| AdditionalFields |
dynamic |
當架構相符項目中沒有個別的數據行時,其他欄位可以儲存在 JSON 包中。 |
| _BilledSize |
real |
以位元組為單位的記錄大小 |
| CloudAppId |
字串 |
由 Proxy 識別之 HTTP 應用程式的目的地應用程式識別碼。 此值通常專屬於所使用的 Proxy。 |
| CloudAppName |
字串 |
由 Proxy 識別之 HTTP 應用程式的目的地應用程式名稱。 |
| CloudAppOperation |
字串 |
使用者在 HTTP 應用程式目的地應用程式內容中執行的作業,如 Proxy 所識別。 此值通常專屬於所使用的 Proxy。 |
| CloudAppRiskLevel |
字串 |
與 PROXY 所識別之 HTTP 應用程式相關聯的風險層級。 此值通常專屬於所使用的 Proxy。 |
| DstBytes |
long |
從目的地傳送到連線或會話來源的位元元組數目。 |
| DstDomainHostname |
字串 |
目的地主機的網域。 |
| DstDvcDomain |
字串 |
目的地裝置的網域。 |
| DstDvcFqdn |
字串 |
建立記錄檔之主機的完整功能變數名稱。 |
| DstDvcHostname |
字串 |
目的地裝置的裝置名稱。 |
| DstDvcIpAddr |
字串 |
未與網路封包直接關聯的裝置目的地 IP 位址。 |
| DstDvcMacAddr |
字串 |
未與網路封包直接關聯的裝置目的地 MAC 位址。 |
| DstGeoCity |
字串 |
與目的地IP位址相關聯的城市。 |
| DstGeoCountry |
字串 |
與來源IP位址相關聯的國家/地區。 |
| DstGeoLatitude |
real |
與目的地IP位址相關聯的地理座標緯度。 |
| DstGeoLongitude |
real |
與目的地IP位址相關聯的地理座標經度 |
| DstGeoRegion |
字串 |
與目的地IP位址相關聯的國家/地區內區域。 |
| DstInterfaceGuid |
字串 |
用於驗證要求的網路介面 GUID。 |
| DstInterfaceName |
字串 |
目的地裝置用於連線或會話的網路介面。 |
| DstIpAddr |
字串 |
線上或會話目的地的IP位址。 |
| DstMacAddr |
字串 |
連接或會話終止之網路介面的 MAC 位址。 |
| DstNatIpAddr |
字串 |
如果由中繼 NAT 裝置回報,例如防火牆,NAT 裝置用來與來源通訊的 IP 位址。 |
| DstNatPortNumber |
int |
如果由中繼 NAT 裝置回報,例如防火牆,NAT 裝置用來與來源通訊的埠。 |
| DstPackets |
long |
從目的地傳送至連線或會話來源的封包數目。 封包的意義是由報告裝置所定義。 |
| DstPortNumber |
int |
目的地 IP 連接埠。 |
| DstResourceId |
字串 |
目的地裝置的資源標識碼。 |
| DstUserAadId |
字串 |
會話結尾的使用者 Azure AD 帳戶對象識別碼。 |
| DstUserDomain |
字串 |
會話目的地之帳戶的網域或計算機名稱。 |
| DstUserName |
字串 |
與會話目的地相關聯的身分識別用戶名稱。 |
| DstUserSid |
字串 |
與會話目的地相關聯的身分識別使用者標識碼。 一般而言,用來驗證伺服器的身分識別。 |
| DstUserUpn |
字串 |
與會話目的地相關聯的身分識別UPN。 |
| DstZone |
字串 |
目的地的網路區域,如報告裝置所定義。 |
| DvcAction |
字串 |
如果由中繼裝置回報,例如防火牆,則裝置所採取的動作。 |
| DvcHostname |
字串 |
產生訊息之裝置的裝置名稱。 |
| DvcInboundInterface |
字串 |
如果由防火牆等中繼裝置回報,則為來源裝置連線所使用的網路介面。 |
| DvcIpAddr |
字串 |
產生記錄之裝置的IP位址。 |
| DvcMacAddr |
字串 |
傳送事件之報告裝置網路介面的 MAC 位址。 |
| DvcOutboundInterface |
字串 |
如果由防火牆等中繼裝置回報,則其用來連線至目的地裝置的網路介面。 |
| EventCount |
int |
如果適用,匯總的事件數目。 |
| EventEndTime |
Datetime |
事件結束的時間。 |
| EventMessage |
字串 |
包含或從記錄產生的一般訊息或描述。 |
| EventOriginalUid |
字串 |
來自報告裝置的記錄標識碼。 |
| EventProduct |
字串 |
產生事件的產品。 |
| EventProductVersion |
