이 표는 Check Point, Palo Alto 등과 같은 다양한 보안 어플라이언스에서 가장 자주 전송되는 공통 이벤트 형식의 이벤트를 수집하기 위한 것입니다.
테이블 특성
| 속성 | 값 |
|---|---|
| 리소스 종류 | microsoft.securityinsights/cef, microsoft.compute/virtualmachines (마이크로소프트 컴퓨트/가상머신) microsoft.conenctedvmwarevsphere/virtualmachines, microsoft.azurestackhci/virtualmachines (마이크로소프트 애저 스택 HCI/가상 머신) microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| 범주 | 보안 |
| 솔루션 | 보안, 보안 인사이트 |
| 기본 로그 | 예 |
| 수집 시간 변환 | 예 |
| 샘플 쿼리 | 예 |
열
| 열 | 유형 | 설명 |
|---|---|---|
| 활동 | 문자열 | 사람이 읽을 수 있고 이해할 수 있는 이벤트에 대한 설명을 나타내는 문자열입니다. |
| 추가 확장 프로그램 | 문자열 | 추가 필드의 자리 표시자입니다. 필드는 키-값 쌍으로 기록됩니다. |
| 애플리케이션 프로토콜 | 문자열 | HTTP, HTTPS, SSHv2, 텔넷, POP, IMPA, IMAPS 등과 같은 애플리케이션에서 사용되는 프로토콜입니다. |
| _BilledSize | 진짜 | 레코드 크기(바이트) |
| 수집자 호스트 이름 | 문자열 | 에이전트를 실행하는 수집기 컴퓨터의 호스트 이름입니다. |
| 소통 방향 | 문자열 | 관찰된 통신이 진행된 방향에 대한 정보입니다. 유효한 값: 0 = 인바운드, 1 = 아웃바운드. |
| 컴퓨터 | 문자열 | 호스트, Syslog에서. |
| 목적지DNS도메인 | 문자열 | FQDN(정규화된 도메인 이름)의 DNS 부분입니다. |
| 목적지호스트이름 | 문자열 | 이벤트가 IP 네트워크에서 참조하는 대상입니다. 형식은 노드를 사용할 수 있는 경우 대상 노드와 연결된 FQDN이어야 합니다. 예: host.___domain.com 또는 호스트. |
| 목적지 IP | 문자열 | IP 네트워크에서 이벤트가 참조하는 대상 IpV4 주소입니다. |
| DestinationMACAddress | 문자열 | 대상 MAC 주소(FQDN)입니다. |
| 목적지NT도메인 | 문자열 | 대상 주소의 Windows 도메인 이름입니다. |
| 목적지 포트 | 정수 (int) | 대상 포트입니다. 유효한 값: 0 - 65535. |
| 대상프로세스ID | 정수 (int) | 이벤트와 연결된 대상 프로세스의 ID입니다. |
| 대상프로세스이름 | 문자열 | 텔넷 또는 sshd와 같은 이벤트의 대상 프로세스 이름입니다. |
| 목적지서비스이름 | 문자열 | 이벤트에 의해 대상으로 지정된 서비스입니다. 예: sshd. |
| 목적지번역주소 | 문자열 | IP 네트워크에서 이벤트에 의해 참조되는 변환된 대상을 IPv4 IP 주소로 식별합니다. |
| 대상 변환 포트 | 정수 (int) | 변환 후 포트(예: 방화벽 유효한 포트 번호: 0 - 65535) |
| 대상사용자ID | 문자열 | ID로 대상 사용자를 식별합니다. 예를 들어 Unix에서 루트 사용자는 일반적으로 사용자 ID 0과 연결됩니다. |
| 목적지사용자이름 | 문자열 | 이름으로 대상 사용자를 식별합니다. |
| 대상 사용자 권한 | 문자열 | 대상 사용 권한을 정의합니다. 유효한 값은 다음과 같습니다: Administrator, User, Guest. |
| DeviceAction | 문자열 | 이벤트에 언급된 활동입니다. |
| 기기 주소 | 문자열 | 이벤트를 생성하는 디바이스의 IPv4 주소입니다. |
| 장치맞춤날짜1 | 문자열 | 이 사전의 다른 어떤 필드에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 두 개의 타임스탬프 필드 중 하나입니다. 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. |
| 장치사용자정의날짜1레이블 | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomDate2 | 문자열 | 이 사전의 다른 어떤 필드에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 두 개의 타임스탬프 필드 중 하나입니다. 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. |
