| ActingProcessCommandLine |
sträng |
Kommandoraden som används för att köra agerarprocessen. |
| ActingProcessGuid |
sträng |
En genererad unik identifierare (GUID) för den verkande processen. |
| ActingProcessId |
sträng |
Process-ID (PID) för den verkande processen. |
| ActingProcessName |
sträng |
Namnet på den verkande processen. |
| ActorOriginalUserType |
sträng |
Den ursprungliga aktörsanvändartypen som tillhandahålls av rapporteringsenheten. |
| ActorScope |
sträng |
Omfånget, till exempel Azure AD-klientorganisation, där ActorUserId och ActorUsername definieras. |
| ActorScopeId |
sträng |
Omfångs-ID:t, till exempel Azure AD Directory ID, där ActorUserId och ActorUsername definieras. |
| ActorSessionId |
sträng |
Det unika ID:t för inloggningssessionen för aktören. |
| ActorUserAadId |
sträng |
Aktörens Azure Active Directory-ID. |
| ActorUserId |
sträng |
En maskinläsbar, alfanumerisk, unik representation av aktören. |
| ActorUserIdType |
sträng |
Typen av ID som lagras i fältet ActorUserId. |
| ActorUsername |
sträng |
Aktörens användarnamn, inklusive domäninformation när det är tillgängligt. |
| ActorUsernameType |
sträng |
Anger typen av användarnamn som lagras i fältet ActorUsername. |
| ActorUserSid |
sträng |
Windows-användar-ID (SID) för aktören. |
| ActorUserType |
sträng |
Typen av aktör. |
| AdditionalFields |
dynamisk |
Ytterligare information som representeras med hjälp av nyckel/värde-par som tillhandahålls av källan som inte mappas till ASim. |
| _BilledSize |
real |
Poststorleken i byte |
| DvcAction |
sträng |
Den åtgärd som vidtagits på webbsessionen. |
| DvcDescription |
sträng |
En beskrivande text som är associerad med enheten. |
| DvcDomain |
sträng |
Domänen för enheten som rapporterar händelsen. |
| DvcDomainType |
sträng |
Typ av DvcDomain. Giltiga värden är "Windows" och "FQDN". |
| DvcFQDN |
sträng |
Värdnamnet för den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcHostname |
sträng |
Värdnamnet för enheten som rapporterar händelsen. |
| DvcId |
sträng |
Det unika ID:t för enheten där händelsen inträffade eller som rapporterade händelsen. |
| DvcIdType |
sträng |
Typ av DvcId. |
| DvcInterface |
sträng |
Den ursprungliga DvcAction som tillhandahålls av rapporteringsenheten. |
| DvcIpAddr |
sträng |
IP-adressen för enheten som rapporterar händelsen. |
| DvcMacAddr |
sträng |
MAC-adressen för den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcOriginalAction |
sträng |
Den ursprungliga DvcAction som tillhandahålls av rapporteringsenheten. |
| DvcOs |
sträng |
Operativsystemet som körs på den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcOsVersion |
sträng |
Versionen av operativsystemet på den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcScope |
sträng |
Molnplattformsomfånget som enheten tillhör. DvcScope mappas till ett prenumerationsnamn i Azure och till ett konto-ID på AWS. |
| DvcScopeId |
sträng |
Molnplattformens omfångs-ID som enheten tillhör. DvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DvcZone |
sträng |
Nätverket där händelsen inträffade eller som rapporterade händelsen, beroende på schemat. |
| EventCount |
heltal |
Det här värdet används när källan stöder aggregering och en enskild post kan representera flera händelser. |
| EventEndTime |
datetime |
Tiden då händelsen avslutades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den senaste händelsen genererades. Om det inte tillhandahålls av källposten, alias det här fältet fältet TimeGenerated. |
| EventMessage |
sträng |
Ett allmänt meddelande eller en beskrivning. |
| EventOriginalResultDetails |
sträng |
Den ursprungliga resultatinformationen som tillhandahålls av källan. Det här värdet används för att härleda EventResultDetails, som bara ska ha ett av de värden som dokumenteras för varje schema. |
| EventOriginalSeverity |
sträng |
Den ursprungliga allvarlighetsgraden som tillhandahålls av rapporteringsenheten. Det här värdet används för att härleda EventSeverity. |
