| ActingAppId |
字符串 |
代表参与者授权的应用程序的 ID,包括进程、浏览器或服务。 |
| ActingAppName |
字符串 |
代表参与者授权的应用程序的名称,包括进程、浏览器或服务。 |
| ActingAppType |
字符串 |
操作应用程序的类型。 |
| ActingOriginalAppType |
字符串 |
报告设备所报告的活动应用程序类型。 |
| ActorOriginalUserType |
字符串 |
报告设备报告的用户类型。 |
| ActorScope |
字符串 |
定义 ActorUserId 和 ActorUsername 的范围,例如 Azure AD 租户。 |
| ActorScopeId |
字符串 |
定义 ActorUserId 和 ActorUsername 的范围 ID,例如 Azure AD 租户 ID。 |
| ActorSessionId |
字符串 |
参与者登录会话的唯一 ID。 |
| ActorUserId |
字符串 |
一串计算机可读的字母数字代码,唯一地标识参与者。 |
| 演员用户ID类型 |
字符串 |
ActorUserId 字段中存储的 ID 的类型。 |
| ActorUsername |
字符串 |
参与者的用户名,包括域信息(如果可用)。 |
| ActorUsernameType |
字符串 |
指定 ActorUsername 字段中存储的用户名的类型。 |
| ActorUserType |
字符串 |
参与者的类型。 |
| AdditionalFields |
dynamic |
其他信息,使用源提供的键/值对来表示,这些信息不映射到 ASim。 |
| _BilledSize |
实数 |
记录大小(字节) |
| DvcAction |
字符串 |
对于报告安全系统,此属性为系统执行的操作。 |
| DvcDescription |
字符串 |
与设备关联的描述性文本。 |
| DvcDomain |
字符串 |
报告事件的设备的域。 |
| DvcDomainType |
字符串 |
DvcDomain 的类型。 |
| DvcFQDN |
字符串 |
发生了事件或报告了事件的设备的主机名。 |
| DvcHostname |
字符串 |
报告事件的设备的主机名。 |
| “DvcId” |
字符串 |
发生了事件或报告了事件的设备的唯一 ID。 |
| DvcIdType |
字符串 |
DvcId 的类型。 |
| DvcInterface |
字符串 |
捕获数据的网络接口。 |
| DvcIpAddr |
字符串 |
报告事件的设备的 IP 地址。 |
| DvcMacAddr |
字符串 |
发生了事件或报告了事件的设备的 MAC 地址。 |
| DvcOriginalAction |
字符串 |
报告设备提供的原始 DvcAction。 |
| DvcOs |
字符串 |
发生了事件或报告了事件的设备上运行的操作系统。 |
| DvcOsVersion |
字符串 |
发生了事件或报告了事件的设备上的操作系统版本。 |
| DvcScope |
字符串 |
设备所属的云平台范围。 DvcScope 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| DvcScopeId |
字符串 |
设备所属的云平台范围 ID。 DvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| DvcZone |
字符串 |
发生了事件或报告了事件的网络。 |
| EventCount |
整数 |
记录描述的事件数。 |
| 事件结束时间 |
日期/时间 |
事件的结束时间。 如果源支持聚合且记录表示多个事件,则为生成最后一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
| EventMessage |
字符串 |
常规消息或说明。 |
| EventOriginalResultDetails |
字符串 |
源提供的原始结果详细信息。 |
| EventOriginalSeverity |
字符串 |
报告设备提供的原始严重性。 |
| EventOriginalSubType |
字符串 |
原始事件子类型或 ID(如果已由源提供)。 |
| EventOriginalType |
字符串 |
原始事件类型或 ID(如果已由源提供)。 |
| EventOriginalUid |
字符串 |
原始记录的唯一 ID(如果已由源提供)。 |
| EventOwner |
字符串 |
事件的所有者,通常是生成事件的部门或子公司。 |
| EventProduct |
字符串 |
生成事件的产品。 |
| EventProductVersion |
字符串 |
生成事件的产品的版本。 |
| EventReportUrl |
字符串 |
在资源的事件中提供的 URL,提供有关该事件的更多信息。 |
