| AdditionalFields |
dynamisk |
När ingen kolumn i schemat matchar kan ytterligare fält lagras i en JSON-påse. |
| _BilledSize |
real |
Poststorleken i byte |
| CloudAppId |
sträng |
ID:t för målprogrammet för ett HTTP-program som identifierats av en proxy. Det här värdet är vanligtvis specifikt för den proxy som används. |
| CloudAppName |
sträng |
Namnet på målprogrammet för ett HTTP-program som identifieras av en proxy. |
| CloudAppOperation |
sträng |
Åtgärden som användaren utförde i kontexten för målprogrammet för ett HTTP-program som identifierats av en proxyserver. Det här värdet är vanligtvis specifikt för den proxy som används. |
| CloudAppRiskLevel |
sträng |
Den risknivå som är associerad med ett HTTP-program som identifieras av en proxy. Det här värdet är vanligtvis specifikt för den proxy som används. |
| DstBytes |
lång |
Antalet byte som skickas från målet till källan för anslutningen eller sessionen. |
| DstDomainHostname |
sträng |
Målvärdens domän. |
| DstDvcDomain |
sträng |
Målenhetens domän. |
| DstDvcFqdn |
sträng |
Det fullständigt kvalificerade domännamnet för värden där loggen skapades. |
| DstDvcHostname |
sträng |
Målenhetens enhetsnamn. |
| DstDvcIpAddr |
sträng |
Mål-IP-adressen för en enhet som inte är direkt associerad med nätverkspaketet. |
| DstDvcMacAddr |
sträng |
Mac-måladressen för en enhet som inte är direkt associerad med nätverkspaketet. |
| DstGeoCity |
sträng |
Den ort som är associerad med mål-IP-adressen. |
| DstGeoCountry |
sträng |
Det land som är associerat med källans IP-adress. |
| DstGeoLatitude |
real |
Latitud för den geografiska koordinat som är associerad med målets IP-adress. |
| DstGeoLongitude |
real |
Longitud för den geografiska koordinat som är associerad med målets IP-adress |
| DstGeoRegion |
sträng |
Regionen inom ett land som är associerat med mål-IP-adressen. |
| DstInterfaceGuid |
sträng |
GUID för nätverksgränssnittet som användes för autentiseringsbegäran. |
| DstInterfaceName |
sträng |
Nätverksgränssnittet som används för anslutningen eller sessionen av målenheten. |
| DstIpAddr |
sträng |
IP-adressen för anslutningen eller sessionsmålet. |
| DstMacAddr |
sträng |
MAC-adressen för nätverksgränssnittet där anslutningen eller sessionen avslutades. |
| DstNatIpAddr |
sträng |
Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används IP-adressen av NAT-enheten för kommunikation med källan. |
| DstNatPortNumber |
heltal |
Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används porten av NAT-enheten för kommunikation med källan. |
| DstPackets |
lång |
Antalet paket som skickas från målet till källan för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. |
| DstPortNumber |
heltal |
Målets IP-port. |
| DstResourceId |
sträng |
Målenhetens resurs-ID. |
| DstUserAadId |
sträng |
Objekt-ID:t för Azure AD-kontot för användaren i slutet av sessionen. |
| DstUserDomain |
sträng |
Domänen eller datornamnet för kontot vid sessionens mål. |
| DstUserName |
sträng |
Användarnamnet för den identitet som är associerad med sessionens mål. |
| DstUserSid |
sträng |
Användar-ID för den identitet som är associerad med sessionens mål. Vanligtvis används den identitet som används för att autentisera en server. |
| DstUserUpn |
sträng |
UPN för den identitet som är associerad med sessionens mål. |
| DstZone |
sträng |
Målets nätverkszon, enligt definitionen av rapporteringsenheten. |
| DvcAction |
sträng |
Om den rapporteras av en mellanliggande enhet, till exempel en brandvägg, vidtas åtgärden av enheten. |
| DvcHostname |
sträng |
Enhetsnamnet på enheten som genererar meddelandet. |
| DvcInboundInterface |
sträng |
Om det rapporteras av en mellanliggande enhet, till exempel en brandvägg, används nätverksgränssnittet för anslutningen till källenheten. |
| DvcIpAddr |
sträng |
IP-adressen för den enhet som genererar posten. |
| DvcMacAddr |
sträng |
MAC-adressen för nätverksgränssnittet för rapporteringsenheten som händelsen skickades från. |
| DvcOutboundInterface |
sträng |
Om det rapporteras av en mellanliggande enhet, till exempel en brandvägg, används nätverksgränssnittet för anslutningen till målenheten. |
| EventCount |
heltal |
Antalet aggregerade händelser, om tillämpligt. |
| EventEndTime |
datetime |
Tiden då händelsen avslutades. |
