| AdditionalFields |
动态 |
附加信息,使用源提供的不映射到 ASim 的键/值对表示。 |
| _BilledSize |
real |
记录大小(字节) |
| DnsFlags |
string |
DNS 请求标志,由报告设备提供。 DNS 标志信息的结构可能因不同的报告设备而异。 |
| DnsFlagsAuthenticated |
布尔 |
与 DNSSEC 相关的 DNS 身份验证应答标志在响应中表示,响应的应答和权限部分中包含的所有数据都已由服务器根据该服务器的策略进行了验证。 有关详细信息,请参阅 RFC 3655 第 6.1 节。 |
| DnsFlagsAuthoritative |
布尔 |
DNS 权威应答标志指示来自服务器的响应是否具有权威性。 |
| DnsFlagsCheckingDisabled |
布尔 |
与 DNSSEC 相关的 DNS CD 标志在查询中指示发送查询的系统可以接受未经验证的数据。 |
| DnsFlagsRecursionAvailable |
布尔 |
DNS RA 标志在响应中指示该服务器支持递归查询。 |
| DnsFlagsRecursionDesired |
布尔 |
DNS 递归期望标志在请求中指示该客户端希望服务器使用递归查询。 |
| DnsFlagsTruncated |
布尔 |
DNS TC 标志指示响应被截断,因为它超过了最大响应大小。 |
| DnsFlagsZ |
布尔 |
DNS Z 标志是一个已弃用的 DNS 标志,旧 DNS 系统可能会报告它。 |
| DnsNetworkDuration |
int |
完成 DNS 请求所花费的时间,以毫秒为单位。 |
| DnsQuery |
string |
需要解析的域。 |
| DnsQueryClass |
int |
由 Internet 编号分配机构 (IANA) 定义的 DNS 类 ID。 |
| DnsQueryClassName |
string |
由 Internet 编号分配机构 (IANA) 定义的 DNS 类名称。 |
| DnsQueryType |
int |
由 Internet 编号分配机构 (IANA) 定义的 DNS 资源记录类型代码。 |
| DnsQueryTypeName |
string |
由 Internet 编号分配机构 (IANA) 定义的 DNS 资源记录类型名称。 |
| DnsResponseCode |
int |
由 Internet 编号分配机构 (IANA) 定义的 DNS 数字响应代码。 |
| DnsResponseIpCity |
string |
与响应 IP 地址关联的城市。 |
| DnsResponseIpCountry |
string |
与响应 IP 地址关联的国家/地区。 |
| DnsResponseIpLatitude |
real |
与响应 IP 地址关联的地理坐标的纬度。 |
| DnsResponseIpLongitude |
real |
与响应 IP 地址关联的地理坐标的经度。 |
| DnsResponseIpRegion |
string |
与源 IP 地址关联的国家/地区中的区域或州/省。 |
| DnsResponseName |
string |
响应的内容,包含在记录中。 DNS 响应数据的结构可能因不同的报告设备而异。 |
| DnsSessionId |
string |
报告设备报告的 DNS 会话标识符。 |
| Dst |
string |
接收 DNS 请求的服务器的唯一标识符。 |
| DstDescription |
string |
与目标关联的描述性文本。 |
| DstDeviceType |
string |
目标设备的类型。 |
| DstDomain |
string |
目标设备的域。 |
| DstDomainType |
string |
DstDomain 的类型。 |
| DstDvcId |
string |
目标设备的 ID。 |
| DstDvcIdType |
string |
DstDvcId 的类型。 |
| DstDvcScope |
string |
目标设备所属的云平台范围。 DvcScope 映射到 Azure 上的订阅和 AWS 上的帐户。 |
| DstDvcScopeId |
string |
目标设备所属的云平台范围 ID。 DvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| DstFQDN |
string |
目标设备主机名,包括域信息(如果可用)。 |
| DstGeoCity |
string |
与目标 IP 地址关联的城市。 |
| DstGeoCountry |
string |
与目标 IP 地址关联的国家/地区。 |
| DstGeoLatitude |
real |
与目标 IP 地址关联的地理坐标的纬度。 |
| DstGeoLongitude |
real |
与目标 IP 地址关联的地理坐标的经度。 |
| DstGeoRegion |
string |
与目标 IP 地址关联的国家/地区中的区域或州/省。 |
| DstHostname |
string |
目标设备主机名,不包括域信息。 |
| DstIpAddr |
string |
接收 DNS 请求的服务器的 IP 地址。 对于常规 DNS 请求,此值通常为报告设备,并且在大多数情况下设置为 127.0.0.1。 |
| DstOriginalRiskLevel |
string |
与目标设备关联的风险级别,由报告设备报告。 |
| DstPortNumber |
int |
目标端口号。 |
| DstRiskLevel |
int |
与目标设备关联的风险级别。 |
| Dvc |
string |
报告事件的设备的唯一标识符。 标识符可以是 IP 地址、主机名或设备 ID。 |
| DvcAction |
string |
报告设备针对请求执行的操作,例如阻止它。 |
| DvcDescription |
