WindowsEvent

由代理收集和发送的 Windows 事件。

表属性

Attribute
资源类型 microsoft.securityinsights/securityinsights (这是 Microsoft 的安全洞察页面或模块标识符)
类别 安全性
解决方案 CustomizedWindowsEventsFiltering、InternalWindowsEvent、SecurityInsights、WEFInternalUat、WEF_10x、WEF_10xDSRE、WinLog、WindowsEventForwarding
基本日志
引入时转换
示例查询

类型 描述
_BilledSize real 记录大小(字节)
Channel 字符串 记录事件的通道。
Computer 字符串 发生该事件的计算机的名称。
关联 字符串 使用者可用于将相关事件分组到一起的活动标识符。
EventData 动态 包含解析为动态类型的事件数据。 如果解析失败,则此字段将包含空值,并填充 RawEventData 字段。
事件 ID int 提供程序用于识别事件的标识符。
事件级别 int 包含事件的严重性级别。
EventLevelName 字符串 事件中指定级别的呈现消息字符串。
EventOriginId 字符串 从 Azure 实例元数据服务 (IMDS) 获取的 VM ID。
EventRecordId 字符串 记录事件时分配给该事件的记录号。
_IsBillable 字符串 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
关键字 字符串 事件中定义的关键字的位掩码。
ManagementGroupName 字符串 基于资源类型的附加信息。
操作码 字符串 opcode 元素由 SystemPropertiesType 复杂类型定义。
提供程序 字符串 系统属性类型 - 标明记录事件的提供程序。
RawEventData 字符串 解析失败时的原始事件 XML。 解析成功时为 null。
_ResourceId 字符串 与记录关联的资源的唯一标识符
_SubscriptionId 字符串 与记录关联的订阅的唯一标识符
SystemProcessId int 标识生成事件的进程。
SystemThreadId int 标识生成事件的线程。
SystemUserId 字符串 负责该事件的用户的 ID。
任务 int 事件中定义的任务。
TenantId 字符串 Log Analytics 工作区 ID
TimeGenerated 日期/时间 事件在计算机上生成时的时间戳。
类型 字符串 表的名称
版本 int 包含事件定义的版本号。