| 附加字段 |
动态 |
如果架构中没有相应的列匹配,则可将附加字段存储在 JSON 包中。 |
| _BilledSize(账单大小) |
真实 |
记录大小(字节) |
| CloudAppId |
字符串 |
HTTP 应用程序的目标应用程序的 ID,由代理标识。 此值通常特定于所用的代理。 |
| CloudAppName |
字符串 |
HTTP 应用程序的目标应用程序的名称,由代理标识。 |
| 云应用操作 |
字符串 |
用户在 HTTP 应用程序的目标应用程序上下文中执行的操作,由代理标识。 此值通常特定于所用的代理。 |
| 云应用风险等级 |
字符串 |
与 HTTP 应用程序关联的风险级别,由代理标识。 此值通常特定于所用的代理。 |
| DstBytes |
长整型 |
从连接或会话的目标发送到源的字节数。 |
| DstDomainHostname |
字符串 |
目标主机的域。 |
| DstDvcDomain |
字符串 |
目标设备的域。 |
| DstDvcFqdn |
字符串 |
在其中创建了日志的主机的完全限定域名。 |
| DstDvcHostname |
字符串 |
目标设备的设备名称。 |
| DstDvcIpAddr |
字符串 |
不直接与网络数据包关联的设备的目标 IP 地址。 |
| DstDvcMacAddr |
字符串 |
不直接与网络数据包关联的设备的目标 MAC 地址。 |
| DstGeoCity |
字符串 |
与目标 IP 地址关联的城市。 |
| DstGeoCountry |
字符串 |
与源 IP 地址关联的国家/地区。 |
| DstGeoLatitude |
真实 |
与目标 IP 地址关联的地理坐标的纬度。 |
| DstGeoLongitude |
真实 |
与目标 IP 地址关联的地理坐标的经度 |
| DstGeoRegion |
字符串 |
与目标 IP 地址关联的国家/地区中的区域。 |
| DstInterfaceGuid |
字符串 |
用于身份验证请求的网络接口的 GUID。 |
| Dst接口名称 |
字符串 |
由目标设备用来建立连接或会话的网络接口。 |
| DstIpAddr |
字符串 |
连接或会话目标的 IP 地址。 |
| DstMacAddr |
字符串 |
终止了连接或会话的网络接口的 MAC 地址。 |
| DstNatIpAddr |
字符串 |
如果中介 NAT 设备(例如防火墙)报告了该值,则该值是由 NAT 设备用来与源通信的 IP 地址。 |
| DstNatPortNumber |
整数 (int) |
如果中介 NAT 设备(例如防火墙)报告了该值,则该值是由 NAT 设备用来与源通信的端口。 |
| DstPackets |
长整型 |
从连接或会话的目标发送到源的数据包数。 数据包的含义由报告设备定义。 |
| DstPortNumber |
整数 (int) |
目标 IP 端口。 |
| DstResourceId |
字符串 |
目标设备的资源 ID。 |
| DstUserAadId |
字符串 |
位于会话目标端的用户的 Azure AD 帐户对象 ID。 |
| DstUserDomain |
字符串 |
位于会话目标中的帐户的域名或计算机名。 |
| DstUserName |
字符串 |
与会话目标关联的标识的用户名。 |
| DstUserSid |
字符串 |
与会话目标关联的标识的用户 ID。 通常,它是用来对服务器进行身份验证的标识。 |
| DstUserUpn |
字符串 |
与会话目标关联的标识的 UPN。 |
| DstZone |
字符串 |
目标的网络区域,由报告设备定义。 |
| DvcAction |
字符串 |
如果中介设备(例如防火墙)报告了该值,则该值是该设备执行的操作。 |
| DvcHostname |
字符串 |
生成消息的设备的设备名称。 |
| DvcInboundInterface |
字符串 |
如果中介设备(例如防火墙)报告了该值,则该值是该设备用来连接到源设备的网络接口。 |
| DvcIpAddr |
字符串 |
生成记录的设备的 IP 地址。 |
| DvcMacAddr |
字符串 |
从中发送了事件的报告设备的网络接口的 MAC 地址。 |
| DvcOutbound接口 |
字符串 |
如果中介设备(例如防火墙)报告了该值,则该值是该设备用来连接到目标设备的网络接口。 |
| 事件计数 |
整数 (int) |
聚合的事件数(如果适用)。 |
| 事件结束时间 |
日期/时间 |
事件的结束时间。 |
| 事件信息 |
字符串 |
常规消息或说明,包含在记录中或者根据记录生成。 |
| EventOriginalUid |
字符串 |
报告设备中的记录 ID。 |
| EventProduct |
字符串 |