string |
与设备关联的描述性文本。 例如:主域控制器。 |
| DvcDomain |
string |
报告事件的设备的域。 |
| DvcDomainType |
string |
DvcDomain 的类型。 可能的值包括“Windows”和“FQDN”。 |
| DvcFQDN |
string |
报告事件的设备的完全限定主机名(包括域信息)。 |
| DvcHostname |
string |
报告事件的设备的主机名。 |
| “DvcId” |
string |
报告事件的设备的唯一 ID。 |
| DvcIdType |
string |
DvcId 的类型。 |
| DvcInterface |
string |
捕获数据的网络接口。 此字段通常与由中间或点击设备捕获的网络相关活动相关。 |
| DvcIpAddr |
string |
报告事件的设备的 IP 地址。 |
| DvcMacAddr |
string |
报告事件的设备的 MAC 地址。 |
| DvcOriginalAction |
string |
报告设备提供的原始 DvcAction。 |
| DvcOs |
string |
报告事件的设备上运行的操作系统。 |
| DvcOsVersion |
string |
报告事件的设备上的操作系统版本。 |
| DvcScope |
string |
设备所属的云平台范围。 DvcScope 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| DvcScopeId |
string |
设备所属的云平台范围 ID。 DvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| DvcZone |
string |
报告事件的设备的网段。 |
| EventCount |
int |
记录描述的事件数。 当源支持聚合且单个记录可以表示多个事件时,将使用此值。 |
| EventEndTime |
datetime |
事件的结束时间。 如果源支持聚合且记录表示多个事件,则为生成最后一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
| EventMessage |
string |
常规消息或说明。 |
| EventOriginalSeverity |
string |
报告设备提供的原始严重性。 此值用于派生 EventSeverity。 |
| “EventOriginalType” |
string |
原始事件类型或 ID,例如原始 Windows 事件 ID。 |
| EventOriginalUid |
string |
原始记录的唯一 ID。 |
| EventOwner |
string |
事件的所有者,通常是生成事件的部门或子公司。 |
| EventProduct |
string |
生成事件的产品。 |
| EventProductVersion |
string |
生成事件的产品的版本。 |
| EventReportUrl |
string |
提供有关事件的其他信息的资源的 URL。 |
| EventResult |
string |
事件的结果,由以下值之一表示:成功、部分、失败、NA(不适用)。 该值可能不是由源直接提供的,在这种情况下,它来自其他事件字段,例如 EventResultDetails 字段。 |
| EventResultDetails |
string |
由 Internet 编号分配机构 (IANA) 定义的 DNS 响应代码。 |
| EventSchemaVersion |
string |
架构的版本。 |
| EventSeverity |
string |
事件的严重性。 有效值为:信息、低、中或高。 |
| EventStartTime |
datetime |
事件的开始时间。 如果源支持聚合且记录表示多个事件,则为生成第一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
| EventSubType |
string |
request 或 response。 |
| EventType |
string |
指示记录报告的操作。 对于 DNS 活动事件,此值是由 Internet 编号分配机构 (IANA) 定义的 DNS 操作码。 |
| EventVendor |
string |
生成事件的产品的供应商。 |
| _IsBillable |
string |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| NetworkProtocol |
string |
网络解析事件使用的传输协议。 值可以是 UDP 或 TCP。 |
| NetworkProtocolVersion |
string |
网络协议的版本。 通常用于区分 IPv4 和 Ipv6。 |
| _ResourceId |
字符串 |
与记录关联的资源的唯一标识符 |
| RuleName |
string |
与检查结果关联的规则的名称或 ID。 |
| RuleNumber |
int |
与检查结果关联的规则的数量。 |
| SourceSystem |
string |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| Src |
string |
目标设备的唯一标识符。 |
| SrcDescription |
string |
与检查结果关联的规则的数量。 |
| SrcDeviceType |
string |
源设备的类型。 |
| SrcDomain |
string |
源设备的域。 |
| SrcDomainType |
string |
SrcDomain 的类型。 |
| SrcDvcId |
string |
源设备的 ID。 |
| SrcDvcIdType |
string |
SrcDvcId 的类型。 |
