MDCFileIntegrityMonitoringEvents

檢視 Windows 和 Linux 檔案的變更，以及軟體登錄機碼的變更。 此資料表的事件會由 適用於端點的 Microsoft Defender （MDE） 收集。

數據表屬性

屬性	值
資源類型	-
類別	安全性
方案	LogManagement
基本記錄	Yes
擷取時間轉換	No
範例查詢	-

資料行

資料行	類型​	描述
AADTenantID	字串	建立、重新命名、修改或刪除受監視實體之訂用帳戶的 AAD 租使用者標識碼。
AzureResourceId	字串	所監視實體已建立、重新命名、修改或刪除之資源的 Azure 資源識別符。
_BilledSize	real	以位元組為單位的記錄大小
ChangeType	字串	實體上發生的變更類型。 對於 'File' 實體，必須是 'Created'、'Modified'、'Renamed' 或 'Deleted'。 對於 'Registry' 實體，必須是 'RegistryKeyCreated'、'RegistryKeyDeleted'、'RegistryValueSet'、'RegistryValueDeleted'、'RegistryKeyRenamed'。
CloudIdentifier	字串	資源的雲端標識碼。
CloudProvider	字串	資源的雲端提供者。
CloudResourceType	字串	雲端資源的類型。
電腦	字串	建立、重新命名、修改或刪除受監視實體的計算機名稱。
FileMd5	字串	與「檔案」受監視的實體類型相關。 保留已修改、建立或刪除之檔案的 MD5。
FileName	字串	與「檔案」受監視的實體類型相關。 保存已建立、重新命名、修改或刪除的檔名。
FilePath	字串	與「檔案」受監視的實體類型相關。 保存已建立、重新命名、修改或刪除的檔案路徑。
FileSha1	字串	與「檔案」受監視的實體類型相關。 保留修改、建立或刪除之檔案的SHA1。
FileSha256	字串	與「檔案」受監視的實體類型相關。 保存修改、建立或刪除之檔案的SHA256。
FileSize	long	與「檔案」受監視的實體類型相關。 保留已建立、重新命名、修改或刪除的檔案目前大小（以位元組為單位）。
FileType	字串	與「檔案」受監視的實體類型相關。 保存已建立、重新命名、修改或刪除的文件類型。 可能值的範例：Zip、PDF、Xar 等。
InitiatingProcessAccountDomainName	字串	保留導致受監視實體事件之起始程式的帳戶功能變數名稱。
InitiatingProcessAccountName	字串	保留造成受監視實體事件之起始程式的帳戶名稱。
InitiatingProcessAccountSid	字串	保留導致受監視實體事件之起始程式的帳戶 SID。
InitiatingProcessCreationTime	Datetime	保留起始程式造成受監視實體事件的建立時間。
InitiatingProcessFirstSeen	Datetime	保留導致受監視實體事件之起始程式的第一次看到時間。
InitiatingProcessId	long	保留導致受監視實體事件之起始進程的進程標識碼。
InitiatingProcessImageFileName	字串	保留導致受監視實體事件之起始進程的映像檔名稱。
InitiatingProcessImageFilePath	字串	保留導致受監視實體事件之起始進程的映像檔路徑。
InitiatingProcessImageFileType	字串	保留導致受監視實體事件之起始進程的映像檔類型。
InitiatingProcessName	字串	保留導致受監視實體事件之起始進程的名稱。
InitiatingProcessSessionId	long	保留導致受監視實體事件之起始程式的會話標識碼。
InitiatingProcessSource	字串	保留導致受監視實體事件之起始程式的來源。
InitProcImageCreationTimeUtc	Datetime	保留導致受監視實體事件之起始程式映像的映像建立時間。
InitProcImageFileSizeInBytes	long	保留導致受監視實體事件之起始進程的圖像檔案大小（以位元組為單位）。
InitProcImageLastAccessTimeUtc	Datetime	保留導致受監視實體事件之起始進程的映像上次存取時間。
InitProcImageLastWriteTimeUtc	Datetime	保留導致受監視實體事件之起始進程的映像上次寫入時間。
