| AdditionalFields |
ダイナミック |
スキーマ内のそれぞれの列が一致しない場合、追加フィールドを JSON バッグに格納できます。 |
| _請求額サイズ |
real |
レコード サイズ (バイト単位) |
| CloudAppId |
ひも |
プロキシによって識別される HTTP アプリケーションの送信先アプリケーションの ID。 この値は、通常、使用されるプロキシに固有です。 |
| クラウドアプリネーム |
ひも |
プロキシによって識別される HTTP アプリケーションの送信先アプリケーションの名前。 |
| CloudAppOperation |
ひも |
プロキシによって識別される HTTP アプリケーションの送信先アプリケーションのコンテキストでユーザーが実行した操作。 この値は、通常、使用されるプロキシに固有です。 |
| クラウドアプリリスクレベル |
ひも |
プロキシによって識別される HTTP アプリケーションに関連付けられているリスク レベル。 この値は、通常、使用されるプロキシに固有です。 |
| DstBytes |
長い |
接続またはセッションで送信先から送信元に送信されたバイト数。 |
| DstDomainHostname |
ひも |
宛先ホストのドメイン。 |
| DstDvcDomain |
ひも |
送信先デバイスのドメイン。 |
| DstDvcFqdn |
ひも |
ログが作成されたホストの完全修飾ドメイン名。 |
| DstDvcHostname |
ひも |
宛先デバイスのデバイス名。 |
| DstDvcIpAddr |
ひも |
ネットワーク パケットに直接関連付けられていないデバイスの宛先 IP アドレス。 |
| DstDvcMacAddr |
ひも |
ネットワーク パケットに直接関連付けられていないデバイスの送信先 MAC アドレス。 |
| DstGeoCity |
ひも |
ターゲット IP アドレスに関連付けられている都市。 |
| DstGeoCountry |
ひも |
発信元 IP アドレスに関連付けられている国。 |
| DstGeoLatitude |
real |
ターゲット IP アドレスに関連付けられている地理的座標の緯度。 |
| DstGeoLongitude |
real |
送信先 IP アドレスに関連付けられている地理的座標の経度 |
| DstGeoRegion |
ひも |
宛先 IP アドレスに関連付けられている国内のリージョン。 |
| DstInterfaceGuid |
ひも |
認証要求に使用されたネットワーク インターフェイスの GUID。 |
| DstInterfaceName |
ひも |
送信先デバイスによる接続またはセッションに使用されるネットワーク インターフェイス。 |
| DstIpAddr |
ひも |
接続またはセッションのターゲットの IP アドレス。 |
| DstMacAddr |
ひも |
接続またはセッションが終了したネットワーク インターフェイスの MAC アドレス。 |
| DstNatIpAddr |
ひも |
ファイアウォールなどの中間 NAT デバイスによって報告された場合は、その NAT デバイスが送信元との通信に使用する IP アドレス。 |
| DstNatポート番号 |
整数 (int) |
ファイアウォールなどの中間 NAT デバイスによって報告された場合は、その NAT デバイスが送信元との通信に使用するポート。 |
| DstPackets |
長い |
接続またはセッションで送信先から送信元に送信されたパケット数。 パケットの意味はレポート デバイスで定義されます。 |
| 送信先ポート番号 |
整数 (int) |
送信先 IP ポート。 |
| DstResourceId |
ひも |
送信先デバイスのリソースID。 |
| DstUserAadId |
ひも |
セッションの宛先にあるユーザーの Azure AD アカウント オブジェクト ID。 |
| DstUserDomain |
ひも |
セッションの宛先にあるアカウントのドメインまたはコンピューター名。 |
| DstUserName |
ひも |
セッションの宛先に関連付けられている ID のユーザー名。 |
| DstUserSid |
ひも |
セッションの接続先に関連付けられている ID のユーザー ID。 通常、サーバーの認証に使用される ID。 |
| DstUserUpn |
ひも |
セッションの宛先に関連付けられている ID の UPN。 |
