| AADTenantID |
字符串 |
在其中创建、重命名、修改或删除了受监视实体的订阅的 AAD 租户 ID。 |
| AzureResourceId |
字符串 |
已创建、重命名、修改或删除受监视实体的资源的 Azure 资源 ID。 |
| _BilledSize |
real |
记录大小(字节) |
| ChangeType |
字符串 |
实体上发生的更改的类型。 对于“File”实体,必须是“Created”、“Modified”、“Renamed”或“Deleted”。 对于“Registry”实体,必须是“RegistryKeyCreated”、“RegistryKeyDeleted”、“RegistryValueSet”、“RegistryValueDeleted”、“RegistryKeyRenamed”。 |
| CloudIdentifier |
字符串 |
资源的云标识符。 |
| CloudProvider |
字符串 |
资源的云提供商。 |
| CloudResourceType |
字符串 |
云资源的类型。 |
| Computer |
字符串 |
在其中创建、重命名、修改或删除受监视实体的计算机的名称。 |
| FileMd5 |
字符串 |
与“File”受监视实体类型相关。 保存已修改、创建或删除的文件的 MD5。 |
| FileName |
字符串 |
与“File”受监视实体类型相关。 保存已创建、重命名、修改或删除的文件的名称。 |
| 文件路径 |
字符串 |
与“File”受监视实体类型相关。 保存已创建、重命名、修改或删除的文件的路径。 |
| FileSha1 |
字符串 |
与“File”受监视实体类型相关。 保存已修改、创建或删除的文件的 SHA1。 |
| FileSha256 |
字符串 |
与“File”受监视实体类型相关。 保存已修改、创建或删除的文件的 SHA256。 |
| FileSize |
long |
与“File”受监视实体类型相关。 保存已创建、重命名、修改或删除的文件的当前大小(以字节为单位)。 |
| FileType |
字符串 |
与“File”受监视实体类型相关。 保存已创建、重命名、修改或删除的文件的类型。 可能值的示例:Zip、PDF、Xar 等。 |
| InitiatingProcessAccountDomainName |
字符串 |
保存产生受监视实体事件的启动进程的帐户域名。 |
| InitiatingProcessAccountName |
字符串 |
保存产生受监视实体事件的启动进程的帐户名称。 |
| InitiatingProcessAccountSid |
字符串 |
保存产生受监视实体事件的启动进程的帐户 SID。 |
| InitiatingProcessCreationTime |
日期/时间 |
保存产生受监视实体事件的启动进程的创建时间。 |
| InitiatingProcessFirstSeen |
日期/时间 |
保存产生受监视实体事件的启动进程的首次显示时间。 |
| InitiatingProcessId |
long |
保存产生受监视实体事件的启动进程的进程 ID。 |
| InitiatingProcessImageFileName |
字符串 |
保存产生受监视实体事件的启动进程的映像文件名。 |
| InitiatingProcessImageFilePath |
字符串 |
保存产生受监视实体事件的启动进程的映像文件路径。 |
| InitiatingProcessImageFileType |
字符串 |
保存产生受监视实体事件的启动进程的映像文件类型。 |
| InitiatingProcessName |
字符串 |
保存产生受监视实体事件的启动进程的名称。 |
| InitiatingProcessSessionId |
long |
保存产生受监视实体事件的启动进程的会话 ID。 |
| InitiatingProcessSource |
字符串 |
保存产生受监视实体事件的启动进程的源。 |
| InitProcImageCreationTimeUtc |
日期/时间 |
保存产生受监视实体事件的启动进程的映像的映像创建时间。 |
| InitProcImageFileSizeInBytes |
long |
保存产生受监视实体事件的启动进程的映像文件大小(以字节为单位)。 |
| InitProcImageLastAccessTimeUtc |
日期/时间 |
保存产生受监视实体事件的启动进程的映像的映像上次访问时间。 |
| InitProcImageLastWriteTimeUtc |
日期/时间 |
保存产生受监视实体事件的启动进程的映像的映像上次写入时间。 |
| InitProcImageLsHash |
字符串 |
保存产生受监视实体事件的启动进程的映像的映像 LS 哈希。 |
| InitProcImageMd5 |
字符串 |
保存产生受监视实体事件的启动进程的映像的映像 MD5。 |
