CommonSecurityLog
此表用于收集通用事件格式的事件,这些事件通常发送自不同的安全设备(如 Check Point、Palo Alto 等)。
表特性
Attribute | 值 |
---|---|
资源类型 | microsoft.securityinsights/cef, microsoft.compute/virtualmachines, microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines, microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
类别 | 安全性 |
解决方案 | Security、SecurityInsights |
基本日志 | 否 |
引入时转换 | 是 |
示例查询 | 是 |
列
列 | 类型 | 说明 |
---|---|---|
活动 | string | 一个字符串,表示用户可读且可理解的事件说明。 |
AdditionalExtensions | string | 附加字段的占位符。 字段以键值对的形式记录。 |
ApplicationProtocol | string | 应用程序中使用的协议,例如 HTTP、HTTPS、SSHv2、Telnet、POP、IMPA、IMAPS 等等。 |
_BilledSize | real | 记录大小(字节) |
CollectorHostName | string | 运行代理的收集器计算机的主机名。 |
CommunicationDirection | string | 有关已观察到的通信所采用的方向的任何信息。 有效值:0 = 入站,1 = 出站。 |
Computer | string | Syslog 中的主机。 |
DestinationDnsDomain | string | 完全限定的域名 (FQDN) 的 DNS 部分。 |
DestinationHostName | string | 事件在 IP 网络中引用的目标。 格式应是与目标节点(如果节点可用)关联的 FQDN。 例如:host.domain.com 或 host。 |
DestinationIP | string | 事件在 IP 网络中引用的目标 IPv4 地址。 |
DestinationMACAddress | string | 目标 MAC 地址 (FQDN)。 |
DestinationNTDomain | string | 目标地址的 Windows 域名。 |
DestinationPort | int | 目标端口。 有效值:0 - 65535。 |
DestinationProcessId | int | 与事件关联的目标进程的 ID。 |
DestinationProcessName | string | 事件目标进程的名称,例如 telnetd 或 sshd。 |
DestinationServiceName | string | 事件所针对的服务。 例如,sshd。 |
DestinationTranslatedAddress | string | 标识 IP 网络中由事件引用的已转换目标,用作 IPv4 IP 地址。 |
DestinationTranslatedPort | int | 转换后的端口,如防火墙有效端口号:0 - 65535。 |
DestinationUserID | string | 按 ID 标识目标用户。 例如:在 Unix 中,根用户通常与用户 ID 0 关联。 |
DestinationUserName | string | 按名称标识目标用户。 |
DestinationUserPrivileges | string | 定义目标用户的特权。 有效值:Admninistrator、User、Guest。 |
DeviceAction | string | 事件中提到的操作。 |
DeviceAddress | string | 生成事件的设备的 IPv4 地址。 |
DeviceCustomDate1 | string | 可用于映射字段的两个时间戳字段之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
DeviceCustomDate1Label | string | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
DeviceCustomDate2 | string | 可用于映射字段的两个时间戳字段之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
DeviceCustomDate2Label | string | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
DeviceCustomFloatingPoint1 | real | 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。 |
DeviceCustomFloatingPoint1Label | string | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
DeviceCustomFloatingPoint2 | real | 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。 |
DeviceCustomFloatingPoint2Label | string | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
DeviceCustomFloatingPoint3 | real | 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。 |
DeviceCustomFloatingPoint3Label | string | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
DeviceCustomFloatingPoint4 | real | 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。 |
DeviceCustomFloatingPoint4Label | string | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
DeviceCustomIPv6Address1 | string | 可用于映射字段的四个 IPv6 地址字段之一,这些字段不适用于本字典中的任何其他字段。 |
DeviceCustomIPv6Address1Label | string | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
DeviceCustomIPv6Address2 | string | 可用于映射字段的四个 IPv6 地址字段之一,这些字段不适用于本字典中的任何其他字段。 |
DeviceCustomIPv6Address2Label | string | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
DeviceCustomIPv6Address3 | string | 可用于映射字段的四个 IPv6 地址字段之一,这些字段不适用于本字典中的任何其他字段。 |
DeviceCustomIPv6Address3Label | string | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
DeviceCustomIPv6Address4 | string | 可用于映射字段的四个 IPv6 地址字段之一,这些字段不适用于本字典中的任何其他字段。 |
DeviceCustomIPv6Address4Label | string | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
DeviceCustomNumber1 | int | 即将被弃用的字段。 将被 FieldDeviceCustomNumber1 代替。 |
DeviceCustomNumber1Label | string | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