| EventOriginalSubType |
sträng |
Den ursprungliga händelseundertypen eller ID:t, om det tillhandahålls av källan. Det här fältet används till exempel för att lagra den ursprungliga Windows-inloggningstypen. Det här värdet används för att härleda EventSubType, som bara ska ha ett av de värden som dokumenteras för varje schema. |
| EventOriginalType |
sträng |
Den ursprungliga händelsetypen eller ID:t, om det tillhandahålls av källan. |
| EventOriginalUid |
sträng |
Ett unikt ID för den ursprungliga posten, om det tillhandahålls av källan. |
| EventOwner |
sträng |
Ägaren till händelsen, som vanligtvis är den avdelning eller det dotterbolag där den genererades. |
| EventProduct |
sträng |
Produkten som genererar händelsen. |
| EventProductVersion |
sträng |
Den version av produkten som genererar händelsen. |
| EventReportUrl |
sträng |
En URL som anges i händelsen för en resurs som ger mer information om händelsen. |
| EventResult |
sträng |
Resultatet av händelsen, som representeras av något av följande värden: Success, Partial, Failure, NA (Not Applicable). Värdet kanske inte anges direkt av källorna, i vilket fall det härleds från andra händelsefält, till exempel fältet EventResultDetails. |
| EventResultDetails |
sträng |
HTTP-statuskoden. |
| EventSchema |
sträng |
Schemat som händelsen normaliseras till. Varje schema dokumenterar sitt schemanamn. |
| EventSchemaVersion |
sträng |
Versionen av schemat. |
| EventSeverity |
sträng |
Händelsens allvarlighetsgrad. Giltiga värden är: Information, Låg, Medel eller Hög. |
| EventStartTime |
datetime |
Tiden då händelsen startades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den första händelsen genererades. Om det inte tillhandahålls av källposten, alias det här fältet fältet TimeGenerated. |
| EventSubType |
sträng |
Ytterligare beskrivning av händelsetypen, om tillämpligt. |
| EventType |
sträng |
Åtgärden som rapporterats av posten. |
| EventVendor |
sträng |
Leverantören av produkten som genererar händelsen. |
| HashType |
sträng |
Typen av hash som lagras i fältet Hash-alias. |
| HttpUserAgent |
sträng |
När åtgärden initieras med HTTP eller HTTPS, http-användaragentens huvud. |
| _IsBillable |
sträng |
Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto |
| NetworkApplicationProtocol |
sträng |
När åtgärden initieras av ett fjärrsystem används det protokoll på programnivå som används av anslutningen eller sessionen. |
| _ResourceId |
sträng |
En unik identifierare för resursen som posten är associerad med |
| RuleName |
sträng |
Namnet eller ID:t för regeln som associeras med inspektionsresultatet. |
| RuleNumber |
heltal |
Antalet regler som är associerade med inspektionsresultatet. |
| SourceSystem |
sträng |
Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| SrcDescription |
sträng |
En beskrivande text som är associerad med enheten. |
| SrcDeviceType |
sträng |
Typ av källenhet. |
| SrcDomain |
sträng |
Källenhetens domän. |
| SrcDomainType |
sträng |
Typen av SrcDomain. |
| SrcDvcId |
sträng |
Källenhetens ID. |
| SrcDvcIdType |
sträng |
Typen av SrcDvcId. |
| SrcDvcScope |
sträng |
Molnplattformsomfånget som enheten tillhör. |
| SrcDvcScopeId |
sträng |
Molnplattformens omfångs-ID som enheten tillhör. |
| SrcFileCreationTime |
datetime |
Tidpunkten då källfilen skapades. |
| SrcFileDirectory |
sträng |
Källfilens mapp eller plats. |
| SrcFileExtension |
sträng |
Källfiltillägget. |
| SrcFileMD5 |
sträng |
MD5-hashen för källfilen. |
| SrcFileMimeType |
sträng |
Mime- eller Media-typen för källfilen. |
| SrcFileName |
sträng |
Namnet på källfilen, utan sökväg eller plats, men med ett tillägg om det är relevant. |
| SrcFilePath |
sträng |
Den fullständiga, normaliserade sökvägen för källfilen, inklusive mappen eller platsen, filnamnet och tillägget. |
| SrcFilePathType |
sträng |
Typen av SrcFilePath. |
| SrcFileSHA1 |
sträng |
SHA-1-hashen för källfilen. |
| SrcFileSHA256 |
sträng |
SHA-256-hashen för källfilen. |
| SrcFileSHA512 |
sträng |
