CommonSecurityLog

此表用于收集通用事件格式的事件,这些事件通常发送自不同的安全设备(如 Check Point、Palo Alto 等)。

表特性

Attribute
资源类型 microsoft.securityinsights/cef,
microsoft.compute/virtualmachines,
microsoft.conenctedvmwarevsphere/virtualmachines,
microsoft.azurestackhci/virtualmachines,
microsoft.scvmm/virtualmachines,
microsoft.compute/virtualmachinescalesets
类别 安全性
解决方案 Security、SecurityInsights
基本日志
引入时转换
示例查询

类型​​ 说明
活动 string 一个字符串,表示用户可读且可理解的事件说明。
AdditionalExtensions string 附加字段的占位符。 字段以键值对的形式记录。
ApplicationProtocol string 应用程序中使用的协议,例如 HTTP、HTTPS、SSHv2、Telnet、POP、IMPA、IMAPS 等等。
_BilledSize real 记录大小(字节)
CollectorHostName string 运行代理的收集器计算机的主机名。
CommunicationDirection string 有关已观察到的通信所采用的方向的任何信息。 有效值:0 = 入站,1 = 出站。
Computer string Syslog 中的主机。
DestinationDnsDomain string 完全限定的域名 (FQDN) 的 DNS 部分。
DestinationHostName string 事件在 IP 网络中引用的目标。 格式应是与目标节点(如果节点可用)关联的 FQDN。 例如:host.domain.com 或 host。
DestinationIP string 事件在 IP 网络中引用的目标 IPv4 地址。
DestinationMACAddress string 目标 MAC 地址 (FQDN)。
DestinationNTDomain string 目标地址的 Windows 域名。
DestinationPort int 目标端口。 有效值:0 - 65535。
DestinationProcessId int 与事件关联的目标进程的 ID。
DestinationProcessName string 事件目标进程的名称,例如 telnetd 或 sshd。
DestinationServiceName string 事件所针对的服务。 例如,sshd。
DestinationTranslatedAddress string 标识 IP 网络中由事件引用的已转换目标,用作 IPv4 IP 地址。
DestinationTranslatedPort int 转换后的端口,如防火墙有效端口号:0 - 65535。
DestinationUserID string 按 ID 标识目标用户。 例如:在 Unix 中,根用户通常与用户 ID 0 关联。
DestinationUserName string 按名称标识目标用户。
DestinationUserPrivileges string 定义目标用户的特权。 有效值:Admninistrator、User、Guest。
DeviceAction string 事件中提到的操作。
DeviceAddress string 生成事件的设备的 IPv4 地址。
DeviceCustomDate1 string 可用于映射字段的两个时间戳字段之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。
DeviceCustomDate1Label string 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。
DeviceCustomDate2 string 可用于映射字段的两个时间戳字段之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。
DeviceCustomDate2Label string 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。
DeviceCustomFloatingPoint1 real 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。
DeviceCustomFloatingPoint1Label string 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。
DeviceCustomFloatingPoint2 real 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。
DeviceCustomFloatingPoint2Label string 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。
DeviceCustomFloatingPoint3 real 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。
DeviceCustomFloatingPoint3Label string 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。
DeviceCustomFloatingPoint4 real 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。
DeviceCustomFloatingPoint4Label string 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。
DeviceCustomIPv6Address1 string 可用于映射字段的四个 IPv6 地址字段之一,这些字段不适用于本字典中的任何其他字段。
DeviceCustomIPv6Address1Label string 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。
DeviceCustomIPv6Address2 string 可用于映射字段的四个 IPv6 地址字段之一,这些字段不适用于本字典中的任何其他字段。
DeviceCustomIPv6Address2Label string 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。
DeviceCustomIPv6Address3 string 可用于映射字段的四个 IPv6 地址字段之一,这些字段不适用于本字典中的任何其他字段。
DeviceCustomIPv6Address3Label string 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。
DeviceCustomIPv6Address4 string 可用于映射字段的四个 IPv6 地址字段之一,这些字段不适用于本字典中的任何其他字段。
DeviceCustomIPv6Address4Label string 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。
DeviceCustomNumber1 int 即将被弃用的字段。 将被 FieldDeviceCustomNumber1 代替。