| EventMessage |
sträng |
Ett allmänt meddelande eller en beskrivning som antingen ingår i eller genereras från posten. |
| EventOriginalUid |
sträng |
Post-ID:t från rapporteringsenheten. |
| EventProduct |
sträng |
Produkten som genererar händelsen. |
| EventProductVersion |
sträng |
Den version av produkten som genererar händelsen. |
| EventReportUrl |
sträng |
En länk till den fullständiga rapporten som skapats av rapporteringsenheten. |
| EventResourceId |
sträng |
Resurs-ID:t för enheten som genererar meddelandet. |
| EventResult |
sträng |
Resultatet som rapporterats för aktiviteten. Tomt värde när det inte är tillämpligt. |
| EventResultDetails |
sträng |
Orsak till resultatet som rapporterats i EventResult |
| EventSchemaVersion |
sträng |
Schemaversion för Azure Sentinel. |
| EventSeverity |
sträng |
Om den rapporterade aktiviteten har en säkerhetspåverkan anger du hur allvarlig effekten är. |
| EventStartTime |
datetime |
Den tid då händelsen angavs. |
| EventSubType |
sträng |
Ytterligare beskrivning av typen om tillämpligt. |
| EventTimeIngested |
datetime |
Den tid då händelsen matades in till Azure Sentinel. Kommer att läggas till av Azure Sentinel. |
| EventType |
sträng |
Typ av händelse som samlas in. |
| EventUid |
sträng |
Unik identifierare som används av Sentinel för att markera en rad. |
| EventVendor |
sträng |
Leverantören av produkten som genererar händelsen. |
| FileExtension |
sträng |
Typen av fil som överförs via nätverksanslutningarna för protokoll som FTP och HTTP. |
| FileHashMd5 |
sträng |
MD5-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. |
| FileHashSha1 |
sträng |
SHA1-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. |
| FileHashSha256 |
sträng |
SHA256-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. |
| FileHashSha512 |
sträng |
SHA512-hashvärdet för filen som överförs via nätverksanslutningarna för protokoll. |
| FileMimeType |
sträng |
MIME-typen för filen som överförs via nätverksanslutningarna för protokoll som FTP och HTTP. |
| FileName |
sträng |
Filnamnet som överförs via nätverksanslutningarna för protokoll som FTP och HTTP som anger filnamnsinformationen. |
| FilePath |
sträng |
Den fullständiga sökvägen, inklusive filnamnet, för filen. |
| FileSize |
heltal |
Filstorleken, i byte, för filen som överförs via nätverksanslutningarna för protokoll. |
| HttpContentType |
sträng |
Innehållstypen HTTP-svarsrubrik för HTTP/HTTPS-nätverkssessioner. |
| HttpReferrerOriginal |
sträng |
HTTP-referenshuvudet för HTTP/HTTPS-nätverkssessioner. |
| HttpRequestMethod |
sträng |
HTTP-metoden för HTTP/HTTPS-nätverkssessioner. |
| HttpRequestTime |
heltal |
Hur lång tid det tog att skicka begäran till servern, om tillämpligt. |
| HttpRequestXff |
sträng |
HTTP X-Forwarded-For-huvudet för HTTP/HTTPS-nätverkssessioner. |
| HttpResponseTime |
heltal |
Hur lång tid det tog att ta emot ett svar på servern, om tillämpligt. |
| HttpStatusCode |
sträng |
HTTP-statuskoden för HTTP/HTTPS-nätverkssessioner. |
| HttpUserAgentOriginal |
sträng |
HTTP-användaragentens huvud för HTTP/HTTPS-nätverkssessioner. |
| HttpVersion |
sträng |
HTTP-begärandeversionen för HTTP/HTTPS-nätverksanslutningar. |
| _IsBillable |
sträng |
Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto |
| NetworkApplicationProtocol |
sträng |
Protokollet för programskiktet som används av anslutningen eller sessionen. |
| NetworkBytes |
lång |
Antal byte som skickats i båda riktningarna. Om både BytesReceived och BytesSent finns ska BytesTotal vara lika med summan. |
| NetworkDirection |
sträng |
Riktningen för anslutningen eller sessionen, till eller ut ur organisationen. |
| NetworkDuration |
heltal |
Hur lång tid, i millisekunder, för slutförandet av nätverkssessionen eller anslutningen. |
| NetworkIcmpCode |
heltal |
För ett ICMP-meddelande skriver ICMP-meddelande numeriskt värde (RFC 2780 eller RFC 4443). |
| NetworkIcmpType |
sträng |
För ett ICMP-meddelande skriver ICMP textrepresentation (RFC 2780 eller RFC 4443). |
| NetworkPackets |
lång |
Antal paket som skickas i båda riktningarna. Om både PacketsReceived och PacketsSent finns bör BytesTotal vara lika med summan. |
| NetworkProtocol |
sträng |
IP-protokollet som används av anslutningen eller sessionen. Vanligtvis TCP, UDP eller ICMP. |