| 장치사용자정의날짜2라벨 | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| 디바이스맞춤형부동소수점1 | 진짜 | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 네 개의 부동 소수점 필드 중 하나입니다. |
| DeviceCustomFloatingPoint1Label | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomFloatingPoint2 | 진짜 | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 네 개의 부동 소수점 필드 중 하나입니다. |
| DeviceCustomFloatingPoint2Label | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomFloatingPoint3 | 진짜 | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 네 개의 부동 소수점 필드 중 하나입니다. |
| 장치맞춤형부동소수점3레이블 | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomFloatingPoint4 | 진짜 | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 네 개의 부동 소수점 필드 중 하나입니다. |
| 디바이스맞춤부동소수점4레이블 | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| 장치사용자지정IPv6주소1 | 문자열 | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 4개의 IPv6 주소 필드 중 하나입니다. |
| 장치 사용자 정의 IPv6 주소 1 레이블 | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomIPv6주소2 | 문자열 | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 4개의 IPv6 주소 필드 중 하나입니다. |
| 사용자지정IPv6주소2레이블 | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomIPv6Address3 | 문자열 | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 4개의 IPv6 주소 필드 중 하나입니다. |
| DeviceCustomIPv6주소3라벨 | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomIPv6Address4 | 문자열 | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 4개의 IPv6 주소 필드 중 하나입니다. |
| 장치사용자지정IPv6주소4레이블 | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomNumber1 | 정수 (int) | 곧 사용되지 않는 필드가 될 것입니다. FieldDeviceCustomNumber1로 대체됩니다. |
| 기기맞춤숫자1레이블 | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| 디바이스 맞춤 번호 2 | 정수 (int) | 곧 사용되지 않는 필드가 될 것입니다. FieldDeviceCustomNumber2로 대체됩니다. |
| 디바이스사용자정의번호2레이블 | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| 장치사용자번호3 | 정수 (int) | 곧 사용되지 않는 필드가 될 것입니다. FieldDeviceCustomNumber3으로 대체됩니다. |
| DeviceCustomNumber3Label | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomString1 | 문자열 | 이 사전의 다른 어떤 문자열에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 6개의 문자열 중 하나입니다. 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. |
