| AdditionalFields |
dynamisk |
Ytterligare information som representeras med hjälp av nyckel/värde-par som tillhandahålls av källan som inte mappas till ASim. |
| _BilledSize |
real |
Poststorleken i byte |
| DstAppId |
sträng |
ID:t för målprogrammet enligt rapporteringsenhetens rapporter. |
| DstAppName |
sträng |
Namnet på målprogrammet. |
| DstAppType |
sträng |
Typ av målprogram. |
| DstBytes |
lång |
Antalet byte som skickas från målet till källan för anslutningen eller sessionen. Om händelsen aggregeras är DstBytes summan för alla aggregerade sessioner. |
| DstDeviceType |
sträng |
Typ av målenhet. |
| DstDomain |
sträng |
Målenhetens domän. |
| DstDomainType |
sträng |
Typ av DstDomain. |
| DstDvcId |
sträng |
Målenhetens ID. |
| DstDvcIdType |
sträng |
Typ av DstDvcId. |
| DstDvcScope |
sträng |
Molnplattformsomfånget som målenheten tillhör. DvcScope mappar till en prenumeration på Azure och till ett konto på AWS. |
| DstDvcScopeId |
sträng |
Molnplattformens omfångs-ID som målenheten tillhör. DvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| DstFQDN |
sträng |
Värdnamnet för målenheten, inklusive domäninformation när det är tillgängligt. |
| DstGeoCity |
sträng |
Den ort som är associerad med mål-IP-adressen. |
| DstGeoCountry |
sträng |
Det land som är associerat med mål-IP-adressen. |
| DstGeoLatitude |
real |
Latitud för den geografiska koordinat som är associerad med målets IP-adress. |
| DstGeoLongitude |
real |
Longitud för den geografiska koordinat som är associerad med målets IP-adress. |
| DstGeoRegion |
sträng |
Regionen, eller tillståndet, inom ett land som är associerat med mål-IP-adressen. |
| DstHostname |
sträng |
Målenhetens värdnamn, exklusive domäninformation. |
| DstIpAddr |
sträng |
IP-adressen för anslutningen eller sessionsmålet. |
| DstMacAddr |
sträng |
MAC-adressen för nätverksgränssnittet som används för anslutningen eller sessionen av målenheten. |
| DstNatIpAddr |
sträng |
DstNatIpAddr representerar något av: Målenhetens ursprungliga adress om nätverksadressöversättning användes eller ip-adressen som används av mellanhandsenheten för kommunikation med källan. |
| DstNatPortNumber |
heltal |
Om den rapporteras av en mellanliggande NAT-enhet används porten av NAT-enheten för kommunikation med källan. |
| DstOriginalUserType |
sträng |
Den ursprungliga målanvändartypen, om den tillhandahålls av källan. |
| DstPackets |
lång |
Antalet paket som skickas från målet till källan för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. Om händelsen aggregeras är DstPackets summan för alla aggregerade sessioner. |
| DstPortNumber |
heltal |
Målets IP-port. |
| DstUserId |
sträng |
En maskinläsbar, alfanumerisk, unik representation av målanvändaren. |
| DstUserIdType |
sträng |
Typen av ID som lagras i fältet DstUserId. |
| DstUsername |
sträng |
Målanvändarnamnet, inklusive domäninformation när det är tillgängligt. Använd bara det enkla formuläret om domäninformation inte är tillgänglig. |
| DstUsernameType |
sträng |
Anger typen av användarnamn som lagras i fältet DstUsername. |
| DstUserType |
sträng |
Typ av målanvändare. |
| Dvc |
sträng |
En unik identifierare för den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcAction |
sträng |
Den åtgärd som vidtagits på webbsessionen. |
| DvcDomain |
sträng |
Domänen för enheten som rapporterar händelsen. |
| DvcDomainType |
sträng |
Typ av DvcDomain. Möjliga värden är "Windows" och "FQDN". |
| DvcFQDN |
sträng |
Värdnamnet för den enhet där händelsen inträffade eller som rapporterade händelsen. |
| DvcHostname |
sträng |
Värdnamnet för enheten som rapporterar händelsen. |
| DvcId |
sträng |
Det unika ID:t för enheten där händelsen inträffade eller som rapporterade händelsen. |
| DvcIdType |
sträng |
Typ av DvcId. |
| DvcIpAddr |
sträng |
IP-adressen för enheten som rapporterar händelsen. |
| DvcOriginalAction |
sträng |
Den ursprungliga DvcAction som tillhandahålls av rapporteringsenheten. |
