AdditionalFields |
dynamisk |
När ingen kolumn i schemat matchar kan ytterligare fält lagras i en JSON-påse. |
_BilledSize |
real |
Poststorleken i byte |
CloudAppId |
sträng |
ID:t för målprogrammet för ett HTTP-program som identifierats av en proxy. Det här värdet är vanligtvis specifikt för den proxy som används. |
CloudAppName |
sträng |
Namnet på målprogrammet för ett HTTP-program som identifieras av en proxy. |
CloudAppOperation |
sträng |
Åtgärden som användaren utförde i kontexten för målprogrammet för ett HTTP-program som identifierats av en proxyserver. Det här värdet är vanligtvis specifikt för den proxy som används. |
CloudAppRiskLevel |
sträng |
Den risknivå som är associerad med ett HTTP-program som identifieras av en proxy. Det här värdet är vanligtvis specifikt för den proxy som används. |
DstBytes |
lång |
Antalet byte som skickas från målet till källan för anslutningen eller sessionen. |
DstDomainHostname |
sträng |
Målvärdens domän. |
DstDvcDomain |
sträng |
Målenhetens domän. |
DstDvcFqdn |
sträng |
Det fullständigt kvalificerade domännamnet för värden där loggen skapades. |
DstDvcHostname |
sträng |
Målenhetens enhetsnamn. |
DstDvcIpAddr |
sträng |
Mål-IP-adressen för en enhet som inte är direkt associerad med nätverkspaketet. |
DstDvcMacAddr |
sträng |
Mac-måladressen för en enhet som inte är direkt associerad med nätverkspaketet. |
DstGeoCity |
sträng |
Den ort som är associerad med mål-IP-adressen. |
DstGeoCountry |
sträng |
Det land som är associerat med källans IP-adress. |
DstGeoLatitude |
real |
Latitud för den geografiska koordinat som är associerad med målets IP-adress. |
DstGeoLongitude |
real |
Longitud för den geografiska koordinat som är associerad med målets IP-adress |
DstGeoRegion |
sträng |
Regionen inom ett land som är associerat med mål-IP-adressen. |
DstInterfaceGuid |
sträng |
GUID för nätverksgränssnittet som användes för autentiseringsbegäran. |
DstInterfaceName |
sträng |
Nätverksgränssnittet som används för anslutningen eller sessionen av målenheten. |
DstIpAddr |
sträng |
IP-adressen för anslutningen eller sessionsmålet. |
DstMacAddr |
sträng |
MAC-adressen för nätverksgränssnittet där anslutningen eller sessionen avslutades. |
DstNatIpAddr |
sträng |
Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används IP-adressen av NAT-enheten för kommunikation med källan. |
DstNatPortNumber |
heltal |
Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används porten av NAT-enheten för kommunikation med källan. |
DstPackets |
lång |
Antalet paket som skickas från målet till källan för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. |
DstPortNumber |
heltal |
Målets IP-port. |
DstResourceId |
sträng |
Målenhetens resurs-ID. |
DstUserAadId |
sträng |
Objekt-ID:t för Azure AD-kontot för användaren i slutet av sessionen. |
DstUserDomain |
sträng |
Domänen eller datornamnet för kontot vid sessionens mål. |
DstUserName |
sträng |
Användarnamnet för den identitet som är associerad med sessionens mål. |
DstUserSid |
sträng |
Användar-ID för den identitet som är associerad med sessionens mål. Vanligtvis används den identitet som används för att autentisera en server. |
DstUserUpn |
sträng |
UPN för den identitet som är associerad med sessionens mål. |
DstZone |
sträng |
Målets nätverkszon, enligt definitionen av rapporteringsenheten. |
DvcAction |
sträng |
Om den rapporteras av en mellanliggande enhet, till exempel en brandvägg, vidtas åtgärden av enheten. |
DvcHostname |
sträng |
Enhetsnamnet på enheten som genererar meddelandet. |
DvcInboundInterface |
sträng |
Om det rapporteras av en mellanliggande enhet, till exempel en brandvägg, används nätverksgränssnittet för anslutningen till källenheten. |
DvcIpAddr |
sträng |
IP-adressen för den enhet som genererar posten. |
DvcMacAddr |
sträng |
MAC-adressen för nätverksgränssnittet för rapporteringsenheten som händelsen skickades från. |
DvcOutboundInterface |
sträng |
Om det rapporteras av en mellanliggande enhet, till exempel en brandvägg, används nätverksgränssnittet för anslutningen till målenheten. |
EventCount |
heltal |
Antalet aggregerade händelser, om tillämpligt. |
EventEndTime |
datetime |
Tiden då händelsen avslutades. |
