你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
NetworkSessions
网络连接或会话,例如防火墙、Wire Data、NSG、Netflow、代理系统和 Web 安全网关记录的网络连接或会话。
表属性
| Attribute | 值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | SecurityInsights |
| 基本日志 | 否 |
| 引入时转换 | 否 |
| 示例查询 | 是 |
列
| 列 | 类型 | 说明 |
|---|---|---|
| AdditionalFields | 动态 | 如果架构中没有相应的列匹配,则可将附加字段存储在 JSON 包中。 |
| _BilledSize | real | 记录大小(字节) |
| CloudAppId | string | HTTP 应用程序的目标应用程序的 ID,由代理标识。 此值通常特定于所用的代理。 |
| CloudAppName | string | HTTP 应用程序的目标应用程序的名称,由代理标识。 |
| CloudAppOperation | string | 用户在 HTTP 应用程序的目标应用程序上下文中执行的操作,由代理标识。 此值通常特定于所用的代理。 |
| CloudAppRiskLevel | string | 与 HTTP 应用程序关联的风险级别,由代理标识。 此值通常特定于所用的代理。 |
| DstBytes | long | 从连接或会话的目标发送到源的字节数。 |
| DstDomainHostname | string | 目标主机的域。 |
| DstDvcDomain | string | 目标设备的域。 |
| DstDvcFqdn | string | 在其中创建了日志的主机的完全限定域名。 |
| DstDvcHostname | string | 目标设备的设备名称。 |
| DstDvcIpAddr | string | 不直接与网络数据包关联的设备的目标 IP 地址。 |
| DstDvcMacAddr | string | 不直接与网络数据包关联的设备的目标 MAC 地址。 |
| DstGeoCity | string | 与目标 IP 地址关联的城市。 |
| DstGeoCountry | string | 与源 IP 地址关联的国家/地区。 |
| DstGeoLatitude | real | 与目标 IP 地址关联的地理坐标的纬度。 |
| DstGeoLongitude | real | 与目标 IP 地址关联的地理坐标的经度 |
| DstGeoRegion | string | 与目标 IP 地址关联的国家/地区中的区域。 |
| DstInterfaceGuid | string | 用于身份验证请求的网络接口的 GUID。 |
| DstInterfaceName | string | 由目标设备用来建立连接或会话的网络接口。 |
| DstIpAddr | string | 连接或会话目标的 IP 地址。 |
| DstMacAddr | string | 终止了连接或会话的网络接口的 MAC 地址。 |
| DstNatIpAddr | string | 如果中介 NAT 设备(例如防火墙)报告了该值,则该值是由 NAT 设备用来与源通信的 IP 地址。 |
| DstNatPortNumber | int | 如果中介 NAT 设备(例如防火墙)报告了该值,则该值是由 NAT 设备用来与源通信的端口。 |
| DstPackets | long | 从连接或会话的目标发送到源的数据包数。 数据包的含义由报告设备定义。 |
| DstPortNumber | int | 目标 IP 端口。 |
| DstResourceId | string | 目标设备的资源 ID。 |
| DstUserAadId | string | 位于会话目标端的用户的 Azure AD 帐户对象 ID。 |
| DstUserDomain | string | 位于会话目标中的帐户的域名或计算机名。 |
| DstUserName | string | 与会话目标关联的标识的用户名。 |
| DstUserSid | string | 与会话目标关联的标识的用户 ID。 通常,它是用来对服务器进行身份验证的标识。 |
| DstUserUpn | 字符串 | 与会话目标关联的标识的 UPN。 |
| DstZone | string | 目标的网络区域,由报告设备定义。 |
| DvcAction | string | 如果中介设备(例如防火墙)报告了该值,则该值是该设备执行的操作。 |
| DvcHostname | string | 生成消息的设备的设备名称。 |
| DvcInboundInterface | string | 如果中介设备(例如防火墙)报告了该值,则该值是该设备用来连接到源设备的网络接口。 |
| DvcIpAddr | string | 生成记录的设备的 IP 地址。 |
| DvcMacAddr | string | 从中发送了事件的报告设备的网络接口的 MAC 地址。 |
| DvcOutboundInterface | string | 如果中介设备(例如防火墙)报告了该值,则该值是该设备用来连接到目标设备的网络接口。 |