| DeviceCustomString1Label | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| 디바이스커스텀스트링2 | 문자열 | 이 사전의 다른 어떤 문자열에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 6개의 문자열 중 하나입니다. 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. |
| DeviceCustomString2Label | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| 디바이스커스텀스트링3 | 문자열 | 이 사전의 다른 어떤 문자열에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 6개의 문자열 중 하나입니다. 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. |
| 장치커스텀문자열3라벨 | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomString4 | 문자열 | 이 사전의 다른 어떤 문자열에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 6개의 문자열 중 하나입니다. 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. |
| 장치맞춤문자열4레이블 | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomString5 | 문자열 | 이 사전의 다른 어떤 문자열에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 6개의 문자열 중 하나입니다. 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. |
| 장치사용자정의문자열5레이블 | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| DeviceCustomString6 | 문자열 | 이 사전의 다른 어떤 문자열에도 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 6개의 문자열 중 하나입니다. 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. |
| 장치사용자정의문자열6라벨 | 문자열 | 모든 사용자 지정 필드에는 해당 레이블 필드가 있습니다. 이러한 각 필드는 문자열이며 사용자 지정 필드의 용도를 설명합니다. |
| 장치 DNS 도메인 | 문자열 | FQDN(정규화된 도메인 이름)의 DNS 도메인 부분입니다. |
| 장치이벤트범주 | 문자열 | 원래 디바이스에서 할당한 범주를 나타냅니다. 디바이스는 종종 고유한 분류 스키마를 사용하여 이벤트를 분류합니다. 예: '/Monitor/Disk/Read'. |
| 디바이스이벤트클래스ID | 문자열 | 이벤트 유형당 고유 식별자 역할을 하는 문자열 또는 정수입니다. |
| 디바이스외부ID | 문자열 | 이벤트를 생성하는 디바이스를 고유하게 식별하는 이름입니다. |
| 기기 시설 | 문자열 | 이벤트를 생성하는 시설입니다. 예: "인증" 또는 "local1". |
| 디바이스인바운드인터페이스 | 문자열 | 패킷 또는 데이터가 디바이스에 입력된 인터페이스입니다. 예: 이더넷1/2. |
| 디바이스 MAC 주소 | 문자열 | 이벤트를 생성하는 디바이스의 MAC 주소입니다. |
| 장치 이름 | 문자열 | 장치 노드와 연결된 FQDN은 노드가 사용 가능할 때의 것입니다. 예: host.___domain.com 또는 호스트. |
| DeviceNtDomain | 문자열 | 디바이스 주소의 Windows 도메인입니다. |
| 디바이스 아웃바운드 인터페이스 | 문자열 | 패킷 또는 데이터가 디바이스를 떠난 인터페이스입니다. |
| DevicePayloadId | 문자열 | 이벤트와 연결된 페이로드의 고유 식별자입니다. |
| 디바이스 제품 | 문자열 | 디바이스 제품 및 버전 정의와 함께 보내는 디바이스의 유형을 고유하게 식별하는 문자열입니다. |
