IdentityQueryEvents
針對 Active Directory 物件執行的查詢相關信息,例如使用者、群組、裝置和網域。
數據表屬性
| 屬性 |
值 |
| 資源類型 |
- |
| 類別 |
安全性 |
| 方案 |
SecurityInsights |
| 基本記錄 |
No |
| 擷取時間轉換 |
Yes |
| 範例查詢 |
是 |
資料行
| 資料行 |
類型 |
描述 |
| AccountDisplayName |
字串 |
通訊錄中顯示的帳戶用戶名稱 |
| AccountDomain |
字串 |
帳戶的網域 |
| AccountName |
字串 |
帳戶的用戶名稱 |
| AccountObjectId |
字串 |
Azure AD 中帳戶的唯一標識碼 |
| AccountSid |
字串 |
帳戶的安全性識別碼 (SID) |
| AccountUpn |
字串 |
帳戶的使用者主體名稱 (UPN) |
| ActionType |
字串 |
觸發事件的活動類型 |
| AdditionalFields |
dynamic |
實體或事件的其他資訊 |
| 申請 |
字串 |
執行錄製動作的應用程式 |
| _BilledSize |
real |
以位元組為單位的記錄大小 |
| DestinationDeviceName |
字串 |
執行已記錄動作之伺服器應用程式的裝置名稱 |
| DestinationIPAddress |
字串 |
執行已記錄動作之伺服器應用程式的裝置IP位址 |
| DestinationPort |
字串 |
相關網路通訊的目的地埠 |
| DeviceName |
字串 |
裝置的完整功能變數名稱 (FQDN) |
| IPAddress |
字串 |
指派給端點並在相關網路通訊期間使用的IP位址 |
| _IsBillable |
字串 |
指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
| Location |
字串 |
與活動相關聯的城市、國家/地區或其他地理位置 |
| 連接埠 |
字串 |
通訊期間使用的 TCP 連接埠 |
| 通訊協定 |
字串 |
通訊期間使用的通訊協定 |
| Query |
字串 |
用來執行查詢的字串 |
| QueryTarget |
字串 |
正在查詢的使用者、群組、裝置、網域或任何其他實體類型的名稱 |
| QueryType |
字串 |
查詢的類型,例如 QueryGroup、QueryUser 或 EnumerateUsers |
| ReportId |
字串 |
事件唯一識別碼 |
| SourceSystem |
字串 |
收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager、直接連線或 Operations Manager、適用於 Linux 的所有 Linux 代理程式,或適用於 Azure 的 Azure 診斷 |
| TargetAccountDisplayName |
字串 |
套用已記錄動作之帳戶的顯示名稱 |
| TargetAccountUpn |
字串 |
已套用記錄動作之帳戶的使用者主體名稱 (UPN) |
| TargetDeviceName |
字串 |
已套用已記錄動作之裝置的完整功能變數名稱 (FQDN) |
| TenantId |
字串 |
Log Analytics 工作區識別碼 |
| TimeGenerated |
Datetime |
產生記錄的日期與時間 (UTC) |
| 型別 |
string |
資料表的名稱 |