| EventCount |
heltal |
Det här värdet används när källan stöder aggregering och en enskild post kan representera flera händelser. |
| EventEndTime |
datetime |
Tiden då händelsen avslutades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den senaste händelsen genererades. Om det inte tillhandahålls av källposten, alias det här fältet fältet TimeGenerated. |
| EventMessage |
sträng |
Ett allmänt meddelande eller en beskrivning. |
| EventOriginalResultDetails |
sträng |
Den ursprungliga resultatinformationen som tillhandahålls av källan. Det här värdet används för att härleda EventResultDetails, som bara ska ha ett av de värden som dokumenteras för varje schema. |
| EventOriginalSeverity |
sträng |
Den ursprungliga allvarlighetsgraden som tillhandahålls av rapporteringsenheten. Det här värdet används för att härleda EventSeverity. |
| EventOriginalSubType |
sträng |
Den ursprungliga händelseundertypen eller ID:t, om det tillhandahålls av källan. Det här fältet används till exempel för att lagra den ursprungliga Windows-inloggningstypen. Det här värdet används för att härleda EventSubType, som bara ska ha ett av de värden som dokumenteras för varje schema. |
| EventOriginalType |
sträng |
Den ursprungliga händelsetypen eller ID:t, om det tillhandahålls av källan. |
| EventOriginalUid |
sträng |
Ett unikt ID för den ursprungliga posten, om det tillhandahålls av källan. |
| EventOwner |
sträng |
Ägaren till händelsen, som vanligtvis är den avdelning eller det dotterbolag där den genererades. |
| EventProduct |
sträng |
Produkten som genererar händelsen. |
| EventProductVersion |
sträng |
Den version av produkten som genererar händelsen. |
| EventReportUrl |
sträng |
En URL som anges i händelsen för en resurs som ger mer information om händelsen. |
| EventResult |
sträng |
Resultatet av händelsen, som representeras av något av följande värden: Success, Partial, Failure, NA (Not Applicable). Värdet kanske inte anges direkt av källorna, i vilket fall det härleds från andra händelsefält, till exempel fältet EventResultDetails. |
| EventResultDetails |
sträng |
HTTP-statuskoden. |
| EventSchemaVersion |
sträng |
Versionen av schemat. |
| EventSeverity |
sträng |
Händelsens allvarlighetsgrad. Giltiga värden är: Information, Låg, Medel eller Hög. |
| EventStartTime |
datetime |
Tiden då händelsen startades. Om källan stöder aggregering och posten representerar flera händelser, den tid då den första händelsen genererades. Om det inte tillhandahålls av källposten, alias det här fältet fältet TimeGenerated. |
| EventSubType |
sträng |
Ytterligare beskrivning av händelsetypen, om tillämpligt. |
| EventType |
sträng |
Åtgärden som rapporterats av posten. |
| EventVendor |
sträng |
Leverantören av produkten som genererar händelsen. |
| FileContentType |
sträng |
För HTTP-uppladdningar är innehållstypen för den uppladdade filen. |
| FileMD5 |
sträng |
För HTTP-uppladdningar, MD5-hashen för den uppladdade filen. |
| FileName |
sträng |
För HTTP-uppladdningar, namnet på den uppladdade filen. |
| FileSHA1 |
sträng |
Sha1-hashen för den uppladdade filen för HTTP-uppladdningar. |
| FileSHA256 |
sträng |
Sha256-hashen för den uppladdade filen för HTTP-uppladdningar. |
| FileSHA512 |
sträng |
Sha512-hash för den uppladdade filen för HTTP-uppladdningar. |
| FileSize |
heltal |
För HTTP-uppladdningar är storleken i byte för den uppladdade filen. |
| HttpContentFormat |
sträng |
Innehållsformatdelen i HttpContentType |
| HttpContentType |
sträng |
Innehållstypen HTTP-svarsrubrik. |
| HttpHost |
sträng |
Den virtuella webbserver som HTTP-begäran har riktats mot. |
| HttpReferrer |
sträng |
HTTP-referensrubriken. |
| HttpRequestMethod |
sträng |
HTTP-metoden. |
| HttpRequestTime |
heltal |
Hur lång tid det tog att skicka begäran till servern i millisekunder. |
| HttpRequestXff |
sträng |
HTTP X-Forwarded-For-huvudet. |
| HttpResponseTime |
heltal |