| SrcDvcScope |
string |
源设备所属的云平台范围。 DvcScope 映射到 Azure 上的订阅和 AWS 上的帐户。 |
| SrcDvcScopeId |
string |
源设备所属的云平台范围 ID。 DvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| SrcFQDN |
string |
源设备主机名,包括域信息。 |
| SrcGeoCity |
string |
与源 IP 地址关联的城市。 |
| SrcGeoCountry |
string |
与源 IP 地址关联的国家/地区。 |
| SrcGeoLatitude |
real |
与源 IP 地址关联的地理坐标的纬度。 |
| SrcGeoLongitude |
real |
与源 IP 地址关联的地理坐标的经度。 |
| SrcGeoRegion |
string |
与源 IP 地址关联的国家/地区中的区域或州/省。 |
| SrcHostname |
string |
源设备主机名,不包括域信息。 |
| SrcIpAddr |
string |
发送 DNS 请求的客户端的 IP 地址。 对于递归 DNS 请求,此值通常为报告设备,并且在大多数情况下设置为 127.0.0.1。 |
| SrcOriginalRiskLevel |
string |
与源设备关联的风险级别,由报告设备报告。 |
| SrcOriginalUserType |
string |
源提供的原始源用户类型。 |
| SrcPortNumber |
int |
DNS 查询的源端口。 |
| SrcProcessGuid |
string |
为发起 DNS 请求的进程生成的唯一标识符 (GUID)。 |
| SrcProcessId |
string |
发起 DNS 请求的进程的进程 ID (PID)。 |
| SrcProcessName |
string |
发起 DNS 请求的进程的名称。 |
| SrcRiskLevel |
int |
与源设备关联的风险级别。 |
| SrcUserId |
string |
源用户的计算机可读的唯一字母数字表示形式。 |
| SrcUserIdType |
string |
SrcUserId 字段中存储的 ID 的类型。 |
| SrcUsername |
string |
源用户名,包括域信息(如果可用)。 |
| SrcUsernameType |
string |
SrcUsername 字段中存储的用户名的类型。 |
| SrcUserScope |
string |
定义 SrcUserId 和 SrcUsername 的范围,例如 Azure AD 租户。 |
| SrcUserScopeId |
string |
在其中定义了 SrcUserId 和 SrcUsername 的范围的 ID,例如 Azure AD 租户。 |
| SrcUserSessionId |
string |
源用户登录会话的唯一 ID。 |
| SrcUserType |
string |
源用户的类型。 |
| _SubscriptionId |
字符串 |
与记录关联的订阅的唯一标识符 |
| TenantId |
string |
Log Analytics 工作区 ID |
| ThreatCategory |
string |
如果 DNS 事件源还提供 DNS 安全性,它还可以评估 DNS 事件。 例如,它可以在威胁情报数据库中搜索 IP 地址或域,并为域或 IP 地址分配威胁类别。 |
| ThreatConfidence |
int |
已识别威胁的可信度,规范化为 0 到 100 之间的值。 |
| ThreatField |
string |
已识别出威胁的字段。 该值为 SrcIpAddr、DstIpAddr、Domain 或 DnsResponseName。 |
| ThreatFirstReportedTime |
string |
IP 地址或域首次被识别为威胁的时间。 |
| ThreatFirstReportedTime_d |
datetime |
IP 地址或域首次被识别为威胁的时间。 |
| ThreatId |
string |
在 Web 会话中识别到的威胁或恶意软件的 ID。 |
| ThreatIpAddr |
string |
已识别出威胁的 IP 地址。 字段 ThreatField 包含 ThreatIpAddr 表示的字段的名称。 如果在 Domain 字段中识别出威胁,则此字段应为空。 |
| ThreatIsActive |
布尔 |
已识别威胁被视为活动威胁的真实 ID。 |
| ThreatLastReportedTime |
string |
上次将 IP 地址或域识别为威胁的时间。 |
| ThreatLastReportedTime_d |
datetime |
上次将 IP 地址或域识别为威胁的时间。 |
| ThreatName |
string |
报告设备报告的已识别威胁的名称。 |
| ThreatOriginalConfidence |
string |
报告设备报告的已识别威胁的原始可信度。 |
| ThreatOriginalRiskLevel |
int |
由报告设备报告的、与已识别威胁相关联的原始风险级别。 |
| ThreatOriginalRiskLevel_s |
string |
与已识别威胁关联的风险级别,规范化为 0 到 100 之间的值。 |
| ThreatRiskLevel |
int |
与已识别威胁关联的风险级别,规范化为 0 到 100 之间的值。 |
| TimeGenerated |
datetime |
时间戳 (UTC),反映生成事件的时间。 |
| TransactionIdHex |
string |
DNS 唯一十六进制事务 ID。 |
| 类型 |
字符串 |
表的名称 |
| UrlCategory |
string |
DNS 事件源还可以查找所请求域的类别。 |