此表是标识和网络访问的一部分,其中包含网络流量访问日志。 这些日志可用于策略、风险和流量管理,以及监视用户体验。
数据表属性
| Attribute |
Value |
|
资源类型 |
- |
|
Categories |
安全性、网络、IT & 管理工具 |
|
Solutions |
LogManagement |
|
基本日志 |
Yes |
|
引入时 DCR 支持 |
Yes |
|
仅湖引入 |
Yes |
|
示例查询 |
- |
Columns
| Column |
类型 |
Description |
| AccessType |
字符串 |
所访问应用程序的类型。 访问类型选项:QuickAccess、PrivateAccess。 |
| Action |
字符串 |
对网络会话执行的操作。 已允许,已拒绝。 |
| AgentVersion |
字符串 |
连接的代理的版本。 |
| AIAgentId |
字符串 |
与流量关联的 AI 代理的唯一标识符。 |
| AIAgentName |
字符串 |
与流量关联的 AI 代理的名称。 |
| AppId |
字符串 |
事务期间在 Azure AD 中访问的目标应用程序 ID。 |
| AppSegmentId |
字符串 |
事务期间从 Azure AD 访问的目标应用程序段 ID。 |
| _BilledSize |
real |
记录大小(字节) |
| CloudAppCatalogId |
字符串 |
saas 应用程序目录中应用程序的 ID。 |
| CloudAppCategories |
字符串 |
云应用程序的类别列表(即社交媒体、搜索、生成 AI)。 |
| CloudAppCategory |
字符串 |
云应用程序的类别(即社交媒体、搜索、生成 AI)。 |
| CloudAppComplianceScore |
int |
应用程序的符合性分数。 |
| CloudAppGeneralScore |
int |
应用程序的一般分数。 |
| CloudAppLegalScore |
int |
应用程序的法律分数。 |
| CloudAppLoginUser |
字符串 |
用于登录到应用程序的用户名。 |
| CloudAppName |
字符串 |
应用程序的名称(例如 chatGPT、SalesForce、Bing)。 |
| CloudAppRiskScore |
int |
应用程序的风险评分。 |
| ConnectionId |
字符串 |
表示从中启动此流量日志的连接的唯一标识符。 |
| ConnectionStatus |
字符串 |
连接的状态。 状态选项:Open、Active、Closed。 |
| ConnectorId |
字符串 |
专用访问连接器 ID。 |
| ConnectorIp |
字符串 |
专用访问连接器 IP。 |
| ConnectorName |
字符串 |
专用访问连接器名称。 |
| Description |
字符串 |
描述流量的其他详细信息。 |
| DestinationFqdn |
字符串 |
目标设备主机名,包括域信息(如果可用)。 |
| DestinationIp |
字符串 |
连接或会话目标的 IP 地址。 |
| DestinationPort |
int |
目标 IP 端口。 |
| DestinationUrl |
字符串 |
连接或会话目标的 URL 链接。 |
| DestinationWebCategories |
字符串 |
目标 FQDN 的 Web 类别。 |
| DeviceCategory |
字符串 |
事务源自的设备类型。 客户、分店。 |
| DeviceId |
字符串 |
记录中报告的源设备的 ID。 |
| DeviceOperatingSystem |
字符串 |
连接操作系统类型的客户端。 |
| DeviceOperatingSystemVersion |
字符串 |
连接操作系统版本的客户端。 |
| DnsResponseOrigin |
字符串 |
流量的 DNS 响应的源。 可能的值:缓存、Onprem。 |
| FilteringProfileId |
字符串 |
与在流量上执行的操作关联的筛选配置文件的 ID。 |
| FilteringProfileName |
字符串 |
与在流量上执行的操作关联的筛选配置文件的名称。 |
| HttpMethod |
字符串 |
请求中使用的 http 方法。 |
| HttpRequestContentType |
字符串 |
HTTP 请求标头中指定的内容类型。 |
| HttpResponseContentType |
字符串 |
HTTP 响应标头中指定的内容类型。 |
| HttpUserAgent |
字符串 |
HTTP 请求标头中的用户代理字符串。 |
| InitiatingProcessName |
字符串 |
启动流量事务的进程。 |
| _IsBillable |
