| 附加字段 |
动态 |
附加信息,使用源提供的不映射到 ASim 的键/值对表示。 |
| _BilledSize(账单大小) |
真实 |
记录大小(字节) |
| DstAppId |
字符串 |
目标应用程序的 ID,由报告设备报告。 |
| DstAppName |
字符串 |
目标应用程序的名称。 |
| DstAppType |
字符串 |
目标应用程序的类型。 |
| DstBytes |
长整型 |
从连接或会话的目标发送到源的字节数。 如果聚合了事件,则 DstBytes 为所有聚合会话的总和。 |
| DstDeviceType |
字符串 |
目标设备的类型。 |
| DstDomain |
字符串 |
目标设备的域。 |
| 目的域类型 |
字符串 |
DstDomain 的类型。 |
| DstDvcId |
字符串 |
目标设备的 ID。 |
| DstDvcIdType |
字符串 |
DstDvcId 的类型。 |
| DstDvcScope |
字符串 |
目标设备所属的云平台范围。 DvcScope 映射到 Azure 上的订阅和 AWS 上的帐户。 |
| DstDvcScopeId |
字符串 |
目标设备所属的云平台范围 ID。 DvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| DstFQDN |
字符串 |
目标设备主机名,包括域信息(如果可用)。 |
| DstGeoCity |
字符串 |
与目标 IP 地址关联的城市。 |
| DstGeoCountry |
字符串 |
与目标 IP 地址关联的国家/地区。 |
| DstGeoLatitude |
真实 |
与目标 IP 地址关联的地理坐标的纬度。 |
| DstGeoLongitude |
真实 |
与目标 IP 地址关联的地理坐标的经度。 |
| DstGeoRegion |
字符串 |
与目标 IP 地址关联的国家/地区中的区域或州/省。 |
| DstHostname |
字符串 |
目标设备主机名,不包括域信息。 |
| DstIpAddr |
字符串 |
连接或会话目标的 IP 地址。 |
| DstMacAddr |
字符串 |
由目标设备用来建立连接或会话的网络接口的 MAC 地址。 |
| DstNatIpAddr |
字符串 |
DstNatIpAddr 表示以下任一地址:如果使用了网络地址转换,则表示目标设备的原始地址,或者表示中间设备用于与源通信的 IP 地址。 |
| DstNatPortNumber |
整数 (int) |
如果中间 NAT 设备报告了该值,则该值是由 NAT 设备用来与源通信的端口。 |
| DstOriginalUserType |
字符串 |
原始目标用户类型(如果源已提供)。 |
| DstPackets |
长整型 |
从连接或会话的目标发送到源的数据包数。 数据包的含义由报告设备定义。 如果聚合了事件,则 DstPackets 为所有聚合会话的总和。 |
| DstPortNumber |
整数 (int) |
目标 IP 端口。 |
| DstUserId |
字符串 |
目标用户的计算机可读的唯一字母数字表示形式。 |
| Dst用户ID类型 |
字符串 |
DstUserId 字段中存储的 ID 的类型。 |
| DstUsername |
字符串 |
目标用户名,包括域信息(如果可用)。 仅当未提供域信息时才使用简单格式。 |
| Dst用户名类型 |
字符串 |
指定 DstUsername 字段中存储的用户名的类型。 |
| Dst用户类型 |
字符串 |
目标用户的类型。 |
| Dvc |
字符串 |
发生了事件或报告了事件的设备的唯一标识符。 |
| DvcAction |
字符串 |
对 Web 会话执行的操作。 |
| DvcDomain |
字符串 |
报告事件的设备的域。 |
| DvcDomainType |
字符串 |
DvcDomain 的类型。 可能的值包括“Windows”和“FQDN”。 |
| DvcFQDN |
字符串 |
发生了事件或报告了事件的设备的主机名。 |
| DvcHostname |
字符串 |
报告事件的设备的主机名。 |
| “DvcId” |
字符串 |
发生了事件或报告了事件的设备的唯一 ID。 |
| DvcIdType |
字符串 |
DvcId 的类型。 |
| DvcIpAddr |
字符串 |
报告事件的设备的 IP 地址。 |