生成事件的产品。 |
| 事件产品版本 |
字符串 |
生成事件的产品的版本。 |
| 事件报告链接 |
字符串 |
报告设备创建的完整报告的链接。 |
| EventResourceId |
字符串 |
生成消息的设备的资源 ID。 |
| 事件结果 |
字符串 |
针对活动报告的结果。 不适用时为空值。 |
| 事件结果详情 |
字符串 |
EventResult 中报告的结果的原因 |
| 事件模式版本 |
字符串 |
Azure Sentinel 架构版本。 |
| EventSeverity |
字符串 |
如果报告的活动会造成安全影响,则指示影响的严重性。 |
| 事件开始时间 |
日期/时间 |
事件的开始时间。 |
| 事件子类型 |
字符串 |
类型的附加说明(如果适用)。 |
| EventTimeIngested |
日期/时间 |
将事件引入 Azure Sentinel 的时间。 将由 Azure Sentinel 添加。 |
| 事件类型 |
字符串 |
要收集的事件的类型。 |
| EventUid |
字符串 |
Sentinel 用于标记行的唯一标识符。 |
| EventVendor |
字符串 |
生成事件的产品的供应商。 |
| FileExtension |
字符串 |
通过网络连接为协议(例如 FTP 和 HTTP)传输的文件的类型。 |
| FileHashMd5 |
字符串 |
通过网络连接为协议传输的文件的 MD5 哈希值。 |
| FileHashSha1 |
字符串 |
通过网络连接为协议传输的文件的 SHA1 哈希值。 |
| FileHashSha256 |
字符串 |
通过网络连接为协议传输的文件的 SHA256 哈希值。 |
| 文件哈希函数 FileHashSha512 |
字符串 |
通过网络连接为协议传输的文件的 SHA512 哈希值。 |
| 文件MIME类型 |
字符串 |
通过网络连接为协议(例如 FTP 和 HTTP)传输的文件的 MIME 类型。 |
| 文件名 |
字符串 |
通过网络连接为提供文件名信息的协议(例如 FTP 和 HTTP)传输的文件名。 |
| 文件路径 |
字符串 |
文件的完整路径,包括文件名。 |
| 文件大小 |
整数 (int) |
通过网络连接为协议传输的文件的文件大小,以字节为单位。 |
| HttpContentType (HTTP内容类型) |
字符串 |
HTTP/HTTPS 网络会话的 HTTP 响应内容类型头。 |
| HttpReferrerOriginal |
字符串 |
HTTP/HTTPS 网络会话的 HTTP referrer 头。 |
| HTTP请求方法 |
字符串 |
HTTP/HTTPS 网络会话的 HTTP 方法。 |
| HTTP请求时间 |
整数 (int) |
将请求发送到服务器所花费的时间(如果适用)。 |
| HttpRequestXff |
字符串 |
HTTP/HTTPS 网络会话的 HTTP X-Forwarded-For 头。 |
| HTTP响应时间 |
整数 (int) |
在服务器中接收响应所花费的时间(如果适用)。 |
| HTTP状态码 (HttpStatusCode) |
字符串 |
HTTP/HTTPS 网络会话的 HTTP 状态代码。 |
| HttpUserAgentOriginal |
字符串 |
Http/HTTPS 网络会话的 HTTP 用户代理头。 |
| HttpVersion |
字符串 |
HTTP/HTTPS 网络连接的 HTTP 请求版本。 |
| _是否计费 |
字符串 |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 网络应用程序协议 |
字符串 |
连接或会话使用的应用程序层协议。 |
| NetworkBytes |
长整型 |
双向发送的字节数。 如果 BytesReceived 和 BytesSent 都存在,则 BytesTotal 应等于它们的总和。 |
| NetworkDirection |
字符串 |
连接或会话的方向:入站到组织或者从组织出站。 |
| 网络时长 |
整数 (int) |
完成网络会话或连接所花费的时间,以毫秒为单位。 |
| NetworkIcmpCode(网络ICMP代码) |
整数 (int) |
对于 ICMP 消息,该值是 ICMP 消息类型的数字值(RFC 2780 或 RFC 4443)。 |
| 网络ICMP类型 |
字符串 |
对于 ICMP 消息,该值是 ICMP 消息类型的文本表示形式(RFC 2780 或 RFC 4443)。 |
| NetworkPackets |
长整型 |
双向发送的数据包数。 如果 PacketsReceived 和 PacketsSent 都存在,则 BytesTotal 应等于它们的总和。 |
