| AccountDomain |
sträng |
Domän för kontot. |
| AccountName |
sträng |
Användarnamn för kontot. |
| AccountObjectId |
sträng |
Unik identifierare för kontot i Azure AD. |
| AccountSid |
sträng |
Säkerhetsidentifierare (SID) för kontot. |
| AccountUpn |
sträng |
Användarens huvudnamn (UPN) för kontot. |
| ActionType |
sträng |
Typ av aktivitet som utlöste händelsen. |
| AdditionalFields |
dynamisk |
Ytterligare information om entiteten eller händelsen. |
| AppGuardContainerId |
sträng |
Identifierare för den virtualiserade container som används av Application Guard för att isolera webbläsaraktivitet. |
| _BilledSize |
real |
Poststorleken i byte |
| CreatedProcessSessionId |
lång |
Windows-sessions-ID för den skapade processen. |
| DeviceId |
sträng |
Unik identifierare för enheten i tjänsten. |
| DeviceName |
sträng |
Fullständigt kvalificerat domännamn (FQDN) för enheten. |
| FileName |
sträng |
Namnet på filen som den inspelade åtgärden tillämpades på. |
| FileSize |
lång |
Filens storlek i byte. |
| FolderPath |
sträng |
Mapp som innehåller filen som den inspelade åtgärden tillämpades på. |
| InitieraProcessAccountDomain |
sträng |
Domän för det konto som körde processen som var ansvarig för händelsen. |
| InitieraProcessAccountName |
sträng |
Användarnamnet för det konto som körde processen som var ansvarig för händelsen. |
| InitieraProcessAccountObjectId |
sträng |
Azure AD-objekt-ID för användarkontot som körde processen som var ansvarig för händelsen. |
| InitieraProcessAccountSid |
sträng |
Säkerhetsidentifierare (SID) för det konto som körde processen som var ansvarig för händelsen. |
| InitieraProcessAccountUpn |
sträng |
Användarens huvudnamn (UPN) för det konto som körde processen som var ansvarig för händelsen. |
| InitieraProcessCommandLine |
sträng |
Kommandorad som används för att köra processen som initierade händelsen. |
| InitieraProcessCreationTime |
datetime |
Datum och tid då processen som initierade händelsen startades. |
| InitieraProcessFileName |
sträng |
Namnet på den process som initierade händelsen. |
| InitieraProcessFileSize |
lång |
Storleken på filen (byte) som körde processen som var ansvarig för händelsen. |
| InitieraProcessFolderPath |
sträng |
Mapp som innehåller processen (bildfilen) som initierade händelsen. |
| InitieraProcessId |
lång |
Process-ID (PID) för den process som initierade händelsen. |
| InitieraProcessIntegrityLevel |
sträng |
Integritetsnivå för processen som initierade händelsen. Windows tilldelar integritetsnivåer till processer baserat på vissa egenskaper, till exempel om de startades från en internetnedladdning. Dessa integritetsnivåer påverkar behörigheter till resurser.. |
| InitieraProcessLogonId |
lång |
Identifierare för en inloggningssession för den process som initierade händelsen. Den här identifieraren är unik på samma dator endast mellan omstarter.. |
| InitieraProcessMD5 |
sträng |
MD5-hash för processen (bildfilen) som initierade händelsen. |
| InitieraProcessParentCreationTime |
datetime |
Datum och tid då den överordnade processen som ansvarar för händelsen startades. |
| InitieraProcessParentFileName |
sträng |
Namnet på den överordnade process som skapade processen som ansvarar för händelsen. |
| InitieraProcessParentId |
lång |
Process-ID (PID) för den överordnade processen som skapade processen som ansvarar för händelsen. |
| InitieraProcessRemoteSessionDeviceName |
sträng |
Enhetsnamnet på den fjärrenhet som RDP-sessionen initierades från. |
| InitieraProcessRemoteSessionIP |
sträng |
IP-adressen för den fjärrenhet som RDP-sessionen initierades från. |
| InitieraProcessSessionId |
lång |
Windows-sessions-ID för den inledande processen. |
| InitieraProcessSHA1 |
sträng |
SHA-1-hash för processen (bildfilen) som initierade händelsen. |
| InitieraProcessSHA256 |
sträng |
SHA-256-hash för processen (bildfilen) som initierade händelsen. I vissa fall kanske den här kolumnen inte fylls i – använd kolumnen InitieraProcessSHA1 i stället. |
| InitieraProcessSignatureStatus |
sträng |
Information om signaturstatus för processen (bildfilen) som initierade händelsen. |
| InitieraProcessSignerType |
sträng |
