你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
此表用于收集通用事件格式的事件,这些事件通常发送自不同的安全设备(如 Check Point、Palo Alto 等)。
表属性
| 属性 | 值 |
|---|---|
| 资源类型 | microsoft.securityinsights/cef, microsoft.compute/virtualmachines、 microsoft.conenctedvmwarevsphere/virtualmachines、 microsoft.azurestackhci/virtualmachines、 microsoft.scvmm/virtualmachines, microsoft.compute/virtualmachinescalesets |
| 类别 | 安全性 |
| 解决方案 | Security、SecurityInsights |
| 基本日志 | 是 |
| 引入时转换 | 是 |
| 示例查询 | 是 |
列
| 列 | 类型 | 说明 |
|---|---|---|
| 活动 | 字符串 | 一个字符串,表示用户可读且可理解的事件说明。 |
| AdditionalExtensions | 字符串 | 附加字段的占位符。 字段以键值对的形式记录。 |
| 应用协议 | 字符串 | 应用程序中使用的协议,例如 HTTP、HTTPS、SSHv2、Telnet、POP、IMPA、IMAPS 等等。 |
| _BilledSize(账单大小) | 实数 | 记录大小(字节) |
| 采集器主机名 | 字符串 | 运行代理的收集器计算机的主机名。 |
| CommunicationDirection | 字符串 | 有关已观察到的通信所采用的方向的任何信息。 有效值:0 = 入站,1 = 出站。 |
| 电脑 | 字符串 | Syslog 中的主机。 |
| DestinationDnsDomain | 字符串 | 完全限定的域名 (FQDN) 的 DNS 部分。 |
| 目标主机名 | 字符串 | 事件在 IP 网络中引用的目标。 格式应是与目标节点(如果节点可用)关联的 FQDN。 例如:host.domain.com 或 host。 |
| 目标IP地址 | 字符串 | 事件在 IP 网络中引用的目标 IPv4 地址。 |
| 目标MAC地址 | 字符串 | 目标 MAC 地址 (FQDN)。 |
| DestinationNTDomain | 字符串 | 目标地址的 Windows 域名。 |
| 目的港 | 整数 (int) | 目标端口。 有效值:0 - 65535。 |
| DestinationProcessId | 整数 (int) | 与事件关联的目标进程的 ID。 |
| 目标进程名称 | 字符串 | 事件目标进程的名称,例如 telnetd 或 sshd。 |
| DestinationServiceName | 字符串 | 事件所针对的服务。 例如,sshd。 |
| DestinationTranslatedAddress | 字符串 | 标识 IP 网络中由事件引用的已转换目标,用作 IPv4 IP 地址。 |
| DestinationTranslatedPort | 整数 (int) | 转换后的端口,如防火墙有效端口号:0 - 65535。 |
| 目标用户ID | 字符串 | 按 ID 标识目标用户。 例如:在 Unix 中,根用户通常与用户 ID 0 关联。 |
| 目标用户名 | 字符串 | 按名称标识目标用户。 |
| 目标用户权限 | 字符串 | 定义目标用户的特权。 有效值:Admninistrator、User、Guest。 |
| DeviceAction | 字符串 | 事件中提到的操作。 |
| 设备地址 | 字符串 | 生成事件的设备的 IPv4 地址。 |
| DeviceCustomDate1 | 字符串 | 可用于映射字段的两个时间戳字段之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
| DeviceCustomDate1Label | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomDate2 | 字符串 | 可用于映射字段的两个时间戳字段之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
| DeviceCustomDate2Label | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomFloatingPoint1 | 实数 | 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。 |
| DeviceCustomFloatingPoint1Label | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomFloatingPoint2 | 实数 | 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。 |
| DeviceCustomFloatingPoint2Label | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomFloatingPoint3 | 实数 | 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。 |
| DeviceCustomFloatingPoint3Label | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomFloatingPoint4 | 实数 | 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。 |
