| AADTenantID |
字符串 |
在其中创建、重命名、修改或删除受监视实体的订阅的 AAD 租户 ID。 |
| AzureResourceId |
字符串 |
受监控实体被创建、重命名、修改或删除的资源的 Azure 资源 ID。 |
| _BilledSize(账单大小) |
实数 |
记录大小(字节) |
| ChangeType |
字符串 |
实体上发生的更改的类型。 对于“File”实体,必须是“Created”、“Modified”、“Renamed”或“Deleted”。 对于“Registry”实体,必须是以下之一:“RegistryKeyCreated”、“RegistryKeyDeleted”、“RegistryValueSet”、“RegistryValueDeleted”、“RegistryKeyRenamed”。 |
| 云标识符 |
字符串 |
资源的云标识符。 |
| 云服务提供商 |
字符串 |
资源的云提供商。 |
| 云资源类型 |
字符串 |
云资源的类型。 |
| 计算机 |
字符串 |
在其中创建、重命名、修改或删除受监视实体的计算机的名称。 |
| FileMd5 |
字符串 |
与“File”受监视实体类型相关。 保存已修改、创建或删除的文件的 MD5。 |
| 文件名 |
字符串 |
与“File”受监视实体类型相关。 保存已创建、重命名、修改或删除的文件的名称。 |
| FilePath |
字符串 |
与“File”受监视实体类型相关。 保存已创建、重命名、修改或删除的文件的路径。 |
| FileSha1 |
字符串 |
与“File”受监视实体类型相关。 保存已修改、创建或删除的文件的 SHA1。 |
| FileSha256 |
字符串 |
与“File”受监视实体类型相关。 保存被修改、创建或删除的文件的 SHA256 值。 |
| 文件大小 |
长整型 |
与“File”受监视实体类型相关。 保存已创建、重命名、修改或删除的文件的当前大小(以字节为单位)。 |
| 文件类型 |
字符串 |
与“File”受监视实体类型相关。 保存已创建、重命名、修改或删除的文件的类型。 可能值的示例:Zip、PDF、Xar 等。 |
| InitiatingProcessAccountDomainName |
字符串 |
保留导致受监视实体事件的启动进程的帐户域名称。 |
| InitiatingProcessAccountName |
字符串 |
保留导致受监视实体事件的启动进程的帐户名称。 |
| InitiatingProcessAccountSid |
字符串 |
保留导致受监视实体事件的启动进程的帐户 SID。 |
| InitiatingProcessCreationTime |
日期/时间 |
保存产生受监视实体事件的启动进程的创建时间。 |
| InitiatingProcessFirstSeen |
日期/时间 |
保留导致受监视实体事件的启动进程的第一次出现时间。 |
| InitiatingProcessId |
长整型 |
保存产生受监视实体事件的启动进程的进程 ID。 |
| InitiatingProcessImageFileName |
字符串 |
保存产生受监视实体事件的启动进程的映像文件名。 |
| InitiatingProcessImageFilePath |
字符串 |
保存产生受监视实体事件的启动进程的映像文件路径。 |
| InitiatingProcessImageFileType |
字符串 |
保存产生受监视实体事件的启动进程的映像文件类型。 |
| InitiatingProcessName |
字符串 |
保留导致受监视实体事件的启动进程的名称。 |
| InitiatingProcessSessionId |
长整型 |
存储导致受监控实体事件的启动进程的会话 ID。 |
| InitiatingProcessSource |
字符串 |
保留导致受监视实体事件的启动进程的来源。 |
| InitProcImageCreationTimeUtc |
日期/时间 |
保留导致受监视实体事件的启动进程的映像的映像创建时间。 |
| InitProcImageFileSizeInBytes |
长整型 |
保存产生受监视实体事件的启动进程的映像文件大小(以字节为单位)。 |
| InitProcImageLastAccessTimeUtc |
日期/时间 |
保留导致受监控实体事件的启动进程的映像的映像上次访问时间。 |
| InitProcImageLastWriteTimeUtc |
日期/时间 |
保留导致受监控实体事件的启动进程的映像的映像上次写入时间。 |
| InitProcImageLsHash |
字符串 |
保留导致受监控实体事件的启动进程的映像的映像 LS 哈希。 |
| InitProcImageMd5 |
字符串 |
保留导致受监控实体事件的启动进程的映像的映像 MD5。 |
| InitProcImagePeTimestampUtc |