Hur lång tid det tog att ta emot ett svar på servern i millisekunder. |
| HttpUserAgent |
sträng |
HTTP-användaragentens huvud. |
| HttpVersion |
sträng |
HTTP-begärandeversionen. |
| _IsBillable |
sträng |
Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto |
| NetworkApplicationProtocol |
sträng |
Protokollet för programskiktet som används av anslutningen eller sessionen. |
| NetworkBytes |
lång |
Antal byte som skickats i båda riktningarna. Om både BytesReceived och BytesSent finns ska BytesTotal vara lika med summan. Om händelsen aggregeras är NetworkBytes summan för alla aggregerade sessioner. |
| NetworkConnectionHistory |
sträng |
TCP-flaggor och annan potentiell INFORMATION om IP-huvuden. |
| NetworkDirection |
sträng |
Riktningen för anslutningen eller sessionen. |
| NetworkDuration |
heltal |
Hur lång tid, i millisekunder, för slutförandet av webbsessionen eller anslutningen. |
| NetworkIcmpCode |
heltal |
För ett ICMP-meddelande skriver ICMP-meddelandet numeriskt värde enligt beskrivningen i RFC 2780 för IPv4-nätverksanslutningar eller i RFC 4443 för IPv6-nätverksanslutningar. |
| NetworkIcmpType |
sträng |
För ett ICMP-meddelande skriver ICMP-meddelandetextrepresentationen enligt beskrivningen i RFC 2780 för IPv4-nätverksanslutningar eller i RFC 4443 för IPv6-nätverksanslutningar. |
| NetworkPackets |
lång |
Antalet paket som skickas i båda riktningarna. Om både PacketsReceived och PacketsSent finns bör BytesTotal vara lika med summan. Innebörden av ett paket definieras av rapporteringsenheten. Om händelsen aggregeras är NetworkPackets summan för alla aggregerade sessioner. |
| NetworkProtocol |
sträng |
IP-protokollet som används av anslutningen eller sessionen enligt listan i IANA-protokolltilldelningen, som vanligtvis är TCP, UDP eller ICMP. |
| NetworkProtocolVersion |
sträng |
Versionen av NetworkProtocol. |
| NetworkSessionId |
sträng |
Sessionsidentifieraren som rapporteras av rapporteringsenheten. |
| _ResourceId |
sträng |
En unik identifierare för resursen som posten är associerad med |
| Regel |
sträng |
Antingen NetworkRuleName eller NetworkRuleNumber |
| RuleName |
sträng |
Namnet eller ID:t för regeln som DvcAction beslutades om. Exempel: AnyAnyDrop |
| RuleNumber |
heltal |
Antalet av regeln som DvcAction beslutades om. Exempel: 23 |
| SourceSystem |
sträng |
Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| SrcAppId |
sträng |
ID:t för källprogrammet enligt rapporteringsenhetens rapporter. |
| SrcAppName |
sträng |
Namnet på källprogrammet. |
| SrcAppType |
sträng |
Typ av källprogram. |
| SrcBytes |
lång |
Antalet byte som skickas från källan till målet för anslutningen eller sessionen. Om händelsen aggregeras är SrcBytes summan för alla aggregerade sessioner. |
| SrcDeviceType |
sträng |
Typ av källenhet. |
| SrcDomain |
sträng |
Källenhetens domän. |
| SrcDomainType |
sträng |
Typen av SrcDomain. |
| SrcDvcId |
sträng |
Källenhetens ID. |
| SrcDvcIdType |
sträng |
Typen av SrcDvcId. |
| SrcDvcScope |
sträng |
Molnplattformsomfånget som källenheten tillhör. DvcScope mappar till en prenumeration på Azure och till ett konto på AWS. |
| SrcDvcScopeId |
sträng |
Molnplattformens omfångs-ID som källenheten tillhör. DvcScopeId mappar till ett prenumerations-ID i Azure och till ett konto-ID på AWS. |
| SrcFQDN |
sträng |
Värdnamnet för källenheten, inklusive domäninformation när det är tillgängligt. |
| SrcGeoCity |
sträng |
Den ort som är associerad med källans IP-adress. |
| SrcGeoCountry |
sträng |
Det land som är associerat med källans IP-adress. |
| SrcGeoLatitude |
real |
Latitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoLongitude |
real |
Longitud för den geografiska koordinat som är associerad med källans IP-adress. |
| SrcGeoRegion |
sträng |
Regionen i ett land som är associerat med källans IP-adress. |
| SrcHostname |
sträng |
Källenhetens värdnamn, exklusive domäninformation. Om inget enhetsnamn är tillgängligt kan du lagra relevant IP-adress. |
