ActingAppId |
字串 |
代表動作專案授權的應用程式識別碼,包括進程、瀏覽器或服務。 |
ActingAppName |
字串 |
代表動作專案授權的應用程式名稱,包括進程、瀏覽器或服務。 |
ActingAppType |
字串 |
代理應用程式的類型。 |
ActingOriginalAppType |
字串 |
報告裝置所回報的代理應用程式類型。 |
ActorOriginalUserType |
字串 |
報告裝置所報告的用戶類型。 |
ActorScope |
字串 |
定義 ActorUserId 和 ActorUsername 的 Azure AD 租使用者等範圍。 |
ActorScopeId |
字串 |
定義 ActorUserId 和 ActorUsername 的範圍識別碼,例如 Azure AD 租使用者識別碼。 |
ActorSessionId |
字串 |
動作專案之登入會話的唯一標識符。 |
ActorUserId |
字串 |
機器可讀取、英數位元、動作專案的唯一表示法。 |
ActorUserIdType |
字串 |
儲存在 ActorUserId 字段中的識別碼類型。 |
ActorUsername |
字串 |
動作項目的用戶名稱,包括可用時的網域資訊。 |
ActorUsernameType |
字串 |
指定儲存在 ActorUsername 欄位中的使用者名稱類型。 |
ActorUserType |
字串 |
動作項目的類型。 |
AdditionalFields |
dynamic |
其他資訊,使用來源所提供的索引鍵/值組來表示,該組不會對應至 ASim。 |
_BilledSize |
real |
以位元組為單位的記錄大小 |
DvcAction |
字串 |
針對報告安全性系統,系統所採取的動作。 |
DvcDescription |
字串 |
與裝置相關聯的描述性文字。 |
DvcDomain |
字串 |
報告事件的裝置網域。 |
DvcDomainType |
字串 |
DvcDomain 的類型。 |
DvcFQDN |
字串 |
發生事件或報告事件的裝置主機名。 |
DvcHostname |
字串 |
報告事件的裝置主機名。 |
DvcId |
字串 |
發生事件或報告事件之裝置的唯一標識符。 |
DvcIdType |
字串 |
DvcId 的類型。 |
DvcInterface |
字串 |
擷取資料的網路介面。 |
DvcIpAddr |
字串 |
報告事件的裝置IP位址。 |
DvcMacAddr |
字串 |
發生事件或報告事件裝置的 MAC 位址,視結構描述而定。 |
DvcOriginalAction |
字串 |
報告裝置所提供原始的 DvcAction。 |
DvcOs |
字串 |
在發生事件或報告事件裝置的作業系統執行。 |
DvcOsVersion |
字串 |
在發生事件或報告事件裝置的作業系統版本。 |
DvcScope |
字串 |
裝置所屬的雲端平台範圍。 DvcScope 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
DvcScopeId |
字串 |
裝置所屬的雲端平台範圍識別碼。 DvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。 |
DvcZone |
字串 |
發生事件或報告事件的網路。 |
EventCount |
int |
記錄所描述的事件數目。 |
EventEndTime |
Datetime |
事件結束的時間。 如果來源支持匯總,且記錄代表多個事件,則會產生最後一個事件的時間。 如果源記錄未提供,此字段會別名 TimeGenerated 字段。 |
EventMessage |
字串 |
一般訊息或描述。 |
EventOriginalResultDetails |
字串 |
來源所提供的原始結果詳細數據。 |
EventOriginalSeverity |
字串 |
報告裝置所提供的原始嚴重性。 |
EventOriginalSubType |
字串 |
如果來源提供,則為原始事件子類型或標識符。 |
EventOriginalType |
字串 |
來源所提供的原始事件類型或標識碼。 |
EventOriginalUid |
字串 |
如果來源提供,則為原始記錄的唯一標識符。 |
EventOwner |
字串 |
事件的擁有者,通常是產生事件的部門或子公司。 |
EventProduct |
字串 |
產生事件的產品。 |
EventProductVersion |
字串 |
產生事件的產品版本。 |
EventReportUrl |
字串 |
事件中提供的 URL,此資源會提供事件的詳細資訊。 |
EventResult |
字串 |
事件的結果,以下列其中一個值表示:Success、Partial、Failure、NA (不適用)。 來源可能不會直接提供此值,在此情況下,它衍生自其他事件欄位,例如 EventResultDetails 字段。 |
