K8s 处理事件。 此表由 MDC 中的检测团队收集。
数据表属性
| 特征 |
价值 |
|
资源类型 |
- |
|
类别 |
安全性 |
|
解决方案 |
日志管理 |
|
基本日志 |
是的 |
|
引入时转换 |
否 |
|
示例查询 |
- |
列
| 列 |
类型 |
DESCRIPTION |
| 附加数据 |
动态的 |
有关容器事件的其他元数据。 |
| AgentId |
字符串 |
监视代理跟踪容器的 ID。 |
| Auid |
字符串 |
与容器进程关联的审核用户 ID。 |
| _BilledSize(账单大小) |
真正 |
记录大小(字节) |
| Cmdline |
字符串 |
启动容器的命令行指令。 |
| 通信 |
字符串 |
执行命令的名称。 |
| 电脑 |
字符串 |
运行容器的节点的名称。 |
| 容器标识符(ContainerID) |
字符串 |
正在运行的容器的唯一标识符。 |
| 容器名称 |
字符串 |
容器的名称。 |
| Cwd |
字符串 |
容器进程的当前工作目录。 |
| 摘要 |
字符串 |
容器映像的 SHA-256 摘要。 |
| DriftAction |
字符串 |
指示容器文件中是否有任何修改。 |
| Exe |
字符串 |
容器中运行的可执行文件的路径。 |
| Gid |
字符串 |
运行进程的组 ID。 |
| 组 |
字符串 |
与进程关联的组名称。 |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| Memfd |
布尔 |
指示容器是否支持内存文件描述符(memfd)执行功能。 |
| Namespace |
字符串 |
Kubernetes Pod 部署所在的命名空间。 |
| Pid |
字符串 |
容器化应用程序的进程 ID。 |
| Pname |
字符串 |
容器化应用程序的父进程名称。 |
| PodLabels |
动态的 |
与 Kubernetes Pod 关联的标签。 |
| Pod名称 |
字符串 |
Kubernetes Pod 的名称。 |
| Ppid |
字符串 |
容器化应用程序的父进程 ID。 |
| 资料库 |
字符串 |
容器映像存储库。 |
| Ses |
字符串 |
容器进程的会话 ID。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| 成功 |
字符串 |
指示命令执行是否成功。 |
| 标记 |
字符串 |
容器映像的标记。 |
| 租户ID |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期/时间 |
事件记录时使用的 UTC 时间戳。 |
| 类型 |
字符串 |
表的名称 |
| Uid |
字符串 |
运行进程的用户 ID。 |
| UpperLayer |
布尔 |
指示容器镜像是否在叠加文件系统中使用上层结构。 |
| 用户 |
字符串 |
在容器中运行进程的用户名。 |