| DstZone |
ひも |
レポート デバイスにより定義された、送信先のネットワーク ゾーン。 |
| DvcAction |
ひも |
ファイアウォールなどの中間デバイスによって報告された場合に、デバイスによって実行されるアクション。 |
| Dvcホスト名 |
ひも |
メッセージを生成しているデバイスのデバイス名。 |
| DvcInboundInterface |
ひも |
ファイアウォールなどの中間デバイスによって報告された場合に、送信元デバイスへの接続に使用されるネットワーク インターフェイス。 |
| DvcIpAddr |
ひも |
レコードを生成するデバイスの IP アドレス。 |
| DvcMacAddr |
ひも |
イベントの送信元のレポート デバイスのネットワーク インターフェイスの MAC アドレス。 |
| DVCアウトバウンドインターフェース |
ひも |
ファイアウォールなどの中間デバイスによって報告された場合に、送信先デバイスへの接続に使用されるネットワーク インターフェイス。 |
| イベント数 |
整数 (int) |
集計されたイベントの数 (該当する場合)。 |
| イベント終了時間 |
DATETIME |
イベントが終了した時刻。 |
| イベントメッセージ |
ひも |
レコードに含まれる、またはレコードから生成された一般的なメッセージまたは説明。 |
| イベントオリジナルUID (EventOriginalUid) |
ひも |
報告デバイスからのレコード ID。 |
| EventProduct |
ひも |
イベントを生成している製品。 |
| EventProductVersion |
ひも |
イベントを生成している製品のバージョン。 |
| イベントレポートURL |
ひも |
報告デバイスが作成した全体のレポートへのリンク。 |
| EventResourceId |
ひも |
メッセージを生成しているデバイスのリソース ID。 |
| イベント結果 |
ひも |
アクティビティについて報告された結果。 該当しない場合は空の値。 |
| イベント結果の詳細 |
ひも |
EventResult で報告された結果の理由 |
| EventSchemaVersion |
ひも |
Azure Sentinel スキーマのバージョン。 |
| EventSeverity |
ひも |
報告されたアクティビティがセキュリティに影響を与える場合、影響の重大度を示します。 |
| イベント開始時刻 |
DATETIME |
イベントが開始した日時。 |
| イベントサブタイプ |
ひも |
該当する場合は、種類の追加の説明。 |
| EventTimeIngested |
DATETIME |
イベントが Azure Sentinel に取り込まれたされた時刻。 Azure Sentinel によって追加されます。 |
| イベントタイプ |
ひも |
収集されるイベントの種類。 |
| EventUid |
ひも |
Sentinel が行をマークするために使用する一意の識別子。 |
| EventVendor |
ひも |
イベントを生成している製品のベンダー。 |
| ファイル拡張子 |
ひも |
FTP や HTTP などのプロトコルのネットワーク接続を介して送信されるファイルの種類。 |
| FileHashMd5 |
ひも |
プロトコルのネットワーク接続を介して送信されるファイルの MD5 ハッシュ値。 |
| FileHashSha1 |
ひも |
プロトコルのネットワーク接続を介して送信されるファイルの SHA1 ハッシュ値。 |
| FileHashSha256 |
ひも |
プロトコルのネットワーク接続を介して送信されるファイルの SHA256 ハッシュ値。 |
| FileHashSha512 |
ひも |
プロトコルのネットワーク接続を介して送信されるファイルの SHA512 ハッシュ値。 |
| FileMimeType |
ひも |
FTP や HTTP などのプロトコルのネットワーク接続を介して送信されるファイルの MIME の種類。 |
| ファイル名 |
ひも |
ファイル名情報を提供する FTP や HTTP などのプロトコルのネットワーク接続で送信されるファイル名。 |
| FilePath |
ひも |
ファイルの完全なパス (ファイル名を含む)。 |
| ファイルサイズ |
整数 (int) |
プロトコルのネットワーク接続を介して送信されるファイルのファイルサイズ (バイト単位)。 |
| Httpコンテンツタイプ |
ひも |