EventResultDetails |
字串 |
與事件結果相關聯的詳細數據。 當結果失敗時,通常會填入此欄位。 |
EventSchemaVersion |
字串 |
結構描述的版本。 |
EventSeverity |
字串 |
事件的嚴重性。 有效值為:資訊、低、中或高。 |
EventStartTime |
Datetime |
事件開始的時間。 如果來源支持匯總,且記錄代表多個事件,則會產生第一個事件的時間。 如果源記錄未提供,此字段會別名 TimeGenerated 字段。 |
EventSubType |
字串 |
登入類型,例如 System、Interactive、RemoteInteractive、Service、RemoteService、Remote 或 AssumeRole。 |
EventType |
字串 |
描述記錄所報告的作業 |
EventVendor |
字串 |
產生事件的產品的廠商。 |
HttpUserAgent |
字串 |
透過 HTTP 或 HTTPS 執行驗證時,此欄位的值是執行驗證時,由代理應用程式所提供的user_agent HTTP 標頭。 |
_IsBillable |
字串 |
指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
LogonMethod |
字串 |
用來執行驗證的方法。 |
LogonProtocol |
字串 |
用來執行驗證的通訊協定。 |
_ResourceId |
string |
記錄相關資源的唯一識別碼 |
RuleName |
字串 |
與檢查結果相關聯的規則名稱或標識碼。 |
RuleNumber |
int |
與檢查結果相關聯的規則數目。 |
SourceSystem |
字串 |
收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager 、直接連線或 Operations Manager、適用於 Linux 的所有 Linux 代理程式,或適用於 Azure 的 Azure 診斷 |
SrcDescription |
字串 |
與來源裝置相關聯的描述性文字。 |
SrcDeviceType |
字串 |
來源裝置的類型。 |
SrcDomain |
字串 |
來源裝置的網域。 |
SrcDomainType |
字串 |
SrcDomain 的類型。 |
SrcDvcId |
字串 |
來源裝置的標識碼。 |
SrcDvcIdType |
字串 |
SrcDvcId 的類型。 |
SrcDvcOs |
字串 |
來源裝置的OS。 |
SrcDvcScope |
字串 |
來源裝置所屬的雲端平台範圍。 SrcDvcScope 對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
SrcDvcScopeId |
字串 |
來源裝置所屬的雲端平臺範圍標識碼。 SrcDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。 |
SrcFQDN |
字串 |
來源裝置主機名,包括可用時的網域資訊。 |
SrcGeoCity |
字串 |
與來源IP位址相關聯的城市。 |
SrcGeoCountry |
字串 |
與來源IP位址相關聯的國家/地區。 |
SrcGeoLatitude |
real |
與來源IP位址相關聯的地理座標緯度。 |
SrcGeoLongitude |
real |
與來源IP位址相關聯的地理座標經度。 |
SrcGeoRegion |
字串 |
與來源IP位址相關聯的國家/地區內區域。 |
SrcHostname |
字串 |
來源裝置主機名,不包括網域資訊。 |
SrcIpAddr |
字串 |
來源裝置的 IP 位址。 |
SrcIsp |
字串 |
來源裝置用來連線到因特網的因特網服務提供者 (ISP)。 |
SrcOriginalRiskLevel |
字串 |
報告裝置所報告之已識別來源的風險層級。 |
SrcPortNumber |
int |
線上來源 IP 連接埠。 |
SrcRiskLevel |
int |
與識別的來源相關聯的風險層級。 |
_SubscriptionId |
string |
與記錄相關的訂用帳戶唯一識別碼 |
TargetAppId |
字串 |
需要授權的應用程式識別碼,通常是由報告裝置指派。 |
TargetAppName |
字串 |
需要授權的應用程式名稱,包括服務、URL 或 SaaS 應用程式。 |
TargetAppType |
字串 |
代表動作專案授權的應用程式類型。 |
TargetDescription |
字串 |
與目標裝置相關聯的描述性文字。 |
TargetDeviceType |
字串 |
目標裝置的類型。 |