| 장치 시간대 | 문자열 | 이벤트를 생성하는 디바이스의 표준 시간대입니다. |
| 장치 변환 주소 | 문자열 | IP 네트워크에서 이벤트가 참조하는 변환된 디바이스 주소를 식별합니다. 형식은 Ipv4 주소입니다. |
| 장치 공급업체 | 문자열 | 디바이스 제품 및 버전 정의와 함께 보내는 디바이스의 유형을 고유하게 식별하는 문자열입니다. |
| 디바이스 버전 | 문자열 | 디바이스 제품 및 버전 정의와 함께 보내는 디바이스의 유형을 고유하게 식별하는 문자열입니다. |
| 종료시간 | 날짜/시간 | 이벤트와 관련된 활동이 종료된 시간입니다. |
| 이벤트 수 | 정수 (int) | 이벤트와 연결된 개수로, 동일한 이벤트가 몇 번 관찰되었는지를 보여줍니다. |
| 이벤트결과 | 문자열 | 일반적으로 결과를 '성공' 또는 '실패'로 표시합니다. |
| 이벤트 유형 | 정수 (int) | 이벤트 유형입니다. 값 값은 0: 기본 이벤트, 1: 집계됨, 2: 상관 관계 이벤트, 3: 작업 이벤트입니다. 참고: 이 이벤트는 기본 이벤트에 대해 생략할 수 있습니다. |
| ExternalID | 정수 (int) | 곧 사용되지 않는 필드가 될 것입니다. ExtID로 대체됩니다. |
| ExtID | 문자열 | 원래 디바이스에서 사용하는 ID입니다(레거시 ExternalID를 대체합니다). 일반적으로 이러한 값은 각각 이벤트와 연결된 늘어나는 값입니다. |
| 사용자정의번호1 | 길다 | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 세 가지 숫자 필드 중 하나입니다(레거시 DeviceCustomNumber1을 대체합니다). 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. |
| FieldDeviceCustomNumber2 | 길다 | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 세 개의 숫자 필드 중 하나입니다(레거시 DeviceCustomNumber2를 대체합니다). 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. |
| FieldDeviceCustomNumber3 | 길다 | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 세 가지 숫자 필드 중 하나입니다(레거시 DeviceCustomNumber3을 대체합니다). 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. |
| 파일 생성 시간 | 문자열 | 파일을 만든 시간입니다. |
| 파일 해시 | 문자열 | 파일의 해시입니다. |
| 파일ID | 문자열 | inode와 같은 파일과 연결된 ID입니다. |
| 파일 수정 시간 | 문자열 | 파일이 마지막으로 수정된 시간입니다. |
| 파일 이름 | 문자열 | 경로가 없는 파일의 이름입니다. |
| FilePath | 문자열 | 파일 이름을 포함하여 파일의 전체 경로입니다. 예: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 또는 /usr/bin/zip. |
| 파일 권한 | 문자열 | 파일의 사용 권한입니다. 예: '2,1,1'. |
| 파일 크기 | 정수 (int) | 파일의 크기입니다(바이트). |
| 파일 형식 | 문자열 | 파일 형식, 예를 들어 파이프, 소켓 등. |
| FlexDate1 | 문자열 | 이 사전의 다른 정의된 타임스탬프 필드에 적용되지 않는 타임스탬프를 매핑하는 데 사용할 수 있는 타임스탬프 필드입니다. 가능한 경우, 모든 플렉스 필드를 사용을 절제하고 보다 구체적인 사전에서 제공하는 필드를 찾으십시오. 이러한 필드는 일반적으로 고객 사용을 위해 예약되며 필요한 경우가 아니면 공급업체에서 설정해서는 안 됩니다. |
| FlexDate1Label | 문자열 | 레이블 필드는 문자열이며 flex 필드의 용도를 설명합니다. |
| FlexNumber1 | 정수 (int) | 이 사전의 다른 필드에는 적용되지 않는 Int 데이터를 매핑하는 데 사용할 수 있는 숫자 필드입니다. |
| 플렉스번호1레이블 | 문자열 | FlexNumber1의 값을 설명하는 레이블 |
| FlexNumber2 | 정수 (int) | 이 사전의 다른 필드에는 적용되지 않는 Int 데이터를 매핑하는 데 사용할 수 있는 숫자 필드입니다. |