| EventResult |
字符串 |
事件的结果,由以下值之一表示:成功、部分、失败、NA(不适用)。 该值可能不是由源直接提供的,在这种情况下,它来自其他事件字段,例如 EventResultDetails 字段。 |
| 事件结果详情 |
字符串 |
与事件结果关联的详细信息。 当结果为失败时,通常会填充此字段。 |
| EventSchemaVersion |
字符串 |
架构的版本。 |
| EventSeverity |
字符串 |
事件的严重性。 有效值为:信息性、低、中或高。 |
| 事件开始时间 |
日期/时间 |
事件的开始时间。 如果源支持聚合且记录表示多个事件,则为生成第一个事件的时间。 如果源记录未提供此字段,则此字段将使用 TimeGenerated 字段的别名。 |
| 事件子类型 |
字符串 |
登录类型,例如 System、Interactive、RemoteInteractive、Service、RemoteService、Remote 或 AssumeRole。 |
| 事件类型 |
字符串 |
描述记录报告的操作 |
| EventVendor |
字符串 |
生成事件的产品的供应商。 |
| HTTP用户代理 (HttpUserAgent) |
字符串 |
通过 HTTP 或 HTTPS 执行身份验证时,此字段的值是执行身份验证时操作应用程序提供的 user_agent HTTP 标头。 |
| _IsBillable |
字符串 |
指定引入数据是否可计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| 登录方法 |
字符串 |
用于执行身份验证的方法。 |
| LogonProtocol |
字符串 |
用于执行身份验证的协议。 |
| _ResourceId |
字符串 |
与记录关联的资源的唯一标识符 |
| 规则名称 |
字符串 |
与检查结果关联的规则的名称或 ID。 |
| RuleNumber |
整数 |
与检查结果关联的规则的数量。 |
| SourceSystem |
string |
收集事件的代理的类型。 例如,对于 Windows 代理(直接连接或 Operations Manager),值为 OpsManager;对于所有 Linux 代理,值为 Linux;对于 Azure 诊断,值为 Azure |
| SrcDescription |
字符串 |
与源设备关联的描述性文本。 |
| SrcDeviceType |
字符串 |
源设备的类型。 |
| SrcDomain |
字符串 |
源设备的域。 |
| SrcDomainType |
字符串 |
SrcDomain 的类型。 |
| SrcDvcId |
字符串 |
源设备的 ID。 |
| SrcDvcIdType |
字符串 |
SrcDvcId 的类型。 |
| SrcDvcOs |
字符串 |
源设备的 OS。 |
| SrcDvcScope |
字符串 |
源设备所属的云平台范围。 SrcDvcScope 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| SrcDvcScopeId |
字符串 |
源设备所属的云平台范围 ID。 SrcDvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| SrcFQDN |
字符串 |
源设备主机名,包括域信息(如果可用)。 |
| SrcGeoCity |
字符串 |
与源 IP 地址关联的城市。 |
| SrcGeoCountry |
字符串 |
与源 IP 地址关联的国家/地区。 |
| SrcGeoLatitude |
实数 |
与源 IP 地址关联的地理坐标的纬度。 |
| SrcGeoLongitude |
实数 |
与源 IP 地址关联的地理坐标的经度。 |
| SrcGeoRegion |
字符串 |
与源 IP 地址关联的国家/地区中的区域。 |
| SrcHostname |
字符串 |
源设备主机名,不包括域信息。 |
| SrcIpAddr |
字符串 |
源设备的 IP 地址。 |
| SrcIsp |
字符串 |
源设备用于连接到 Internet 的 Internet 服务提供商 (ISP)。 |
| SrcOriginalRiskLevel |
字符串 |
由报告设备报告的与已识别源相关联的风险级别。 |
| SrcPortNumber |
整数 |
从中发起了连接的 IP 端口。 |
| SrcRiskLevel |
整数 |
与已识别的源关联的风险级别。 |
| _SubscriptionId |
字符串 |
与记录关联的订阅的唯一标识符 |
| 目标应用程序ID |
字符串 |
需要授权的应用程序的 ID,该 ID 通常由报告设备分配。 |
| TargetAppName |
字符串 |
需要授权的应用程序的名称,包括服务、URL 或 SaaS 应用程序。 |
| TargetAppType |
字符串 |
