Sentinel のコネクタから取り込まれた VPC フローログを使用すると、AWS VPC ネットワークインターフェイスとの間で送受信される IP トラフィックをキャプチャできます。
テーブル属性
| 属性 |
価値 |
| リソースの種類 |
- |
| Categories (カテゴリ) |
セキュリティ |
| ソリューション |
SecurityInsights |
| 基本的なログ |
はい |
| インジェスト時の変換 |
はい |
| サンプル クエリ |
はい |
列
| 列 |
タイプ |
説明 |
| AccountId |
ひも |
トラフィックが記録されるソース ネットワーク インターフェイスの所有者の AWS アカウント ID。 ネットワークインターフェイスが AWS サービスによって作成された場合 (たとえば、VPC エンドポイントやネットワークロードバランサーを作成する場合)、レコードにこのフィールドの不明な情報が表示されることがあります。 |
| アクション |
ひも |
トラフィックに関連付けられているアクション。 |
| AzId |
ひも |
可用性ゾーンの ID。 |
| _請求額サイズ |
real |
レコード サイズ (バイト単位) |
| バイト(データ単位) |
長い |
フロー中に転送されたバイト数。 |
| DstAddr |
ひも |
送信トラフィックの宛先アドレス。 |
| DstPort |
INT |
トラフィックの宛先ポート。 |
| 終了 |
datetime |
フローの最後のパケットが集計間隔内で受信された時刻。 |
| FlowDirection |
ひも |
トラフィックがキャプチャされるインターフェイスに関するフローの方向。 |
| インスタンスID |
ひも |
トラフィックが記録されるネットワーク インターフェイスに関連付けられているインスタンスの ID。 |
| InterfaceId |
ひも |
トラフィックが記録されるネットワーク インターフェイスの ID。 |
| _IsBillable // 請求可能かどうかを示す |
ひも |
データ インジェストが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| ログステータス |
ひも |
フロー ログの記録状態。 |
| パケット |
INT |
フロー中に転送されたパケットの数。 |
| PktDstAddr |
ひも |
トラフィックのパケット レベル (元の) 宛先 IP アドレス。 |
| PktDstAwsService |
ひも |
宛先 IP アドレスが AWS サービス用の場合、PktDstAddr フィールドの IP アドレス範囲のサブセットの名前。 |
| PktSrcAddr |
ひも |
トラフィックのパケット レベル (元の) ソース IP アドレス。 |
| PktSrcAwsService |
ひも |
ソース IP アドレスが AWS サービスの場合、PktSrcAddr フィールドの IP アドレス範囲のサブセットの名前。 |
| プロトコル |
INT |
トラフィックの IANA プロトコル番号。 |
| リージョン |
ひも |
トラフィックが記録されるネットワーク インターフェイスを含むリージョン。 |
| SourceSystem |
ひも |
イベントが収集されたエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| SrcAddr |
ひも |
受信トラフィックの送信元アドレス。 |
| SrcPort |
INT |
トラフィックのソース ポート。 |
| サブロケーションID |
ひも |
トラフィックが記録されるネットワーク インターフェイスを含むサブロケーションの ID。 |
| サブロケーションタイプ |
ひも |
sublocationId フィールドで返されるサブロケーションの型。 |
| SubnetId |
ひも |
サブネットの ID。 |
| TCP フラグ |
INT |
次の TCP フラグのビットマスク値。 |
| テナントID |
ひも |
Log Analytics ワークスペース ID |
| タイムジェネレイテッド |
datetime |
イベントが生成された時刻のタイムスタンプ (UTC)。 この値は、'start' 入力フィールドと同じか、'start' 入力フィールドが空または不足している場合の Azure Monitor へのデータ到着時間になります。 |
| TrafficPath |
ひも |
エグレス トラフィックが宛先までたどるパス。 |
| 交通タイプ |
ひも |
トラフィックの種類。 使用可能な値は、IPv4、IPv6、および EFA です。 詳細については、「Elastic Fabric Adapter (EFA)」を検索してください。 |
| タイプ |
ひも |
テーブルの名前 |
| バージョン |
INT |
VPC フロー ログのバージョン。 |
| VpcId |
ひも |
VPC の ID。 |