| FlexNumber2Label | 문자열 | FlexNumber2의 값을 설명하는 레이블 |
| FlexString1 | 문자열 | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 네 개의 부동 소수점 필드 중 하나입니다. 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. 이러한 필드는 일반적으로 고객 사용을 위해 예약되며 필요한 경우가 아니면 공급업체에서 설정해서는 안 됩니다. |
| FlexString1Label | 문자열 | 레이블 필드는 문자열이며 flex 필드의 용도를 설명합니다. |
| FlexString2 | 문자열 | 이 사전의 다른 필드에 적용되지 않는 필드를 매핑하는 데 사용할 수 있는 네 개의 부동 소수점 필드 중 하나입니다. 가능하면 아끼고 더 구체적인 사전 제공 필드를 찾습니다. 이러한 필드는 일반적으로 고객 사용을 위해 예약되며 필요한 경우가 아니면 공급업체에서 설정해서는 안 됩니다. |
| FlexString2Label | 문자열 | 레이블 필드는 문자열이며 flex 필드의 용도를 설명합니다. |
| 지표위협유형 | 문자열 | TI 피드에 따른 MaliciousIP의 위협 유형입니다. |
| _IsBillable (과금 가능 여부) | 문자열 | 데이터 수집이 청구 가능한지 여부를 지정합니다. _IsBillable이 false인 경우 수집 비용은 Azure 계정에 청구되지 않습니다. |
| LogSeverity | 문자열 | 이벤트의 중요도를 설명하는 문자열 또는 정수입니다. 유효한 문자열 값: 알 수 없음, 낮음, 보통, 높음, 매우 높은 유효한 정수 값은 0-3 = 낮음, 4-6 = 보통, 7-8 = 높음, 9-10 = 매우 높음입니다. |
| 악성 IP | 문자열 | 메시지의 IP 중 하나가 현재 TI 피드와 상관 관계가 있는 경우 여기에 표시됩니다. |
| 악성 IP 국가 | 문자열 | 레코드 수집 시 GEO 정보에 따른 MaliciousIP의 국가입니다. |
| 악성 IP 위도 | 진짜 | 레코드 수집 시 GEO 정보에 따른 MaliciousIP의 위도입니다. |
| MaliciousIPLongitude | 진짜 | 기록 수집 시점의 GEO 정보에 따른 악성 IP의 경도입니다. |
| 메시지 | 문자열 | 이벤트에 대한 자세한 정보를 제공하는 메시지입니다. |
| 오래된 파일 생성 시간 | 문자열 | 이전 파일을 만든 시간입니다. |
| OldFileHash (이전파일해쉬) | 문자열 | 이전 파일의 해시입니다. |
| OldFileID | 문자열 | 이전 파일과 연결된 ID(예: inode)입니다. |
| 오래된 파일 수정 시간 | 문자열 | 파일이 마지막으로 수정된 시간입니다. |
| OldFileName | 문자열 | 이전 파일의 이름입니다. |
| OldFilePath | 문자열 | 파일 이름을 포함하여 이전 파일의 전체 경로입니다. 예: C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 또는 /usr/bin/zip. |
| 오래된파일권한 | 문자열 | 이전 파일의 사용 권한입니다. 예: '2,1,1'. |
| 이전파일크기 | 정수 (int) | 이전 파일의 크기(바이트)입니다. |
| 구파일유형 | 문자열 | 파이프, 소켓 등과 같은 이전 파일의 파일 형식입니다. |
| OriginalLogSeverity | 문자열 | 매핑하지 않은 LogSeverity 버전입니다. 예: LogSeverity 필드에서 표준화된 "낮음/보통/높음" 대신 "경고/중요/정보" |
| 프로세스 ID | 정수 (int) | 이벤트를 생성하는 디바이스에서 프로세스의 ID를 정의합니다. |
| ProcessName | 문자열 | 이벤트와 연결된 프로세스 이름입니다. 예: UNIX에서 syslog 항목을 생성하는 프로세스입니다. |
| 프로토콜 | 문자열 | 사용된 Layer-4 프로토콜을 식별하는 전송 프로토콜입니다. 가능한 값에는 TCP 또는 UDP와 같은 프로토콜 이름이 포함됩니다. |
| 원인 | 문자열 | 감사 이벤트가 생성된 이유입니다. 예를 들어 '잘못된 암호' 또는 '알 수 없는 사용자'가 있습니다. 오류 또는 반환 코드일 수도 있습니다. 예: '0x1234'. |