| NetworkRuleName |
sträng |
Namnet eller ID:t för regeln som DeviceAction beslutades om. |
| NetworkRuleNumber |
heltal |
Matchat regelnummer. |
| NetworkSessionId |
sträng |
Sessionsidentifieraren som rapporteras av rapporteringsenheten. |
| SourceSystem |
sträng |
Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| SrcBytes |
lång |
Antalet byte som skickas från källan till målet för anslutningen eller sessionen. |
| SrcDvcDomain |
sträng |
Domän för den enhet som sessionen initierades från. |
| SrcDvcFqdn |
sträng |
Det fullständigt kvalificerade domännamnet för värden där loggen skapades. |
| SrcDvcHostname |
sträng |
Källenhetens enhetsnamn. |
| SrcDvcIpAddr |
sträng |
Käll-IP-adressen för en enhet som inte är direkt associerad med nätverkspaketet (samlas in av en provider eller beräknas uttryckligen). |
| SrcDvcMacAddr |
sträng |
Mac-källadressen för en enhet som inte är direkt associerad med nätverkspaketet. |
| SrcDvcModelName |
sträng |
Källenhetens modell. |
| SrcDvcModelNumber |
sträng |
Källenhetens modellnummer. |
| SrcDvcOs |
sträng |
Källenhetens operativsystem. |
| SrcDvcType |
sträng |
Typ av källenhet. |
| SrcGeoCity |
sträng |
Den ort som är associerad med källans IP-adress. |
| SrcGeoCountry |
sträng |
Det land som är associerat med källans IP-adress. |
| SrcGeoLatitude |
real |
Latitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoLongitude |
real |
Longitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoRegion |
sträng |
Regionen i ett land som är associerat med källans IP-adress. |
| SrcInterfaceGuid |
sträng |
GUID för det nätverksgränssnitt som används. |
| SrcInterfaceName |
sträng |
Nätverksgränssnittet som används för anslutningen eller sessionen av källenheten. |
| SrcIpAddr |
sträng |
DEN IP-adress som anslutningen eller sessionen kommer från. |
| SrcMacAddr |
sträng |
MAC-adressen för nätverksgränssnittet som anslutningens od-session kommer från. |
| SrcNatIpAddr |
sträng |
Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används IP-adressen av NAT-enheten för kommunikation med målet. |
| SrcNatPortNumber |
heltal |
Om den rapporteras av en mellanliggande NAT-enhet, till exempel en brandvägg, används porten av NAT-enheten för kommunikation med målet. |
| SrcPackets |
lång |
Antalet paket som skickas från källan till målet för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. |
| SrcPortNumber |
heltal |
DEN IP-port som anslutningen kommer från. Kanske inte är relevant för en session som består av flera anslutningar. |
| SrcResourceId |
sträng |
Resurs-ID:t för enheten som genererar meddelandet. |
| SrcUserAadId |
sträng |
Objekt-ID:t för Azure AD-kontot för användaren i slutet av sessionen. |
| SrcUserDomain |
sträng |
Domänen för kontot som initierar sessionen. |
| SrcUserName |
sträng |
Användarnamnet för den identitet som är associerad med sessionskällan. Vanligtvis utför användaren en åtgärd på klienten. |
| SrcUserSid |
sträng |
Användar-ID för den identitet som är associerad med sessionskällan. Vanligtvis utför användaren en åtgärd på klienten. |
| SrcUserUpn |
sträng |
UPN för kontot som initierar sessionen. |
| SrcZone |
sträng |
Källans nätverkszon enligt definitionen av rapporteringsenheten. |
| TenantId |
sträng |
Log Analytics-arbetsytans ID |
| ThreatCategory |
sträng |
Kategorin för ett hot som identifieras av ett säkerhetssystem, till exempel Web Security Gateway för en IPS och som är associerad med den här nätverkssessionen. |
| ThreatId |
sträng |
ID:t för ett hot som identifieras av ett säkerhetssystem, till exempel Web Security Gateway för en IPS och som är associerat med den här nätverkssessionen. |
| ThreatName |
sträng |
Namnet på det identifierade hotet eller den skadliga koden. |
| TimeGenerated |
datetime |
Den tid då händelsen inträffade, enligt rapportkällans rapporteringskälla. |
| Typ |
sträng |
Namnet på tabellen |
| UrlCategory |
sträng |
Den definierade gruppering av en URL (eller kan bara baseras på domänen i URL:en) som är relaterad till vad den är (dvs. vuxen, nyheter, reklam, parkerade domäner osv.). |
| UrlHostname |
sträng |
Domändelen av en HTTP-begärande-URL för HTTP/HTTPS-nätverkssessioner. |
| UrlOriginal |
sträng |
HTTP-begärande-URL:en för HTTP/HTTPS-nätverkssessioner. |