从 Sentinel 连接器引入的 VPC 流日志,让你能够捕获进出 AWS VPC 网络接口的 IP 流量。
表特性
| 特征 |
值 |
|
资源类型 |
- |
|
类别 |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是 |
|
引入时转换 |
是 |
|
示例查询 |
是 |
列
| 列 |
类型 |
描述 |
| AccountId |
字符串 |
记录流量的源网络接口所有者的 AWS 帐户 ID。 如果网络接口是由 AWS 服务创建的,例如在创建 VPC 终结点或网络负载均衡器时,则此字段的记录可能显示为未知。 |
| 操作 |
字符串 |
与流量相关联的操作。 |
| AzId |
字符串 |
可用性区域的 ID。 |
| _BilledSize(账单大小) |
真实 |
记录大小(字节) |
| 字节 |
长整型 |
在流期间传输的字节数。 |
| DstAddr |
字符串 |
出站流量的目标地址。 |
| DstPort |
整数 (int) |
流量的目标端口。 |
| EcsClusterArn |
字符串 |
可选。 为日志条目提供唯一标识符后,日志记录可以在单个查询结果中删除具有相同时间戳和 insertId 的重复条目。 |
| EcsClusterName |
字符串 |
可选。 为日志条目提供唯一标识符后,日志记录可以在单个查询结果中删除具有相同时间戳和 insertId 的重复条目。 |
| EcsContainerId |
字符串 |
可选。 为日志条目提供唯一标识符后,日志记录可以在单个查询结果中删除具有相同时间戳和 insertId 的重复条目。 |
| EcsContainerInstanceArn |
字符串 |
可选。 为日志条目提供唯一标识符后,日志记录可以在单个查询结果中删除具有相同时间戳和 insertId 的重复条目。 |
| EcsContainerInstanceId |
字符串 |
可选。 为日志条目提供唯一标识符后,日志记录可以在单个查询结果中删除具有相同时间戳和 insertId 的重复条目。 |
| EcsSecondContainerId |
字符串 |
可选。 为日志条目提供唯一标识符后,日志记录可以在单个查询结果中删除具有相同时间戳和 insertId 的重复条目。 |
| EcsServiceName |
字符串 |
可选。 为日志条目提供唯一标识符后,日志记录可以在单个查询结果中删除具有相同时间戳和 insertId 的重复条目。 |
| EcsTaskArn |
字符串 |
可选。 为日志条目提供唯一标识符后,日志记录可以在单个查询结果中删除具有相同时间戳和 insertId 的重复条目。 |
| EcsTaskDefinitionArn |
字符串 |
可选。 为日志条目提供唯一标识符后,日志记录可以在单个查询结果中删除具有相同时间戳和 insertId 的重复条目。 |
| EcsTaskId |
字符串 |
可选。 为日志条目提供唯一标识符后,日志记录可以在单个查询结果中删除具有相同时间戳和 insertId 的重复条目。 |
| 结束 |
日期/时间 |
在聚合间隔内接收到流最后一个数据包的时间。 |
| FlowDirection |
字符串 |
相对于捕获流量的接口的流方向。 |
| 实例ID |
字符串 |
与为其记录流量的网络接口相关联的实例 ID。 |
| InterfaceId |
字符串 |
为其记录流量的网络接口的 ID。 |
| _是否计费 |
字符串 |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 日志状态 |
字符串 |
流日志的日志记录状态。 |
| 数据包数 |
整数 (int) |
在流期间传输的数据包数。 |
| PktDstAddr |
字符串 |
流量的数据包级(原始)目标 IP 地址。 |
| PktDstAwsService |
字符串 |
如果目标 IP 地址用于 AWS 服务,则 PktDstAddr 字段的 IP 地址范围的子集名称。 |
| PktSrcAddr |
字符串 |
流量的数据包级别(原始)源 IP 地址。 |
| PktSrcAwsService |
字符串 |
如果源 IP 地址用于 AWS 服务,则 PktSrcAddr 字段的 IP 地址范围的子集名称。 |
| 协议 |
整数 (int) |
流量的 IANA 协议号。 |
| 区域 |
字符串 |
包含为其记录流量的网络接口的区域。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| SrcAddr |
字符串 |
入站流量的源地址。 |
| SrcPort |
整数 (int) |
流量的源端口。 |
| Start |
日期/时间 |
请求的远程 IP。 |
| SublocationId |
字符串 |
包含为其记录流量的网络接口的子位置 ID。 |
| 子位置类型 |
字符串 |
在 sublocationId 字段中返回的子位置的类型。 |
| SubnetId |
字符串 |
子网的 ID。 |
| TcpFlags |
整数 (int) |
以下 TCP 标志的位掩码值。 |
| 租户ID |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期/时间 |
生成事件时的时间戳 (UTC)。 如果 “开始 ”输入字段为空或缺失,该值将与“start”输入字段或数据到达 Azure Monitor 的时间相同。 |
| TrafficPath |
字符串 |
出口流量到达目标的路径。 |
| 流量类型 |
字符串 |
流量类型。 可能的值为:IPv4、IPv6 和 EFA。 有关详细信息,请搜索“Elastic Fabric Adapter (EFA)”。 |
| 类型 |
字符串 |
表的名称 |
| 版本 |
整数 (int) |
VPC 流日志版本。 |
| VpcId |
字符串 |
VPC 的 ID。 |