EventMessage |
sträng |
Ett allmänt meddelande eller en beskrivning som antingen ingår i eller genereras från posten. |
EventOriginalUid |
sträng |
Post-ID:t från rapporteringsenheten. |
EventProduct |
sträng |
Produkten som genererar händelsen. |
EventProductVersion |
sträng |
Den version av produkten som genererar händelsen. |
EventReportUrl |
sträng |
En länk till den fullständiga rapporten som skapats av rapporteringsenheten. |
EventResourceId |
sträng |
Resurs-ID:t för enheten som genererar meddelandet. |
EventResult |
sträng |
Resultatet som rapporterats för aktiviteten. Tomt värde när det inte är tillämpligt. |
EventResultDetails |
sträng |
Orsak till resultatet som rapporterats i EventResult |
EventSchemaVersion |
sträng |
Schemaversion för Azure Sentinel. |
EventSeverity |
sträng |
Om den rapporterade aktiviteten har en säkerhetspåverkan anger du hur allvarlig effekten är. |
EventStartTime |
datetime |
Den tid då händelsen angavs. |
EventSubType |
sträng |
Ytterligare beskrivning av typen om tillämpligt. |
EventTimeIngested |
datetime |
Den tid då händelsen matades in till Azure Sentinel. Kommer att läggas till av Azure Sentinel. |
EventType |
sträng |
Typ av händelse som samlas in. |
EventUid |
sträng |
Unik identifierare som används av Sentinel för att markera en rad. |
EventVendor |
sträng |
Leverantören av produkten som genererar händelsen. |
FileExtension |
sträng |
Typen av fil som överförs via nätverksanslutningarna för protokoll som FTP och HTTP. |
FileHashMd5 |
sträng |
MD5-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. |
FileHashSha1 |
sträng |
SHA1-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. |
FileHashSha256 |
sträng |
SHA256-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. |
FileHashSha512 |
sträng |
SHA512-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. |
FileMimeType |
sträng |
MIME-typen för filen som överförs via nätverksanslutningarna för protokoll som FTP och HTTP. |
FileName |
sträng |
Filnamnet som överförs via nätverksanslutningarna för protokoll som FTP och HTTP som anger filnamnsinformationen. |
FilePath |
sträng |
Den fullständiga sökvägen, inklusive filnamnet, för filen. |
FileSize |
heltal |
Filstorleken, i byte, för filen som överförs via nätverksanslutningarna för protokoll. |
HttpContentType |
sträng |
Innehållstypen HTTP-svarsrubrik för HTTP/HTTPS-nätverkssessioner. |
HttpReferrerOriginal |
sträng |
HTTP-referenshuvudet för HTTP/HTTPS-nätverkssessioner. |
HttpRequestMethod |
sträng |
HTTP-metoden för HTTP/HTTPS-nätverkssessioner. |
HttpRequestTime |
heltal |
Hur lång tid det tog att skicka begäran till servern, om tillämpligt. |
HttpRequestXff |
sträng |
HTTP X-Forwarded-For-huvudet för HTTP/HTTPS-nätverkssessioner. |
HttpResponseTime |
heltal |
Hur lång tid det tog att ta emot ett svar på servern, om tillämpligt. |
HttpStatusCode |
sträng |
HTTP-statuskoden för HTTP/HTTPS-nätverkssessioner. |
HttpUserAgentOriginal |
sträng |
HTTP-användaragentens huvud för HTTP/HTTPS-nätverkssessioner. |
HttpVersion |
sträng |
HTTP-begärandeversionen för HTTP/HTTPS-nätverksanslutningar. |
_IsBillable |
sträng |
Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto |
NetworkApplicationProtocol |
sträng |
Protokollet för programskiktet som används av anslutningen eller sessionen. |
NetworkBytes |
lång |
Antal byte som skickats i båda riktningarna. Om både BytesReceived och BytesSent finns ska BytesTotal vara lika med summan. |
NetworkDirection |
sträng |
Riktningen för anslutningen eller sessionen, till eller ut ur organisationen. |
NetworkDuration |
heltal |
Hur lång tid, i millisekunder, för slutförandet av nätverkssessionen eller anslutningen. |
NetworkIcmpCode |
heltal |
För ett ICMP-meddelande skriver ICMP-meddelande numeriskt värde (RFC 2780 eller RFC 4443). |
NetworkIcmpType |
sträng |
För ett ICMP-meddelande skriver ICMP textrepresentation (RFC 2780 eller RFC 4443). |
NetworkPackets |
lång |
Antal paket som skickas i båda riktningarna. Om både PacketsReceived och PacketsSent finns bör BytesTotal vara lika med summan. |
NetworkProtocol |
sträng |
IP-protokollet som används av anslutningen eller sessionen. Vanligtvis TCP, UDP eller ICMP. |