字串 |
產生事件的產品版本。 |
| EventReportUrl |
字串 |
報告裝置所建立之完整報表的連結。 |
| EventResourceId |
字串 |
產生訊息之裝置的資源標識碼。 |
| EventResult |
字串 |
活動回報的結果。 不適用時為空白值。 |
| EventResultDetails |
字串 |
EventResult 中回報結果的原因 |
| EventSchemaVersion |
字串 |
Azure Sentinel 架構版本。 |
| EventSeverity |
字串 |
如果回報的活動有安全性影響,表示影響嚴重性。 |
| EventStartTime |
Datetime |
事件所指出的時間。 |
| EventSubType |
字串 |
如果適用,則為類型的其他描述。 |
| EventTimeIngested |
Datetime |
事件擷取至 Azure Sentinel 的時間。 Azure Sentinel 將會新增。 |
| EventType |
字串 |
正在收集的事件類型。 |
| EventUid |
字串 |
Sentinel 用來標記數據列的唯一標識符。 |
| EventVendor |
字串 |
產生事件的產品的廠商。 |
| FileExtension |
字串 |
透過網路連線傳輸的檔類型,適用於 FTP 和 HTTP 等通訊協定。 |
| FileHashMd5 |
字串 |
透過通訊協議網路連線傳輸之檔案的 MD5 哈希值。 |
| FileHashSha1 |
字串 |
透過通訊協議網路連線傳輸之檔案的SHA1哈希值。 |
| FileHashSha256 |
字串 |
透過通訊協議網路連線傳輸之檔案的SHA256哈希值。 |
| FileHashSha512 |
字串 |
透過通訊協議網路連線傳輸之檔案的SHA512哈希值。 |
| FileMimeType |
字串 |
透過網路連線傳輸之檔案的 MIME 類型,適用於 FTP 和 HTTP 等通訊協定。 |
| FileName |
字串 |
透過網路連線傳輸的檔名,例如 FTP 和 HTTP,可提供檔名資訊。 |
| FilePath |
字串 |
檔案的完整路徑,包括檔名。 |
| FileSize |
int |
透過通訊協定網路連線傳輸的檔案大小,以位元組為單位。 |
| HttpContentType |
字串 |
HTTP/HTTPS 網路會話的 HTTP 回應內容類型標頭。 |
| HttpReferrerOriginal |
字串 |
HTTP/HTTPS 網路會話的 HTTP 查閱者標頭。 |
| HttpRequestMethod |
字串 |
HTTP/HTTPS 網路會話的 HTTP 方法。 |
| HttpRequestTime |
int |
如果適用,將要求傳送至伺服器所花費的時間量。 |
| HttpRequestXff |
字串 |
HTTP/HTTPS 網络會話的 HTTP X-Forwarded-For 標頭。 |
| HttpResponseTime |
int |
如果適用,在伺服器中接收回應所花費的時間量。 |
| HttpStatusCode |
字串 |
HTTP/HTTPS 網路工作階段的 HTTP 狀態代碼。 |
| HttpUserAgentOriginal |
字串 |
HTTP/HTTPS 網路會話的 HTTP 使用者代理程式標頭。 |
| HttpVersion |
字串 |
HTTP/HTTPS 網路連線的 HTTP 要求版本。 |
| _IsBillable |
字串 |
指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,擷取不會向您的 Azure 帳戶收費 |
| NetworkApplicationProtocol |
字串 |
連接或會話所使用的應用層通訊協定。 |
| NetworkBytes |
long |
雙向傳送的位元組數目。 如果 BytesReceived 和 BytesSent 都存在,BytesTotal 應該等於其總和。 |
| NetworkDirection |
字串 |
聯機或會話進出組織的方向。 |
| NetworkDuration |
int |
完成網路會話或連線的時間量,以毫秒為單位。 |
| NetworkIcmpCode |
int |
針對ICMP訊息,ICMP訊息類型數值 (RFC 2780 或 RFC 4443)。 |
| NetworkIcmpType |
字串 |
針對ICMP訊息,ICMP訊息類型文字表示法 (RFC 2780 或 RFC 4443)。 |
| NetworkPackets |
long |
雙向傳送的封包數目。 如果 PacketsReceived 和 PacketsSent 都存在,BytesTotal 應該等於其總和。 |
| NetworkProtocol |
字串 |