| EventCount | int | 聚合的事件数(如果适用)。 |
| EventEndTime | datetime | 事件的结束时间。 |
| EventMessage | string | 常规消息或说明,包含在记录中或者根据记录生成。 |
| EventOriginalUid | string | 报告设备中的记录 ID。 |
| EventProduct | string | 生成事件的产品。 |
| EventProductVersion | string | 生成事件的产品的版本。 |
| EventReportUrl | string | 报告设备创建的完整报告的链接。 |
| EventResourceId | string | 生成消息的设备的资源 ID。 |
| EventResult | string | 针对活动报告的结果。 不适用时为空值。 |
| EventResultDetails | string | EventResult 中报告的结果的原因 |
| EventSchemaVersion | string | Azure Sentinel 架构版本。 |
| EventSeverity | string | 如果报告的活动会造成安全影响,则指示影响的严重性。 |
| EventStartTime | datetime | 事件的开始时间。 |
| EventSubType | string | 类型的附加说明(如果适用)。 |
| EventTimeIngested | datetime | 将事件引入 Azure Sentinel 的时间。 将由 Azure Sentinel 添加。 |
| EventType | string | 要收集的事件的类型。 |
| EventUid | string | Sentinel 用于标记行的唯一标识符。 |
| EventVendor | string | 生成事件的产品的供应商。 |
| FileExtension | string | 通过网络连接为协议(例如 FTP 和 HTTP)传输的文件的类型。 |
| FileHashMd5 | string | 通过网络连接为协议传输的文件的 MD5 哈希值。 |
| FileHashSha1 | string | 通过网络连接为协议传输的文件的 SHA1 哈希值。 |
| FileHashSha256 | string | 通过网络连接为协议传输的文件的 SHA256 哈希值。 |
| FileHashSha512 | string | 通过网络连接为协议传输的文件的 SHA512 哈希值。 |
| FileMimeType | string | 通过网络连接为协议(例如 FTP 和 HTTP)传输的文件的 MIME 类型。 |
| FileName | string | 通过网络连接为提供文件名信息的协议(例如 FTP 和 HTTP)传输的文件名。 |
| 文件路径 | string | 文件的完整路径,包括文件名。 |
| FileSize | int | 通过网络连接为协议传输的文件的文件大小,以字节为单位。 |
| HttpContentType | string | HTTP/HTTPS 网络会话的 HTTP 响应内容类型头。 |
| HttpReferrerOriginal | string | HTTP/HTTPS 网络会话的 HTTP referrer 头。 |
| HttpRequestMethod | string | HTTP/HTTPS 网络会话的 HTTP 方法。 |
| HttpRequestTime | int | 将请求发送到服务器所花费的时间(如果适用)。 |
| HttpRequestXff | string | HTTP/HTTPS 网络会话的 HTTP X-Forwarded-For 头。 |
| HttpResponseTime | int | 在服务器中接收响应所花费的时间(如果适用)。 |
| HttpStatusCode | string | HTTP/HTTPS 网络会话的 HTTP 状态代码。 |
| HttpUserAgentOriginal | string | Http/HTTPS 网络会话的 HTTP 用户代理头。 |
| HttpVersion | string | HTTP/HTTPS 网络连接的 HTTP 请求版本。 |
| _IsBillable | string | 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| NetworkApplicationProtocol | string | 连接或会话使用的应用程序层协议。 |
| NetworkBytes | long | 双向发送的字节数。 如果 BytesReceived 和 BytesSent 都存在,则 BytesTotal 应等于它们的总和。 |
| NetworkDirection | string | 连接或会话的方向:入站到组织或者从组织出站。 |
| NetworkDuration | int | 完成网络会话或连接所花费的时间,以毫秒为单位。 |
| NetworkIcmpCode | int | 对于 ICMP 消息,该值是 ICMP 消息类型的数字值(RFC 2780 或 RFC 4443)。 |
| NetworkIcmpType | string | 对于 ICMP 消息,该值是 ICMP 消息类型的文本表示形式(RFC 2780 或 RFC 4443)。 |
