |
строка |
Полный путь, включая имя файла, файла. |
| FileSize |
INT |
Размер файла в байтах, переданного по сетевым подключениям для протоколов. |
| HttpContentType |
строка |
Заголовок типа контента ответа HTTP для сетевых сеансов HTTP/HTTPS. |
| HttpReferrerOriginal |
строка |
Заголовок источника HTTP-ссылки для сетевых сеансов HTTP/HTTPS. |
| HttpRequestMethod |
строка |
Метод HTTP для сетевых сеансов HTTP/HTTPS. |
| HttpRequestTime |
INT |
Время, затраченное на отправку запроса на сервер (если применимо). |
| HttpRequestXff |
строка |
Заголовок X-Forwarded-For для сетевых сеансов HTTP/HTTPS. |
| HttpResponseTime |
INT |
Время, затраченное на получение ответа на сервере (если применимо). |
| HttpStatusCode |
строка |
Код состояния HTTP для сетевых сеансов HTTP/HTTPS. |
| HttpUserAgentOriginal |
строка |
Заголовок HTTP-агента пользователя для сетевых сеансов HTTP/HTTPS. |
| HttpVersion |
строка |
Версия HTTP-запроса для сетевых подключений HTTP/HTTPS. |
| _IsBillable |
строка |
Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure. |
| NetworkApplicationProtocol |
строка |
Протокол на уровне приложения, используемый соединением или сеансом. |
| NetworkBytes |
длинный |
Число байтов, отправленных в обоих направлениях. Если BytesReceived и BytesSent существуют, значение BytesTotal должно быть равно их сумме. |
| NetworkDirection |
строка |
Направление соединения или сеанса в организацию или из нее. |
| NetworkDuration |
INT |
Время в миллисекундах для завершения сетевого сеанса или подключения. |
| NetworkIcmpCode |
INT |
Для сообщения ICMP — числовое значение типа сообщения ICMP (RFC 2780 или RFC 4443). |
| NetworkIcmpType |
строка |
Для сообщения ICMP — текстовое представление типа сообщения ICMP (RFC 2780 или RFC 4443). |
| NetworkPackets |
длинный |
Число пакетов, отправленных в обоих направлениях. Если PacketsReceived и PacketsSent существуют, значение BytesTotal должно быть равно их сумме. |
| NetworkProtocol |
строка |
IP-протокол, используемый соединением или сеансом. Как правило, TCP, UDP или ICMP. |
| NetworkRuleName |
строка |
Имя или идентификатор правила, с помощью которого было принято решение DeviceAction. |
| NetworkRuleNumber |
INT |
Совпадаемый номер правила. |
| NetworkSessionId |
строка |
Идентификатор сеанса, сообщаемый устройством составления отчетов. |
| SourceSystem |
строка |
Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure |
| SrcBytes |
длинный |
Число байтов, отправленных от источника к месту назначения для соединения или сеанса. |
| SrcDvcDomain |
строка |
Домен устройства, из которого был инициирован сеанс. |
| SrcDvcFqdn |
строка |
Полное доменное имя узла, в котором был создан журнал. |
| SrcDvcHostname |
строка |
Имя устройства исходного устройства. |
| SrcDvcIpAddr |
строка |
Исходный IP-адрес устройства, не связанного непосредственно с сетевым пакетом (полученный поставщиком или явным образом вычисленный). |
| SrcDvcMacAddr |
строка |
Исходный MAC-адрес устройства, который не связан непосредственно с сетевым пакетом. |
| SrcDvcModelName |
строка |
Модель исходного устройства. |
| SrcDvcModelNumber |
строка |
Номер модели исходного устройства. |
| SrcDvcOs |
строка |
ОС исходного устройства. |
| SrcDvcType |
строка |
Тип исходного устройства. |
| SrcGeoCity |
строка |
Город, связанный с исходным IP-адресом. |
| SrcGeoCountry |
строка |
Страна, связанная с исходным IP-адресом. |
| SrcGeoLatitude |
real |
Географическая широта, связанная с исходным IP-адресом. |
| SrcGeoLongitude |
real |
Географическая долгота, связанная с исходным IP-адресом. |
| SrcGeoRegion |
строка |
Регион в стране, связанный с исходным IP-адресом. |
| SrcInterfaceGuid |
строка |
GUID используемого сетевого интерфейса. |
| SrcInterfaceName |
строка |
Сетевой интерфейс, используемый исходным устройством для подключения или сеанса. |
| SrcIpAddr |
строка |
IP-адрес, с которого поступило соединение или сеанс. |
| SrcMacAddr |
строка |
MAC-адрес сетевого интерфейса, из которого создан сеанс OD. |
| SrcNatIpAddr |
строка |
Если сообщение передается промежуточным устройством NAT, например брандмауэром, то это будет IP-адрес, используемый устройством NAT для связи с пунктом назначения. |
| SrcNatPortNumber |
INT |
Если сообщение передается промежуточным устройством NAT, например брандмауэром, то это будет порт, используемый устройством NAT для связи с пунктом назначения. |
| SrcPackets |
длинный |
Число пакетов, отправленных от источника к месту назначения для соединения или сеанса. Значение пакета определяется устройством составления отчетов. |
| SrcPortNumber |
INT |
Порт IP-адреса, с которого было создано подключение. Может не иметь отношения к сеансу, включающему несколько подключений. |
| SrcResourceId |
строка |
Идентификатор ресурса устройства, создающего сообщение. |
| SrcUserAadId |
строка |
Идентификатор объекта учетной записи Azure AD пользователя в конце сеанса. |
| SrcUserDomain |
строка |
Домен для учетной записи, инициирующей сеанс. |
| SrcUserName |
строка |
Имя пользователя, связанный с источником сеанса. Как правило, пользователь выполняет действие в клиенте. |
| SrcUserSid |
строка |
Идентификатор пользователя, связанный с источником сеанса. Как правило, пользователь выполняет действие в клиенте. |
| SrcUserUpn |
строка |
Имя участника-пользователя учетной записи, инициирующей сеанс. |
| SrcZone |
строка |
Зона сети источника, определенная на устройстве составления отчетов. |
| TenantId |
строка |
Идентификатор рабочей области Log Analytics |
| ThreatCategory |
строка |
Категория угрозы, определяемая системой безопасности, например шлюзом безопасности IP-адресов, и связанная с этим сетевым сеансом. |
| ThreatId |
строка |
Идентификатор угрозы, определяемый системой безопасности, например шлюзом безопасности IP-адресов, и связанный с этим сетевым сеансом. |
| ThreatName |
строка |
Имя идентифицированной угрозы или вредоносных программ. |
| TimeGenerated |
datetime |
Время возникновения события, сообщаемое источником составления отчетов. |
| Тип |
строка |
Имя таблицы. |
| UrlCategory |
строка |
Определенное группирование URL-адреса (или может быть только на основе домена в URL-адресе), связанного с тем, что это (т. е. взрослый, новости, реклама, припаркованные домены и т. д.). |
| UrlHostname |
строка |
Доменная часть URL-адреса HTTP-запроса для сетевых сеансов HTTP/HTTPS. |
| UrlOriginal |
строка |
URL-адрес HTTP-запроса для сетевых сеансов HTTP/HTTPS. |