HTTP/HTTPS ネットワーク セッションの HTTP 応答のコンテンツ タイプのヘッダー。 |
| HttpReferrerOriginal |
ひも |
HTTP/HTTPS ネットワーク セッションの HTTP 参照元ヘッダー。 |
| HttpRequestMethod(HTTPリクエストメソッド) |
ひも |
HTTP/HTTPS ネットワーク セッションの HTTP メソッド。 |
| HTTPリクエスト時間 |
整数 (int) |
要求がサーバーに送信されるまでにかかった時間 (該当する場合)。 |
| HttpRequestXff |
ひも |
HTTP X-Forwarded-For ヘッダーは、HTTPやHTTPSネットワークセッションのためのものです。 |
| HTTPレスポンスタイム |
整数 (int) |
サーバーで応答を受け取るまでにかかった時間 (該当する場合)。 |
| HttpStatusCode (HTTPステータスコード) |
ひも |
HTTP/HTTPS ネットワーク セッションの HTTP 状態コード。 |
| HttpUserAgentOriginal |
ひも |
HTTP/HTTPS ネットワーク セッションの HTTP ユーザー エージェント ヘッダー。 |
| HttpVersion |
ひも |
HTTP/HTTPS ネットワーク接続の HTTP 要求バージョン。 |
| _IsBillable // 請求可能かどうかを示す |
ひも |
データ インジェストが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| ネットワークアプリケーションプロトコル |
ひも |
接続またはセッションで使用されるアプリケーション レイヤー プロトコル。 |
| NetworkBytes |
長い |
両方向に送信されたバイト数。 BytesReceived と BytesSent が両方とも存在する場合、BytesTotal はその合計と同じである必要があります。 |
| ネットワーク方向 |
ひも |
組織内への接続またはセッション、あるいは組織外への接続またはセッションの方向。 |
| ネットワーク持続時間 |
整数 (int) |
ネットワーク セッションまたは接続が完了するまでの時間 (ミリ秒単位)。 |
| ネットワークICMPコード |
整数 (int) |
ICMP メッセージの場合、ICMP メッセージの種類の数値 (RFC 2780 または RFC 4443)。 |
| ネットワークICMPタイプ |
ひも |
ICMP メッセージの場合は、ICMP メッセージの種類のテキスト表現 (RFC 2780 または RFC 4443)。 |
| ネットワークパケット |
長い |
両方向に送信されたパケット数。 PacketsReceived と PacketsSent が両方とも存在する場合、BytesTotal はその合計と同じである必要があります。 |
| ネットワークプロトコル |
ひも |
接続またはセッションで使用される IP プロトコル。 通常は、TCP、UDP、または ICMP です。 |
| ネットワークルール名 |
ひも |
DeviceAction が決定された規則の名前または ID。 |
| ネットワークルール番号 |
整数 (int) |
一致したルール番号。 |
| ネットワークセッションID |
ひも |
レポート デバイスによって報告されたセッション識別子。 |
| SourceSystem |
ひも |
イベントを収集したエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| SrcBytes |
長い |
接続またはセッションで送信元から送信先に送信されたバイト数。 |
| SrcDvcDomain |
ひも |
セッションが開始されたデバイスのドメイン。 |
| SrcDvcFqdn |
ひも |
ログが作成されたホストの完全修飾ドメイン名。 |
| SrcDvcHostname |
ひも |
ソース デバイスのデバイス名。 |
| SrcDvcIpAddr |
ひも |
ネットワーク パケットに直接関連付けられていないデバイスの送信元 IP アドレス (プロバイダーによって収集されるか、明示的に計算されます)。 |
| SrcDvcMacAddr |
ひも |
ネットワーク パケットに直接関連付けられていないデバイスの送信元 MAC アドレス。 |
| SrcDvcModelName |
ひも |
ソース デバイスのモデル。 |