| DeviceCustomFloatingPoint4Label | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomIPv6Address1 | 字符串 | 可用于映射字段的四个 IPv6 地址字段之一,这些字段不适用于本字典中的任何其他字段。 |
| DeviceCustomIPv6Address1Label | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomIPv6Address2 | 字符串 | 可用于映射字段的四个 IPv6 地址字段之一,这些字段不适用于本字典中的任何其他字段。 |
| DeviceCustomIPv6Address2Label | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomIPv6Address3 | 字符串 | 可用于映射字段的四个 IPv6 地址字段之一,这些字段不适用于本字典中的任何其他字段。 |
| DeviceCustomIPv6Address3Label | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomIPv6Address4 | 字符串 | 可用于映射字段的四个 IPv6 地址字段之一,这些字段不适用于本字典中的任何其他字段。 |
| DeviceCustomIPv6Address4Label | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| 设备自定义编号1 | 整数 (int) | 此字段即将被弃用。 将被 FieldDeviceCustomNumber1 代替。 |
| DeviceCustomNumber1Label | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomNumber2 | 整数 (int) | 此字段即将被弃用。 将被 FieldDeviceCustomNumber2 代替。 |
| DeviceCustomNumber2Label | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomNumber3 | 整数 (int) | 此字段即将被弃用。 将被 FieldDeviceCustomNumber3 代替。 |
| DeviceCustomNumber3Label | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomString1 | 字符串 | 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
| DeviceCustomString1Label | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomString2 | 字符串 | 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
| DeviceCustomString2Label | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomString3 | 字符串 | 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
| DeviceCustomString3Label | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomString4 | 字符串 | 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
| DeviceCustomString4Label | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomString5 | 字符串 | 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
| DeviceCustomString5Label | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceCustomString6 | 字符串 | 用于映射字段的六种字符串之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
| DeviceCustomString6Label | 字符串 | 所有自定义字段都有相应的标签字段。 其中每个字段都是一个字符串,用于描述自定义字段的用途。 |
| DeviceDnsDomain | 字符串 | 完全限定的域名 (FQDN) 的 DNS 域部分。 |
| DeviceEventCategory | 字符串 | 表示由原始设备分配的类别。 设备通常使用自己的分类架构对事件进行分类。 示例:“/Monitor/Disk/Read”。 |
| DeviceEventClassID | 字符串 | 充当每个事件类型的唯一标识符的字符串或整数。 |
| DeviceExternalID | 字符串 | 一个用于唯一标识生成事件的设备的名称。 |
| DeviceFacility | 字符串 | 生成事件的设施。 例如:auth 或 local1。 |
| DeviceInboundInterface | 字符串 | 数据包或数据进入设备时所用的接口。 例如:ethernet1/2。 |
| DeviceMacAddress | 字符串 | 生成事件的设备的 MAC 地址。 |
| 设备名称 | 字符串 | 与设备节点(如果节点可用)关联的 FQDN。 例如:host.domain.com 或 host。 |
| DeviceNtDomain | 字符串 | 设备地址的 Windows 域。 |
| DeviceOutboundInterface | 字符串 | 数据包或数据离开设备时所用的接口。 |
| DevicePayloadId | 字符串 | 与事件关联的有效负载的唯一标识符。 |
