| AdditionalFields |
dynamic |
其他資訊,使用來源所提供的索引鍵/值組來表示,該組不會對應至 ASim。 |
| _BilledSize |
real |
以位元組為單位的記錄大小 |
| DstAppId |
字串 |
目的地應用程式的標識碼,如報告裝置所報告。 |
| DstAppName |
字串 |
目的地應用程式的名稱。 |
| DstAppType |
字串 |
目的地應用程式的型別。 |
| DstBytes |
long |
從目的地傳送到連線或會話來源的位元元組數目。 如果匯總事件,則 DstBytes 是所有匯總會話的總和。 |
| DstDescription |
字串 |
與目的地相關聯的描述性文字。 |
| DstDeviceType |
字串 |
目的地裝置的類型。 |
| DstDomain |
字串 |
目的地裝置的網域。 |
| DstDomainType |
字串 |
DstDomain 的類型。 |
| DstDvcId |
字串 |
目的地裝置的標識碼。 |
| DstDvcIdType |
字串 |
DstDvcId 的類型。 |
| DstFQDN |
字串 |
目的地裝置主機名,包括可用時的網域資訊。 |
| DstGeoCity |
字串 |
與目的地IP位址相關聯的城市。 |
| DstGeoCountry |
字串 |
與目的地IP位址相關聯的國家/地區。 |
| DstGeoLatitude |
real |
與目的地IP位址相關聯的地理座標緯度。 |
| DstGeoLongitude |
real |
與目的地IP位址相關聯的地理座標經度。 |
| DstGeoRegion |
字串 |
與目的地 IP 位址相關聯的國家/地區或州/地區。 |
| DstHostname |
字串 |
目的地裝置主機名,不包括網域資訊。 |
| DstInterfaceGuid |
字串 |
目的地裝置上使用之網路介面的 GUID。 |
| DstInterfaceName |
字串 |
目的地裝置用於連線或會話的網路介面。 |
| DstIpAddr |
字串 |
線上或會話目的地的IP位址。 |
| DstMacAddr |
字串 |
目的地裝置用於連線或會話之網路介面的 MAC 位址。 |
| DstNatIpAddr |
字串 |
DstNatIpAddr 代表:如果使用網路位址轉換,則為目的地裝置的原始位址,或是中繼裝置用來與來源通訊的IP位址。 |
| DstNatPortNumber |
int |
如果由中繼 NAT 裝置回報,則 NAT 裝置用來與來源通訊的埠。 |
| DstOriginalUserType |
字串 |
來源所提供的原始目的地用戶類型。 |
| DstPackets |
long |
從目的地傳送至連線或會話來源的封包數目。 封包的意義是由報告裝置所定義。 如果匯總事件,則 DstPackets 是所有匯總會話的總和。 |
| DstPortNumber |
int |
目的地 IP 連接埠。 |
| DstSubscriptionId |
字串 |
目的地裝置所屬的雲端平臺訂用帳戶標識碼。 DstSubscriptionId 會對應至 Azure 上的訂用帳戶標識碼,以及 AWS 上的帳戶標識碼。 |
| DstUserId |
字串 |
計算機可讀取、英數位元、目的地使用者的唯一表示法。 |
| DstUserIdType |
字串 |
儲存在 DstUserId 欄位中的標識碼類型。 |
| DstUsername |
字串 |
目的地用戶名稱,包括可用時的網域資訊。 只有在網域資訊無法使用時,才會使用簡單形式。 |
| DstUsernameType |
字串 |
指定儲存在 DstUsername 欄位中的使用者名稱類型。 |
| DstUserType |
字串 |
目的地用戶的類型。 |
| DstVlanId |
字串 |
與目的地裝置相關的 VLAN 識別碼。 |
| DstZone |
字串 |
目的地的網路區域,如報告裝置所定義。 |
| Dvc |
字串 |
發生事件或報告事件之裝置的唯一標識符。 |
| DvcAction |
字串 |
在網路會話上採取的動作。 |
| DvcDescription |
字串 |
與裝置相關聯的描述性文字。 例如:主要域控制器。 |
| DvcDomain |
字串 |
報告事件的裝置網域。 |
| DvcDomainType |
字串 |
DvcDomain 的類型。 可能的值包括 『Windows』 和 『FQDN』。 |
| DvcFQDN |
字串 |
發生事件或報告事件的裝置主機名。 |
| DvcHostname |
字串 |
報告事件的裝置主機名。 |