| DvcOriginalAction |
字符串 |
报告设备提供的原始 DvcAction。 |
| 事件计数 |
整数 (int) |
当源支持聚合且单个记录可以表示多个事件时,将使用此值。 |
| 事件结束时间 |
日期/时间 |
事件的结束时间。 如果源支持聚合且记录表示多个事件,则为生成最后一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
| 事件信息 |
字符串 |
常规消息或说明。 |
| 事件原始结果详情 |
字符串 |
源提供的原始结果详细信息。 此值用于派生 EventResultDetails,其中应只包含针对每个架构记录的一个值。 |
| EventOriginalSeverity |
字符串 |
报告设备提供的原始严重性。 此值用于派生 EventSeverity。 |
| 事件原始子类型 |
字符串 |
原始事件子类型或 ID(如果已由源提供)。 例如,此字段用于存储原始 Windows 登录类型。 此值用于派生 EventSubType,其中应只包含针对每个架构记录的一个值。 |
| “EventOriginalType” |
字符串 |
原始事件类型或 ID(如果已由源提供)。 |
| EventOriginalUid |
字符串 |
原始记录的唯一 ID(如果已由源提供)。 |
| 活动主办方 |
字符串 |
事件的所有者,通常是生成事件的部门或子公司。 |
| EventProduct |
字符串 |
生成事件的产品。 |
| 事件产品版本 |
字符串 |
生成事件的产品的版本。 |
| 事件报告链接 |
字符串 |
在资源的事件中提供的 URL,提供有关该事件的更多信息。 |
| 事件结果 |
字符串 |
事件的结果,由以下值之一表示:成功、部分、失败、NA(不适用)。 该值可能不是由源直接提供的,在这种情况下,它来自其他事件字段,例如 EventResultDetails 字段。 |
| 事件结果详情 |
字符串 |
HTTP 状态代码。 |
| 事件模式版本 |
字符串 |
架构的版本。 |
| EventSeverity |
字符串 |
事件的严重性。 有效值为:信息、低、中或高。 |
| 事件开始时间 |
日期/时间 |
事件的开始时间。 如果源支持聚合且记录表示多个事件,则为生成第一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
| 事件子类型 |
字符串 |
事件类型的附加说明(如果适用)。 |
| 事件类型 |
字符串 |
记录报告的操作。 |
| EventVendor |
字符串 |
生成事件的产品的供应商。 |
| 文件内容类型 |
字符串 |
对于 HTTP 上传,该字段表示上传文件的内容类型。 |
| FileMD5 |
字符串 |
对于 HTTP 上传,该字段表示上传文件的 MD5 哈希。 |
| 文件名 |
字符串 |
对于 HTTP 上传,该字段表示上传的文件的名称。 |
| FileSHA1 |
字符串 |
对于 HTTP 上传,该字段表示上传文件的 SHA1 哈希。 |
| FileSHA256 |
字符串 |
对于 HTTP 上传,该字段表示上传文件的 SHA256 哈希。 |
| FileSHA512 |
字符串 |
对于 HTTP 上传,该字段表示上传文件的 SHA512 哈希。 |
| 文件大小 |
整数 (int) |
对于 HTTP 上传,该字段表示上传文件的大小(以字节为单位)。 |
| Http内容格式 |
字符串 |
HttpContentType 的内容格式部分 |
| HttpContentType (HTTP内容类型) |
字符串 |
HTTP 响应内容类型标头。 |
| HttpHost |
字符串 |
HTTP 请求所面向的虚拟 Web 服务器。 |
| HttpReferrer |
字符串 |
HTTP 引用器标头。 |
| HTTP请求方法 |
字符串 |
HTTP 方法。 |
| HTTP请求时间 |
整数 (int) |
向服务器发送请求所用的时间量(以毫秒为单位)。 |
| HttpRequestXff |
字符串 |
HTTP X-Forwarded-For 标头。 |
| HTTP响应时间 |
整数 (int) |
在服务器中接收响应所花费的时间(以毫秒为单位)。 |
| HTTP用户代理 (HttpUserAgent) |
字符串 |
HTTP 用户代理标头。 |