| DeviceProduct | 字符串 | 与设备产品和版本定义一起用于唯一标识发送方设备类型的字符串。 |
| DeviceTimeZone | 字符串 | 生成事件的设备的时区。 |
| DeviceTranslatedAddress | 字符串 | 标识事件在 IP 网络中引用的已转换设备地址。 格式为 IPv4 地址。 |
| DeviceVendor | 字符串 | 与设备产品和版本定义一起用于唯一标识发送方设备类型的字符串。 |
| DeviceVersion | 字符串 | 与设备产品和版本定义一起用于唯一标识发送方设备类型的字符串。 |
| 结束时间 | 日期/时间 | 与事件相关的活动的结束时间。 |
| EventCount | 整数 (int) | 与事件关联的计数,显示观察到同一事件的次数。 |
| 事件结果 | 字符串 | 显示结果,通常为“成功”或“失败”。 |
| 事件类型 | 整数 (int) | 事件类型。 值包括:0:基本事件,1:聚合,2:相关事件,3:操作事件。 注意:对于基本事件,可以省略此事件。 |
| ExternalID | 整数 (int) | 此字段即将被弃用。 将被 ExtID 取代。 |
| ExtID | 字符串 | 原始设备使用的 ID(将取代旧的 ExternalID)。 通常,这些值具有一些递增值,其中每个递增值均与某个事件相关联。 |
| FieldDeviceCustomNumber1 | 长整型 | 可用于映射字段的三个数字字段之一,这些字段不适用于本字典中的任何其他字段(将替代旧版 DeviceCustomNumber1)。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
| FieldDeviceCustomNumber2 | 长整型 | 可用于映射字段的三个数字字段之一,这些字段不适用于本字典中的任何其他字段(将替代旧版 DeviceCustomNumber2)。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
| FieldDeviceCustomNumber3 | 长整型 | 可用于映射字段的三个数字字段之一,这些字段不适用于本字典中的任何其他字段(将替代旧版 DeviceCustomNumber3)。 尽量少用,并尽可能使用字典中提供的更具体的字段。 |
| 文件创建时间 | 字符串 | 文件的创建时间。 |
| 文件哈希 | 字符串 | 文件的哈希。 |
| FileID | 字符串 | 与文件关联的 ID,例如 inode。 |
| 文件修改时间 | 字符串 | 文件的上次修改时间。 |
| 文件名 | 字符串 | 文件的名称,不包括路径。 |
| FilePath | 字符串 | 文件的完整路径,包括文件名。 例如:C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 或 /usr/bin/zip。 |
| 文件权限 | 字符串 | 文件的权限。 例如:“2,1,1”。 |
| 文件大小 | 整数 (int) | 以字节为单位的文件的大小。 |
| 文件类型 | 字符串 | 文件类型,例如管道、套接字等。 |
| FlexDate1 | 字符串 | 用于映射时间戳的时间戳字段,该时间戳不适用于本字典中任何其他已定义的时间戳字段。 尽量少用所有弹性字段,尽可能使用字典提供的更具体的字段。 这些字段通常保留给客户使用,除非必要,供应商不应进行设置。 |
| FlexDate1Label | 字符串 | 标签字段是一个字符串,用于描述弹性字段的用途。 |
| FlexNumber1 | 整数 (int) | 可用于映射 Int 数据的编号字段,不适用于本字典中的任何其他字段。 |
| FlexNumber1Label | 字符串 | 用来描述 FlexNumber1 数值的标签 |
| FlexNumber2 | 整数 (int) | 可用于映射 Int 数据的编号字段,不适用于本字典中的任何其他字段。 |
| FlexNumber2Label | 字符串 | 描述 FlexNumber2 中数值的标签 |
| FlexString1 | 字符串 | 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 这些字段通常保留给客户使用,除非必要,供应商不应进行设置。 |
| FlexString1Label | 字符串 | 标签字段是一个字符串,用于描述弹性字段的用途。 |
| FlexString2 | 字符串 | 可用于映射字段的四个浮点字段之一,这些字段不适用于本字典中的任何其他字段。 尽量少用,并尽可能使用字典中提供的更具体的字段。 这些字段通常保留给客户使用,除非必要,供应商不应进行设置。 |
| FlexString2Label | 字符串 | 标签字段是一个字符串,用于描述弹性字段的用途。 |
| 指标威胁类型 | 字符串 | MaliciousIP 的威胁类型,视 TI 源而定。 |
| _IsBillable | 字符串 | 指定引入数据是否需要付费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| LogSeverity | 字符串 | 用于描述事件重要性的字符串或整数。 有效字符串值:未知、低、中、高、高。有效整数值为:0-3 = 低,4-6 = 中,7-8 = 高,9-10 = 非常高。 |
| 恶意IP地址 | 字符串 | 如果消息中的某个 IP 与当前的 TI 源相关联,它就会显示在这里。 |
| MaliciousIPCountry | 字符串 | MaliciousIP 所在的国家/地区,视记录引入时的 GEO 信息而定。 |
| MaliciousIPLatitude | 实数 | MaliciousIP 所在的纬度,视记录引入时的 GEO 信息而定。 |
| MaliciousIPLongitude | 实数 | MaliciousIP 所在的经度,视记录引入时的 GEO 信息而定。 |
| 消息 | 字符串 | 一条消息,提供有关事件的更多详细信息。 |