| DvcId |
字串 |
發生事件或報告事件之裝置的唯一標識符。 |
| DvcIdType |
字串 |
DvcId 的類型。 |
| DvcInboundInterface |
字串 |
如果由中繼裝置回報,NAT 裝置用於連線來源裝置的網路介面。 |
| DvcInterface |
字串 |
擷取資料的網路介面。 此欄位通常與中繼或點選裝置所擷取的網路相關活動相關聯。 |
| DvcIpAddr |
字串 |
報告事件的裝置IP位址。 |
| DvcMacAddr |
字串 |
發生事件或報告事件裝置的 MAC 位址,視結構描述而定。 範例:00:1B:44:11:3A:B7 |
| DvcOriginalAction |
字串 |
報告裝置所提供原始的 DvcAction。 |
| DvcOs |
字串 |
在裝置上執行的作業系統報告事件。 |
| DvcOsVersion |
字串 |
裝置上回報事件的作業系統版本。 |
| DvcOutboundInterface |
字串 |
如果由中繼裝置回報,NAT 裝置用於連線至目的地裝置的網路介面。 |
| DvcSubscriptionId |
字串 |
裝置所屬的雲端平臺訂用帳戶標識碼。 DvcSubscriptionId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。 |
| DvcZone |
字串 |
發生事件或報告事件的網路。 區域由報告裝置定義。 |
| EventCount |
int |
當來源支持匯總,而單一記錄可能代表多個事件時,就會使用此值。 |
| EventEndTime |
Datetime |
事件結束的時間。 如果來源支持匯總,且記錄代表多個事件,則會產生最後一個事件的時間。 如果源記錄未提供,此字段會別名 TimeGenerated 字段。 |
| EventMessage |
字串 |
一般訊息或描述。 |
| EventOriginalResultDetails |
字串 |
來源所提供的原始結果詳細數據。 這個值是用來衍生 EventResultDetails,每個架構應該只記錄其中一個值。 |
| EventOriginalSeverity |
字串 |
報告裝置所提供的原始嚴重性。 這個值是用來衍生 EventSeverity。 |
| EventOriginalSubType |
字串 |
如果來源提供,則為原始事件子類型或標識符。 例如,此欄位將用來儲存原始 Windows 登入類型。 這個值是用來衍生 EventSubType,每個架構應該只記錄其中一個值。 |
| EventOriginalType |
字串 |
來源所提供的原始事件類型或標識碼。 |
| EventOriginalUid |
字串 |
如果來源提供,則為原始記錄的唯一標識符。 |
| EventProduct |
字串 |
產生事件的產品。 |
| EventProductVersion |
字串 |
產生事件的產品版本。 |
| EventReportUrl |
字串 |
事件中提供的 URL,此資源會提供事件的詳細資訊。 |
| EventResult |
字串 |
事件的結果,以下列其中一個值表示:Success、Partial、Failure、NA (不適用)。 來源可能不會直接提供此值,在此情況下,它衍生自其他事件欄位,例如 EventResultDetails 字段。 |
| EventResultDetails |
字串 |
EventResult 字段中所報告結果的原因或詳細數據。 |
| EventSchemaVersion |
字串 |
結構描述的版本。 |
| EventSeverity |
字串 |
事件的嚴重性。 有效值為:資訊、低、中或高。 |
| EventStartTime |
Datetime |
事件開始的時間。 如果來源支持匯總,且記錄代表多個事件,則會產生第一個事件的時間。 如果源記錄未提供,此字段會別名 TimeGenerated 字段。 |
| EventSubType |
字串 |
如果適用的話,事件類型的其他描述。 |
| EventType |
字串 |
記錄所報告的作業。 |
| EventVendor |
字串 |
產生事件的產品的廠商。 |
| _IsBillable |
字串 |
指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
| NetworkApplicationProtocol |
字串 |
連接或會話所使用的應用層通訊協定。 |
| NetworkBytes |
long |
