Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Visa ändringar av Windows- och Linux-filer samt av programvaruregisternycklar. Händelser från den här tabellen samlas in av Microsoft Defender för Endpoint (MDE).
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | Logghantering |
| Grundläggande logg | Ja |
| Inmatningstidstransformering | Nej |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| AADTenantID | sträng | AAD-klient-ID för den prenumeration där den övervakade entiteten skapades, bytte namn, ändrades eller togs bort. |
| AzureResourceId | sträng | Azure-resurs-ID för resursen vars övervakade entitet skapades, bytte namn, ändrades eller togs bort. |
| _BilledSize | äkta | Poststorleken i byte |
| Ändringstyp | sträng | Den typ av ändring som inträffade på entiteten. För entiteten "Fil" måste antingen vara "Skapad", "Ändrad", "Bytt namn" eller "Borttagen". För entiteten "Registry" måste vara någon av "RegistryKeyCreated", "RegistryKeyDeleted", "RegistryValueSet", "RegistryValueDeleted", "RegistryKeyRenamed". |
| CloudIdentifier | sträng | Molnidentifieraren för resursen. |
| Molnleverantör | sträng | Resursens molnleverantör. |
| Molnresurstyp | sträng | Typen av molnresurs. |
| Dator | sträng | Namnet på den dator där den övervakade entiteten skapades, bytte namn, ändrades eller togs bort. |
| FileMd5 | sträng | Relevant för "Fil"-övervakad entitetstyp. Innehåller MD5 för filen som ändrades, skapades eller togs bort. |
| Filnamn | sträng | Relevant för "Fil"-övervakad entitetstyp. Innehåller namnet på filen som skapades, bytte namn, ändrades eller togs bort. |
| FilePath | sträng | Relevant för "Fil"-övervakad entitetstyp. Innehåller sökvägen till filen som skapades, bytte namn, ändrades eller togs bort. |
| FileSha1 | sträng | Relevant för "Fil"-övervakad entitetstyp. Innehåller SHA1 för filen som ändrades, skapades eller togs bort. |
| FileSha256 | sträng | Relevant för "Fil"-övervakad entitetstyp. Innehåller SHA256 för filen som ändrades, skapades eller togs bort. |
| Filstorlek | lång | Relevant för "Fil"-övervakad entitetstyp. Innehåller den aktuella storleken (i byte) för filen som skapades, bytte namn, ändrades eller togs bort. |
| Filtyp | sträng | Relevant för "Fil"-övervakad entitetstyp. Innehåller den typ av fil som skapades, bytte namn, ändrades eller togs bort. Exempel på möjliga värden: Zip, PDF, Xar osv. |
| InitialiserarProcessKontoDomännamn | sträng | Innehåller kontodomännamnet för den initierande process som orsakade den övervakade entitetshändelsen. |
| InitieraProcesskontonamn | sträng | Innehåller kontonamnet för den initierande process som orsakade den övervakade entitetshändelsen. |
| InitieraProcessAccountSID | sträng | Innehåller konto-SID för den initierande process som orsakade den övervakade entitetshändelsen. |
| InitieraProcessCreationTime | datum och tid | Rymmer skapandetiden för den initierande process som orsakade den övervakade entitetshändelsen. |
| InitieraProcessFirstSeen | datum och tid | Innehåller tidpunkten för när den inledande processen som orsakade den övervakade entitetshändelsen först observerades. |
| InitieraProcessId | lång | Innehåller process-ID:t för den initierande process som orsakade den övervakade entitetshändelsen. |
| InitieraProcessBildFilNamn | sträng | Innehåller bildfilens namn på den initierande process som orsakade händelsen för den övervakade entiteten. |
| InitieraProcessImageFilePath | sträng | Innehåller sökvägen till bildfilen för den initierande process som orsakade den övervakade entitetshändelsen. |
| Initiera Processbildfiltyp | sträng | Innehåller bildfilstypen för den initierande process som orsakade den övervakade entitetshändelsen. |
| InitieringsprocessNamn | sträng | Innehåller namnet på den initierande process som orsakade den övervakade entitetshändelsen. |
| InitieraProcessSessionId | lång | Innehåller sessions-ID:t för den initierande process som orsakade den övervakade entitetshändelsen. |
| InitieraProcessSource | sträng | Innehåller källan till den initierande process som orsakade den övervakade entitetshändelsen. |
| InitProcImageCreationTimeUtc | datum och tid | Innehåller tidpunkten för skapandet av bilden av den initierande processen som orsakade den övervakade entitetshändelsen. |
| InitProcImageFileSizeInBytes | lång | Innehåller bildfilens storlek (i byte) för den initierande process som orsakade den övervakade entitetshändelsen. |
| InitProcBildSenasteÅtkomsttidUtc | datum och tid | Innehåller den senaste åtkomsttiden för avbildningen av den initierande process som orsakade den övervakade entitetshändelsen. |
| InitProcImageLastWriteTimeUtc | datum och tid | Innehåller den senaste skrivtiden för bilden av den initierande processen som orsakade händelsen hos den övervakade entiteten. |
| InitProcImageLsHash | sträng | Håller LS-hashen för avbildningen av den initierande processen som orsakade händelsen med den övervakade entiteten. |