字符串 |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| KerberosClientName |
字符串 |
身份验证期间与客户端关联的名称。 |
| KerberosErrorCode |
int |
Kerberos 错误代码 (0-81)。 有关相应的错误名称,请参阅 KerberosErrorCodeName。 |
| KerberosErrorCodeName |
字符串 |
Kerberos 错误代码名称。 可能的值:KDC_ERR_NONE(0)、KDC_ERR_NAME_EXP(1)、KDC_ERR_SERVICE_EXP(2)、KDC_ERR_BAD_PVNO(3)、KDC_ERR_C_OLD_MAST_KVNO(4)、KDC_ERR_S_OLD_MAST_KVNO(5)、KDC_ERR_C_PRINCIPAL_UNKNOWN(6)、KDC_ERR_S_PRINCIPAL_UNKNOWN(7)、KDC_ERR_PRINCIPAL_NOT_UNIQUE(8)、KDC_ERR_NULL_KEY (9) KDC_ERR_CANNOT_POSTDATE (10), KDC_ERR_NEVER_VALID (11), KDC_ERR_POLICY (12), KDC_ERR_BADOPTION (13), KDC_ERR_ETYPE_NOSUPP (14), KDC_ERR_SUMTYPE_NOSUPP (15), KDC_ERR_PADATA_TYPE_NOSUPP (16), KDC_ERR_TRTYPE_NOSUPP (17), KDC_ERR_CLIENT_REVOKED (18), KDC_ERR_SERVICE_REVOKED (19), KDC_ERR_TGT_REVOKED (20), KDC_ERR_CLIENT_NOTYET (21), KDC_ERR_SERVICE_NOTYET (22), KDC_ERR_KEY_EXPIRED (23), KDC_ERR_PREAUTH_FAILED (24), KDC_ERR_PREAUTH_REQUIRED (25), KDC_ERR_SERVER_NOMATCH (26), KDC_ERR_MUST_USE_USER2USER (27), KDC_ERR_PATH_NOT_ACCEPTED (28), KDC_ERR_SVC_UNAVAILABLE (29), KRB_AP_ERR_BAD_INTEGRITY (31), KRB_AP_ERR_TKT_EXPIRED (32), KRB_AP_ERR_TKT_NYV (33), KRB_AP_ERR_REPEAT (34), KRB_AP_ERR_NOT_US (35), KRB_AP_ERR_BADMATCH (36), KRB_AP_ERR_SKEW (37), KRB_AP_ERR_BADADDR (38), KRB_AP_ERR_BADVERSION (39), KRB_AP_ERR_MSG_TYPE (40), KRB_AP_ERR_MODIFIED (41), KRB_AP_ERR_BADORDER (42), KRB_AP_ERR_BADKEYVER (44), KRB_AP_ERR_NOKEY (45), KRB_AP_ERR_MUT_FAIL (46), KRB_AP_ERR_BADDIRECTION (47), KRB_AP_ERR_METHOD (48), KRB_AP_ERR_BADSEQ (49), KRB_AP_ERR_INAPP_CKSUM (50), KRB_AP_PATH_NOT_ACCEPTED (51), KRB_ERR_RESPONSE_TOO_BIG (52), KRB_ERR_GENERIC (60), KRB_ERR_FIELD_TOOLONG (61), KDC_ERR_CLIENT_NOT_TRUSTED (62), KDC_ERR_KDC_NOT_TRUSTED (63), KDC_ERR_INVALID_SIG (64), KDC_ERR_DH_KEY_PARAMETERS_NOT_ACCEPTED (65), KDC_ERR_CERTIFICATE_MISMATCH (66), KRB_AP_ERR_NO_TGT (67), KDC_ERR_WRONG_REALM (68), KRB_AP_ERR_USER_TO_USER_REQUIRED (69), KDC_ERR_CANT_VERIFY_CERTIFICATE (70), KDC_ERR_INVALID_CERTIFICATE (71), KDC_ERR_REVOKED_CERTIFICATE (72), KDC_ERR_REVOCATION_STATUS_UNKNOWN (73), KDC_ERR_REVOCATION_STATUS_UNAVAILABLE(74),KDC_ERR_CLIENT_NAME_MISMATCH(75),KDC_ERR_KDC_NAME_MISMATCH(76),KDC_ERR_INCONSISTENT_KEY_PURPOSE(77),KDC_ERR_DIGEST_IN_CERT_NOT_ACCEPTED(78),KDC_ERR_PA_CHECKSUM_MUST_BE_INCLUDED(79),KDC_ERR_DIGEST_IN_SIGNED_DATA_NOT_ACCEPTED(80),KDC_ERR_PUBLIC_KEY_ENCRYPTION_NOT_SUPPORTED(81)。 |