雙向傳送的位元組數目。 如果 BytesReceived 和 BytesSent 都存在,BytesTotal 應該等於其總和。 如果匯總事件,NetworkBytes 是所有匯總會話的總和。 |
| NetworkConnectionHistory |
字串 |
TCP 旗標和其他潛在的IP標頭資訊。 |
| NetworkDirection |
字串 |
連接或工作階段的方向。 |
| NetworkDuration |
int |
完成網路會話或連線的時間量,以毫秒為單位。 |
| NetworkIcmpCode |
int |
針對ICMP訊息,ICMP訊息類型數值,如IPv4網路連線的 RFC 2780 中所述,或 IPv6 網路連線的 RFC 4443。 |
| NetworkIcmpType |
字串 |
針對ICMP訊息,ICMP訊息類型文字表示法,如適用於IPv4網路連線的 RFC 2780 中所述,或在 RFC 4443 中表示 IPv6 網路連線。 |
| NetworkPackets |
long |
雙向傳送的封包數目。 如果 PacketsReceived 和 PacketsSent 都存在,BytesTotal 應該等於其總和。 封包的意義是由報告裝置所定義。 如果匯總事件,NetworkPackets 是所有匯總會話的總和。 |
| NetworkProtocol |
字串 |
連線或會話所使用的IP通訊協定,如IANA通訊協定指派中所列,通常是TCP、UDP或ICMP。 |
| NetworkProtocolVersion |
字串 |
NetworkProtocol 的版本。 |
| NetworkRuleName |
字串 |
決定 DvcAction 規則的名稱或標識碼。 |
| NetworkRuleNumber |
int |
DvcAction 決定的規則數目。 |
| NetworkSessionId |
字串 |
報告裝置所報告的會話標識碼。 |
| _ResourceId |
string |
記錄相關資源的唯一識別碼 |
| SourceSystem |
字串 |
收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager、直接連線或 Operations Manager、適用於 Linux 的所有 Linux 代理程式,或適用於 Azure 的 Azure 診斷 |
| SrcAppId |
字串 |
來源應用程式的標識碼,如報告裝置所報告。 |
| SrcAppName |
字串 |
來源應用程式的名稱。 |
| SrcAppType |
字串 |
來源應用程式的型別。 |
| SrcBytes |
long |
從來源傳送到連線或會話目的地的位元元組數目。 如果匯總事件,SrcBytes 是所有匯總會話的總和。 |
| SrcDescription |
字串 |
與來源相關聯的描述性文字。 |
| SrcDeviceType |
字串 |
來源裝置的類型。 |
| SrcDomain |
字串 |
來源裝置的網域。 |
| SrcDomainType |
字串 |
SrcDomain 的類型。 |
| SrcDvcId |
字串 |
來源裝置的標識碼。 |
| SrcDvcIdType |
字串 |
SrcDvcId 的類型。 |
| SrcFQDN |
字串 |
來源裝置主機名,包括可用時的網域資訊。 |
| SrcGeoCity |
字串 |
與來源IP位址相關聯的城市。 |
| SrcGeoCountry |
字串 |
與來源IP位址相關聯的國家/地區。 |
| SrcGeoLatitude |
real |
與來源IP位址相關聯的地理座標緯度。 |
| SrcGeoLongitude |
real |
與來源IP位址相關聯的地理座標經度。 |
| SrcGeoRegion |
字串 |
與來源IP位址相關聯的國家/地區內區域。 |
| SrcHostname |
字串 |
來源裝置主機名,不包括網域資訊。 如果沒有可用的裝置名稱,可能會儲存相關的IP位址。 |
| SrcInterfaceGuid |
字串 |
來源裝置上使用之網路介面的 GUID。 |
| SrcInterfaceName |
字串 |
來源裝置用於連線或會話的網路介面。 |
| SrcIpAddr |
字串 |
線上或會話的來源IP位址。 |
| SrcMacAddr |
字串 |
聯機或會話來源之網路介面的 MAC 位址。 |
| SrcNatIpAddr |
字串 |
SrcNatIpAddr 代表來源裝置的原始位址,如果使用網路位址轉換,或中繼裝置用來與目的地通訊的 IP 位址。 |
| SrcNatPortNumber |
int |
如果由中繼 NAT 裝置回報,NAT 裝置用來與目的地通訊的埠。 |