連接或會話所使用的IP通訊協定。 一般而言,TCP、UDP 或 ICMP。 |
| NetworkRuleName |
字串 |
由 DeviceAction 決定的規則名稱或識別碼。 |
| NetworkRuleNumber |
int |
相符的規則編號。 |
| NetworkSessionId |
字串 |
報告裝置所報告的會話標識碼。 |
| SourceSystem |
字串 |
收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager、直接連線或 Operations Manager、適用於 Linux 的所有 Linux 代理程式,或適用於 Azure 的 Azure 診斷 |
| SrcBytes |
long |
從來源傳送到連線或會話目的地的位元元組數目。 |
| SrcDvcDomain |
字串 |
起始會話的來源裝置網域。 |
| SrcDvcFqdn |
字串 |
建立記錄檔之主機的完整功能變數名稱。 |
| SrcDvcHostname |
字串 |
來源裝置的裝置名稱。 |
| SrcDvcIpAddr |
字串 |
裝置的來源IP位址未與網路封包直接關聯(由提供者收集或明確計算)。 |
| SrcDvcMacAddr |
字串 |
未與網路封包直接關聯的裝置來源 MAC 位址。 |
| SrcDvcModelName |
字串 |
來源裝置的模型。 |
| SrcDvcModelNumber |
字串 |
來源裝置的型號。 |
| SrcDvcOs |
字串 |
來源裝置的OS。 |
| SrcDvcType |
字串 |
來源裝置的類型。 |
| SrcGeoCity |
字串 |
與來源IP位址相關聯的城市。 |
| SrcGeoCountry |
字串 |
與來源IP位址相關聯的國家/地區。 |
| SrcGeoLatitude |
real |
與來源IP位址相關聯的地理座標緯度。 |
| SrcGeoLongitude |
real |
與來源IP位址相關聯的地理座標經度。 |
| SrcGeoRegion |
字串 |
與來源IP位址相關聯的國家/地區內區域。 |
| SrcInterfaceGuid |
字串 |
使用的網路介面 GUID。 |
| SrcInterfaceName |
字串 |
來源裝置用於連線或會話的網路介面。 |
| SrcIpAddr |
字串 |
線上或會話的來源IP位址。 |
| SrcMacAddr |
字串 |
聯機 od 工作階段的來源網路介面 MAC 位址。 |
| SrcNatIpAddr |
字串 |
如果由中繼 NAT 裝置回報,例如防火牆,NAT 裝置用來與目的地通訊的 IP 位址。 |
| SrcNatPortNumber |
int |
如果由中繼 NAT 裝置回報,例如防火牆,NAT 裝置用來與目的地通訊的埠。 |
| SrcPackets |
long |
從來源傳送至連線或會話目的地的封包數目。 封包的意義是由報告裝置所定義。 |
| SrcPortNumber |
int |
線上來源 IP 連接埠。 可能與包含多個連線的會話無關。 |
| SrcResourceId |
字串 |
產生訊息之裝置的資源標識碼。 |
| SrcUserAadId |
字串 |
會話來源端使用者的 Azure AD 帳戶物件識別碼。 |
| SrcUserDomain |
字串 |
起始會話之帳戶的網域。 |
| SrcUserName |
字串 |
與會話來源相關聯的身分識別用戶名稱。 一般而言,使用者在用戶端上執行動作。 |
| SrcUserSid |
字串 |
與會話來源相關聯之身分識別的使用者標識碼。 一般而言,使用者在用戶端上執行動作。 |
| SrcUserUpn |
字串 |
起始會話之帳戶的UPN。 |
| SrcZone |
字串 |
來源的網路區域,如報告裝置所定義。 |
| TenantId |
字串 |
Log Analytics 工作區識別碼 |
| ThreatCategory |
字串 |
安全性系統所識別的威脅類別,例如 IPS 的 Web 安全性閘道,且與此網路會話相關聯。 |
| ThreatId |
字串 |
安全性系統所識別的威脅標識碼,例如 IPS 的 Web 安全性閘道,且與此網路會話相關聯。 |
| ThreatName |
字串 |
識別的威脅或惡意代碼名稱。 |
| TimeGenerated |
Datetime |
事件發生的時間,如報告來源所報告。 |
| 型別 |
string |
資料表的名稱 |
| UrlCategory |
字串 |
URL 定義的群組(或可能只是根據 URL 中的網域)與其相關(例如成人、新聞、廣告、停駐網域等)。 |
| UrlHostname |
字串 |
HTTP/HTTPS 網路會話之 HTTP 要求URL的網域部分。 |
| UrlOriginal |
字串 |
HTTP/HTTPS 網路會話的 HTTP 要求 URL。 |