NetworkRuleName |
sträng |
Namnet eller ID:t för regeln som DeviceAction beslutades om. |
NetworkRuleNumber |
heltal |
Matchat regelnummer. |
NetworkSessionId |
sträng |
Sessionsidentifieraren som rapporteras av rapporteringsenheten. |
SourceSystem |
sträng |
Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
SrcBytes |
lång |
Antalet byte som skickas från källan till målet för anslutningen eller sessionen. |
SrcDvcDomain |
sträng |
Domän för den enhet som sessionen initierades från. |
SrcDvcFqdn |
sträng |
Det fullständigt kvalificerade domännamnet för värden där loggen skapades. |
SrcDvcHostname |
sträng |
Källenhetens enhetsnamn. |
SrcDvcIpAddr |
sträng |
Käll-IP-adressen för en enhet som inte är direkt associerad med nätverkspaketet (samlas in av en provider eller beräknas uttryckligen). |
SrcDvcMacAddr |
sträng |
Mac-källadressen för en enhet som inte är direkt associerad med nätverkspaketet. |
SrcDvcModelName |
sträng |
Källenhetens modell. |
SrcDvcModelNumber |
sträng |
Källenhetens modellnummer. |
SrcDvcOs |
sträng |
Källenhetens operativsystem. |
SrcDvcType |
sträng |
Typ av källenhet. |
SrcGeoCity |
sträng |
Den ort som är associerad med källans IP-adress. |
SrcGeoCountry |
sträng |
Det land som är associerat med källans IP-adress. |
SrcGeoLatitude |
real |
Latitud för den geografiska koordinat som är associerad med källans IP-adress. |
SrcGeoLongitude |
real |
Longitud för den geografiska koordinat som är associerad med källans IP-adress. |
SrcGeoRegion |
sträng |
Regionen i ett land som är associerat med källans IP-adress. |
SrcInterfaceGuid |
sträng |
GUID för det nätverksgränssnitt som används. |
SrcInterfaceName |
sträng |
Nätverksgränssnittet som används för anslutningen eller sessionen av källenheten. |
SrcIpAddr |
sträng |
DEN IP-adress som anslutningen eller sessionen kommer från. |
SrcMacAddr |
sträng |
MAC-adressen för nätverksgränssnittet som anslutningens od-session kommer från. |
SrcNatIpAddr |
sträng |
Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används IP-adressen av NAT-enheten för kommunikation med målet. |
SrcNatPortNumber |
heltal |
Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används porten av NAT-enheten för kommunikation med målet. |
SrcPackets |
lång |
Antalet paket som skickas från källan till målet för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. |
SrcPortNumber |
heltal |
DEN IP-port som anslutningen kommer från. Kanske inte är relevant för en session som består av flera anslutningar. |
SrcResourceId |
sträng |
Resurs-ID:t för enheten som genererar meddelandet. |
SrcUserAadId |
sträng |
Objekt-ID:t för Azure AD-kontot för användaren i slutet av sessionen. |
SrcUserDomain |
sträng |
Domänen för kontot som initierar sessionen. |
SrcUserName |
sträng |
Användarnamnet för den identitet som är associerad med sessionskällan. Vanligtvis utför användaren en åtgärd på klienten. |
SrcUserSid |
sträng |
Användar-ID för den identitet som är associerad med sessionskällan. Vanligtvis utför användaren en åtgärd på klienten. |
SrcUserUpn |
sträng |
UPN för kontot som initierar sessionen. |
SrcZone |
sträng |
Källans nätverkszon enligt definitionen av rapporteringsenheten. |
TenantId |
sträng |
Log Analytics-arbetsytans ID |
ThreatCategory |
sträng |
Kategorin för ett hot som identifieras av ett säkerhetssystem, till exempel Web Security Gateway för en IPS och som är associerad med den här nätverkssessionen. |
ThreatId |
sträng |
ID:t för ett hot som identifieras av ett säkerhetssystem, till exempel Web Security Gateway för en IPS och som är associerat med den här nätverkssessionen. |
ThreatName |
sträng |
Namnet på det identifierade hotet eller den skadliga koden. |
TimeGenerated |
datetime |
Den tid då händelsen inträffade, enligt rapportkällans rapporteringskälla. |
Typ |
sträng |
Namnet på tabellen |
UrlCategory |
sträng |
Den definierade gruppering av en URL (eller kan bara baseras på domänen i URL:en) som är relaterad till vad den är (dvs. vuxen, nyheter, reklam, parkerade domäner osv.). |
UrlHostname |
sträng |
Domändelen av en HTTP-begärande-URL för HTTP/HTTPS-nätverkssessioner. |
UrlOriginal |
sträng |
HTTP-begärande-URL:en för HTTP/HTTPS-nätverkssessioner. |