| OldFileCreateTime | 字符串 | 旧文件的创建时间。 |
| OldFileHash | 字符串 | 旧文件的哈希。 |
| OldFileID | 字符串 | 与旧文件相关联的 ID,例如 inode。 |
| OldFileModificationTime | 字符串 | 旧文件的上次修改时间。 |
| OldFileName | 字符串 | 旧文件的名称。 |
| OldFilePath | 字符串 | 旧文件的完整路径,包括文件名。 例如:C:\ProgramFiles\WindowsNT\Accessories\wordpad.exe 或 /usr/bin/zip。 |
| OldFilePermission | 字符串 | 旧文件的权限。 例如:“2,1,1”。 |
| OldFileSize | 整数 (int) | 旧文件的大小(以字节为单位)。 |
| OldFileType | 字符串 | 旧文件的文件类型,例如管道、套接字等。 |
| OriginalLogSeverity | 字符串 | LogSeverity 的非映射版本。 例如:在 LogSeverity 字段中显示“Warning/Critical/Info”,而不是标准化的“Low/Medium/High” |
| 进程ID | 整数 (int) | 定义生成事件的设备上进程的 ID。 |
| ProcessName | 字符串 | 与事件关联的进程名称。 例如,在 UNIX 中,这是生成 syslog 条目的进程。 |
| 协议 | 字符串 | 用于标识所用第 4 层协议的传输协议。 可能的值包括协议名称,例如 TCP 或 UDP。 |
| 原因 | 字符串 | 生成审核事件的原因。 例如“密码错误”或“未知用户”。 这也可能是错误代码或返回代码。 示例:“0x1234”。 |
| 收货时间 | 字符串 | 收到活动相关事件的时间。 与“Timegenerated”字段不同,后者为日志收集器接收事件的时间。 |
| 接收字节数 | 长整型 | 入站传输的字节数。 |
| RemoteIP | 字符串 | 从事件的方向值派生的远程 IP 地址(如果可能)。 |
| RemotePort | 字符串 | 从事件的方向值派生的远程端口(如果可能)。 |
| 报告参考链接 | 字符串 | 到 TI 源报告的链接。 |
| RequestClientApplication | 字符串 | 与请求关联的用户代理。 |
| RequestContext | 字符串 | 描述请求来源的内容,例如 HTTP 引荐来源。 |
| RequestCookies | 字符串 | 与请求关联的 Cookie。 |
| RequestMethod | 字符串 | 用于访问 URL 的方法。 有效值包括 POST、GET 等方法。 |
| RequestURL | 字符串 | 为 HTTP 请求访问的 URL,包括协议。 例如:http://www/secure.com. |
| _资源ID | 字符串 | 与记录关联的资源的唯一标识符 |
| SentBytes | 长整型 | 出站传输的字节数。 |
| SimplifiedDeviceAction | 字符串 | DeviceAction 的映射版本,例如 Denied > Deny. |
| SourceDnsDomain | 字符串 | 完整 FQDN 的 DNS 域部分。 |
| SourceHostName | 字符串 | 标识事件在 IP 网络中引用的源。 格式应是与源节点(如果节点可用)关联的完全限定域名 (DQDN)。 例如:host 或 host.domain.com。 |
| SourceIP | 字符串 | 事件在 IP 网络中引用的源,即为 IPv4 地址。 |
| SourceMACAddress | 字符串 | 源 MAC 地址。 |
| SourceNTDomain | 字符串 | 源地址的 Windows 域名。 |
| SourcePort | 整数 (int) | 源端口号。 有效端口号为 0 - 65535。 |
| 源进程ID | 整数 (int) | 与事件关联的源进程的 ID。 |
| 源流程名称 | 字符串 | 事件的源进程名称。 |
| 源服务名称 | 字符串 | 负责生成事件的服务。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,对于 Windows 代理(直接连接或 Operations Manager),值为 OpsManager;对于所有 Linux 代理,值为 Linux;对于 Azure 诊断,值为 Azure |
| SourceTranslatedAddress | 字符串 | 标识事件在 IP 网络中引用的已转换源。 |
| SourceTranslatedPort | 整数 (int) | 转换后的源端口(例如防火墙)。 有效端口号为 0 - 65535。 |
| SourceUserID | 字符串 | 按 ID 标识源用户。 |
| SourceUserName | 字符串 | 按名称标识源用户。 电子邮件地址也会映射到 UserName 字段中。 发件人是将其置入此字段的候选人。 |
| 源用户权限 | 字符串 | 源用户的特权。 有效值包括:Administrator、User、Guest。 |
| 开始时间 | 日期/时间 | 事件引用的活动的开始时间。 |
| _SubscriptionId(订阅编号) | 字符串 | 与记录关联的订阅的唯一标识符 |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| ThreatConfidence | 字符串 | MaliciousIP 的威胁置信度,视 TI 源而定。 |
| 威胁描述 | 字符串 | MaliciousIP 的威胁描述,视 TI 源而定。 |
| ThreatSeverity | 整数 (int) | MaliciousIP 的威胁严重性,视记录引入时的 TI 源而定。 |
| TimeGenerated | 日期/时间 | 事件收集时间 (UTC)。 |
| 类型 | 字符串 | 表的名称 |