| 操作类型 |
字符串 |
触发事件的活动类型。 |
| _BilledSize(账单大小) |
真实 |
记录大小(字节) |
| DeviceId |
字符串 |
设备在服务中的唯一标识符。 |
| 设备名称 |
字符串 |
设备的完全限定的域名 (FQDN)。 |
| InitiatingProcessAccountDomain |
字符串 |
运行对事件负责的进程的账户域。 |
| InitiatingProcessAccountName |
字符串 |
运行负责事件的进程的账户的用户名。 |
| InitiatingProcessAccountObjectId |
字符串 |
运行负责事件的进程的用户帐户的 Azure AD 对象 ID。 |
| InitiatingProcessAccountSid(启动进程帐户SID) |
字符串 |
运行负责事件的进程的帐户的安全标识符 (SID)。 |
| InitiatingProcessAccountUpn |
字符串 |
运行生成事件的进程的账户的用户主体名称 (UPN)。 |
| InitiatingProcessCommandLine |
字符串 |
用于运行启动事件的进程的命令行。 |
| InitiatingProcessCreationTime |
日期/时间 |
启动事件的进程的启动日期和时间。 |
| 启动进程文件名 (InitiatingProcessFileName) |
字符串 |
启动事件的进程的名称。 |
| InitiatingProcessFileSize |
长整型 |
启动事件的进程(图像文件)的大小。 |
| InitiatingProcessFolderPath |
字符串 |
包含启动事件的进程(映像文件)的文件夹。 |
| InitiatingProcessId |
长整型 |
启动事件的进程的 PID(进程 ID)。 |
| InitiatingProcessMD5 |
字符串 |
启动事件的进程(映像文件)的 MD5 哈希。 |
| InitiatingProcessParentCreationTime |
日期/时间 |
事件相关的进程的父进程启动的日期和时间。 |
| InitiatingProcessParentFileName |
字符串 |
生成负责事件的进程的父进程的名称。 |
| InitiatingProcessParentId |
长整型 |
生成事件相关进程的父进程的进程 ID (PID)。 |
| InitiatingProcessSHA1 |
字符串 |
启动事件的进程(映像文件)的 SHA-1 哈希。 |
| InitiatingProcessSHA256 |
字符串 |
生成事件的进程(镜像文件)的 SHA-256 哈希值。 通常不会填充此字段 - 在可用时使用 SHA1 列。 |
| 启动过程签名状态 |
字符串 |
有关启动事件的进程(映像文件)的签名状态的信息。 |
| 启动过程签名者类型 |
字符串 |
启动事件的进程(映像文件)的文件签名者的类型。 |
| InitiatingProcessVersionInfoCompanyName |
字符串 |
负责事件的进程(映像文件)的版本信息中的公司名称。 |
| InitiatingProcessVersionInfoFileDescription |
字符串 |
事件相关进程(映像文件)版本信息中的描述。 |
| InitiatingProcessVersionInfoInternalFileName |
字符串 |
负责事件的进程(映像文件)的版本信息中的内部文件名。 |
| InitiatingProcessVersionInfoOriginalFileName |
字符串 |
事件相关的进程(图像文件)版本信息中的原始文件名。 |
| InitiatingProcessVersionInfoProductName |
字符串 |
负责事件的进程(映像文件)的版本信息中的产品名称。 |
| InitiatingProcessVersionInfoProductVersion |
字符串 |
事件相关进程(映像文件)版本信息中的产品版本。 |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| ReportId |
长整型 |
基于重复计数器的事件标识符。 若要标识唯一事件,此列必须与 DeviceName 和 Timestamp 列结合使用。 |
| RuleLastModificationTime(规则最后修改时间) |
日期/时间 |
上次修改收集事件的规则的日期和时间。 |
| 规则名称 |
字符串 |
收集事件的规则的名称 |
| ScriptContent |
字符串 |
执行脚本的内容。 |
| ScriptContentSHA256 |
字符串 |
对脚本内容进行 SHA256 哈希计算。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| 租户ID |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期/时间 |
MDE 代理在终端设备上记录事件的日期和时间。 |
| 时间戳 |
日期/时间 |
生成记录的日期和时间。 |
| 类型 |
字符串 |
表的名称 |