SHA-512-hashen för källfilen. |
| SrcFileSize |
lång |
Storleken på källfilen i byte. |
| SrcFQDN |
sträng |
Värdnamnet för källenheten, inklusive domäninformation när det är tillgängligt. |
| SrcGeoCity |
sträng |
Den ort som är associerad med källans IP-adress. |
| SrcGeoCountry |
sträng |
Det land som är associerat med källans IP-adress. |
| SrcGeoLatitude |
real |
Latitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoLongitude |
real |
Longitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoRegion |
sträng |
Regionen i ett land som är associerat med källans IP-adress. |
| SrcHostname |
sträng |
Källenhetens värdnamn, exklusive domäninformation. Om inget enhetsnamn är tillgängligt lagrar du relevant IP-adress i det här fältet. |
| SrcIpAddr |
sträng |
När åtgärden initieras av ett fjärrsystem, ip-adressen för det här systemet. |
| SrcMacAddr |
sträng |
MAC-adressen för källenheten. |
| SrcOriginalRiskLevel |
sträng |
Den risknivå som är associerad med källan. Som rapporterats av rapporteringsenheten eller berikad. |
| SrcPortNumber |
heltal |
När åtgärden initieras av ett fjärrsystem, portnumret som anslutningen initierades från. |
| SrcRiskLevel |
heltal |
Den risknivå som är associerad med källan. |
| _SubscriptionId |
sträng |
En unik identifierare för prenumerationen som posten är associerad med |
| TargetAppId |
sträng |
ID:t för målprogrammet enligt rapporteringsenhetens rapporter. |
| TargetAppName |
sträng |
Namnet på målprogrammet. |
| TargetAppType |
sträng |
Typ av målprogram. |
| TargetFileCreationTime |
datetime |
Tidpunkten då målfilen skapades. |
| TargetFileDirectory |
sträng |
Målfilens mapp eller plats. |
| TargetFileExtension |
sträng |
Målfiltillägget. |
| TargetFileMD5 |
sträng |
MD5-hashen för målfilen. |
| TargetFileMimeType |
sträng |
Mime- eller Media-typen för målfilen. |
| TargetFileName |
sträng |
Namnet på målfilen, utan sökväg eller plats, men med ett tillägg om det är relevant. |
| TargetFilePath |
sträng |
Den fullständiga, normaliserade sökvägen för målfilen, inklusive mappen eller platsen, filnamnet och tillägget. |
| TargetFilePathType |
sträng |
Typ av TargetFilePath. |
| TargetFileSHA1 |
sträng |
SHA-1-hashen för målfilen. |
| TargetFileSHA256 |
sträng |
SHA-256-hashen för målfilen. |
| TargetFileSHA512 |
sträng |
SHA-512-hashen för källfilen. |
| TargetFileSize |
lång |
Storleken på målfilen i byte. |
| TargetOriginalAppType |
sträng |
Målprogramtypen som rapporteras av rapporteringsenheten. |
| TargetUrl |
sträng |
När åtgärden initieras med HTTP eller HTTPS används URL:en. |
| TenantId |
sträng |
Log Analytics-arbetsytans ID |
| ThreatCategory |
sträng |
Kategorin för det hot eller skadlig kod som identifieras i filaktiviteten. |
| ThreatConfidence |
heltal |
Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatField |
sträng |
Fältet som ett hot identifierades för. Värdet är antingen SrcFilePath eller DstFilePath. |
| ThreatFilePath |
sträng |
En filsökväg som ett hot identifierades för. Fältet ThreatField innehåller namnet på fältet ThreatFilePath representerar. |
| ThreatFirstReportedTime |
datetime |
Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatId |
sträng |
ID:t för hotet eller skadlig kod som identifieras i filaktiviteten. |
| ThreatIsActive |
bool |
Sant ID som det identifierade hotet betraktas som ett aktivt hot. |
| ThreatLastReportedTime |
datetime |
Senast IP-adressen eller domänen identifierades som ett hot. |
| ThreatName |
sträng |
Namnet på det hot eller den skadliga kod som identifieras i filaktiviteten. |
| ThreatOriginalConfidence |
sträng |
Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| ThreatOriginalRiskLevel |
sträng |
Risknivån som rapporteras av rapporteringsenheten. |
| ThreatRiskLevel |
heltal |
Den risknivå som är associerad med det identifierade hotet. Nivån ska vara ett tal mellan 0 och 100. |
| TimeGenerated |
datetime |
Tidsstämpeln som återspeglar den tid då händelsen genererades. |
| Typ |
sträng |
Namnet på tabellen |