| 영수증 발급 시간 | 문자열 | 작업과 관련된 이벤트를 받은 시간입니다. 'Timegenerated' 필드는 로그 수집기 컴퓨터에서 이벤트가 수신된 시점을 나타내며, 이와는 다릅니다. |
| 수신 바이트 | 길다 | 인바운드로 전송된 바이트 수입니다. |
| 원격 IP 주소 | 문자열 | 가능한 경우 이벤트의 방향 값에서 파생된 원격 IP 주소입니다. |
| RemotePort | 문자열 | 가능한 경우 이벤트의 방향 값에서 파생된 원격 포트입니다. |
| 보고서 참조 링크 | 문자열 | TI 피드의 보고서에 연결합니다. |
| 클라이언트 애플리케이션 요청 | 문자열 | 요청과 연결된 사용자 에이전트입니다. |
| 리퀘스트 컨텍스트 | 문자열 | HTTP 참조 페이지와 같이 요청이 시작된 콘텐츠를 설명합니다. |
| RequestCookies | 문자열 | 요청과 연결된 쿠키입니다. |
| 요청 메서드 | 문자열 | URL에 액세스하는 데 사용되는 메서드입니다. 유효한 값에는 POST, GET 등의 메서드가 포함됩니다. |
| RequestURL (요청 URL) | 문자열 | 프로토콜을 포함하여 HTTP 요청에 액세스하는 URL입니다. 예: http://www/secure.com. |
| _리소스아이디 | 문자열 | 레코드가 연결된 리소스의 고유 식별자입니다. |
| 전송된 바이트 | 길다 | 아웃바운드로 전송된 바이트 수입니다. |
| 간소화된 장치 동작 | 문자열 | 거부 > Deny와 같은 DeviceAction의 매핑된 버전입니다. |
| 소스 DNS 도메인 | 문자열 | 전체 FQDN의 DNS 도메인 부분입니다. |
| SourceHostName | 문자열 | IP 네트워크에서 이벤트가 참조하는 원본을 식별합니다. 노드를 사용할 수 있는 경우 형식은 원본 노드와 연결된 DQDN(정규화된 도메인 이름)이어야 합니다. 예: 호스트 이름 또는 host.___domain.com. |
| 소스IP | 문자열 | IP 네트워크에서 이벤트가 IPv4 주소로 참조하는 원본 소스입니다. |
| 소스 MAC 주소 | 문자열 | 원본 MAC 주소입니다. |
| SourceNTDomain | 문자열 | 원본 주소의 Windows 도메인 이름입니다. |
| SourcePort | 정수 (int) | 원본 포트 번호입니다. 유효한 포트 번호는 0 - 65535입니다. |
| SourceProcessId | 정수 (int) | 이벤트와 연결된 원본 프로세스의 ID입니다. |
| 소스프로세스명 | 문자열 | 이벤트 원본 프로세스의 이름입니다. |
| SourceServiceName | 문자열 | 이벤트 생성을 담당하는 서비스입니다. |
| SourceSystem | 문자열 | 이벤트를 수집한 에이전트의 유형. 예를 들어, Windows 에이전트(직접 연결 또는 Operations Manager)의 경우 OpsManager, 모든 Linux 에이전트의 경우 Linux, Azure Diagnostics의 경우 Azure |
| SourceTranslatedAddress | 문자열 | 이벤트가 IP 네트워크에서 참조하는 번역된 원본을 식별합니다. |
| SourceTranslatedPort | 정수 (int) | 변환 후 원본 포트(예: 방화벽). 유효한 포트 번호는 0 - 65535입니다. |
| SourceUserID | 문자열 | ID로 원본 사용자를 식별합니다. |
| SourceUserName | 문자열 | 이름으로 원본 사용자를 식별합니다. 전자 메일 주소도 UserName 필드에 매핑됩니다. 발신자는 이 필드에 넣을 후보입니다. |
| 소스 사용자 권한 | 문자열 | 원본 사용자의 권한입니다. 유효한 값은 관리자, 사용자, 게스트입니다. |
| 시작 시간 | 날짜/시간 | 이벤트가 참조하는 활동이 시작된 시간입니다. |
| _서브스크립션아이디 | 문자열 | 레코드가 연결된 구독의 고유 식별자입니다. |
| 테넌트 ID | 문자열 | Log Analytics 작업 영역 ID |
| 위협 신뢰도 | 문자열 | TI 피드에 따른 MaliciousIP의 위협 신뢰도입니다. |
| 위협 설명 | 문자열 | TI 피드에 따른 MaliciousIP의 위협 설명입니다. |
| 위협 심각도 | 정수 (int) | 레코드 수집 시 TI 피드에 따른 MaliciousIP의 위협 심각도입니다. |
| 타임제너레이티드 | 날짜/시간 | 이벤트 수집 시간(UTC)입니다. |
| 유형 | 문자열 | 테이블의 이름입니다. |