代表参与者授权的应用程序的类型。 |
| 目标描述 |
字符串 |
与目标设备关联的描述性文本。 |
| 目标设备类型 |
字符串 |
目标设备的类型。 |
| TargetDomain |
字符串 |
目标设备的域。 |
| 目标域类型 |
字符串 |
TargetDomain 的类型。 |
| TargetDvcId |
字符串 |
目标设备的 ID。 |
| TargetDvcIdType |
字符串 |
TargetDvcId 的类型。 |
| TargetDvcOs |
字符串 |
目标设备的 OS。 |
| TargetDvcScope |
字符串 |
目标设备所属的云平台范围。 TargetDvcScope 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| TargetDvcScopeId |
字符串 |
目标设备所属的云平台范围 ID。 TargetDvcScopeId 映射到 Azure 上的订阅 ID 和 AWS 上的帐户 ID。 |
| TargetFQDN |
字符串 |
目标设备主机名,包括域信息(如果可用)。 |
| TargetGeoCity |
字符串 |
与目标 IP 地址关联的城市。 |
| TargetGeoCountry |
字符串 |
与目标 IP 地址关联的国家/地区。 |
| TargetGeoLatitude |
实数 |
与目标 IP 地址关联的地理坐标的纬度。 |
| TargetGeoLongitude |
实数 |
与目标 IP 地址关联的地理坐标的经度。 |
| TargetGeoRegion |
字符串 |
与目标 IP 地址关联的国家/地区中的区域。 |
| 目标主机名 |
字符串 |
目标设备主机名,不包括域信息。 |
| 目标IP地址 |
字符串 |
目标设备的 IP 地址。 |
| TargetOriginalAppType |
字符串 |
报告设备报告的目标应用程序类型。 |
| 目标原始风险级别 |
字符串 |
与目标关联的风险级别,由报告设备报告。 |
| 目标原始用户类型 |
字符串 |
报告设备报告的用户类型。 |
| TargetPortNumber |
整数 |
目标设备的端口。 |
| 目标风险等级 |
整数 |
与目标关联的风险级别。 |
| TargetSessionId |
字符串 |
目标参与者登录会话的唯一 ID。 |
| TargetUrl |
字符串 |
与目标应用程序相关联的 URL。 |
| TargetUserId |
字符串 |
参与者的计算机可读的唯一字母数字表示形式。 |
| 目标用户ID类型 |
字符串 |
TargetUserId 字段中存储的 ID 的类型。 |
| TargetUsername |
字符串 |
目标参与者的用户名,包括域信息(如果可用)。 |
| 目标用户名类型 |
字符串 |
TargetUsername 字段中指定的目标参与者的用户名的类型 |
| 目标用户范围 |
字符串 |
定义 TargetUserId 和 TargetUsername 的范围,例如 Azure AD 租户。 |
| TargetUserScopeId |
字符串 |
定义 TargetUserId 和 TargetUsername 的范围 ID,例如 Azure AD 租户 ID。 |
| 目标用户类型 |
字符串 |
目标参与者的类型。 |
| 租户ID |
字符串 |
Log Analytics 工作区 ID |
| ThreatCategory |
字符串 |
在审计活动中识别到的威胁或恶意软件的类别。 |
| ThreatConfidence |
int |
已识别威胁的可信度,规范化为 0 到 100 之间的值。 |
| ThreatField |
字符串 |
已识别出威胁的字段。 |
| ThreatFirstReportedTime |
日期/时间 |
IP 地址或域首次被识别为威胁的时间。 |
| ThreatId |
字符串 |
在审核活动中识别到的威胁或恶意软件的 ID。 |
| ThreatIpAddr |
字符串 |
已识别出威胁的 IP 地址。 |
| ThreatIsActive |
布尔 |
True(如果已识别威胁被视为活动威胁)。 |
| ThreatLastReportedTime |
日期/时间 |
上次将 IP 地址或域识别为威胁的时间。 |
| ThreatName |
字符串 |
在审核活动中识别到的威胁或恶意软件的名称。 |
| ThreatOriginalConfidence |
字符串 |
报告设备报告的最初识别出的威胁的可信度。 |
| ThreatOriginalRiskLevel |
字符串 |
报告设备报告的风险级别。 |
| ThreatRiskLevel |
int |
与已识别的威胁关联的风险级别。 级别应是介于 0 和 100 之间的数字。 |
| TimeGenerated |
datetime |
时间戳 (UTC),反映生成事件的时间。 |
| 类型 |
字符串 |
表的名称 |