InitProcImageLsHash	字串	保留導致受監視實體事件之起始進程的映像 LS 哈希。
InitProcImageMd5	字串	保留導致受監視實體事件之起始進程的映像 MD5。
InitProcImagePeTimestampUtc	Datetime	保留導致受監視實體事件之起始進程的映像PE時間。
InitProcImageSha1	字串	保留導致受監視實體事件之起始進程的映像SHA 1。
InitProcImageSha256	字串	保留導致受監視實體事件之起始進程的映像SHA 256。
InitProcVersionInfoCompanyName	字串	保存造成受監視實體事件之起始程式的版本資訊公司名稱。
InitProcVersionInfoFileDescription	字串	保存造成受監視實體事件之起始進程的版本資訊檔案描述。
InitProcVersionInfoInternalFileName	字串	保存造成受監視實體事件之起始程式的版本信息內部檔名。
InitProcVersionInfoOriginalFileName	字串	保留造成受監視實體事件之起始進程的版本資訊源檔名稱。
InitProcVersionInfoProductName	字串	保留造成受監視實體事件之起始進程的版本資訊產品名稱。
InitProcVersionInfoProductVersion	字串	保留造成受監視實體事件之起始程式的版本資訊產品版本。
_IsBillable	字串	指定內嵌資料是否可計費。 當 _IsBillable 為 false 時，擷取不會向您的 Azure 帳戶收費
MonitoredEntityType	字串	已建立、重新命名、修改或刪除之受監視實體的類型。 可以是 'File' 或 'Registry'。
NewValueData	字串	與「登錄」受監視的實體類型相關。 保留新的登錄值數據。
NewValueName	字串	與「登錄」受監視的實體類型相關。 保留新的登錄值名稱。
NewValueType	字串	與「登錄」受監視的實體類型相關。 保留新的登錄值類型。
OldValueData	字串	與「登錄」受監視的實體類型相關。 保留先前的登錄值數據。
OldValueFullRegistryKey	字串	與「登錄」受監視的實體類型相關。 保留先前的完整登錄機碼。
OldValueName	字串	與「登錄」受監視的實體類型相關。 保留先前的登錄值名稱。
OldValueType	字串	與「登錄」受監視的實體類型相關。 保留先前的登錄值類型。
OriginalFileName	字串	與「檔案」受監視的實體類型和「重新命名」變更類型相關。 在重新命名發生之前，保留已重新命名的檔案的原始名稱。
OriginalFilePath	字串	與「檔案」受監視的實體類型和「重新命名」變更類型相關。 在重新命名發生之前，保留已重新命名之檔案的原始路徑。
RegistryHive	字串	與「登錄」受監視的實體類型相關。 保留作業系統和應用程式的群組組態設定。
RegistryKey	字串	與「登錄」受監視的實體類型相關。 保存已建立之登錄的完整登錄機碼，或重新命名之登錄的新登錄機碼。
RequestAccountDomain	字串	與「檔案」受監視的實體類型相關。 保留造成檔案事件之使用者的帳戶網域。
RequestAccountName	字串	與「檔案」受監視的實體類型相關。 保留造成檔案事件之使用者的帳戶名稱。
RequestAccountSid	字串	與「檔案」受監視的實體類型相關。 保留造成檔案事件之使用者的帳戶 SID。
RequestSource	字串	與「檔案」受監視的實體類型相關。 保留造成檔案事件之使用者的帳戶來源。 例如 Local/SMB/NFS。
RequestSourceIP	字串	與「檔案」受監視的實體類型相關。 保留造成檔案事件之用戶帳戶的來源IP。 針對遠端檔案，要求的來源IP。
RequestSourcePort	字串	與「檔案」受監視的實體類型相關。 保留造成檔案事件之用戶帳戶的來源埠。 針對遠端檔案，要求的來源埠。
SourceSystem	字串	收集事件的代理程式類型。 例如，適用於 Windows 代理程式的 OpsManager、直接連線或 Operations Manager、適用於 Linux 的所有 Linux 代理程式，或適用於 Azure 的 Azure 診斷
TenantId	字串	Log Analytics 工作區識別碼
TimeGenerated	Datetime	建立、重新命名、修改或刪除受監視實體的時間 （UTC）。
型別	string	資料表的名稱