| SrcIpAddr |
sträng |
DEN IP-adress som anslutningen eller sessionen kommer från. |
| SrcMacAddr |
sträng |
MAC-adressen för nätverksgränssnittet som anslutningen eller sessionen kommer från. |
| SrcNatIpAddr |
sträng |
SrcNatIpAddr representerar något av: Källenhetens ursprungliga adress om nätverksadressöversättning användes eller IP-adressen som används av mellanhandsenheten för kommunikation med målet. |
| SrcNatPortNumber |
heltal |
Om den rapporteras av en mellanliggande NAT-enhet används porten av NAT-enheten för kommunikation med målet. |
| SrcOriginalUserType |
sträng |
Den ursprungliga målanvändartypen, om den tillhandahålls av rapporteringsenheten. |
| SrcPackets |
lång |
Antalet paket som skickas från källan till målet för anslutningen eller sessionen. Innebörden av ett paket definieras av rapporteringsenheten. Om händelsen aggregeras är SrcPackets summan för alla aggregerade sessioner. |
| SrcPortNumber |
heltal |
DEN IP-port som anslutningen kommer från. Kanske inte är relevant för en session som består av flera anslutningar. |
| SrcProcessGuid |
sträng |
En genererad unik identifierare (GUID) för källprocessen. |
| SrcProcessId |
sträng |
Källprocessens process-ID (PID). |
| SrcProcessName |
sträng |
Namnet på källprocessen. |
| SrcUserId |
sträng |
En maskinläsbar, alfanumerisk, unik representation av källanvändaren. |
| SrcUserIdType |
sträng |
Typen av ID som lagras i fältet SrcUserId. |
| SrcUsername |
sträng |
Källans användarnamn, inklusive domäninformation när det är tillgängligt. |
| SrcUsernameType |
sträng |
Anger typen av användarnamn som lagras i fältet SrcUsername. |
| SrcUserScope |
sträng |
Omfånget, till exempel Azure AD-klientorganisation, där SrcUserId och SrcUsername definieras. |
| SrcUserScopeId |
sträng |
ID:t för omfånget, till exempel Azure AD-klientorganisation, där SrcUserId och SrcUsername definieras. |
| SrcUserType |
sträng |
Typ av källanvändare. |
| _SubscriptionId |
sträng |
En unik identifierare för prenumerationen som posten är associerad med |
| TenantId |
sträng |
Log Analytics-arbetsytans ID |
| ThreatCategory |
sträng |
Kategorin för det hot eller skadlig kod som identifierades i webbsessionen. |
| ThreatConfidence |
heltal |
Konfidensnivån för det identifierade hotet normaliserades till ett värde mellan 0 och 100. |
| ThreatField |
sträng |
Fältet som ett hot identifierades för. Värdet är antingen SrcIpAddr, DstIpAddr, Domain eller DnsResponseName. |
| ThreatFirstReportedTime |
datetime |
Första gången IP-adressen eller domänen identifierades som ett hot. |
| ThreatId |
sträng |
ID:t för det hot eller den skadliga kod som identifierades i webbsessionen. |
| ThreatIpAddr |
sträng |
En IP-adress som ett hot identifierades för. Fältet ThreatField innehåller namnet på fältet ThreatIpAddr representerar. |
| ThreatIsActive |
bool |
Sant ID som det identifierade hotet betraktas som ett aktivt hot. |
| ThreatLastReportedTime |
datetime |
Senast IP-adressen eller domänen identifierades som ett hot. |
| ThreatName |
sträng |
Namnet på det hot eller den skadliga kod som identifierades i webbsessionen. |
| ThreatOriginalConfidence |
sträng |
Den ursprungliga konfidensnivån för det identifierade hotet, enligt rapporteringsenhetens rapporter. |
| ThreatOriginalRiskLevel |
sträng |
Risknivån som rapporteras av rapporteringsenheten. |
| ThreatRiskLevel |
heltal |
Risknivån som är associerad med sessionen. Nivån är ett tal mellan 0 och 100. |
| TimeGenerated |
datetime |
Tidsstämpeln (UTC) som återspeglar den tid då händelsen genererades. |
| Typ |
sträng |
Namnet på tabellen |
| URL |
sträng |
Den fullständiga URL:en för HTTP-begäran, inklusive parametrar. |
| UrlCategory |
sträng |
Den definierade gruppering av en URL eller domändelen av URL:en. |
| UrlOriginal |
sträng |
Det ursprungliga värdet för URL:en, när URL:en ändrades av rapporteringsenheten och båda värdena anges. |