TargetDomain |
字串 |
目標裝置的網域。 |
TargetDomainType |
字串 |
TargetDomain 的類型。 |
TargetDvcId |
字串 |
目標裝置的標識碼。 |
TargetDvcIdType |
字串 |
TargetDvcId 的類型。 |
TargetDvcOs |
字串 |
目標裝置的OS。 |
TargetDvcScope |
字串 |
目標裝置所屬的雲端平台範圍。 TargetDvcScope 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
TargetDvcScopeId |
字串 |
目標裝置所屬的雲端平臺範圍標識碼。 TargetDvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
TargetFQDN |
字串 |
目標裝置主機名,包括可用時的網域資訊。 |
TargetGeoCity |
字串 |
與目標IP位址相關聯的城市。 |
TargetGeoCountry |
字串 |
與目標IP位址相關聯的國家/地區。 |
TargetGeoLatitude |
real |
與目標IP位址相關聯的地理座標緯度。 |
TargetGeoLongitude |
real |
與目標IP位址相關聯的地理座標經度。 |
TargetGeoRegion |
字串 |
與目標IP位址相關聯的國家/地區內區域。 |
TargetHostname |
字串 |
目標裝置主機名,不包括網域資訊。 |
TargetIpAddr |
字串 |
目標裝置的IP位址。 |
TargetOriginalAppType |
字串 |
報告裝置所報告的目標應用程式類型。 |
TargetOriginalRiskLevel |
字串 |
與目標相關聯的風險層級,如報告裝置所報告。 |
TargetOriginalUserType |
字串 |
報告裝置所報告的用戶類型。 |
TargetPortNumber |
int |
目標裝置的埠。 |
TargetRiskLevel |
int |
與目標相關聯的風險層級。 |
TargetSessionId |
字串 |
目標動作專案之登入會話的唯一標識碼。 |
TargetUrl |
字串 |
與目標應用程式相關聯的URL。 |
TargetUserId |
字串 |
機器可讀取、英數位元、動作專案的唯一表示法。 |
TargetUserIdType |
字串 |
儲存在 TargetUserId 字段中的標識碼類型。 |
TargetUsername |
字串 |
目標動作專案的用戶名稱,包括可用時的網域資訊。 |
TargetUsernameType |
字串 |
TargetUsername 欄位中指定之目標動作專案使用者名稱的類型 |
TargetUserScope |
字串 |
定義 TargetUserId 和 TargetUsername 的 Azure AD 租使用者等範圍。 |
TargetUserScopeId |
字串 |
定義 TargetUserId 和 TargetUsername 的範圍標識碼,例如 Azure AD 租使用者標識碼。 |
TargetUserType |
字串 |
目標動作專案的型別。 |
TenantId |
字串 |
Log Analytics 工作區識別碼 |
ThreatCategory |
字串 |
稽核活動中識別的威脅或惡意代碼類別。 |
ThreatConfidence |
int |
識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。 |
ThreatField |
字串 |
識別威脅的欄位。 |
ThreatFirstReportedTime |
Datetime |
第一次將IP位址或網域識別為威脅。 |
ThreatId |
字串 |
稽核活動中識別的威脅或惡意代碼標識碼。 |
ThreatIpAddr |
字串 |
識別威脅的IP位址。 |
ThreatIsActive |
bool |
如果識別的威脅被視為作用中威脅,則為 True。 |
ThreatLastReportedTime |
Datetime |
上次將IP位址或網域識別為威脅的時間。 |
ThreatName |
字串 |
稽核活動中識別的威脅或惡意代碼名稱。 |
ThreatOriginalConfidence |
字串 |
所識別威脅的原始信賴等級,如報告裝置所報告。 |
ThreatOriginalRiskLevel |
字串 |
報告裝置所報告的風險層級。 |
ThreatRiskLevel |
int |
與所識別威脅相關聯的風險層級。 層級應該是介於 0 到 100 之間的數位。 |
TimeGenerated |
Datetime |
時間戳 (UTC)會反映產生事件的時間。 |
型別 |
string |
資料表的名稱 |