| InitProcImageMd5 | sträng | Innehåller avbildningen MD5 för avbildningen av den initierande process som orsakade den övervakade entitetshändelsen. |
| InitProcImagePeTimestampUtc | datum och tid | Innehåller avbildningens PE-tid för avbildningen av den initierande process som orsakade den övervakade entitetshändelsen. |
| InitProcImageSha1 | sträng | Innehåller avbildningen SHA 1 för avbildningen av den initierande process som orsakade den övervakade entitetshändelsen. |
| InitProcImageSha256 | sträng | Innehåller avbildningen SHA 256 för avbildningen av den initierande process som orsakade den övervakade entitetshändelsen. |
| InitProcVersionInfoCompanyName | sträng | Innehåller företagsnamnet i versionsinformationen för den initierande processen som orsakade händelsen i den övervakade entiteten. |
| InitProcVersionInfoFileDescription | sträng | Innehåller beskrivningen av versionsinformationsfilen för den initierande process som orsakade den övervakade entitetshändelsen. |
| InitProcVersionInfoInternalFileName | sträng | Innehåller versionsinformationens interna filnamn för den initierande process som orsakade den övervakade entitetshändelsen. |
| InitProcVersionInfoUrsprungsFilNamn | sträng | Innehåller versionsinformationens ursprungliga filnamn för den initierande process som orsakade den övervakade entitetshändelsen. |
| InitProcVersionInfoProductName | sträng | Innehåller versionsinformationens produktnamn för den initierande process som orsakade den övervakade entitetshändelsen. |
| InitProcVersionInfoProductVersion | sträng | Innehåller versionsinformationens produktversion av den initierande process som orsakade den övervakade entitetshändelsen. |
| _ÄrFakturabel | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto |
| ÖvervakadEnhetstyp | sträng | Typen av övervakad entitet som skapades, bytte namn, ändrades eller togs bort. Kan vara antingen "File" eller "Registry". |
| Nyvärdedata | sträng | Relevant för "Register"-övervakad entitetstyp. Innehåller data om nytt registervärde. |
| NyttVärdeNamn | sträng | Relevant för "Register"-övervakad entitetstyp. Innehåller namnet på det nya registervärdet. |
| NewValueType | sträng | Relevant för "Register"-övervakad entitetstyp. Innehåller typen för det nya registervärdet. |
| OldValueData | sträng | Relevant för "Register"-övervakad entitetstyp. Innehåller tidigare registervärdedata. |
| OldValueFullRegistryKey | sträng | Relevant för "Register"-övervakad entitetstyp. Innehåller den tidigare fullständiga registernyckeln. |
| OldValueName | sträng | Relevant för "Register"-övervakad entitetstyp. Innehåller det tidigare registervärdenamnet. |
| OldValueType | sträng | Relevant för "Register"-övervakad entitetstyp. Innehåller den tidigare registervärdetypen. |
| OriginalFileName | sträng | Relevant för "Fil" övervakad entitetstyp och för ändringstypen Byt namn. Innehåller det ursprungliga namnet på filen som bytte namn innan namnbytet uppstod. |
| Originalfilväg | sträng | Relevant för "Fil" övervakad entitetstyp och för ändringstypen Byt namn. Innehåller den ursprungliga sökvägen till filen som bytte namn innan namnbytet uppstod. |
| RegistryHive | sträng | Relevant för "Register"-övervakad entitetstyp. Innehåller konfigurationsinställningarna för gruppering för operativsystemet och programmen. |
| Registernyckel | sträng | Relevant för "Register"-övervakad entitetstyp. Innehåller den fullständiga registernyckeln för registret som skapades eller den nya registernyckeln för registret som har bytt namn. |
| BegärKontodomän | sträng | Relevant för "Fil"-övervakad entitetstyp. Innehåller domänen för kontot för användaren som orsakade filhändelsen. |
| BegärKontonamn | sträng | Relevant för "Fil"-övervakad entitetstyp. Innehåller namnet på kontot för den användare som orsakade filhändelsen. |
| RequestAccountSid | sträng | Relevant för "Fil"-övervakad entitetstyp. Innehåller SID för kontot för användaren som orsakade filhändelsen. |
| RequestSource | sträng | Relevant för "Fil"-övervakad entitetstyp. Innehåller källan till kontot för den användare som orsakade filhändelsen. Till exempel Lokal/SMB/NFS. |
| RequestSourceIP | sträng | Relevant för "Fil"-övervakad entitetstyp. Innehåller käll-IP-adressen för kontot för användaren som orsakade filhändelsen. För fjärrfilen, IP-adressen som begäran kom från. |
| RequestSourcePort | sträng | Relevant för "Fil"-övervakad entitetstyp. Innehåller källporten för kontot för användaren som orsakade filhändelsen. För fjärrfilen, porten som begäran kom från. |
| SourceSystem | sträng | Typen av agent som samlade in händelsen. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| HyresgästId | sträng | Log Analytics arbetsyta-ID |
| TimeGenerated | datum och tid | Tiden (UTC) när den övervakade entiteten skapades, bytte namn, ändrades eller togs bort. |
| Typ | sträng | Namnet på tabellen |