| AdditionalFields |
dynamic |
其他資訊,使用來源所提供的索引鍵/值組來表示,該組不會對應至 ASim。 |
| _BilledSize |
real |
以位元組為單位的記錄大小 |
| DhcpCircuitId |
字串 |
DHCP 線路標識碼,如RFC3046所定義。 |
| DhcpLeaseDuration |
int |
授與給用戶端的租用長度,以秒為單位。 |
| DhcpSessionDuration |
int |
DHCP 工作階段完成的時間量,以毫秒為單位。 |
| DhcpSessionId |
字串 |
報告裝置所報告的會話標識碼。 針對 Windows DHCP 伺服器,請將此設定為 [TransactionID] 字段。 |
| DhcpSrcDHCId |
字串 |
DHCP 用戶端識別碼,如RFC4701所定義。 |
| DhcpSubscriberId |
字串 |
DHCP 訂閱者標識碼,如RFC3993所定義。 |
| DhcpUserClass |
字串 |
DHCP 用戶類別,如RFC3004所定義。 |
| DhcpUserClassId |
字串 |
DHCP 使用者類別識別碼,如RFC3004所定義。 |
| DhcpVendorClass |
字串 |
DHCP 廠商類別,如RFC3925所定義。 |
| DhcpVendorClassId |
字串 |
DHCP 廠商類別標識碼,如RFC3925所定義。 |
| DvcAction |
字串 |
針對報告安全性系統,如果適用,則為系統所採取的動作。 |
| DvcDescription |
字串 |
與裝置相關聯的描述性文字。 |
| DvcDomain |
字串 |
發生事件或報告事件之裝置的網域,視架構而定 |
| DvcDomainType |
字串 |
DvcDomain 的類型。 |
| DvcFQDN |
字串 |
發生事件或報告事件的裝置主機名,視架構而定。 |
| DvcHostname |
字串 |
發生事件或報告事件的裝置主機名,視架構而定。 |
| DvcId |
字串 |
發生事件或報告事件之裝置的唯一標識符,視架構而定。 |
| DvcIdType |
字串 |
DvcId 的類型。 |
| DvcInterface |
字串 |
擷取資料的網路介面。 此欄位通常與中繼或點選裝置所擷取的網路相關活動相關聯。 |
| DvcIpAddr |
字串 |
發生事件或報告事件之裝置的IP位址,視架構而定。 |
| DvcMacAddr |
字串 |
發生事件或報告事件裝置的 MAC 位址,視結構描述而定。 |
| DvcOriginalAction |
字串 |
報告裝置所提供原始的 DvcAction。 |
| DvcOs |
字串 |
在發生事件或報告事件裝置的作業系統執行。 |
| DvcOsVersion |
字串 |
在發生事件或報告事件裝置的作業系統版本。 |
| DvcScope |
字串 |
裝置所屬的雲端平台範圍。 DvcScope 會對應至 Azure 上的訂用帳戶名稱,以及 AWS 上的帳戶標識碼。 |
| DvcScopeId |
字串 |
裝置所屬的雲端平台範圍識別碼。 DvcScopeId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。 |
| DvcZone |
字串 |
發生事件或報告事件裝置的網路,視結構描述而定。 區域由報告裝置定義。 |
| EventCount |
int |
記錄所描述的事件數目。 當來源支持匯總,而單一記錄可能會代表多個事件時,就會使用此值。 |
| EventEndTime |
Datetime |
事件結束的時間。 如果來源支持匯總,且記錄代表多個事件,則會產生最後一個事件的時間。 如果源記錄未提供,此字段會別名 TimeGenerated 字段。 |
| EventMessage |
字串 |
包含在記錄中或從記錄產生的一般訊息或描述。 |
| EventOriginalResultDetails |
字串 |
來源所提供的原始結果詳細數據。 這個值是用來衍生 EventResultDetails,每個架構應該只記錄其中一個值。 |
| EventOriginalSeverity |
字串 |
報告裝置所提供的原始嚴重性。 這個值是用來衍生 EventSeverity。 |
| EventOriginalSubType |
字串 |
如果來源提供,則為原始事件子類型或標識符。 |
| EventOriginalType |
字串 |
來源所提供的原始事件類型或標識碼。 |
| EventOriginalUid |
字串 |
如果來源提供,則為原始記錄的唯一標識符。 |
| EventOwner |
字串 |
事件的擁有者,通常是產生事件的部門或子公司。 |
| EventProduct |
字串 |
產生事件的產品。 此值應該是廠商和產品中列出的其中一個值。 |
| EventProductVersion |
字串 |
產生事件的產品版本。 |
| EventReportUrl |
字串 |
事件中提供的 URL,此資源會提供事件的詳細資訊。 |
| EventResult |
字串 |
事件的結果,以下列其中一個值表示:Success、Partial、Failure、NA (不適用)。 |
| EventResultDetails |
字串 |
EventResult 字段中所報告結果的原因或詳細數據。 |
| EventSchema |
字串 |
事件正規化的架構。 每個架構都會記錄其架構名稱。 |
| EventSchemaVersion |
字串 |
結構描述的版本。 每個架構都會記錄其目前版本。 |
| EventSeverity |
字串 |
事件的嚴重性。 |
| EventStartTime |
Datetime |