DeviceCustomNumber2 | int | 即将被弃用的字段。 将被 FieldDeviceCustomNumber2 代替。 |
DeviceCustomNumber2Label | string | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
DeviceCustomNumber3 | int | 即将被弃用的字段。 将被 FieldDeviceCustomNumber3 代替。 |
DeviceCustomNumber3Label | string | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
DeviceCustomString1 | string | 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
DeviceCustomString1Label | string | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
DeviceCustomString2 | string | 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
DeviceCustomString2Label | string | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
DeviceCustomString3 | string | 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
DeviceCustomString3Label | string | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
DeviceCustomString4 | string | 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
DeviceCustomString4Label | string | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
DeviceCustomString5 | string | 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
DeviceCustomString5Label | string | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
DeviceCustomString6 | string | 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
DeviceCustomString6Label | string | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
DeviceDnsDomain | string | 完全限定的域名 (FQDN) 的 DNS 域部分。 |
DeviceEventCategory | string | 表示由原始设备分配的类别。 设备通常使用自己的分类架构对事件进行分类。 示例:“/Monitor/Disk/Read”。 |
DeviceEventClassID | string | 充当每个事件类型的唯一标识符的字符串或整数。 |
DeviceExternalID | string | 一个用于唯一标识生成事件的设备的名称。 |
DeviceFacility | string | 生成事件的设施。 例如:auth 或 local1。 |
DeviceInboundInterface | string | 数据包或数据进入设备时所用的接口。 例如:ethernet1/2。 |
DeviceMacAddress | string | 生成事件的设备的 MAC 地址。 |
设备名称 | string | 与设备节点(如果节点可用)关联的 FQDN。 例如:host.domain.com 或 host。 |
DeviceNtDomain | string | 设备地址的 Windows 域。 |
DeviceOutboundInterface | string | 数据包或数据离开设备时所用的接口。 |
DevicePayloadId | string | 与事件关联的有效负载的唯一标识符。 |
DeviceProduct | string | 与设备产品和版本定义一起用于唯一标识发送方设备类型的字符串。 |
DeviceTimeZone | string | 生成事件的设备的时区。 |
DeviceTranslatedAddress | string | 标识事件在 IP 网络中引用的已转换设备地址。 格式为 IPv4 地址。 |
DeviceVendor | string | 与设备产品和版本定义一起用于唯一标识发送方设备类型的字符串。 |
DeviceVersion | string | 与设备产品和版本定义一起用于唯一标识发送方设备类型的字符串。 |
EndTime | datetime | 与事件相关的活动的结束时间。 |
EventCount | int | 与事件关联的计数,显示观察到同一事件的次数。 |
EventOutcome | string | 显示结果,通常为“成功”或“失败”。 |
EventType | int | 事件类型。 值包括:0:基本事件,1:聚合,2:相关事件,3:操作事件。 注意:对于基本事件,可以省略此事件。 |
ExternalID | int | 即将被弃用的字段。 将被 ExtID 取代。 |
ExtID | string | 原始设备使用的 ID(将取代旧版的 ExternalID)。 通常,这些值具有一些递增值,其中每个递增值均与某个事件相关联。 |
FieldDeviceCustomNumber1 | long | 可用于映射字段的三个数字字段之一,这些字段不适用于本字典中的任何其他字段(将替代旧版 DeviceCustomNumber1)。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
FieldDeviceCustomNumber2 | long | 可用于映射字段的三个数字字段之一,这些字段不适用于本字典中的任何其他字段(将替代旧版 DeviceCustomNumber2)。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
FieldDeviceCustomNumber3 | long | 可用于映射字段的三个数字字段之一,这些字段不适用于本字典中的任何其他字段(将替代旧版 DeviceCustomNumber3)。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
FileCreateTime | string | 文件的创建时间。 |
FileHash | string | 文件的哈希。 |
FileID | string | 与文件关联的 ID,例如 inode。 |
FileModificationTime | string | 文件的上次修改时间。 |
FileName | string | 文件的名称,不包括路径。 |
文件路径 | string | 文件的完整路径,包括文件名。 例如:C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 或 /usr/bin/zip。 |
FilePermission | string | 文件的权限。 例如:“2,1,1”。 |
FileSize | int | 以字节为单位的文件的大小。 |
FileType | string | 文件类型,例如管道、套接字等。 |
FlexDate1 | string | 用于映射时间戳的时间戳字段,该时间戳不适用于本字典中任何其他已定义的时间戳字段。 尽量少用所有弹性字段,尽可能使用字典提供的更具体的字段。 这些字段通常保留给客户使用,除非必要,供应商不应进行设置。 |
FlexDate1Label | string | 标签字段是一个字符串,用于描述弹性字段的用途。 |
FlexNumber1 | int | 可用于映射 Int 数据的编号字段,不适用于本字典中的任何其他字段。 |
FlexNumber1Label | string | 述 FlexNumber1 中数值的标签 |
