你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

ASimAuditEventLogs

Microsoft Sentinel 规范化审核事件表。 存储与信息系统的审核跟踪关联的事件,以及审核跟踪日志系统配置活动和策略更改。 此类更改通常由系统管理员执行,但也可由用户在配置其自己的应用程序的设置时执行。

表属性

Attribute
资源类型 microsoft.securityinsights/auditeventnormalized
类别 安全性
解决方案 SecurityInsights
基本日志
引入时转换
示例查询 -

类型​​ 说明
ActingAppId string 启动报告的活动的应用程序的 ID,包括进程、浏览器或服务。
ActingAppName string 启动报告的活动的应用程序的名称,包括服务、URL 或 SaaS 应用程序。
ActingAppType string 操作应用程序的类型。
ActingOriginalAppType string 报告设备报告的操作应用程序类型。
ActorOriginalUserType string 报告设备报告的用户类型。
ActorScope string 定义 ActorUserId 和 ActorUsername 的范围,例如 Azure AD 租户。
ActorScopeId string 在其中定义了 ActorUserId 和 ActorUsername 的范围 ID(例如 Azure AD 租户 ID)。
“ActorSessionId” string 参与者登录会话的唯一 ID。
ActorUserAadId string 参与者的 Azure Active Directory ID。
ActorUserId string 参与者的计算机可读的唯一字母数字表示形式。
ActorUserIdType string ActorUserId 字段中存储的 ID 的类型。
ActorUsername string 参与者的用户名,包括域信息(如果可用)。
ActorUsernameType string ActionUsername 字段中指定的参与者的用户名的类型
ActorUserSid string 参与者的 Windows 用户 ID (SID)。
ActorUserType string 参与者的类型。
AdditionalFields 动态 附加信息,使用源提供的不映射到 ASim 的键/值对表示。
_BilledSize real 记录大小(字节)
DvcAction string 对于报告安全系统,为系统执行的操作。
DvcDescription string 与设备关联的描述性文本。
DvcDomain string 报告事件的设备的域。
DvcDomainType string DvcDomain 的类型。
DvcFQDN string 发生了事件或报告了事件的设备的主机名。
DvcHostname string 报告事件的设备的主机名。
“DvcId” string 发生了事件或报告了事件的设备的唯一 ID。
DvcIdType string DvcId 的类型。
DvcInterface string 捕获数据的网络接口。
DvcIpAddr string 报告事件的设备的 IP 地址。
DvcMacAddr string 发生了事件或报告了事件的设备的 MAC 地址。
DvcOriginalAction string 报告设备提供的原始 DvcAction。
DvcOs string 发生了事件或报告了事件的设备上运行的操作系统。
DvcOsVersion string 发生了事件或报告了事件的设备上的操作系统版本。
DvcScope string 设备所属的云平台范围。 DvcScope 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。
DvcScopeId string 设备所属的云平台范围 ID。 DvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。
DvcZone string 发生了事件或报告了事件的网络。
EventCount int 记录描述的事件数。
EventEndTime datetime 事件的结束时间 (UTC)。 如果源支持聚合且记录表示多个事件,则为生成最后一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。
EventMessage string 常规消息或说明。
EventOriginalResultDetails string 源提供的原始结果详细信息。
EventOriginalSeverity string 报告设备提供的原始严重性。
EventOriginalSubType string 原始事件子类型或 ID(如果已由源提供)。
“EventOriginalType” string 原始事件类型或 ID(如果已由源提供)。
EventOriginalUid string 原始记录的唯一 ID(如果已由源提供)。
EventOwner string 事件的所有者,通常是生成事件的部门或子公司。
EventProduct string 生成事件的产品。
EventProductVersion string 生成事件的产品的版本。
EventReportUrl string 在资源的事件中提供的 URL,提供有关该事件的更多信息。
EventResult string 事件的结果,由以下值之一表示:成功、部分、失败、NA(不适用)。 该值可能不是由源直接提供的,在这种情况下,它来自其他事件字段,例如 EventResultDetails 字段。
EventResultDetails string EventResult 字段中报告的结果的原因或详细信息。
EventSchemaVersion string 架构的版本。
EventSeverity string 事件的严重性。 有效值为:信息、低、中或高。
EventStartTime datetime 事件的开始时间 (UTC)。 如果源支持聚合且记录表示多个事件,则为生成第一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。
EventSubType string 描述 EventType 字段中报告的操作的细分。
EventType string 描述记录报告的操作
EventVendor string 生成事件的产品的供应商。
HttpUserAgent string 通过 HTTP 或 HTTPS 执行身份验证时,此字段的值是执行身份验证时操作应用程序提供的 user_agent HTTP 标头。
_IsBillable string 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
