你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
ASimAuditEventLogs
Microsoft Sentinel 规范化审核事件表。 存储与信息系统的审核跟踪关联的事件,以及审核跟踪日志系统配置活动和策略更改。 此类更改通常由系统管理员执行,但也可由用户在配置其自己的应用程序的设置时执行。
表属性
Attribute | 值 |
---|---|
资源类型 | microsoft.securityinsights/auditeventnormalized |
类别 | 安全性 |
解决方案 | SecurityInsights |
基本日志 | 否 |
引入时转换 | 是 |
示例查询 | - |
列
列 | 类型 | 说明 |
---|---|---|
ActingAppId | string | 启动报告的活动的应用程序的 ID,包括进程、浏览器或服务。 |
ActingAppName | string | 启动报告的活动的应用程序的名称,包括服务、URL 或 SaaS 应用程序。 |
ActingAppType | string | 操作应用程序的类型。 |
ActingOriginalAppType | string | 报告设备报告的操作应用程序类型。 |
ActorOriginalUserType | string | 报告设备报告的用户类型。 |
ActorScope | string | 定义 ActorUserId 和 ActorUsername 的范围,例如 Azure AD 租户。 |
ActorScopeId | string | 在其中定义了 ActorUserId 和 ActorUsername 的范围 ID(例如 Azure AD 租户 ID)。 |
“ActorSessionId” | string | 参与者登录会话的唯一 ID。 |
ActorUserAadId | string | 参与者的 Azure Active Directory ID。 |
ActorUserId | string | 参与者的计算机可读的唯一字母数字表示形式。 |
ActorUserIdType | string | ActorUserId 字段中存储的 ID 的类型。 |
ActorUsername | string | 参与者的用户名,包括域信息(如果可用)。 |
ActorUsernameType | string | ActionUsername 字段中指定的参与者的用户名的类型 |
ActorUserSid | string | 参与者的 Windows 用户 ID (SID)。 |
ActorUserType | string | 参与者的类型。 |
AdditionalFields | 动态 | 附加信息,使用源提供的不映射到 ASim 的键/值对表示。 |
_BilledSize | real | 记录大小(字节) |
DvcAction | string | 对于报告安全系统,为系统执行的操作。 |
DvcDescription | string | 与设备关联的描述性文本。 |
DvcDomain | string | 报告事件的设备的域。 |
DvcDomainType | string | DvcDomain 的类型。 |
DvcFQDN | string | 发生了事件或报告了事件的设备的主机名。 |
DvcHostname | string | 报告事件的设备的主机名。 |
“DvcId” | string | 发生了事件或报告了事件的设备的唯一 ID。 |
DvcIdType | string | DvcId 的类型。 |
DvcInterface | string | 捕获数据的网络接口。 |
DvcIpAddr | string | 报告事件的设备的 IP 地址。 |
DvcMacAddr | string | 发生了事件或报告了事件的设备的 MAC 地址。 |
DvcOriginalAction | string | 报告设备提供的原始 DvcAction。 |
DvcOs | string | 发生了事件或报告了事件的设备上运行的操作系统。 |
DvcOsVersion | string | 发生了事件或报告了事件的设备上的操作系统版本。 |
DvcScope | string | 设备所属的云平台范围。 DvcScope 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
DvcScopeId | string | 设备所属的云平台范围 ID。 DvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
DvcZone | string | 发生了事件或报告了事件的网络。 |
EventCount | int | 记录描述的事件数。 |
EventEndTime | datetime | 事件的结束时间 (UTC)。 如果源支持聚合且记录表示多个事件,则为生成最后一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
EventMessage | string | 常规消息或说明。 |
EventOriginalResultDetails | string | 源提供的原始结果详细信息。 |
EventOriginalSeverity | string | 报告设备提供的原始严重性。 |
EventOriginalSubType | string | 原始事件子类型或 ID(如果已由源提供)。 |
“EventOriginalType” | string | 原始事件类型或 ID(如果已由源提供)。 |
EventOriginalUid | string | 原始记录的唯一 ID(如果已由源提供)。 |
EventOwner | string | 事件的所有者,通常是生成事件的部门或子公司。 |
EventProduct | string | 生成事件的产品。 |
EventProductVersion | string | 生成事件的产品的版本。 |
EventReportUrl | string | 在资源的事件中提供的 URL,提供有关该事件的更多信息。 |
EventResult | string | 事件的结果,由以下值之一表示:成功、部分、失败、NA(不适用)。 该值可能不是由源直接提供的,在这种情况下,它来自其他事件字段,例如 EventResultDetails 字段。 |
EventResultDetails | string | EventResult 字段中报告的结果的原因或详细信息。 |
EventSchemaVersion | string | 架构的版本。 |
EventSeverity | string | 事件的严重性。 有效值为:信息、低、中或高。 |
EventStartTime | datetime | 事件的开始时间 (UTC)。 如果源支持聚合且记录表示多个事件,则为生成第一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
EventSubType | string | 描述 EventType 字段中报告的操作的细分。 |
EventType | string | 描述记录报告的操作 |
EventVendor | string | 生成事件的产品的供应商。 |
HttpUserAgent | string | 通过 HTTP 或 HTTPS 执行身份验证时,此字段的值是执行身份验证时操作应用程序提供的 user_agent HTTP 标头。 |
_IsBillable | string | 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
NewValue | string | 执行操作后的对象的新值。 |