| HttpVersion |
字符串 |
HTTP 请求版本。 |
| _是否计费 |
字符串 |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 网络应用程序协议 |
字符串 |
连接或会话使用的应用程序层协议。 |
| NetworkBytes |
长整型 |
双向发送的字节数。 如果 BytesReceived 和 BytesSent 都存在,则 BytesTotal 应等于它们的总和。 如果聚合了事件,则 NetworkBytes 为所有聚合会话的总和。 |
| 网络连接历史 |
字符串 |
TCP 标志和其他潜在的 IP 标头信息。 |
| NetworkDirection |
字符串 |
连接或会话的方向。 |
| 网络时长 |
整数 (int) |
完成 Web 会话或连接所花费的时间(以毫秒为单位)。 |
| NetworkIcmpCode(网络ICMP代码) |
整数 (int) |
对于 ICMP 消息,该字段表示 RFC 2780(适用于 IPv4 网络连接)或 RFC 4443(适用于 IPv6 网络连接)中所述的 ICMP 消息类型数值。 |
| 网络ICMP类型 |
字符串 |
对于 ICMP 消息,该字段表示 RFC 2780(适用于 IPv4 网络连接)或 RFC 4443(适用于 IPv6 网络连接)中所述的 ICMP 消息类型文本表示形式。 |
| NetworkPackets |
长整型 |
双向发送的数据包数。 如果 PacketsReceived 和 PacketsSent 都存在,则 BytesTotal 应等于它们的总和 。 数据包的含义由报告设备定义。 如果聚合了事件,则 NetworkPackets 为所有聚合会话的总和。 |
| 网络协议 |
字符串 |
连接或会话使用的 IP 协议,在 IANA 协议分配中列出,通常为 TCP、UDP 或 ICMP。 |
| 网络协议版本 |
字符串 |
NetworkProtocol 的版本。 |
| 网络会话ID |
字符串 |
报告设备报告的会话标识符。 |
| _资源ID |
字符串 |
与记录关联的资源的唯一标识符 |
| 规则 |
字符串 |
NetworkRuleName 或 NetworkRuleNumber |
| 规则名称 |
字符串 |
确定 DvcAction 时所依据的规则的名称或 ID。 示例:AnyAnyDrop |
| 规则编号 |
整数 (int) |
确定 DvcAction 时所依据的规则的编号。 示例: 23 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| SrcAppId |
字符串 |
源应用程序的 ID(由报告设备报告)。 |
| SrcAppName |
字符串 |
源应用程序的名称。 |
| SrcApp类型 |
字符串 |
源应用程序的类型。 |
| SrcBytes |
长整型 |
从连接或会话的源发送到目标的字节数。 如果聚合了事件,则 SrcBytes 为所有聚合会话的总和。 |
| SrcDeviceType |
字符串 |
源设备的类型。 |
| SrcDomain |
字符串 |
源设备的域。 |
| SrcDomainType |
字符串 |
SrcDomain 的类型。 |
| SrcDvcId |
字符串 |
源设备的 ID。 |
| SrcDvcIdType |
字符串 |
SrcDvcId 的类型。 |
| SrcDvcScope |
字符串 |
源设备所属的云平台范围。 DvcScope 映射到 Azure 上的订阅和 AWS 上的帐户。 |
| SrcDvcScopeId |
字符串 |
源设备所属的云平台范围 ID。 DvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| SrcFQDN |
字符串 |
源设备主机名,包括域信息(如果可用)。 |
| SrcGeoCity |
字符串 |
与源 IP 地址关联的城市。 |
| SrcGeoCountry |
字符串 |
与源 IP 地址关联的国家/地区。 |
| SrcGeoLatitude |
真实 |
与源 IP 地址关联的地理坐标的纬度。 |
| SrcGeoLongitude |
真实 |
与源 IP 地址关联的地理坐标的经度。 |
| SrcGeoRegion |
字符串 |
与源 IP 地址关联的国家/地区中的区域。 |
