Microsoft Sentinel规范化代理事件日志表。 存储与代理交互关联的事件,确保跨不同数据源进行一致且高效的分析。
数据表属性
| Attribute |
价值 |
|
资源类型 |
microsoft.securityinsights/agenteventnormalized |
|
Categories |
安全性 |
|
Solutions |
SecurityInsights |
|
基本日志 |
No |
|
引入时 DCR 支持 |
No |
|
仅湖引入 |
是的 |
|
示例查询 |
Yes |
列
| 列 |
类型 |
Description |
| ActingAppId |
字符串 |
启动事件的应用程序的标识符。 |
| ActingAppName |
字符串 |
启动事件的应用程序的名称。 |
| ActingAppType |
字符串 |
启动事件的应用程序的类型。 |
| ActorUserId |
字符串 |
执行组件用户的唯一标识符。 |
| ActorUserIdType |
字符串 |
执行组件用户标识符的类型。 |
| ActorUsername |
字符串 |
行为主体的用户名。 |
| ActorUsernameType |
字符串 |
执行组件用户名的类型。 |
| ActorUserScope |
字符串 |
执行组件用户的范围。 |
| ActorUserScopeId |
字符串 |
执行组件用户的范围标识符。 |
| AdditionalFields |
dynamic |
其他字段未涵盖的其他信息,存储为键值对。 |
| _BilledSize |
real |
记录大小(字节) |
| 事件计数 |
int |
此记录中聚合的事件数。 |
| EventEndTime |
日期/时间 |
事件的结束时间。 |
| EventErrorDetails |
字符串 |
有关事件期间发生的任何错误的详细信息。 |
| EventFinishReasons |
dynamic |
事件完成的原因。 |
| EventOriginalErrorType |
字符串 |
源提供的原始错误类型。 |
| EventOriginalRequestDetails |
字符串 |
源提供的原始请求详细信息。 |
| EventOriginalResultDetails |
字符串 |
源提供的原始结果详细信息。 |
| EventOriginalType |
字符串 |
源提供的原始事件类型。 |
| EventOriginalUid |
字符串 |
源提供的事件的原始唯一标识符。 |
| EventOutputType |
字符串 |
事件输出的类型。 |
| EventProduct |
字符串 |
生成事件的产品。 |
| EventRequestFrequencyPenalty |
real |
事件请求中使用的频率惩罚参数。 |
| EventRequestId |
字符串 |
与事件关联的请求的唯一标识符。 |
| EventRequestPresencePenalty |
real |
事件请求中使用的状态惩罚参数。 |
| EventRequestSeed |
long |
事件请求中使用的种子参数,用于可重现性。 |
| EventRequestTemperature |
real |
事件请求中使用的温度参数。 |
| EventRequestTopP |
real |
事件请求中使用的 top-p(核采样)参数。 |
| EventResponseId |
字符串 |
与事件关联的响应的唯一标识符。 |
| 事件架构 |
字符串 |
事件的 ASIM 架构的名称。 |
| EventSchemaVersion |
字符串 |
使用的 ASIM 架构的版本。 |
| EventSessionId |
字符串 |
事件会话的唯一标识符。 |
| EventSessionName |
字符串 |
事件会话的名称。 |
| EventStartTime |
日期/时间 |
事件的开始时间。 |
| EventThoughtProcessDetails |
字符串 |
有关事件期间的想法过程或推理的详细信息。 |
| EventThoughtProcessId |
字符串 |
与事件关联的思维过程的唯一标识符。 |
| 事件类型 |
字符串 |
事件类型。 |
| EventUid |
字符串 |
事件的唯一标识符。 |
| EventVendor |
字符串 |
生成事件的产品的供应商。 |
| InputTokensUsed |
long |
事件期间使用的输入令牌数。 |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 模型名 |
字符串 |
事件中使用的模型的名称。 |
| ModelProviderName |
字符串 |
模型提供程序的名称。 |
| OutputTokensUsed |
long |
事件期间生成的输出令牌数。 |
| PlatformTargetAgentDescription |
字符串 |
平台目标代理的说明。 |
| PlatformTargetAgentId |
字符串 |
平台目标代理的唯一标识符。 |
| PlatformTargetAgentName |
字符串 |
平台目标代理的名称。 |
| PlatformTargetOriginalAgentType |
字符串 |
源报告的平台目标代理的原始类型。 |
| _ResourceId |
字符串 |
与记录关联的资源的唯一标识符 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure 诊断 的 Azure。 |
| SrcAgentBlueprintId |
字符串 |
源代理的蓝图标识符。 |
| SrcAgentDescription |
字符串 |
源代理的说明。 |
| SrcAgentId |
字符串 |
源代理的唯一标识符。 |
| SrcAgentName |
字符串 |
源代理的名称。 |
| SrcAgentOriginalType |
字符串 |
源所报告的源代理的原始类型。 |
| SrcFQDN |
字符串 |
源的完全限定域名。 |
| SrcIpAddr |
字符串 |
源的 IP 地址。 |
| SrcPortNumber |
int |
源的端口号。 |
| _SubscriptionId |
字符串 |
唯一标识符,用于识别与此记录关联的订阅 |
| TargetAgentBlueprintId |
字符串 |
目标代理的蓝图标识符。 |
| TargetAgentDescription |
字符串 |
目标代理的说明。 |
| TargetAgentId |
字符串 |
目标代理的唯一标识符。 |
| TargetAgentName |
字符串 |
目标代理的名称。 |
| TargetAgentOriginalType |
字符串 |
源报告的目标代理的原始类型。 |
| TargetAgentUserId |
字符串 |
与目标代理关联的用户标识符。 |
| TargetAgentUsername |
字符串 |
与目标代理关联的用户名。 |
| TenantId |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期/时间 |
生成日志的时间戳 (UTC)。 |
| ToolDescription |
字符串 |
事件中使用的工具的说明。 |
| ToolId |
字符串 |
事件中使用的工具的唯一标识符。 |
| ToolName |
字符串 |
事件中使用的工具的名称。 |
| ToolOriginalType |
字符串 |
源报告的工具的原始类型。 |
| 类型 |
字符串 |
表的名称 |