| KerberosErrorText |
字符串 |
Kerberos 错误文本说明。 |
| KerberosMsgType |
字符串 |
Kerberos 消息类型编号(AS/TGS)。 可能的值:10(AS_REQ)、11(AS_REP)、12(TGS_REQ)、13(TGS_REP)。 |
| KerberosNonce |
int |
请求/回复匹配的随机数。 |
| NetworkProtocol |
字符串 |
网络协议、IPv6 或 IPv4。 |
| OnPremAccount |
字符串 |
请求票证的客户端主体名称。 |
| OriginHeader |
字符串 |
源标头值。 |
| PolicyId |
字符串 |
请求被其规则拒绝的策略的 ID。 |
| PolicyName |
字符串 |
与在流量上执行的操作关联的筛选策略的名称。 |
| PolicyRuleId |
字符串 |
据以拒绝请求的规则的 ID。 |
| ProcessingRegion |
字符串 |
后端服务在其中处理请求的区域。 |
| 领域 |
字符串 |
目标服务的 Kerberos 领域。 |
| ReceivedBytes |
long |
收到的字节数。 |
| ReferrerHeader |
字符串 |
Referrer 标头值。 |
| RemoteNetworkId |
字符串 |
用于发送或接收流量的 ID,提供对流量来源的可见性。 |
| ResourceTenantId |
字符串 |
负责资源的租户 ID。 |
| ResponseCode |
int |
从服务器返回的响应代码。 |
| RuleName |
字符串 |
与在流量上执行的操作关联的规则的名称。 |
| SentBytes |
long |
已发送的字节数。 |
| 服务主体名称 (ServicePrincipalName) |
字符串 |
客户端尝试访问的目标服务。 |
| SessionId |
字符串 |
表示会话的唯一标识符。 |
| SourceIp |
字符串 |
从中发起了连接或会话的 IP 地址。 |
| SourcePort |
int |
从中发起了连接的 IP 端口。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| TenantId |
字符串 |
Log Analytics 工作区 ID |
| ThreatType |
字符串 |
与流量关联的已识别威胁类型。 |
| TimeGenerated |
日期/时间 |
生成事件的日期和时间 (UTC)。 |
| TlsAction |
字符串 |
对流量执行的 TLS 操作。 |
| TlsPolicyId |
字符串 |
应用于流量的 TLS 策略的唯一令牌识别码。 |
| TlsPolicyName |
字符串 |
应用于流量的 TLS 策略的名称。 |
| TlsRuleId |
字符串 |
应用于流量的 TLS 规则的唯一标识符。 |
| TlsRuleName |
字符串 |
应用于流量的 TLS 规则的名称。 |
| TlsStatus |
字符串 |
Tls 选项的状态。 |
| Token3PExpiry |
日期/时间 |
用于访问专用访问应用程序的访问令牌的到期日期。 |
| Token3PIssuedAt |
日期/时间 |
用于访问专用访问应用程序的访问令牌的颁发日期。 |
| Token3PUniqueId |
字符串 |
用于访问专用访问应用程序的访问令牌的唯一令牌标识符。 |
| Token3PValidFrom |
日期/时间 |
用于访问专用访问应用程序的访问令牌的有效性日期。 |
| TrafficType |
字符串 |
目标目标流量的类型。 |
| TransactionId |
字符串 |
表示请求响应往返的唯一标识符。 |
| TransportProtocol |
字符串 |
连接或会话使用的 IP 协议,在 IANA 协议分配中列出。 |
| 类型 |
字符串 |
表的名称 |
| UniqueTokenId |
字符串 |
唯一令牌标识符。 |
| UserId |
字符串 |
源用户的计算机可读的唯一字母数字表示形式。 |
| UserPrincipalName |
字符串 |
源用户名,包括域信息(如果可用)。 |
| VendorNames |
字符串 |
检测到威胁的供应商的名称。 |
| XForwardedFor |
字符串 |
HTTP 请求的 X-Forwarded-For 标头。 |