事件開始的時間。 如果來源支持匯總,且記錄代表多個事件,則會產生第一個事件的時間。 如果源記錄未提供,此字段會別名 TimeGenerated 字段。 |
| EventSubType |
字串 |
描述 EventType 欄位中所報告的作業細分。 |
| EventType |
字串 |
描述記錄所報告的作業。 |
| EventVendor |
字串 |
產生事件的產品的廠商。 此值應該是廠商和產品中列出的其中一個值。 |
| _IsBillable |
字串 |
指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
| RequestedIpAddr |
字串 |
當可用時,DHCP 用戶端所要求的IP位址。 |
| _ResourceId |
string |
記錄相關資源的唯一識別碼 |
| RuleName |
字串 |
與檢查結果相關聯的規則名稱或標識碼。 |
| RuleNumber |
int |
與檢查結果相關聯的規則數目。 |
| SourceSystem |
字串 |
收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager、直接連線或 Operations Manager、適用於 Linux 的所有 Linux 代理程式,或適用於 Azure 的 Azure 診斷 |
| SrcDescription |
字串 |
與裝置相關聯的描述性文字。 |
| SrcDeviceType |
字串 |
裝置的類型。 |
| SrcDomain |
字串 |
裝置的網域。 |
| SrcDomainType |
字串 |
網域的類型。 |
| SrcDvcId |
字串 |
裝置的標識碼。 |
| SrcDvcIdType |
字串 |
DvcId 的類型。 |
| SrcDvcScope |
字串 |
裝置所屬的雲端平台範圍。 |
| SrcDvcScopeId |
字串 |
裝置所屬的雲端平台範圍識別碼。 |
| SrcFQDN |
字串 |
裝置主機名,包括可用時的網域資訊。 |
| SrcGeoCity |
字串 |
與來源IP位址相關聯的城市。 |
| SrcGeoCountry |
字串 |
與來源IP位址相關聯的國家/地區。 |
| SrcGeoLatitude |
real |
與來源IP位址相關聯的地理座標緯度。 |
| SrcGeoLongitude |
real |
與來源IP位址相關聯的地理座標經度。 |
| SrcGeoRegion |
字串 |
與來源IP位址相關聯的國家/地區。 |
| SrcHostname |
字串 |
裝置主機名,不包括網域資訊。 |
| SrcIpAddr |
字串 |
來源裝置的 IP 位址。 |
| SrcMacAddr |
字串 |
聯機或會話來源之網路介面的 MAC 位址。 |
| SrcOriginalRiskLevel |
字串 |
報告裝置所報告之已識別來源的風險層級。 |
| SrcOriginalUserType |
字串 |
來源所提供的原始來源用戶類型。 |
| SrcPortNumber |
int |
如果適用,裝置通訊所在的IP埠。 |
| SrcRiskLevel |
int |
與識別的來源相關聯的風險層級。 |
| SrcUserId |
字串 |
機器可讀取、英數字元且唯一的使用者表示法。 |
| SrcUserIdType |
字串 |
SrcUserId 的類型。 |
| SrcUsername |
字串 |
使用者的用戶名稱,包括可用時的網域資訊。 |
| SrcUsernameType |
字串 |
用戶名稱的類型。 |
| SrcUserScope |
字串 |
用戶名稱的類型。 |
| SrcUserScopeId |
字串 |
定義UserId和Username的範圍標識碼,例如 Azure AD 租使用者識別碼。 |
| SrcUserSessionId |
字串 |
使用者登入會話的唯一標識符。 |
| SrcUserType |
字串 |
用戶類型 |
| SrcUserUid |
字串 |
使用者的 Unix 或 Linux 用戶識別碼。 |
| _SubscriptionId |
string |
與記錄相關的訂用帳戶唯一識別碼 |
| TenantId |
字串 |
Log Analytics 工作區識別碼 |
| ThreatCategory |
字串 |
活動中所識別的威脅或惡意代碼類別。 |
| ThreatConfidence |
int |
識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。 |
| ThreatField |
字串 |
識別威脅的欄位。 |
| ThreatFirstReportedTime |
Datetime |
第一次將IP位址或網域識別為威脅。 |
| ThreatId |
字串 |
活動中所識別的威脅或惡意代碼標識碼。 |
| ThreatIsActive |
bool |
識別的威脅被視為作用中威脅的 True 識別碼。 |
| ThreatLastReportedTime |
Datetime |
上次將IP位址或網域識別為威脅的時間。 |
| ThreatName |
字串 |
活動中所識別的威脅或惡意代碼名稱。 |
| ThreatOriginalConfidence |
字串 |
所識別威脅的原始信賴等級,如報告裝置所報告。 |
| ThreatOriginalRiskLevel |
字串 |
報告裝置所報告的風險層級。 |
| ThreatRiskLevel |
int |
與所識別威脅相關聯的風險層級。 層級應該是介於 0 到 100 之間的數位。 |
| TimeGenerated |
Datetime |
時間戳 (UTC)會反映產生事件的時間。 |
| 型別 |
string |
資料表的名稱 |