| SrcHostname |
字符串 |
源设备主机名,不包括域信息。 如果没有可用的设备名称,请存储相关的 IP 地址。 |
| SrcIpAddr |
字符串 |
从中发起了连接或会话的 IP 地址。 |
| SrcMacAddr |
字符串 |
从中发起了连接或会话的网络接口的 MAC 地址。 |
| SrcNatIpAddr |
字符串 |
SrcNatIpAddr 表示以下任一地址:如果使用了网络地址转换,则表示源设备的原始地址,或者表示中间设备用于与目标通信的 IP 地址。 |
| SrcNatPortNumber |
整数 (int) |
如果中间 NAT 设备报告了该值,则该值是由 NAT 设备用来与目标通信的端口。 |
| SrcOriginalUserType |
字符串 |
原始目标用户类型(如果报告设备已提供)。 |
| SrcPackets |
长整型 |
从连接或会话的源发送到目标的数据包数。 数据包的含义由报告设备定义。 如果聚合了事件,则 SrcPackets 为所有聚合会话的总和。 |
| SrcPortNumber |
整数 (int) |
从中发起了连接的 IP 端口。 可能与包含多个连接的会话无关。 |
| SrcProcessGuid |
字符串 |
源进程的生成的唯一标识符 (GUID)。 |
| SrcProcessId |
字符串 |
源进程的进程 ID (PID)。 |
| SrcProcessName |
字符串 |
源进程的名称。 |
| 用户ID (SrcUserId) |
字符串 |
源用户的计算机可读的唯一字母数字表示形式。 |
| SrcUserIdType |
字符串 |
SrcUserId 字段中存储的 ID 的类型。 |
| SrcUsername |
字符串 |
源用户名,包括域信息(如果可用)。 |
| SrcUsernameType |
字符串 |
指定 SrcUsername 字段中存储的用户名的类型。 |
| SrcUserScope |
字符串 |
定义 SrcUserId 和 SrcUsername 的范围,例如 Azure AD 租户。 |
| SrcUserScopeId |
字符串 |
在其中定义了 SrcUserId 和 SrcUsername 的范围的 ID,例如 Azure AD 租户。 |
| SrcUserType |
字符串 |
源用户的类型。 |
| _SubscriptionId(订阅编号) |
字符串 |
与记录关联的订阅的唯一标识符 |
| 租户ID |
字符串 |
Log Analytics 工作区 ID |
| 威胁类别 |
字符串 |
在 Web 会话中识别到的威胁或恶意软件的类别。 |
| 威胁可信度 |
整数 (int) |
已识别威胁的可信度,规范化为 0 到 100 之间的值。 |
| 威胁领域 (ThreatField) |
字符串 |
已识别出威胁的字段。 该值为 SrcIpAddr、DstIpAddr、Domain 或 DnsResponseName。 |
| 威胁首次报告时间 |
日期/时间 |
IP 地址或域首次被识别为威胁的时间。 |
| 威胁编号 (ThreatId) |
字符串 |
在 Web 会话中识别到的威胁或恶意软件的 ID。 |
| 威胁IP地址 |
字符串 |
已识别出威胁的 IP 地址。 字段 ThreatField 包含 ThreatIpAddr 表示的字段的名称。 |
| 威胁处于活跃状态 |
布尔 |
已识别威胁被视为活动威胁的真实 ID。 |
| 威胁上次报告时间 |
日期/时间 |
上次将 IP 地址或域识别为威胁的时间。 |
| 威胁名称 |
字符串 |
在 Web 会话中识别到的威胁或恶意软件的名称。 |
| 威胁原始信心 |
字符串 |
报告设备报告的已识别威胁的原始可信度。 |
| 威胁原始风险等级 |
字符串 |
报告设备报告的风险级别。 |
| 威胁风险级别 |
整数 (int) |
与会话关联的风险级别。 级别是介于 0 到 100 之间的数字。 |
| TimeGenerated |
日期/时间 |
时间戳 (UTC),反映生成事件的时间。 |
| 类型 |
字符串 |
表的名称 |
| URL |
字符串 |
完整的 HTTP 请求 URL,包括参数。 |
| 网址类别 |
字符串 |
URL 的已定义分组,或 URL 的域部分。 |
| UrlOriginal |
字符串 |
URL 的原始值(如果报告设备修改了 URL,并且已提供这两个值)。 |