根据各种预定义规则的流数据,建议使用流量分析规则。
数据表属性
| Attribute |
价值 |
|
资源类型 |
- |
|
类别 |
网络 |
|
解决方案 |
日志管理 |
|
基本日志 |
否 |
|
引入时转换 |
否 |
|
示例查询 |
是的 |
列
| 列 |
类型 |
Description |
| 附加属性 |
字符串 |
与建议规则相关的其他属性的占位符。 |
| _BilledSize(账单大小) |
real |
记录大小(字节) |
| DestPortsRanges |
字符串 |
目标资源 ID 上目标端口范围的逗号分隔列表。 |
| DestPublicIpCidrs |
字符串 |
出站流的 CIDR 格式的公共目标 IP。 |
| DestServiceTagsList |
字符串 |
与出站流的目标流量关联的服务标记。 |
| DestSubscriptionId |
字符串 |
接收流量的目标资源 ID 的订阅 ID。 |
| EndTime |
日期/时间 |
流观察窗口的结束时间。 |
| IpRegionDetails |
字符串 |
涉及 IP 地址的区域信息。 |
| IpUrls |
字符串 |
恶意 IP 的 URL 列表。 |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| L4Protocol |
字符串 |
流量中使用的第 4 层协议。 可能的值为 TCP、UDP。 |
| PortCategory |
字符串 |
指示基于已知或常用端口范围的目标端口的分类。 |
| RecommendedAction |
字符串 |
针对建议规则的建议作。 可能的值为 Allow、Block、Advisory。 |
| RecommendedRuleName |
字符串 |
建议的规则的名称。 |
| RuleScope |
字符串 |
规则适用的范围。 可能的值为 SubscriptionId、VirtualNetwork。 |
| SchemaVersion |
字符串 |
用于此记录的架构的版本。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| SrcPublicIpCidrs |
字符串 |
入站流的 CIDR 格式的公共源 IP。 |
| SrcServiceTagsList |
字符串 |
与入站流的源流量关联的服务标记。 |
| SrcSubscriptionId |
字符串 |
发送流量的目标资源 ID 的订阅 ID。 |
| StartTime |
日期/时间 |
流观察窗口的开始时间。 |
| SummarizationType |
字符串 |
指示流按时间汇总的方式。 可能的值为“每小时”、“每日”。 |
| TargetResourceId(目标资源ID) |
字符串 |
规则的目标资源。 |
| TargetResourceIdsList |
字符串 |
规则涵盖的所有目标资源 ID 的列表。 |
| 租户ID |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期/时间 |
将数据引入到 Log Analytics 工作区的时间。 |
| TotalFlowCount |
int |
此规则观察到的流总数。 |
| 类型 |
字符串 |
表的名称 |
| UnecryptedFlowDetails |
字符串 |
对于未加密的流,它指定加密级别。 可能的值是未加密、不支持的硬件、软件未就绪、由于没有加密、发现不受支持、同一主机上的目标、回退到无加密。 |
| VirtualNetworkResourceId |
字符串 |
按规则定向的虚拟网络名称。 |