| SrcDvcModelNumber |
ひも |
ソース デバイスのモデル番号。 |
| SrcDvcOs |
ひも |
ソース デバイスの OS。 |
| SrcDvcType |
ひも |
ソース デバイスの種類。 |
| SrcGeoCity |
ひも |
発信元 IP アドレスに関連付けられている都市。 |
| SrcGeoCountry |
ひも |
発信元 IP アドレスに関連付けられている国。 |
| SrcGeoLatitude |
real |
発信元 IP アドレスに関連付けられている地理的座標の緯度。 |
| SrcGeoLongitude |
real |
発信元 IP アドレスに関連付けられている地理的座標の経度。 |
| SrcGeoRegion |
ひも |
発信元 IP アドレスに関連付けられている国内の地域。 |
| SrcInterfaceGuid |
ひも |
使用されるネットワーク インターフェイスの GUID。 |
| SrcInterfaceName |
ひも |
送信元デバイスで接続またはセッションに使用されるネットワーク インターフェイス。 |
| SrcIpAddr |
ひも |
接続またはセッションの開始元の IP アドレス。 |
| SrcMacAddr |
ひも |
接続またはセッションの開始元のネットワーク インターフェイスの MAC アドレス。 |
| SrcNatIpAddr |
ひも |
ファイアウォールなどの中間 NAT デバイスによって報告された場合は、その NAT デバイスが送信先との通信に使用する IP アドレス。 |
| SrcNatPortNumber |
整数 (int) |
ファイアウォールなどの中間 NAT デバイスによって報告された場合は、その NAT デバイスが送信先との通信に使用するポート。 |
| SrcPackets |
長い |
接続またはセッションで送信元から送信先に送信されたパケット数。 パケットの意味はレポート デバイスで定義されます。 |
| SrcPortNumber |
整数 (int) |
接続元の IP ポート。 複数の接続を構成するセッションに関連しないことがあります。 |
| SrcResourceId |
ひも |
メッセージを生成しているデバイスのリソース ID。 |
| SrcUserAadId |
ひも |
セッションのソース側のユーザーの Azure AD アカウント オブジェクト ID。 |
| SrcUserDomain |
ひも |
セッションを開始するアカウントのドメイン。 |
| SrcUserName |
ひも |
セッションの送信元に関連付けられている識別子のユーザー名。 通常、クライアントに対してアクションを実行するユーザー。 |
| SrcUserSid |
ひも |
セッションの送信元に関連付けられているアイデンティティのユーザーID。 通常、クライアントに対してアクションを実行するユーザー。 |
| SrcUserUpn |
ひも |
セッションを開始するアカウントの UPN。 |
| SrcZone |
ひも |
レポート デバイスにより定義された、送信元のネットワーク ゾーン。 |
| テナントID |
ひも |
Log Analytics ワークスペース ID |
| 脅威カテゴリ |
ひも |
IPS の Web Security Gateway などのセキュリティ システムによって識別され、このネットワーク セッションに関連付けられている脅威のカテゴリ。 |
| 脅威識別子 |
ひも |
IPS などのセキュリティシステムの Web セキュリティゲートウェイによって識別され、このネットワークセッションに関連付けられている脅威の ID。 |
| ThreatName |
ひも |
特定された脅威またはマルウェアの名前。 |
| タイムジェネレイテッド |
DATETIME |
レポート ソースによって報告された、イベントが発生した時刻。 |
| タイプ |
ひも |
テーブルの名前 |
| UrlCategory |
ひも |
URL の定義されたグループ (または URL 内のドメインに基づく場合もあります) は、それが何であるか (つまり、成人向け、ニュース、広告、パークされたドメインなど) に関連します。 |
| URLホスト名 |
ひも |
HTTP/HTTPS ネットワーク セッションの HTTP 要求 URL のドメイン部分。 |
| UrlOriginal |
ひも |
HTTP/HTTPS ネットワーク セッションの HTTP 要求 URL。 |