| InitProcImagePeTimestampUtc |
日期/时间 |
保存产生受监视实体事件的启动进程的映像的映像 PE 时间。 |
| InitProcImageSha1 |
字符串 |
保存产生受监视实体事件的启动进程的映像的映像 SHA 1。 |
| InitProcImageSha256 |
字符串 |
保存产生受监视实体事件的启动进程的映像的映像 SHA 256。 |
| InitProcVersionInfoCompanyName |
字符串 |
保存产生受监视实体事件的启动进程的版本信息公司名称。 |
| InitProcVersionInfoFileDescription |
字符串 |
保存产生受监视实体事件的启动进程的版本信息文件说明。 |
| InitProcVersionInfoInternalFileName |
字符串 |
保存产生受监视实体事件的启动进程的版本信息内部文件名。 |
| InitProcVersionInfoOriginalFileName |
字符串 |
保存产生受监视实体事件的启动进程的版本信息原始文件名。 |
| InitProcVersionInfoProductName |
字符串 |
保存产生受监视实体事件的启动进程的版本信息产品名称。 |
| InitProcVersionInfoProductVersion |
字符串 |
保存产生受监视实体事件的启动进程的版本信息产品版本。 |
| _IsBillable |
字符串 |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| MonitoredEntityType |
字符串 |
已创建、重命名、修改或删除的受监视实体的类型。 可以是“File”或“Registry”。 |
| NewValueData |
字符串 |
与“Registry”受监视实体类型相关。 保存新的注册表值数据。 |
| NewValueName |
字符串 |
与“Registry”受监视实体类型相关。 保存新的注册表值名称。 |
| NewValueType |
字符串 |
与“Registry”受监视实体类型相关。 保存新的注册表值类型。 |
| OldValueData |
字符串 |
与“Registry”受监视实体类型相关。 保存以前的注册表值数据。 |
| OldValueFullRegistryKey |
字符串 |
与“Registry”受监视实体类型相关。 保存以前的完整注册表项。 |
| OldValueName |
字符串 |
与“Registry”受监视实体类型相关。 保存以前的注册表值名称。 |
| OldValueType |
字符串 |
与“Registry”受监视实体类型相关。 保存以前的注册表值类型。 |
| OriginalFileName |
字符串 |
与“File”受监视实体类型和“Rename”更改类型相关。 保存进行重命名之前所重命名文件的原始名称。 |
| OriginalFilePath |
字符串 |
与“File”受监视实体类型和“Rename”更改类型相关。 保存进行重命名之前所重命名文件的原始路径。 |
| RegistryHive |
字符串 |
与“Registry”受监视实体类型相关。 保存操作系统和应用程序的分组配置设置。 |
| RegistryKey |
字符串 |
与“Registry”受监视实体类型相关。 保存已创建的注册表的完整注册表项或重命名的注册表的新注册表项。 |
| RequestAccountDomain |
字符串 |
与“File”受监视实体类型相关。 保存产生文件事件的用户的帐户的域。 |
| RequestAccountName |
字符串 |
与“File”受监视实体类型相关。 保存产生文件事件的用户的帐户的名称。 |
| RequestAccountSid |
字符串 |
与“File”受监视实体类型相关。 保存产生文件事件的用户的帐户的 SID。 |
| RequestSource |
字符串 |
与“File”受监视实体类型相关。 保存产生文件事件的用户的帐户的源。 例如 Local/SMB/NFS。 |
| RequestSourceIP |
字符串 |
与“File”受监视实体类型相关。 保存产生文件事件的用户的帐户的源 IP。 对于远程文件,请求来自的 IP。 |
| RequestSourcePort |
字符串 |
与“File”受监视实体类型相关。 保存产生文件事件的用户的帐户的源端口。 对于远程文件,请求来自的端口。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| TenantId |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期/时间 |
创建、重命名、修改或删除受监视实体的时间 (UTC)。 |
| 类型 |
字符串 |
表的名称 |