FlexNumber2 | int | 可用于映射 Int 数据的编号字段,不适用于本字典中的任何其他字段。 |
FlexNumber2Label | string | 述 FlexNumber2 中数值的标签 |
FlexString1 | string | 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 这些字段通常保留给客户使用,除非必要,供应商不应进行设置。 |
FlexString1Label | string | 标签字段是一个字符串,用于描述弹性字段的用途。 |
FlexString2 | string | 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 这些字段通常保留给客户使用,除非必要,供应商不应进行设置。 |
FlexString2Label | string | 标签字段是一个字符串,用于描述弹性字段的用途。 |
IndicatorThreatType | string | MaliciousIP 威胁类型,视 TI 源而定。 |
_IsBillable | string | 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
LogSeverity | string | 用于描述事件重要性的字符串或整数。 有效字符串值:未知、低、中、高、高。有效整数值为:0-3 = 低,4-6 = 中,7-8 = 高,9-10 = 非常高。 |
MaliciousIP | string | 如果消息中的某个 IP 与当前的 TI 源相关联,它就会显示在这里。 |
MaliciousIPCountry | string | MaliciousIP 所在的国家/地区,视记录引入时的 GEO 信息而定。 |
MaliciousIPLatitude | real | MaliciousIP 所在的纬度,视记录引入时的 GEO 信息而定。 |
MaliciousIPLongitude | real | MaliciousIP 所在的经度,视记录引入时的 GEO 信息而定。 |
消息 | string | 一条消息,提供有关事件的更多详细信息。 |
OldFileCreateTime | string | 旧文件的创建时间。 |
OldFileHash | string | 旧文件的哈希。 |
OldFileID | string | 与旧文件相关联的 ID,例如 inode。 |
OldFileModificationTime | string | 旧文件的上次修改时间。 |
OldFileName | string | 旧文件的名称。 |
OldFilePath | string | 旧文件的完整路径,包括文件名。 例如:C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 或 /usr/bin/zip。 |
OldFilePermission | string | 旧文件的权限。 例如:“2,1,1”。 |
OldFileSize | int | 文件的大小(以字节为单位)。 |
OldFileType | string | 旧文件的文件类型,例如管道、套接字等。 |
OriginalLogSeverity | string | LogSeverity 的非映射版本。 例如:LogSeverity 字段中的 Warning/Critical/Info,而不是规范化的 Low/Medium/High |
ProcessID | int | 定义生成事件的设备上进程的 ID。 |
ProcessName | string | 与事件关联的进程名称。 例如,在 UNIX 中,这是生成 syslog 条目的进程。 |
协议 | string | 用于标识所用第 4 层协议的传输协议。 可能的值包括协议名称,例如 TCP 或 UDP。 |
原因 | string | 生成审核事件的原因。 例如“密码错误”或“未知用户”。 这也可能是错误或返回代码。 示例:“0x1234”。 |
ReceiptTime | string | 收到活动相关事件的时间。 与“Timegenerated”字段不同,后者为日志收集器接收事件的时间。 |
ReceivedBytes | long | 入站传输的字节数。 |
RemoteIP | string | 从事件的方向值派生(如果可能)的远程 IP 地址。 |
RemotePort | string | 从事件的方向值派生(如果可能)的远程端口。 |
ReportReferenceLink | string | 到 TI 源报表的链接。 |
RequestClientApplication | string | 与请求关联的用户代理。 |
RequestContext | string | 描述从中发起请求的内容,例如 HTTP 引用网站。 |
RequestCookies | string | 与请求关联的 Cookie。 |
RequestMethod | string | 用于访问 URL 的方法。 有效值包括 POST、GET 等方法。 |
RequestURL | string | 为 HTTP 请求访问的 URL,包括协议。 例如:http://www/secure.com. |
_ResourceId | 字符串 | 与记录关联的资源的唯一标识符 |
SentBytes | long | 出站传输的字节数。 |
SimplifiedDeviceAction | string | DeviceAction 的映射版本,如 Denied > Deny。 |
SourceDnsDomain | string | 完整 FQDN 的 DNS 域部分。 |
SourceHostName | string | 标识事件在 IP 网络中引用的源。 格式应是与源节点(如果节点可用)关联的完全限定域名 (DQDN)。 例如:host 或 host.domain.com。 |
SourceIP | string | 事件在 IP 网络中引用的源,用作 IPv4 地址。 |
SourceMACAddress | string | 源 MAC 地址。 |
SourceNTDomain | string | 源地址的 Windows 域名。 |
SourcePort | int | 源端口号。 有效端口号为 0 - 65535。 |
SourceProcessId | int | 与事件关联的源进程的 ID。 |
SourceProcessName | string | 事件的源进程名称。 |
SourceServiceName | string | 负责生成事件的服务。 |
SourceSystem | string | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager 、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
SourceTranslatedAddress | string | 标识事件在 IP 网络中引用的已转换源。 |
SourceTranslatedPort | int | 转换后的源端口(例如防火墙)。 有效端口号为 0 - 65535。 |
SourceUserID | string | 按 ID 标识源用户。 |
SourceUserName | string | 按名称标识源用户。 电子邮件地址也会映射到 UserName 字段中。 发件人是输入此字段中的候选项。 |
SourceUserPrivileges | string | 源用户的特权。 有效值包括:Administrator、User、Guest。 |
StartTime | datetime | 事件引用的活动的开始时间。 |
_SubscriptionId | 字符串 | 与记录关联的订阅的唯一标识符 |
TenantId | string | Log Analytics 工作区 ID |
ThreatConfidence | string | MaliciousIP 威胁置信度,视 TI 源而定。 |
ThreatDescription | string | MaliciousIP 威胁说明,视 TI 源而定。 |
ThreatSeverity | int | MaliciousIP 的威胁严重性,视记录引入时的 TI 源而定。 |
TimeGenerated | datetime | 事件收集时间 (UTC)。 |
类型 | 字符串 | 表的名称 |