| 网络协议 |
字符串 |
连接或会话使用的 IP 协议。 通常为 TCP、UDP 或 ICMP。 |
| 网络规则名称 |
字符串 |
确定 DeviceAction 时所依据的规则的名称或 ID。 |
| 网络规则编号 |
整数 (int) |
匹配的规则编号。 |
| 网络会话ID |
字符串 |
报告设备报告的会话标识符。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| SrcBytes |
长整型 |
从连接或会话的源发送到目标的字节数。 |
| SrcDvcDomain |
字符串 |
从中启动了会话的设备的域。 |
| SrcDvcFqdn |
字符串 |
在其中创建了日志的主机的完全限定域名。 |
| SrcDvcHostname |
字符串 |
源设备的设备名称。 |
| SrcDvcIpAddr |
字符串 |
不直接与网络数据包关联的设备的源 IP 地址(由提供程序收集,或显式计算)。 |
| SrcDvcMacAddr |
字符串 |
不直接与网络数据包关联的设备的源 MAC 地址。 |
| SrcDvcModelName |
字符串 |
源设备的型号。 |
| SrcDvcModelNumber |
字符串 |
源设备的型号。 |
| SrcDvcOs |
字符串 |
源设备的 OS。 |
| SrcDvcType |
字符串 |
源设备的类型。 |
| SrcGeoCity |
字符串 |
与源 IP 地址关联的城市。 |
| SrcGeoCountry |
字符串 |
与源 IP 地址关联的国家/地区。 |
| SrcGeoLatitude |
真实 |
与源 IP 地址关联的地理坐标的纬度。 |
| SrcGeoLongitude |
真实 |
与源 IP 地址关联的地理坐标的经度。 |
| SrcGeoRegion |
字符串 |
与源 IP 地址关联的国家/地区中的区域。 |
| SrcInterfaceGuid |
字符串 |
所用网络接口的 GUID。 |
| SrcInterfaceName |
字符串 |
由源设备用来建立连接或会话的网络接口。 |
| SrcIpAddr |
字符串 |
从中发起了连接或会话的 IP 地址。 |
| SrcMacAddr |
字符串 |
从中发起了连接或会话的网络接口的 MAC 地址。 |
| SrcNatIpAddr |
字符串 |
如果中介 NAT 设备(例如防火墙)报告了该值,则该值是由 NAT 设备用来与目标通信的 IP 地址。 |
| SrcNatPortNumber |
整数 (int) |
如果中介 NAT 设备(例如防火墙)报告了该值,则该值是由 NAT 设备用来与目标通信的端口。 |
| SrcPackets |
长整型 |
从连接或会话的源发送到目标的数据包数。 数据包的含义由报告设备定义。 |
| SrcPortNumber |
整数 (int) |
从中发起了连接的 IP 端口。 可能与包含多个连接的会话无关。 |
| SrcResourceId |
字符串 |
生成消息的设备的资源 ID。 |
| SrcUserAadId |
字符串 |
位于会话源端的用户的 Azure AD 帐户对象 ID。 |
| SrcUserDomain |
字符串 |
启动会话的帐户的域。 |
| SrcUserName |
字符串 |
与会话源关联的标识的用户名。 通常,这是在客户端上执行操作的用户。 |
| SrcUserSid |
字符串 |
与会话源关联的标识的用户 ID。 通常,这是在客户端上执行操作的用户。 |
| SrcUserUpn |
字符串 |
启动会话的帐户的 UPN。 |
| SrcZone |
字符串 |
源的网络区域,由报告设备定义。 |
| 租户ID |
字符串 |
Log Analytics 工作区 ID |
| 威胁类别 |
字符串 |
安全系统(例如 IPS 的 Web 安全网关)识别到的威胁的类别,与此网络会话相关联。 |
| 威胁编号 (ThreatId) |
字符串 |
安全系统(例如 IPS 的 Web 安全网关)识别到的威胁的 ID,与此网络会话相关联。 |
| 威胁名称 |
字符串 |
识别到的威胁或恶意软件的名称。 |
| TimeGenerated |
日期/时间 |
事件的发生时间,由报告源报告。 |
| 类型 |
字符串 |
表的名称 |
| 网址类别 |
字符串 |
与内容(即:成人、新闻、广告、托管域等)相关的 URL 的已定义分组(或者可能仅基于 URL 中的域)。 |
| UrlHostname |
字符串 |
HTTP/HTTPS 网络会话的 HTTP 请求 URL 的域部分。 |
| UrlOriginal |
字符串 |
HTTP/HTTPS 网络会话的 HTTP 请求 URL。 |