| SrcOriginalUserType |
字串 |
如果由報告裝置提供,則為原始目的地用戶類型。 |
| SrcPackets |
long |
從來源傳送至連線或會話目的地的封包數目。 封包的意義是由報告裝置所定義。 如果匯總事件,SrcPackets 是所有匯總會話的總和。 |
| SrcPortNumber |
int |
線上來源 IP 連接埠。 可能與組成多個連線的會話無關。 |
| SrcSubscriptionId |
字串 |
來源裝置所屬的雲端平臺訂用帳戶標識碼。 SrcSubscriptionId 會對應至 Azure 上的訂用帳戶標識碼,以及對應至 AWS 上的帳戶標識碼。 |
| SrcUserId |
字串 |
計算機可讀取、英數位元、來源使用者的唯一表示法。 |
| SrcUserIdType |
字串 |
儲存在 SrcUserId 欄位中的識別碼類型。 |
| SrcUsername |
字串 |
來源使用者名稱,包括網域資訊 (如果可用)。 |
| SrcUsernameType |
字串 |
指定儲存在 SrcUsername 欄位中的使用者名稱類型。 |
| SrcUserType |
字串 |
來源使用者的型別。 |
| SrcVlanId |
字串 |
與來源裝置相關的 VLAN 識別碼。 |
| SrcZone |
字串 |
來源的網路區域,如報告裝置所定義。 |
| _SubscriptionId |
string |
與記錄相關的訂用帳戶唯一識別碼 |
| TcpFlagsAck |
bool |
回報 TCP ACK 旗標。 通知旗標用來確認封包的成功接收。 如上圖所示,接收者會在三向交握程式的第二個步驟中傳送 ACK 和 SYN,告知傳送者收到其初始封包。 |
| TcpFlagsFin |
bool |
回報 TCP FIN 旗標。 完成的旗標表示發件者不再有數據。 因此,它會用於傳送者傳送的最後一個封包中。 |
| TcpFlagsPsh |
bool |
回報 TCP PSH 旗標。 推送旗標與 PUSH 旗標有點類似,並告訴接收者在收到封包時處理這些封包,而不是緩衝處理這些封包。 |
| TcpFlagsRst |
bool |
回報 TCP RST 旗標。 當封包傳送至未預期封包的特定主機時,重設旗標會從接收者傳送到傳送者。 |
| TcpFlagsSyn |
bool |
回報 TCP SYN 旗標。 同步處理旗標是建立兩部主機之間三向交握的第一步。 只有寄件人和接收者的第一個封包才應設定此旗標。 |
| TcpFlagsUrg |
bool |
回報 TCP 敦促旗標。 緊急旗標可用來通知接收者在處理所有其他封包之前處理緊急封包。 接收者會在收到所有已知的緊急數據時收到通知。 如需詳細資訊,請參閱 RFC 6093。 |
| TenantId |
字串 |
Log Analytics 工作區識別碼 |
| ThreatCategory |
字串 |
網路會話中識別的威脅或惡意代碼類別。 |
| ThreatConfidence |
int |
識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。 |
| ThreatField |
字串 |
識別威脅的欄位。 此值為 SrcIpAddr、DstIpAddr、Domain 或 DnsResponseName。 |
| ThreatFirstReportedTime |
Datetime |
第一次將IP位址或網域識別為威脅。 |
| ThreatId |
字串 |
網路會話中識別的威脅或惡意代碼標識碼。 |
| ThreatIpAddr |
字串 |
識別威脅的IP位址。 Field ThreatField 包含 ThreatIpAddr 字段的名稱。 |
| ThreatIsActive |
bool |
識別的威脅被視為作用中威脅的 True 識別碼。 |
| ThreatLastReportedTime |
Datetime |
上次將IP位址或網域識別為威脅的時間。 |
| ThreatName |
字串 |
網路會話中識別的威脅或惡意代碼名稱。 |
| ThreatOriginalConfidence |
字串 |
所識別威脅的原始信賴等級,如報告裝置所報告。 |
| ThreatOriginalRiskLevel |
字串 |
報告裝置所報告的風險層級。 |
| ThreatRiskLevel |
int |
與會話相關聯的風險層級。 層級是介於 0 到 100 之間的數位。 |
| TimeGenerated |
Datetime |
時間戳 (UTC)會反映產生事件的時間。 |
| 型別 |
string |
資料表的名稱 |