日期/时间 |
保留导致受监控实体事件的启动进程的映像的映像 PE 时间。 |
| InitProcImageSha1 |
字符串 |
保留导致受监控实体事件的启动进程的映像的映像 SHA 1。 |
| InitProcImageSha256 |
字符串 |
保留导致受监控实体事件的启动进程的映像的映像 SHA 256。 |
| InitProcVersionInfoCompanyName |
字符串 |
保存导致受监控实体事件的启动进程的版本信息和公司名称。 |
| InitProcVersionInfoFileDescription |
字符串 |
保留导致受监控实体事件的启动进程的版本信息文件说明。 |
| InitProcVersionInfoInternalFileName |
字符串 |
保留导致受监控实体事件的启动进程的版本信息内部文件名。 |
| InitProcVersionInfoOriginalFileName |
字符串 |
保留导致受监控实体事件的启动进程的版本信息原始文件名。 |
| InitProcVersionInfoProductName |
字符串 |
保留导致受监控实体事件的启动进程的版本信息产品名称。 |
| InitProcVersionInfoProductVersion |
字符串 |
保留导致受监控实体事件的启动进程的版本信息产品版本。 |
| _IsBillable |
字符串 |
指定引入数据是否可计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 受监控实体类型 |
字符串 |
已创建、重命名、修改或删除的受监视实体的类型。 可以是“文件”或“注册表”。 |
| NewValueData |
字符串 |
与“Registry”受监视实体类型相关。 保留新的注册表值数据。 |
| NewValueName |
字符串 |
与“Registry”受监视实体类型相关。 保留新的注册表值名称。 |
| NewValueType |
字符串 |
与“Registry”受监视实体类型相关。 用于存储新的注册表值类型。 |
| OldValueData |
字符串 |
与“Registry”受监视实体类型相关。 保存以前的注册表值数据。 |
| OldValueFullRegistryKey |
字符串 |
与“Registry”受监视实体类型相关。 保留上一个完整注册表项。 |
| OldValueName |
字符串 |
与“Registry”受监视实体类型相关。 保存以前的注册表值名称。 |
| OldValueType |
字符串 |
与“Registry”受监视实体类型相关。 保存以前的注册表值类型。 |
| 原始文件名 |
字符串 |
与“文件”受监控的实体类型和“重命名”更改类型相关。 保存进行重命名之前所重命名文件的原始名称。 |
| OriginalFilePath |
字符串 |
与“文件”受监控的实体类型和“重命名”更改类型相关。 保存进行重命名之前所重命名文件的原始路径。 |
| RegistryHive |
字符串 |
与“Registry”受监视实体类型相关。 保存操作系统和应用程序的分组配置设置。 |
| RegistryKey |
字符串 |
与“Registry”受监视实体类型相关。 保留已创建的注册表的完整注册表项或已重命名的注册表的新注册表项。 |
| RequestAccountDomain |
字符串 |
与“File”受监视实体类型相关。 保存导致文件事件的用户帐户所属的域。 |
| RequestAccountName |
字符串 |
与“File”受监视实体类型相关。 保存产生文件事件的用户的帐户的名称。 |
| RequestAccountSid |
字符串 |
与“File”受监视实体类型相关。 保存产生文件事件的用户的帐户的 SID。 |
| RequestSource |
字符串 |
与“File”受监视实体类型相关。 保存引发文件事件的用户账户来源。 例如 Local/SMB/NFS。 |
| 请求来源IP (RequestSourceIP) |
字符串 |
与“File”受监视实体类型相关。 保存产生文件事件的用户的帐户的源 IP。 对于远程文件,则是发出请求的 IP。 |
| RequestSourcePort |
字符串 |
与“File”受监视实体类型相关。 保存导致文件事件的用户帐户的源端口。 对于远程文件,则是发出请求的端口。 |
| SourceSystem |
字符串 |
收集事件的代理类型。 例如,OpsManager用于 Windows 代理,无论是直接连接还是 Operations Manager,Linux用于所有 Linux 代理,或 Azure用于 Azure 诊断。 |
| 租户ID |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期/时间 |
创建、重命名、修改或删除受监视实体的时间 (UTC)。 |
| 类型 |
字符串 |
表的名称 |