NewValue string 执行操作后的对象的新值。
Object string 对其执行标识为 EventType 的操作的对象名称。
ObjectId string 对其执行标识为 EventType 的操作的对象名称。
ObjectType string Object 的类型。
OldValue string 操作前对象的旧值。
Operation string 报告设备报告的审核操作。
OriginalObjectType string 报告设备报告的对象类型。
_ResourceId 字符串 与记录关联的资源的唯一标识符
RuleName string 与检查结果关联的规则的名称或 ID。
RuleNumber int 与检查结果关联的规则的数量。
SourceSystem string 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure
SrcDescription string 与源设备关联的描述性文本。
SrcDeviceType string 源设备的类型。
SrcDomain string 源设备的域。
SrcDomainType string SrcDomain 的类型。
SrcDvcId string 源设备的 ID。
SrcDvcIdType string SrcDvcId 的类型。
SrcDvcScope string 源设备所属的云平台范围。 SrcDvcScope 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。
SrcDvcScopeId string 源设备所属的云平台范围 ID。 SrcDvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。
SrcFQDN string 源设备主机名,包括域信息(如果可用)。
SrcGeoCity string 与源 IP 地址关联的城市。
SrcGeoCountry string 与源 IP 地址关联的国家/地区。
SrcGeoLatitude real 与源 IP 地址关联的地理坐标的纬度。
SrcGeoLongitude real 与源 IP 地址关联的地理坐标的经度。
SrcGeoRegion string 与源 IP 地址关联的国家/地区中的区域。
SrcHostname string 源设备主机名,不包括域信息。
SrcIpAddr string 从中发起了连接或会话的源 IP 地址。
SrcOriginalRiskLevel string 由报告设备报告的与已识别源相关联的风险级别。
SrcPortNumber int 从中发起了连接的源 IP 端口。
SrcRiskLevel int 与已识别的源关联的风险级别。
_SubscriptionId 字符串 与记录关联的订阅的唯一标识符
TargetAppId string 事件应用的应用程序 ID,包括进程、浏览器或服务。
TargetAppName string 事件应用的应用程序名称,包括服务、URL 或 SaaS 应用程序。
TargetAppType string 代表参与者授权的应用程序的类型。
TargetDescription string 与目标设备关联的描述性文本。
TargetDeviceType string 目标设备的类型。
TargetDomain string 目标设备的域。
TargetDomainType string TargetDomain 的类型。
TargetDvcId string 目标设备的 ID。
TargetDvcIdType string TargetDvcId 的类型。
TargetDvcOs string 目标设备的 OS。
TargetDvcScope string 目标设备所属的云平台范围。 TargetDvcScope 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。
TargetDvcScopeId string 目标设备所属的云平台范围 ID。 TargetDvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。
TargetFQDN string 目标设备主机名,包括域信息(如果可用)。
TargetGeoCity string 与目标 IP 地址关联的城市。
TargetGeoCountry string 与目标 IP 地址关联的国家/地区。
TargetGeoLatitude real 与目标 IP 地址关联的地理坐标的纬度。
TargetGeoLongitude real 与目标 IP 地址关联的地理坐标的经度。
TargetGeoRegion string 与目标 IP 地址关联的国家/地区中的区域。
TargetHostname string 目标设备主机名,不包括域信息。
TargetIpAddr string 从中发起了连接或会话的目标 IP 地址。
TargetOriginalAppType string 报告设备报告的目标应用程序类型。
TargetOriginalRiskLevel string 与目标关联的风险级别,由报告设备报告。
TargetPortNumber int 从中发起了连接的目标 IP 端口。
TargetRiskLevel int 与目标关联的风险级别。
TargetUrl string 与目标应用程序相关联的 URL。
TenantId string Log Analytics 工作区 ID
ThreatCategory string 在文件活动中识别到的威胁或恶意软件的类别。
ThreatConfidence int 已识别威胁的可信度,规范化为 0 到 100 之间的值。
ThreatField string 已识别出威胁的字段。
ThreatFirstReportedTime datetime IP 地址或域首次被识别为威胁的时间。
ThreatId string 在审核活动中识别到的威胁或恶意软件的 ID。
ThreatIpAddr string 已识别出威胁的 IP 地址或域。
ThreatIsActive 布尔 如果已识别的威胁被视为活动威胁,则为 True。
ThreatLastReportedTime datetime 上次将 IP 地址或域识别为威胁的时间。
ThreatName string 在审核活动中识别到的威胁或恶意软件的名称。
ThreatOriginalConfidence string 报告设备报告的已识别威胁的原始可信度。
ThreatOriginalRiskLevel string 报告设备报告的风险级别。
ThreatRiskLevel int 与已识别的威胁关联的风险级别。 级别应是介于 0 和 100 之间的数字。
TimeGenerated datetime 时间戳 (UTC),反映生成事件的时间。
类型 字符串 表的名称
ValueType string 旧值和新值的类型。