你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
K8s 处理事件。 此表由 MDC 中的检测团队收集。
数据表属性
| 特征 | 价值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | 日志管理 |
| 基本日志 | 是的 |
| 引入时转换 | 否 |
| 示例查询 | - |
列
| 列 | 类型 | DESCRIPTION |
|---|---|---|
| 附加数据 | 动态的 | 有关容器事件的其他元数据。 |
| AgentId | 字符串 | 监视代理跟踪容器的 ID。 |
| Auid | 字符串 | 与容器进程关联的审核用户 ID。 |
| _BilledSize(账单大小) | 真实 | 记录大小(字节) |
| Cmdline | 字符串 | 启动容器的命令行指令。 |
| 通信 | 字符串 | 执行命令的名称。 |
| 电脑 | 字符串 | 运行容器的节点的名称。 |
| 容器标识符(ContainerID) | 字符串 | 正在运行的容器的唯一标识符。 |
| 容器名称 | 字符串 | 容器的名称。 |
| Cwd | 字符串 | 容器进程的当前工作目录。 |
| 摘要 | 字符串 | 容器映像的 SHA-256 摘要。 |
| DriftAction | 字符串 | 指示容器文件中是否有任何修改。 |
| Exe | 字符串 | 容器中运行的可执行文件的路径。 |
| Gid | 字符串 | 运行进程的组 ID。 |
| 组 | 字符串 | 与进程关联的组名称。 |
| _IsBillable | 字符串 | 指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| Memfd | 布尔 | 指示容器是否支持内存文件描述符(memfd)执行功能。 |
| Namespace | 字符串 | Kubernetes Pod 部署所在的命名空间。 |
| Pid | 字符串 | 容器化应用程序的进程 ID。 |
| Pname | 字符串 | 容器化应用程序的父进程名称。 |
| PodLabels | 动态的 | 与 Kubernetes Pod 关联的标签。 |
| PodName | 字符串 | Kubernetes Pod 的名称。 |
| Ppid | 字符串 | 容器化应用程序的父进程 ID。 |
| 资料库 | 字符串 | 容器映像存储库。 |
| Ses | 字符串 | 容器进程的会话 ID。 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| 成功 | 字符串 | 指示命令执行是否成功。 |
| 标记 | 字符串 | 容器映像的标记。 |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | 日期/时间 | 事件记录时使用的 UTC 时间戳。 |
| 类型 | 字符串 | 表的名称 |
| Uid | 字符串 | 运行进程的用户 ID。 |
| UpperLayer | 布尔 | 指示容器镜像是否在叠加文件系统中使用上层结构。 |
| 用户 | 字符串 | 在容器中运行进程的用户名。 |