Аналитика трафика предоставляет данные о WHOIS и географическое расположение для всех общедоступных IP-адресов в среде пользователя. Для вредоносных IP-адресов он предоставляет домен DNS, тип угрозы и описания потоков, определяемые решениями аналитики безопасности Майкрософт. Сведения об IP-адресе публикуются в рабочей области Log Analytics, чтобы можно было создавать пользовательские запросы и отправлять на них оповещения. Вы также можете получить доступ к предварительно заполненным запросам из панели мониторинга "Аналитика трафика".
Атрибуты таблицы
Атрибут
Значение
Типы ресурсов
-
Категории
Network
Решения
LogManagement
Базовый журнал
No
Преобразование ingestion-time
Да
Примеры запросов
-
Столбцы
Column
Type
Описание
_BilledSize
real
Размер записи в байтах
DnsDomain
строка
Только для вредоносных IP-адресов: доменное имя, связанное с этим IP-адресом.
FaSchemaVersion
строка
Версия схемы.
FlowIntervalEndTime
datetime
Время окончания интервала обработки журнала потоков.
FlowIntervalStartTime
datetime
Время начала интервала обработки журнала потока. Это время, из которого измеряется интервал потока.
FlowType
строка
Может быть AzurePublic/ExternalPublic/MaliciousFlow.
IP-адрес
строка
Общедоступный IP-адрес, сведения которого предоставляются в записи.
_IsBillable
строка
Указывает, можно ли выставлять счета за прием данных. Если _IsBillable false прием не взимается в учетную запись Azure.
Расположение
строка
Для общедоступного IP-адреса Azure: регион виртуальной сети, сетевого интерфейса или виртуальной машины, к которой относится IP-адрес OR Global для IP 168.63.129.16. Для внешнего общедоступного IP-адреса и вредоносного IP-адреса: 2-буквенный код страны, где находится IP-адрес (ISO 3166-1 alpha-2).
Порт
INT
Только для вредоносных IP-адресов: порт, связанный с этим IP-адресом.
PublicIpDetails
строка
Для IP-адреса AzurePublic: служба Azure, принадлежающая IP-адресу ИЛИ виртуальному общедоступному IP-адресу Майкрософт для IP-адреса 168.63.129.16. Внешний IP-адрес или вредоносный IP-адрес: сведения о IP-адресе WhoIS.
SourceSystem
строка
Тип агента, на который было собрано событие. Например, OpsManager для агента Windows прямой подключения или Operations Manager Linux для всех агентов Linux или Azure для Диагностика Azure
Подтип
строка
Подтип для журналов потоков. Используйте только FlowLog, другие значения SubType_s предназначены для внутренних работ продукта.
TenantId
строка
Идентификатор рабочей области Log Analytics
ThreatDescription
строка
Только для вредоносных IP-адресов: описание угрозы, вызванной вредоносным IP-адресом.
ThreatType
строка
Только для вредоносных IP-адресов: одна из угроз из списка разрешенных значений.
TimeGenerated
datetime
Время приема данных в рабочую область Log Analytics.
Тип
строка
Имя таблицы.
URL
строка
Только для вредоносных IP-адресов: URL-адрес, связанный с этим IP-адресом.