Object | string | 对其执行标识为 EventType 的操作的对象名称。 |
ObjectId | string | 对其执行标识为 EventType 的操作的对象名称。 |
ObjectType | string | Object 的类型。 |
OldValue | string | 操作前对象的旧值。 |
Operation | string | 报告设备报告的审核操作。 |
OriginalObjectType | string | 报告设备报告的对象类型。 |
_ResourceId | 字符串 | 与记录关联的资源的唯一标识符 |
RuleName | string | 与检查结果关联的规则的名称或 ID。 |
RuleNumber | int | 与检查结果关联的规则的数量。 |
SourceSystem | string | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager 、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
SrcDescription | string | 与源设备关联的描述性文本。 |
SrcDeviceType | string | 源设备的类型。 |
SrcDomain | string | 源设备的域。 |
SrcDomainType | string | SrcDomain 的类型。 |
SrcDvcId | string | 源设备的 ID。 |
SrcDvcIdType | string | SrcDvcId 的类型。 |
SrcDvcScope | string | 源设备所属的云平台范围。 SrcDvcScope 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
SrcDvcScopeId | string | 源设备所属的云平台范围 ID。 SrcDvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
SrcFQDN | string | 源设备主机名,包括域信息(如果可用)。 |
SrcGeoCity | string | 与源 IP 地址关联的城市。 |
SrcGeoCountry | string | 与源 IP 地址关联的国家/地区。 |
SrcGeoLatitude | real | 与源 IP 地址关联的地理坐标的纬度。 |
SrcGeoLongitude | real | 与源 IP 地址关联的地理坐标的经度。 |
SrcGeoRegion | string | 与源 IP 地址关联的国家/地区中的区域。 |
SrcHostname | string | 源设备主机名,不包括域信息。 |
SrcIpAddr | string | 从中发起了连接或会话的源 IP 地址。 |
SrcOriginalRiskLevel | string | 由报告设备报告的与已识别源相关联的风险级别。 |
SrcPortNumber | int | 从中发起了连接的源 IP 端口。 |
SrcRiskLevel | int | 与已识别的源关联的风险级别。 |
_SubscriptionId | 字符串 | 与记录关联的订阅的唯一标识符 |
TargetAppId | string | 事件应用的应用程序 ID,包括进程、浏览器或服务。 |
TargetAppName | string | 事件应用的应用程序名称,包括服务、URL 或 SaaS 应用程序。 |
TargetAppType | string | 代表参与者授权的应用程序的类型。 |
TargetDescription | string | 与目标设备关联的描述性文本。 |
TargetDeviceType | string | 目标设备的类型。 |
TargetDomain | string | 目标设备的域。 |
TargetDomainType | string | TargetDomain 的类型。 |
TargetDvcId | string | 目标设备的 ID。 |
TargetDvcIdType | string | TargetDvcId 的类型。 |
TargetDvcOs | string | 目标设备的 OS。 |
TargetDvcScope | string | 目标设备所属的云平台范围。 TargetDvcScope 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
TargetDvcScopeId | string | 目标设备所属的云平台范围 ID。 TargetDvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
TargetFQDN | string | 目标设备主机名,包括域信息(如果可用)。 |
TargetGeoCity | string | 与目标 IP 地址关联的城市。 |
TargetGeoCountry | string | 与目标 IP 地址关联的国家/地区。 |
TargetGeoLatitude | real | 与目标 IP 地址关联的地理坐标的纬度。 |
TargetGeoLongitude | real | 与目标 IP 地址关联的地理坐标的经度。 |
TargetGeoRegion | string | 与目标 IP 地址关联的国家/地区中的区域。 |
TargetHostname | string | 目标设备主机名,不包括域信息。 |
TargetIpAddr | string | 从中发起了连接或会话的目标 IP 地址。 |
TargetOriginalAppType | string | 报告设备报告的目标应用程序类型。 |
TargetOriginalRiskLevel | string | 与目标关联的风险级别,由报告设备报告。 |
TargetPortNumber | int | 从中发起了连接的目标 IP 端口。 |
TargetRiskLevel | int | 与目标关联的风险级别。 |
TargetUrl | string | 与目标应用程序相关联的 URL。 |
TenantId | string | Log Analytics 工作区 ID |
ThreatCategory | string | 在文件活动中识别到的威胁或恶意软件的类别。 |
ThreatConfidence | int | 已识别威胁的可信度,规范化为 0 到 100 之间的值。 |
ThreatField | string | 已识别出威胁的字段。 |
ThreatFirstReportedTime | datetime | IP 地址或域首次被识别为威胁的时间。 |
ThreatId | string | 在审核活动中识别到的威胁或恶意软件的 ID。 |
ThreatIpAddr | string | 已识别出威胁的 IP 地址或域。 |
ThreatIsActive | 布尔 | 如果已识别的威胁被视为活动威胁,则为 True。 |
ThreatLastReportedTime | datetime | 上次将 IP 地址或域识别为威胁的时间。 |
ThreatName | string | 在审核活动中识别到的威胁或恶意软件的名称。 |
ThreatOriginalConfidence | string | 报告设备报告的已识别威胁的原始可信度。 |
ThreatOriginalRiskLevel | string | 报告设备报告的风险级别。 |
ThreatRiskLevel | int | 与已识别的威胁关联的风险级别。 级别应是介于 0 和 100 之间的数字。 |
TimeGenerated | datetime | 时间戳 (UTC),反映生成事件的时间。 |
类型 | 字符串 | 表的名称 |
ValueType | string | 旧值和新值的类型。 |