DeviceCustomNumber1Label string 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。
DeviceCustomNumber2 int 即将被弃用的字段。 将被 FieldDeviceCustomNumber2 代替。
DeviceCustomNumber2Label string 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。
DeviceCustomNumber3 int 即将被弃用的字段。 将被 FieldDeviceCustomNumber3 代替。
DeviceCustomNumber3Label string 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。
DeviceCustomString1 string 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。
DeviceCustomString1Label string 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。
DeviceCustomString2 string 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。
DeviceCustomString2Label string 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。
DeviceCustomString3 string 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。
DeviceCustomString3Label string 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。
DeviceCustomString4 string 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。
DeviceCustomString4Label string 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。
DeviceCustomString5 string 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。
DeviceCustomString5Label string 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。
DeviceCustomString6 string 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。
DeviceCustomString6Label string 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。
DeviceDnsDomain string 完全限定的域名 (FQDN) 的 DNS 域部分。
DeviceEventCategory string 表示由原始设备分配的类别。 设备通常使用自己的分类架构对事件进行分类。 示例:“/Monitor/Disk/Read”。
DeviceEventClassID string 充当每个事件类型的唯一标识符的字符串或整数。
DeviceExternalID string 一个用于唯一标识生成事件的设备的名称。
DeviceFacility string 生成事件的设施。 例如:auth 或 local1。
DeviceInboundInterface string 数据包或数据进入设备时所用的接口。 例如:ethernet1/2。
DeviceMacAddress string 生成事件的设备的 MAC 地址。
设备名称 string 与设备节点(如果节点可用)关联的 FQDN。 例如:host.domain.com 或 host。
DeviceNtDomain string 设备地址的 Windows 域。
DeviceOutboundInterface string 数据包或数据离开设备时所用的接口。
DevicePayloadId string 与事件关联的有效负载的唯一标识符。
DeviceProduct string 与设备产品和版本定义一起用于唯一标识发送方设备类型的字符串。
DeviceTimeZone string 生成事件的设备的时区。
DeviceTranslatedAddress string 标识事件在 IP 网络中引用的已转换设备地址。 格式为 IPv4 地址。
DeviceVendor string 与设备产品和版本定义一起用于唯一标识发送方设备类型的字符串。
DeviceVersion string 与设备产品和版本定义一起用于唯一标识发送方设备类型的字符串。
EndTime datetime 与事件相关的活动的结束时间。
EventCount int 与事件关联的计数,显示观察到同一事件的次数。
EventOutcome string 显示结果,通常为“成功”或“失败”。
EventType int 事件类型。 值包括:0:基本事件,1:聚合,2:相关事件,3:操作事件。 注意:对于基本事件,可以省略此事件。
ExternalID int 即将被弃用的字段。 将被 ExtID 取代。
ExtID string 原始设备使用的 ID(将取代旧版的 ExternalID)。 通常,这些值具有一些递增值,其中每个递增值均与某个事件相关联。
FieldDeviceCustomNumber1 long 可用于映射字段的三个数字字段之一,这些字段不适用于本字典中的任何其他字段(将替代旧版 DeviceCustomNumber1)。 尽量少用,并尽可能使用字典中提供的更具体的字段。
FieldDeviceCustomNumber2 long 可用于映射字段的三个数字字段之一,这些字段不适用于本字典中的任何其他字段(将替代旧版 DeviceCustomNumber2)。 尽量少用,并尽可能使用字典中提供的更具体的字段。
FieldDeviceCustomNumber3 long 可用于映射字段的三个数字字段之一,这些字段不适用于本字典中的任何其他字段(将替代旧版 DeviceCustomNumber3)。 尽量少用,并尽可能使用字典中提供的更具体的字段。
FileCreateTime string 文件的创建时间。
FileHash string 文件的哈希。
FileID string 与文件关联的 ID,例如 inode。
FileModificationTime string 文件的上次修改时间。
FileName string 文件的名称,不包括路径。
文件路径 string 文件的完整路径,包括文件名。 例如:C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 或 /usr/bin/zip。
FilePermission string 文件的权限。 例如:“2,1,1”。
FileSize int 以字节为单位的文件的大小。
FileType string 文件类型,例如管道、套接字等。
FlexDate1 string 用于映射时间戳的时间戳字段,该时间戳不适用于本字典中任何其他已定义的时间戳字段。 尽量少用所有弹性字段,尽可能使用字典提供的更具体的字段。 这些字段通常保留给客户使用,除非必要,供应商不应进行设置。
FlexDate1Label string 标签字段是一个字符串,用于描述弹性字段的用途。