| NetworkPackets | long | 双向发送的数据包数。 如果 PacketsReceived 和 PacketsSent 都存在,则 BytesTotal 应等于它们的总和。 |
| NetworkProtocol | string | 连接或会话使用的 IP 协议。 通常为 TCP、UDP 或 ICMP。 |
| NetworkRuleName | string | 确定 DeviceAction 时所依据的规则的名称或 ID。 |
| NetworkRuleNumber | int | 匹配的规则编号。 |
| NetworkSessionId | string | 报告设备报告的会话标识符。 |
| SourceSystem | string | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| SrcBytes | long | 从连接或会话的源发送到目标的字节数。 |
| SrcDvcDomain | string | 从中启动了会话的设备的域。 |
| SrcDvcFqdn | string | 在其中创建了日志的主机的完全限定域名。 |
| SrcDvcHostname | string | 源设备的设备名称。 |
| SrcDvcIpAddr | string | 不直接与网络数据包关联的设备的源 IP 地址(由提供程序收集,或显式计算)。 |
| SrcDvcMacAddr | string | 不直接与网络数据包关联的设备的源 MAC 地址。 |
| SrcDvcModelName | string | 源设备的型号。 |
| SrcDvcModelNumber | string | 源设备的型号。 |
| SrcDvcOs | string | 源设备的 OS。 |
| SrcDvcType | string | 源设备的类型。 |
| SrcGeoCity | string | 与源 IP 地址关联的城市。 |
| SrcGeoCountry | string | 与源 IP 地址关联的国家/地区。 |
| SrcGeoLatitude | real | 与源 IP 地址关联的地理坐标的纬度。 |
| SrcGeoLongitude | real | 与源 IP 地址关联的地理坐标的经度。 |
| SrcGeoRegion | string | 与源 IP 地址关联的国家/地区中的区域。 |
| SrcInterfaceGuid | string | 所用网络接口的 GUID。 |
| SrcInterfaceName | string | 由源设备用来建立连接或会话的网络接口。 |
| SrcIpAddr | string | 从中发起了连接或会话的 IP 地址。 |
| SrcMacAddr | string | 从中发起了连接或会话的网络接口的 MAC 地址。 |
| SrcNatIpAddr | string | 如果中介 NAT 设备(例如防火墙)报告了该值,则该值是由 NAT 设备用来与目标通信的 IP 地址。 |
| SrcNatPortNumber | int | 如果中介 NAT 设备(例如防火墙)报告了该值,则该值是由 NAT 设备用来与目标通信的端口。 |
| SrcPackets | long | 从连接或会话的源发送到目标的数据包数。 数据包的含义由报告设备定义。 |
| SrcPortNumber | int | 从中发起了连接的 IP 端口。 可能与包含多个连接的会话无关。 |
| SrcResourceId | string | 生成消息的设备的资源 ID。 |
| SrcUserAadId | string | 位于会话源端的用户的 Azure AD 帐户对象 ID。 |
| SrcUserDomain | string | 启动会话的帐户的域。 |
| SrcUserName | string | 与会话源关联的标识的用户名。 通常,这是在客户端上执行操作的用户。 |
| SrcUserSid | string | 与会话源关联的标识的用户 ID。 通常,这是在客户端上执行操作的用户。 |
| SrcUserUpn | string | 启动会话的帐户的 UPN。 |
| SrcZone | string | 源的网络区域,由报告设备定义。 |
| TenantId | string | Log Analytics 工作区 ID |
| ThreatCategory | string | 安全系统(例如 IPS 的 Web 安全网关)识别到的威胁的类别,与此网络会话相关联。 |
| ThreatId | string | 安全系统(例如 IPS 的 Web 安全网关)识别到的威胁的 ID,与此网络会话相关联。 |
| ThreatName | string | 识别到的威胁或恶意软件的名称。 |
| TimeGenerated | datetime | 事件的发生时间,由报告源报告。 |
| 类型 | 字符串 | 表的名称 |
| UrlCategory | string | 与内容(即:成人、新闻、广告、托管域等)相关的 URL 的已定义分组(或者可能仅基于 URL 中的域)。 |
| UrlHostname | string | HTTP/HTTPS 网络会话的 HTTP 请求 URL 的域部分。 |
| UrlOriginal | string | HTTP/HTTPS 网络会话的 HTTP 请求 URL。 |