Typ av filsignerare för processen (bildfilen) som initierade händelsen. |
| InitieraProcessTokenElevation |
sträng |
Tokentyp som anger förekomsten eller frånvaron av UAC-behörighetshöjning (User Access Control) som tillämpas på den process som initierade händelsen. |
| InitieraProcessVersionInfoCompanyName |
sträng |
Företagsnamnet i versionsinformationen (bildfilen) som ansvarar för händelsen. |
| InitieraProcessVersionInfoFileDescription |
sträng |
Beskrivningen i versionsinformationen (bildfilen) som ansvarar för händelsen. |
| InitieraProcessVersionInfoInternalFileName |
sträng |
Det interna filnamnet i versionsinformationen (bildfilen) som ansvarar för händelsen. |
| InitieraProcessVersionInfoOriginalFileName |
sträng |
Det ursprungliga filnamnet i versionsinformationen (bildfilen) som ansvarar för händelsen. |
| InitieraProcessVersionInfoProductName |
sträng |
Produktnamnet i versionsinformationen (bildfilen) som ansvarar för händelsen. |
| InitieraProcessVersionInfoProductVersion |
sträng |
Produktversionen i versionsinformation (bildfil) som ansvarar för händelsen. |
| _IsBillable |
sträng |
Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto |
| IsInitiatingProcessRemoteSession |
bool |
Anger om initieringsprocessen kördes under en RDP-session (Remote Desktop Protocol) (true) eller lokalt (false). |
| IsProcessRemoteSession |
bool |
Anger om den skapade processen kördes under en RDP-session (Remote Desktop Protocol) (true) eller lokalt (falskt). |
| Inloggnings-ID |
lång |
Identifierare för en inloggningssession. Den här identifieraren är unik på samma dator endast mellan omstarter. |
| MachineGroup |
sträng |
Datorgruppen för datorn. Den här gruppen används av rollbaserad åtkomstkontroll för att fastställa åtkomsten till datorn. |
| MD5 |
sträng |
MD5-hash för filen som den inspelade åtgärden tillämpades på. |
| ProcessCommandLine |
sträng |
Kommandorad som används för att skapa den nya processen. |
| ProcessCreationTime |
datetime |
Datum och tid då processen skapades. |
| ProcessId |
lång |
Process-ID (PID) för den nyligen skapade processen. |
| ProcessIntegrityLevel |
sträng |
Integritetsnivå för den nyligen skapade processen. Windows tilldelar integritetsnivåer till processer baserat på vissa egenskaper, till exempel om de startades från ett nedladdat Internet. Dessa integritetsnivåer påverkar behörigheter till resurser.. |
| ProcessRemoteSessionDeviceName |
sträng |
Enhetsnamn för den fjärrenhet som den skapade processens RDP-session initierades från. |
| ProcessRemoteSessionIP |
sträng |
IP-adressen för fjärrenheten som den skapade processens RDP-session initierades från. |
| ProcessTokenElevation |
sträng |
Tokentyp som anger förekomsten eller frånvaron av UAC-behörighetshöjning (User Access Control) som tillämpas på den nyligen skapade processen. |
| ProcessVersionInfoCompanyName |
sträng |
Företagsnamn från versionsinformationen för den nyligen skapade processen. |
| ProcessVersionInfoFileDescription |
sträng |
Beskrivning från versionsinformationen för den nyligen skapade processen. |
| ProcessVersionInfoInternalFileName |
sträng |
Internt filnamn från versionsinformationen för den nyligen skapade processen. |
| ProcessVersionInfoOriginalFileName |
sträng |
Ursprungligt filnamn från versionsinformationen för den nyligen skapade processen. |
| ProcessVersionInfoProductName |
sträng |
Produktnamn från versionsinformationen för den nyligen skapade processen. |
| ProcessVersionInfoProductVersion |
sträng |
Produktversion från versionsinformationen för den nyligen skapade processen. |
| ReportId |
lång |
Händelseidentifierare baserat på en upprepande räknare. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna ComputerName och EventTime.. |
| SHA1 |
sträng |
SHA-1-hash för filen som den inspelade åtgärden tillämpades på. |
| SHA256 |
sträng |
SHA-256 av filen som den registrerade åtgärden tillämpades på. |
| SourceSystem |
sträng |
Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| TenantId |
sträng |
Log Analytics-arbetsytans ID |
| TimeGenerated |
datetime |
Datum och tid då händelsen registrerades av MDE-agenten på slutpunkten. |
| Typ |
sträng |
Namnet på tabellen |