FlexNumber1 int 可用于映射 Int 数据的编号字段,不适用于本字典中的任何其他字段。
FlexNumber1Label string 述 FlexNumber1 中数值的标签
FlexNumber2 int 可用于映射 Int 数据的编号字段,不适用于本字典中的任何其他字段。
FlexNumber2Label string 述 FlexNumber2 中数值的标签
FlexString1 string 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 这些字段通常保留给客户使用,除非必要,供应商不应进行设置。
FlexString1Label string 标签字段是一个字符串,用于描述弹性字段的用途。
FlexString2 string 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 这些字段通常保留给客户使用,除非必要,供应商不应进行设置。
FlexString2Label string 标签字段是一个字符串,用于描述弹性字段的用途。
IndicatorThreatType string MaliciousIP 威胁类型,视 TI 源而定。
_IsBillable string 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
LogSeverity string 用于描述事件重要性的字符串或整数。 有效字符串值:未知、低、中、高、高。有效整数值为:0-3 = 低,4-6 = 中,7-8 = 高,9-10 = 非常高。
MaliciousIP string 如果消息中的某个 IP 与当前的 TI 源相关联,它就会显示在这里。
MaliciousIPCountry string MaliciousIP 所在的国家/地区,视记录引入时的 GEO 信息而定。
MaliciousIPLatitude real MaliciousIP 所在的纬度,视记录引入时的 GEO 信息而定。
MaliciousIPLongitude real MaliciousIP 所在的经度,视记录引入时的 GEO 信息而定。
消息 string 一条消息,提供有关事件的更多详细信息。
OldFileCreateTime string 旧文件的创建时间。
OldFileHash string 旧文件的哈希。
OldFileID string 与旧文件相关联的 ID,例如 inode。
OldFileModificationTime string 旧文件的上次修改时间。
OldFileName string 旧文件的名称。
OldFilePath string 旧文件的完整路径,包括文件名。 例如:C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 或 /usr/bin/zip。
OldFilePermission string 旧文件的权限。 例如:“2,1,1”。
OldFileSize int 文件的大小(以字节为单位)。
OldFileType string 旧文件的文件类型,例如管道、套接字等。
OriginalLogSeverity string LogSeverity 的非映射版本。 例如:LogSeverity 字段中的 Warning/Critical/Info,而不是规范化的 Low/Medium/High
ProcessID int 定义生成事件的设备上进程的 ID。
ProcessName string 与事件关联的进程名称。 例如,在 UNIX 中,这是生成 syslog 条目的进程。
协议 string 用于标识所用第 4 层协议的传输协议。 可能的值包括协议名称,例如 TCP 或 UDP。
原因 string 生成审核事件的原因。 例如“密码错误”或“未知用户”。 这也可能是错误或返回代码。 示例:“0x1234”。
ReceiptTime string 收到活动相关事件的时间。 与“Timegenerated”字段不同,后者为日志收集器接收事件的时间。
ReceivedBytes long 入站传输的字节数。
RemoteIP string 从事件的方向值派生(如果可能)的远程 IP 地址。
RemotePort string 从事件的方向值派生(如果可能)的远程端口。
ReportReferenceLink string 到 TI 源报表的链接。
RequestClientApplication string 与请求关联的用户代理。
RequestContext string 描述从中发起请求的内容,例如 HTTP 引用网站。
RequestCookies string 与请求关联的 Cookie。
RequestMethod string 用于访问 URL 的方法。 有效值包括 POST、GET 等方法。
RequestURL string 为 HTTP 请求访问的 URL,包括协议。 例如:http://www/secure.com.
_ResourceId 字符串 与记录关联的资源的唯一标识符
SentBytes long 出站传输的字节数。
SimplifiedDeviceAction string DeviceAction 的映射版本,如 Denied > Deny。
SourceDnsDomain string 完整 FQDN 的 DNS 域部分。
SourceHostName string 标识事件在 IP 网络中引用的源。 格式应是与源节点(如果节点可用)关联的完全限定域名 (DQDN)。 例如:host 或 host.domain.com。
SourceIP string 事件在 IP 网络中引用的源,用作 IPv4 地址。
SourceMACAddress string 源 MAC 地址。
SourceNTDomain string 源地址的 Windows 域名。
SourcePort int 源端口号。 有效端口号为 0 - 65535。
SourceProcessId int 与事件关联的源进程的 ID。
SourceProcessName string 事件的源进程名称。
SourceServiceName string 负责生成事件的服务。
SourceSystem string 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure
SourceTranslatedAddress string 标识事件在 IP 网络中引用的已转换源。
SourceTranslatedPort int 转换后的源端口(例如防火墙)。 有效端口号为 0 - 65535。
SourceUserID string 按 ID 标识源用户。
SourceUserName string 按名称标识源用户。 电子邮件地址也会映射到 UserName 字段中。 发件人是输入此字段中的候选项。
SourceUserPrivileges string 源用户的特权。 有效值包括:Administrator、User、Guest。
StartTime datetime 事件引用的活动的开始时间。
_SubscriptionId 字符串 与记录关联的订阅的唯一标识符
TenantId string Log Analytics 工作区 ID
ThreatConfidence string MaliciousIP 威胁置信度,视 TI 源而定。
ThreatDescription string MaliciousIP 威胁说明,视 TI 源而定。
ThreatSeverity int MaliciousIP 的威胁严重性,视记录引入时的 TI 源而定。
TimeGenerated datetime 事件收集时间 (UTC)。
类型 字符串 表的名称